RELIANOID Cumplimiento de la norma ISO/IEC 15408 (Criterios Comunes)

Última revisión: Septiembre 2025
Próxima revisión prevista: Septiembre 2026

Declaración de conformidad con la norma ISO/IEC 15408

Alineación de seguridad de criterios comunes para RELIANOID Balanceador de carga y organización

RELIANOID está alineado con los principios de ISO / IEC 15408: 2022, también conocido como el Criterios comunes para la evaluación de la seguridad de las tecnologías de la información (CC)Este estándar reconocido internacionalmente permite la evaluación estructurada de las propiedades de seguridad de los productos de TI y a menudo se requiere en las adquisiciones gubernamentales y de infraestructura crítica.

Aunque RELIANOID no ha pasado por una certificación formal bajo Common Criteria, nuestro controles organizacionales y arquitectura de la plataforma de equilibrio de carga están fuertemente alineados con la Principios del Nivel de Garantía de Evaluación de Criterios Comunes (EAL), particularmente en el contexto de implementaciones en la nube y locales en entornos de alta seguridad.

¿Qué es ISO / IEC 15408?

La norma ISO/IEC 15408 proporciona un marco para evaluar la seguridad de los productos de TI a través de:

  • Requisitos funcionales de seguridad (SFR) – las características y protecciones que proporciona un producto
  • Requisitos de garantía de seguridad (SAR) – la evidencia y los procesos que demuestran cómo se implementan de forma segura esas características

Es ampliamente adoptado por agencias nacionales de ciberseguridad y sectores regulados como defensa, energía, finanzas y compras gubernamentales.

Alcance del producto y objetivo de la evaluación (TOE)

Los TOE abarca todo RELIANOID Componentes empresariales:

  • Componentes: Dispositivos de hardware, plataforma de software e interfaces de administración (UI web, CLI, API).
  • Ciclo de vida de LTS: Todas las versiones Enterprise cuentan con soporte a largo plazo. Versión principal actual: v8 (compatible hasta 2029 de junio ).
  • Sistema operativo: Ratón de biblioteca de Debian.
  • Modelos de implementación: Principalmente en instalaciones locales; también compatible con entornos híbridos y en la nube.
  • Topologías: Autónomo, en clúster y en modo dual con recuperación ante desastres (DR).

Alineación organizacional con criterios comunes

RELIANOID sigue los principios clave de garantía y ciclo de vida de la norma ISO/IEC 15408 en todas nuestras prácticas internas de desarrollo, implementación y operación.

Modelo de objetivos y amenazas de seguridad

Mantenemos un sistema interno Documento de objetivos de seguridad alineado con la estructura de Criterios Comunes, definiendo:

  • Activos protegidos (por ejemplo, tráfico de red, configuraciones, credenciales)
  • Amenazas abordadas (por ejemplo, escalada de privilegios, intermediario, acceso no autorizado)
  • Supuestos y consideraciones ambientales (por ejemplo, ubicación segura de la red)

Diseño y controles de desarrollo

Nuestro ciclo de vida de desarrollo de software seguro (SSDLC) incorpora:

  • Pruebas de seguridad automatizadas diarias (SAST, DAST)
  • Análisis de vulnerabilidades de bibliotecas de terceros
  • Control de cambios formal y documentación de lanzamiento versionada
  • Comprobaciones de integridad de la firma y publicación de código

Mapeo de requisitos funcionales de seguridad (SFR)

RELIANOID Load Balancer implementa un amplio conjunto de controles equivalentes a SFR, incluidos:

  • Identificación y autenticación (FIA): Los usuarios se autentican mediante contraseñas, pares de claves o SSO. El acceso a la API es individual, con tokens generados por usuario; todas las interfaces admiten flujos de autenticación seguros.
  • Control de acceso (AC/FMT/FDP): El control de acceso basado en roles se aplica en todos los componentes e interfaces (Web, CLI, API), incluidos los controles por objeto en los servicios de equilibrio de carga.
  • Auditoría y Rendición de Cuentas (FAU): Los registros de auditoría y del sistema se almacenan de forma predeterminada durante 7 días y se pueden exportar o integrar con plataformas SIEM.
  • Soporte criptográfico (FCS): Criptografía robusta con claves de gran longitud. TLS v1.2 o superior por defecto (preferiblemente TLS v1.3). Los protocolos/cifrados heredados están deshabilitados por defecto y pueden habilitarse manualmente si es necesario. Módulos opcionales validados por FIPS 140.
  • Protección de Datos del Usuario (FDP): Los datos del usuario solo se almacenan cuando es necesario y siempre están cifrados en reposo (por ejemplo, usuarios y contraseñas).
  • Gestión de Seguridad (FMT): El usuario raíz actúa como la cuenta administrativa principal. Se pueden configurar usuarios, grupos y permisos adicionales mediante el módulo RBAC.
  • Protección de las funciones de seguridad del TOE (FPT): Se implementan arranque seguro, módulos de kernel firmados y acceso al repositorio protegido por GPG.
  • Protección de comunicaciones (FTP/FTA): Todas las comunicaciones están encriptadas; la gestión de sesiones incluye controles de expiración y reautenticación.

