OP.PL.5 Componentes Certificados

Documentos de referencia

• Guías CCN-STIC:
  • Guía CCN-STIC-813 - Componentes Certificados en el ENS
  • Guía CCN-STIC-103 - Catálogo de Productos con certificación criptologica
• ISO/IEC 27000
• NIST SP 800-53 rev. 4
• Otras referencias:
  • NIST SP 800-23 - Guidelines to Federal Organizations on Security Assurance and Acquisition/Use of Tested/Evaluated Products
  • NIST SP 800-36 - Guide to Selecting Information Technology Security Products
  • Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información http://www.oc.ccn.cni.es
  • Orden PRE/2740/2007 de 19 de septiembre, por la que se aprueba el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.
  • ISO/IEC 15408-1:2005 - Information technology - Security techniques - Evaluation criteria for IT security - Part 1: Introduction and general model
  • ISO/IEC 15408-2:2005 - Information technology - Security techniques - Evaluation criteria for IT security - Part 2: Security functional requirements
  • ISO/IEC 15408-3:2005 - Information technology - Security techniques - Evaluation criteria for IT security - Part 3: Security assurance requirements
  • ISO/IEC 18045:2005 - Information technology - Security techniques - Methodology for IT security evaluation
  • ISO/IEC TR 19791:2006 - Information technology - Security techniques - Security assessment of operational systems

Guía de implantación

87. Todas las palabras se quedan cortas para insistir en la necesidad de recurrir a componentes probados, evaluados y certificados. Desarrollar los propios componentes exige un apreciable nivel de formación, un considerable esfuerzo y una capacidad de mantenimiento de la seguridad frente a vulnerabilidades, defectos y nuevas amenazas. Todo esto se simplifica notablemente recurriendo a componentes de terceras partes siempre y cuando dichos componentes estén asegurados para protegernos de acuerdo a nuestras necesidades y frente a nuestras amenazas. Esto quiere decir que antes de adquirir un producto, por muy acreditado que esté, hay que cerciorarse de que cubre nuestras necesidades específicas.

88. El empleo de componentes certificados requiere:

• un esfuerzo preliminar de validación: idoneidad para el caso
• un esfuerzo de implantación: adquisición y formación
• y un esfuerzo continuo de actualizaciones para no perder las garantías iniciales

89. Cuando se evalúan productos, es frecuente establecer una escala de niveles. En el caso de Criterios Comunes (ISO 15408), esta es la escala:

EAL1 – Probado funcionalmente

EAL1 es aplicable cuando se necesita alguna confianza en el funcionamiento correcto pero las amenazas a la seguridad no son importantes. Será útil cuando se necesite garantía independiente en la controversia entre el debido cuidado que se ha ejercido y la protección de la información personal o similar.

EAL1 proporciona una evaluación del TOE disponible para el cliente, incluyendo pruebas independientes sobre una especificación y un examen de los manuales proporcionados. Se piensa que una evaluación EAL1 pueda ser realizada con éxito sin la ayuda del fabricante del TOE y con un gasto mínimo.

Una evaluación a este nivel debe proporcionar evidencia de que el TOE funciona de una manera consistente con su documentación y que proporciona protección útil contra las amenazas identificadas.

EAL2 – Probado estructuralmente

EAL2 necesita la cooperación del fabricante por lo que se refiere a entregar información de diseño y resultados de pruebas, pero no debe exigir más esfuerzo por parte del fabricante de lo que supone una práctica comercial buena. Por tanto, no debe requerir un nivel de esfuerzo sustancialmente mayor en costes o tiempo.

EAL2 es, por consiguiente, aplicable en aquellas circunstancias en las que fabricantes o usuarios necesitan un nivel de seguridad, entre bajo y moderado, garantizado independientemente en ausencia de documentación extensiva o tiempo.

EAL3 – Probado y verificado metódicamente

EAL3 permite a un fabricante concienzudo obtener garantía máxima de la ingeniería de seguridad en la fase de diseño sin la alteración sustancial de las prácticas de desarrollo válidas existentes.

EAL3 es aplicable en aquellas circunstancias en las que fabricantes o usuarios necesitan un nivel moderado de seguridad garantizado independientemente y una completa investigación del TOE y su desarrollo sin necesidad de reingeniería sustancial.

EAL4 – Diseñado, probado y revisado metódicamente

EAL4 permite a un fabricante obtener garantía máxima de la ingeniería de seguridad basada en correctas prácticas de desarrollo comercial que, aun siendo riguroso, no requiere un conocimiento o destreza especializados sustanciales ni otros recursos.
EAL4 es el nivel más alto que permite que sea económicamente factible aplicar CC a una línea de producto ya existente.

