¿Qué exige este criterio?
Common Criteria (ISO/IEC 15408) es el esquema de evaluación de seguridad europeo más reconocido. Para HSMs en servicios cualificados, los niveles de garantía aceptables son EAL4+ o superior. El Protection Profile debe ser aplicable al uso: p. ej. PP_CMCS (Cryptographic Module for CSP) o PP_SSCD (Secure Signature Creation Device) para sellos cualificados. La certificación CC se verifica en el portal de Common Criteria (commoncriteriaportal.org) bajo el esquema nacional donde fue certificada (p. ej. BSI en Alemania, ANSSI en Francia, CCRA en EE.UU.).

¿Qué hay que revisar al cliente?

• Certificación CC del HSM: EAL, Protection Profile, esquema de certificación.
• Vigencia de la certificación CC (certificaciones CC tienen validez limitada).
• Verificación en el portal Common Criteria (commoncriteriaportal.org).
• Coherencia del Protection Profile con el uso real del HSM en el servicio.

Preguntas clave para las entrevistas

• ¿El HSM tiene certificación CC además de FIPS?
• ¿El nivel EAL es 4+ o superior?
• ¿El Protection Profile del certificado CC es aplicable al uso del HSM en el QERDS?
• ¿Se ha verificado la certificación CC en el portal commoncriteriaportal.org?

¿Por qué es esencial para QERDS y TSA?
CC EAL4+ es el estándar europeo preferido para componentes de alta seguridad. Muchos HSMs tienen tanto FIPS como CC, lo que da la máxima confianza. Para los supervisores europeos, CC suele ser más reconocido que FIPS en el contexto eIDAS.

Evidencia que demostraría conformidad

• Certificado CC del HSM (EAL, PP, esquema).
• Verificación en el portal Common Criteria (captura).
• Coherencia PP con el uso del HSM.