Alineación con los requisitos de garantía de seguridad (SAR)

  • Diseño y documentación: La documentación interna (módulos, diagramas de arquitectura) está disponible en nuestro Base de Conocimientos.
  • Revisiones y escaneo de código: Escaneo de código automatizado y asistido por IA con revisiones manuales por pares.
  • Gestión de vulnerabilidades: Análisis de vulnerabilidades semanales, informes trimestrales y lanzamientos de parches con seguimiento de CVE publicados en nuestro calendario.
  • Pruebas independientes: Pruebas de penetración y escaneos externos a nivel de aplicación, red e infraestructura.
  • Pruebas formales: Pruebas de seguridad automatizadas diarias con cobertura ampliada en cada ciclo de lanzamiento.

Procesos de desarrollo y mantenimiento

  • SSDLC: Requisitos → Diseño → Implementación → Pruebas → Validación → Mejora Continua. Gestionado con Git, Gitea y herramientas de automatización interna.
  • Gestión de cambios y configuración: Flujos de trabajo de aprobación, procedimientos de reversión y documentación de cambios aplicados en todos los entornos.
  • Gestión de la liberación: Las actualizaciones se empaquetan, prueban y distribuyen de forma segura. La validación de preproducción se realiza antes de su publicación en los repositorios de producción.

Seguridad Operacional

  • Respuesta al incidente: Procedimientos definidos de escalamiento y resolución con un tiempo promedio de respuesta de ~2 minutos.
  • Monitoreo: Métricas en tiempo real con sistemas integrados de detección y prevención de intrusiones. La información sobre amenazas se comparte con la comunidad y las plataformas del sector.
  • Copia de seguridad y recuperación ante desastres: Copias de seguridad cifradas semanales con pruebas de restauración mensuales.

Uso en entornos regulados y certificados

Aunque no está certificado formalmente, RELIANOID apoya:

  • Integración en sistemas evaluados por Criterios Comunes
  • Evaluaciones de adquisiciones de clientes en entornos centrados en EAL
  • Documentación estructurada alineada con los esquemas nacionales (por ejemplo, CCN-STIC, NIAP, BSI TR)

Medidas de garantía y evidencia

Para respaldar los objetivos de garantía alineados con los Criterios Comunes, ofrecemos:

  • Notas de la versión con registros de cambios detallados
  • Documentación de diseño de seguridad basada en amenazas
  • Informes de análisis de vulnerabilidades y parches archivados
  • Guías de implementación segura y listas de verificación de fortalecimiento

Alineación Organizacional

  • Gobernanza de seguridad: Equipo de cumplimiento de seguridad dirigido por el director ejecutivo, el director de tecnología y el director de operaciones que garantiza el desarrollo seguro, los procesos y la alineación del cumplimiento.
  • Capacitación en seguridad para empleados: Sesiones trimestrales de capacitación y concientización continua sobre las amenazas de la industria.
  • Auditorías de seguridad interna: Auditorías trimestrales con seguimiento de las remediaciones. Los informes están disponibles públicamente.
  • Políticas: Políticas publicadas que cubren privacidad, respuesta a incidentes, continuidad del negocio, segregación global de datos, riesgo de terceros, control de acceso, uso aceptable y manejo de datos.

Evidencia de apoyo

  • Entradas RELIANOID Informe de seguridad: Confirmada como la versión más actualizada.
  • Base de conocimientos: Documentos técnicos, hojas de datos y diagramas de arquitectura actualizados: Base de Conocimientos.
  • Declaraciones de garantía del cliente: Declaraciones publicadas para industrias reguladas, alineadas con las regulaciones de ciberseguridad en evolución.

Compromiso con los principios de criterios comunes

RELIANOID está comprometido a:

  • Alineación del desarrollo de nuevas funciones con la metodología de diseño de Criterios Comunes
  • Apoyando los esfuerzos de evaluación dirigidos por el cliente
  • Mantener un entorno de desarrollo seguro y consciente de las amenazas
  • Garantizar la transparencia y la integridad durante todo el ciclo de vida del producto

Revisiones de documentos

FechaComentario
10 de julio 2025Publicación inicial de la alineación del cumplimiento de la norma ISO/IEC 15408
2nd septiembre 2025Alcance TOE ampliado, mapeo SFR actualizado, alineación SAR, detalles de SSDLC y operaciones, gobernanza organizacional y evidencia de respaldo

Contacto y garantía

Aceptamos solicitudes de materiales de evaluación técnica, resúmenes de objetivos de seguridad o apoyo para proyectos de adquisiciones de Criterios Comunes.

Contacte con nuestro Equipo de Cumplimiento y Seguridad

Descargar el último informe de seguridad