EAL4 es, por consiguiente, aplicable en aquellas circunstancias en las que fabricantes o usuarios necesitan un nivel de seguridad, entre moderado y alto, garantizado independientemente de TOEs convencionales y están dispuestos a costear gastos adicionales de ingeniería específica de seguridad.

EAL5 – Diseñado y probado semiformalmente

EAL5 permite a un fabricante obtener garantía máxima de la ingeniería de seguridad basada en prácticas de desarrollo comercial rigurosas apoyadas por una moderada aplicación de técnicas específicas de ingeniería de seguridad. En este caso el TOE probablemente se diseñe y desarrolle con la intención de lograr el nivel de garantía EAL5. Es probable que el coste adicional atribuible a los requisitos de EAL5, comparado al coste que supone un desarrollo riguroso sin la aplicación de técnicas especializadas, no sea grande.

EAL5 es, por consiguiente, aplicable en aquellas circunstancias en las que fabricantes o usuarios necesitan un nivel alto de seguridad, garantizado independientemente, en un desarrollo previsto y requiere un enfoque de desarrollo riguroso sin incurrir en gastos no razonables atribuibles a las técnicas de ingeniería específica de seguridad.

EAL6 – Diseñado, probado y revisado semiformalmente

EAL6 permite a los fabricantes obtener alta garantía de la aplicación de técnicas de ingeniería de seguridad en un entorno de desarrollo riguroso para producir un TOE específico para proteger los recursos de alto valor contra riesgos significativos.

EAL6 es, por consiguiente, aplicable al desarrollo de TOEs de seguridad para su aplicación en situaciones de alto riesgo donde el valor de los recursos protegidos justifica el coste adicional.

EAL7 – Diseñado, probado y revisado formalmente

EAL7 es aplicable al desarrollo de TOEs de seguridad para su aplicación en situaciones de riesgo extremadamente alto y/o donde el alto valor de los recursos justifica el mayor coste.
La aplicación práctica de EAL7 se limita actualmente a TOEs con una funcionalidad estrictamente dirigida a la seguridad que permite un extenso análisis formal.

90. El ENS solo requiere la consideración de productos certificados para sistemas de categoría ALTA. No obstante, cabe hacer las siguientes indicaciones:

• Un nivel EAL1 sería recomendable para cualquier sistema.
• Un nivel EAL2 sería aconsejable para sistemas de categoría MEDIA o ALTA.
• Un nivel EAL3 sería interesante para sistemas de categoría ALTA, concretamente para elementos críticos del sistema como puede ser la frontera exterior hacia redes públicas.
• Niveles por encima de EAL3 son siempre interesantes, pero probablemente desproporcionados para sistemas adscritos al ENS, salvo frente a amenazas extremas.

Implementación en Legit Health Plus

1. Estrategia de Componentes Certificados

1.1 Política de Certificación

Legit Health Plus implementa una estrategia diferenciada de componentes certificados basada en:

• Criticidad del componente en la cadena de seguridad
• Exposición a amenazas según el threat model T-024-006
• Requisitos regulatorios específicos (FDA, EU MDR, ENS)
• Coste-beneficio de la certificación vs. riesgo asumido
• Disponibilidad de alternativas certificadas en el mercado
• Madurez tecnológica y lifecycle del componente

1.2 Categorización de Componentes por Nivel de Certificación

Matriz de Requisitos de Certificación:

Categoría	Nivel ENS	Nivel EAL	Componentes Legit Health Plus
Críticos	ALTO	EAL3+	Cifrado, PKI, HSM, Firewall perimetral
Altos	ALTO	EAL2+	Authentication, SIEM, DB encryption
Medios	MEDIO	EAL1+	Load balancers, monitoring, backup
Básicos	BÁSICO	Commercial	Development tools, logs analysis

2. Inventario de Componentes Certificados

2.1 Componentes de Seguridad Críticos

Productos Certificados en Uso:

Componente	Proveedor	Certificación	Nivel EAL	Estado	Renovación
AWS KMS	Amazon	FIPS 140-2 Level 3	EAL4+	Activo	N/A (Servicio)
AWS CloudHSM	Amazon	FIPS 140-2 Level 3	EAL4+	Piloto	N/A (Servicio)
AWS WAF	Amazon	SOC 2 Type II	EAL2+	Activo	Anual
Azure AD B2C	Microsoft	SOC 2, ISO 27001	EAL2+	Activo	Continua
CrowdStrike Falcon	CrowdStrike	Common Criteria	EAL2+	Activo	2025-12
Datadog SIEM	Datadog	SOC 2 Type II	EAL2	Activo	2025-06

2.2 Componentes Criptográficos

Bibliotecas Criptográficas Certificadas:

Biblioteca	Certificación	Algoritmos	Uso en Sistema	Validación
AWS Crypto SDK	FIPS 140-2	AES, RSA, SHA	Cifrado aplicación	NIST Validated
OpenSSL (FIPS)	FIPS 140-2	AES, RSA, ECC	TLS, certificados	NIST Validated
Bouncy Castle	Common Criteria	AES, RSA, ECC	Java crypto	CC Evaluated
libsodium	NaCl verified	ChaCha20, Poly1305	Python crypto	Academically reviewed

3. Proceso de Evaluación y Selección

3.1 Criterios de Selección

Metodología de Evaluación Certificada:

3.2 Evaluación de Certificaciones

Framework de Evaluación:

Criterio	Peso	Evaluación
Nivel EAL	30%	EAL4+ (10), EAL3 (8), EAL2 (6), EAL1 (4)
Reconocimiento	25%	NIST (10), CC (9), FIPS (8), SOC2 (6)
Scope de Certificación	20%	Full product (10), Module (7), Process (5)
Vigencia	15%	<1 año (10), 1-2 años (8), >2 años (5)
Vendor Reputation	10%	Tier 1 (10), Tier 2 (7), Tier 3 (5)

4. Componentes por Dominio

4.1 Seguridad de Red

Componentes de Red Certificados:

Componente	Certificación	Función	Configuración Específica
AWS WAF	SOC 2, PCI DSS	Web Application Firewall	Rules engine + ML detection
AWS Shield	SOC 2, ISO 27001	DDoS Protection	Advanced tier + 24/7 DRT
Cloudflare	SOC 2, ISO 27001	CDN + Security	WAF rules + Bot management
Palo Alto Prisma	Common Criteria EAL2+	CASB + SASE	Cloud security + zero trust

4.2 Gestión de Identidades

IAM Certificados:

Identity_Management_Stack:
  Primary_IdP:
    product: "Azure AD B2C"
    certifications: ["SOC 2 Type II", "ISO 27001", "FedRAMP High"]
    capabilities:
      - Multi-tenant isolation
      - Custom policies
      - MFA enforcement
      - Conditional access
      - RBAC/ABAC support

  Federation:
    product: "SAML/OIDC"
    standards: ["SAML 2.0", "OAuth 2.0", "OpenID Connect"]
    certifications: ["OASIS approved", "OAuth Security BCP"]

  PKI:
    product: "AWS Private CA"
    certifications: ["FIPS 140-2", "Common Criteria"]
    use_cases: ["Client certificates", "API signing", "Code signing"]

4.3 Cifrado y PKI

Infraestructura Criptográfica:

Componente	Certificación	Nivel FIPS	Algoritmos Soportados
AWS KMS	FIPS 140-2 Level 3	Level 3	AES-256, RSA-2048/4096, ECC P-256/P-384
AWS CloudHSM	FIPS 140-2 Level 3	Level 3	AES, RSA, ECC, ECDSA
HashiCorp Vault	FIPS 140-2 Level 1	Level 1	AES-256, RSA, ChaCha20
Azure Key Vault	FIPS 140-2 Level 2	Level 2	AES, RSA, ECC

5. Implementación Específica para Medical Devices

5.1 Requisitos FDA/EU MDR

Componentes Críticos para Dispositivos Médicos:

Componente	Regulación	Certificación Requerida	Estado Actual
Encryption Libraries	FDA Cybersecurity	FIPS 140-2 validated	✅ Implementado
Authentication System	EU MDR Annex I	SOC 2 + penetration tested	✅ Implementado
SIEM/Logging	21 CFR 820	Common Criteria evaluated	✅ Implementado
Backup/Recovery	FDA QSR	Business continuity certified	✅ Implementado
API Gateway	HIPAA/GDPR	Security controls assessed	✅ Implementado

5.2 Validación Clínica de Componentes

Impact Assessment Framework:

Clinical_Impact_Assessment:
  Direct_Impact_Components:
    - ML inference engines
    - Image processing libraries
    - Diagnostic algorithms
    - Clinical decision support
    validation_required: "Full clinical validation"
    certification_level: "EAL3+ or FDA 510(k)"

  Indirect_Impact_Components:
    - Authentication systems
    - Database engines
    - Monitoring tools
    - Backup systems
    validation_required: "Security + performance validation"
    certification_level: "EAL2+ or SOC 2"

  Infrastructure_Components:
    - Load balancers
    - CDN services
    - Logging systems
    - Development tools
    validation_required: "Basic security assessment"
    certification_level: "Commercial grade + penetration testing"

6. Gestión del Ciclo de Vida de Certificaciones

6.1 Monitorización de Vigencia

Certificate Lifecycle Management:

Certificación	Vigencia	Renovación	Responsable	Estado
AWS KMS FIPS	Continua	N/A	AWS	Activo
CrowdStrike CC	3 años	2025-12	CISO	Vigente
Azure AD SOC2	Anual	2025-06	Microsoft	Vigente
Datadog SOC2	Anual	2025-08	Datadog	Vigente
WAF Penetration Test	Anual	2025-03	Security Team	Próximo

6.2 Proceso de Renovación

Renewal Process:

7. Alternativas y Sustituciones

7.1 Plan de Contingencia

Componentes Alternativos Certificados:

Componente Principal	Alternativa 1	Alternativa 2	Certificación Común
AWS KMS	Azure Key Vault	HashiCorp Vault Enterprise	FIPS 140-2
Azure AD B2C	AWS Cognito	Auth0 Enterprise	SOC 2 Type II
CrowdStrike	SentinelOne	Microsoft Defender ATP	Common Criteria
Datadog	Splunk Enterprise	AWS Security Hub	SOC 2 Type II

7.2 Evaluación de Migración

Migration Assessment Matrix:

Migration_Criteria:
  Technical_Complexity:
    weight: 30%
    factors: [API compatibility, data migration, configuration]

  Business_Continuity:
    weight: 25%
    factors: [downtime, user impact, training required]

  Certification_Level:
    weight: 20%
    factors: [EAL level, scope, recognition]

  Cost_Impact:
    weight: 15%
    factors: [licensing, implementation, maintenance]

  Vendor_Stability:
    weight: 10%
    factors: [financial health, market position, support]

8. Cumplimiento Regulatorio

8.1 Mapeo ENS

Controles ENS Cubiertos por Componentes Certificados:

Control ENS	Componente	Certificación	Nivel Cobertura
mp.com.1	AWS WAF	SOC 2	Completo
mp.com.2	Cloudflare	ISO 27001	Completo
mp.cryp.1	AWS KMS	FIPS 140-2 L3	Completo
mp.cryp.2	OpenSSL FIPS	FIPS 140-2 L1	Completo
mp.acc.1	Azure AD B2C	SOC 2	Completo
mp.acc.2	RBAC custom	N/A	Parcial

8.2 Gap Analysis

Brechas Identificadas y Plan de Cierre:

Gap Identificado	Criticidad	Solución Planificada	Timeline
Database encryption	Alta	DocumentDB encryption + AWS KMS	Q1 2025
Log encryption	Media	CloudWatch + KMS integration	Q1 2025
Container scanning	Alta	Trivy + Snyk certified versions	Q2 2025
API rate limiting	Media	AWS WAF advanced rules	Q1 2025

9. Evaluación Económica

9.1 Coste de Certificación vs Riesgo

ROI Analysis:

Componente	Coste Adicional	Riesgo Mitigado	ROI Calculado
AWS KMS vs OpenSSL	+$2,000/mes	Gestión claves críticas	450%
Azure AD vs Custom	+$5,000/mes	Breach de autenticación	280%
CrowdStrike vs Basic AV	+$3,000/mes	Advanced persistent threats	320%
WAF Enterprise vs Basic	+$1,500/mes	Application layer attacks	380%

9.2 Budget Planning

Certificación Budget FY2025:

Certification_Budget:
  Licencias_Componentes:
    q1: $15,000
    q2: $18,000
    q3: $20,000
    q4: $22,000
    total: $75,000

  Auditorias_Renovacion:
    penetration_testing: $25,000
    soc2_audits: $15,000
    compliance_consulting: $10,000
    total: $50,000

  Migracion_Nuevos_Componentes:
    planning: $20,000
    implementation: $40,000
    training: $15,000
    total: $75,000

  Total_FY2025: $200,000
  Growth_vs_FY2024: +35%

10. Proceso de Adquisición

10.1 Procurement Process

Certified Component Acquisition:

10.2 Vendor Management

Certified Vendor Requirements:

Criterio	Requisito Mínimo	Evaluación
Certificaciones Actuales	EAL2+ o equivalent	Verificación independiente
Security Response Time	< 24h para críticos	SLA contractual
Vulnerability Disclosure	Public program	Verificación proceso
Support Lifecycle	Min 5 años	Contractual commitment
Escrow de Código	Disponible si requerido	Legal agreement

11. Monitorización y Auditoría

11.1 Continuous Monitoring

Certificate Monitoring System:

Monitoring_Framework:
  Automated_Checks:
    - Certificate expiration (90/30/7 days)
    - Vulnerability announcements (real-time)
    - Compliance status changes (daily)
    - Performance impact (continuous)

  Manual_Reviews:
    - Quarterly: Certification portfolio review
    - Annually: Full security assessment
    - Ad-hoc: Incident-triggered review
    - Regulatory: Audit preparation

  Alerting:
    critical: [CISO, CTO, Security Team]
    warning: [Security Team, Product Team]
    info: [Platform Team, Documentation]

11.2 Compliance Dashboard

Key Metrics Dashboard:

Métrica	Target	Actual	Status
Componentes Certificados	100% críticos	95%	⚠️
Certificaciones Vigentes	100%	98%	⚠️
Tiempo Renovación	< 30 días	25 días	✅
Vulnerabilidades Certificadas	0 críticas	1 alta	⚠️
ROI Certificación	>200%	315%	✅

12. Formación y Concienciación

12.1 Training Program

Certified Components Training:

Audiencia	Contenido	Duración	Frecuencia
Security Team	Deep dive certificaciones	16h	Anual
Development Team	Best practices uso	8h	Semestral
Operations Team	Monitoring y maintenance	4h	Trimestral
Management	Business value certificaciones	2h	Anual

12.2 Knowledge Base

Documentation Repository:

• Guías de implementación por componente
• Procedures de renovación de certificaciones
• Troubleshooting guides certificados
• Vendor contact directory
• Emergency response procedures
• Compliance mapping matrices

13. Roadmap y Evolución

13.1 Certification Roadmap

Evolution Plan:

Período	Objetivos	Componentes Objetivo
Q1 2025	Close current gaps	DB encryption, log security
Q2 2025	Enhance monitoring	SIEM upgrade, EDR expansion
Q3 2025	Zero Trust adoption	Network segmentation, micro-segmentation
Q4 2025	Quantum readiness	Post-quantum cryptography evaluation

13.2 Emerging Standards

Future Certifications:

Emerging_Standards:
  Post_Quantum_Cryptography:
    timeline: 2025-2027
    impact: "All cryptographic components"
    preparation: "Algorithm evaluation ongoing"

  AI_ML_Certification:
    timeline: 2025-2026
    impact: "ML inference engines"
    preparation: "NIST AI RMF alignment"

  IoMT_Medical_Devices:
    timeline: 2025
    impact: "Integration components"
    preparation: "FDA guidance monitoring"

  Zero_Trust_Architecture:
    timeline: 2024-2025
    impact: "Network and access components"
    preparation: "NIST SP 800-207 implementation"

Anexo A: Matriz de Certificaciones

Comprehensive Certification Matrix:

Componente	EAL	FIPS	SOC2	ISO27001	CC	FDA	Otros
AWS KMS	-	L3	✓	✓	-	-	FedRAMP
Azure AD	-	-	✓	✓	-	-	HIPAA
CrowdStrike	-	-	✓	✓	✓	-	PCI-DSS
WAF	EAL2+	-	✓	✓	-	-	OWASP

Anexo B: Emergency Response

Certification Emergency Procedures:

1. Certificate Expiration Emergency:

   • Immediate: Contact vendor
   • 4h: Temporary exemption if available
   • 24h: Risk assessment + mitigation plan
   • 72h: Replacement component evaluation

2. Vulnerability in Certified Component:

   • Immediate: Threat assessment
   • 2h: Vendor contact + patch status
   • 24h: Risk mitigation measures
   • 72h: Remediation plan execution

Signature meaning

The signatures for the approval process of this document can be found in the verified commits at the repository for the QMS. As a reference, the team members who are expected to participate in this document and their roles in the approval process, as defined in Annex I Responsibility Matrix of the GP-001, are:

• Author: Team members involved
• Reviewer: JD-003, JD-004
• Approver: JD-001