Cuándo aplica
CICLON es la vía pensada para productos SaaS, PaaS e IaaS desplegados y operados desde entornos cloud.
Certificación Nacional Iterativa Cloud
Certificación CICLON: La Vía Definitiva para su Producto Cloud en España
Acelere la entrada de su plataforma SaaS, PaaS o IaaS al sector público español. Gestionamos la certificación CICLON de principio a fin, incluyendo documentación, evaluación técnica y monitorización continua, para convertir la nueva normativa cloud en su ruta más clara hacia el catálogo CPSTIC.
Pensado para productos cloud que necesitan certificación bajo el Esquema Nacional de Seguridad (ENS), contratación pública y acceso al Catálogo CPSTIC en España.
Expertos en la Metodología Cloud
Profundo conocimiento de la guía CCN-STIC-2010 y de la realidad operativa de una certificación CICLON para productos cloud en España.
Enfoque Colaborativo
Trabajamos con su equipo como un socio técnico real, preparando la documentación, ejecutando las pruebas, realizando la monitorización periódica y revalidando las no conformidades detectadas.
Proceso Ágil y Continuo
Una gestión práctica alineada con los ciclos de desarrollo cloud, sin obligarle a congelar su producto para avanzar.
Respuestas rápidas
Qué significa CICLON en la práctica
Si su producto se presta desde la nube y su objetivo es CPSTIC o entidades sujetas al ENS en España, estos son los puntos clave que conviene tener claros desde el principio.
Qué exige
El proceso gira en torno a la Declaración de Seguridad (DS), el Documento de Arquitectura del Servicio (DAS), la evaluación técnica, el pentesting y una fase iterativa de monitorización.
En qué se diferencia de LINCE
LINCE encaja mejor en productos no cloud. CICLON está diseñado para arquitecturas cloud y cambios continuos en el tiempo.
Por qué importa
Es la vía que permite a productos cloud entrar en CPSTIC con un modelo de evaluación adaptado a la realidad de la nube.
¿Qué es la Metodología CICLON?
CICLON (Certificación Iterativa Cloud Nacional) es el nuevo marco oficial diseñado por el Centro Criptológico Nacional (CCN) para evaluar la seguridad de productos TIC desplegados en la nube. Es la referencia para productos cloud que necesitan demostrar seguridad antes de acceder a entidades sujetas al ENS y al sector público español.
A diferencia de los esquemas tradicionales, CICLON se apoya en un modelo de garantía continua basado en el Porcentaje de Garantía Compuesto (PGC). Nuestro rol es actuar como su socio experto: redactamos la Declaración de Seguridad (DS), ayudamos a preparar el Documento de Arquitectura del Servicio (DAS), y ejecutamos las fases de Evaluación y Monitorización para que pueda centrarse en el producto.
Ver la metodología oficial CCN-STIC 2010CICLON
Certificación iterativa y continua adaptada a productos cloud orientados al sector público español.
¿CICLON o LINCE?
Elija la vía de certificación adecuada según cómo se despliega su producto.
Elija CICLON
CloudLa vía adecuada para productos cloud-native que necesitan demostrar seguridad en entornos SaaS, PaaS o IaaS.
- ✓ Despliegue cloud y modelo de responsabilidad compartida
- ✓ Monitorización continua del SBOM, dependencias relevantes, evaluación CICLON de los componentes de integración y certificación ENS o EUCS del proveedor cloud
- ✓ Encaje frecuente cuando se busca CPSTIC en escenarios cloud regulados
Elija LINCE
Software / no cloudLa mejor vía para productos que se despliegan en infraestructura del cliente, se instalan on-premises o no se prestan como servicio cloud.
- ✓ Evaluación puntual en lugar de monitorización iterativa
- ✓ Adecuada para software on-premises, aplicaciones instaladas y productos no cloud
- ✓ Ruta clara cuando el modelo cloud no es el núcleo del producto
CICLON vs. LINCE vs. Common Criteria
Una comparación práctica para empresas de software con objetivo en el sector público español.
| Característica | CICLON |  LINCE |  Common Criteria / EUCC |
|---|---|---|---|
| Entorno Objetivo | SaaS, PaaS, IaaS | Software on-premises / no cloud | Reconocimiento internacional para hardware y software |
| Resultado | Porcentaje de Garantía Compuesto (PGC); si hay no conformidades, el veredicto es FALLA y el PGC es 0 | PASA / FALLA | PASA / FALLA |
| Enfoque de Pruebas | Pentesting cloud/web según la metodología del CCN y monitorización continua | Pruebas funcionales y revisión puntual de vulnerabilidades | Auditoría exhaustiva de procesos y documentación |
| Tiempo y Esfuerzo | Variable según arquitectura y funcionalidades del producto | Bajo (semanas) | Alto (meses/años) |
Beneficios Clave de la Certificación CICLON
Acceda al Sector Público con Soluciones Cloud
CICLON es la vía cloud esperada para productos SaaS, PaaS e IaaS que deben demostrar seguridad antes de entrar en CPSTIC y acceder a oportunidades en el sector público.
Olvídese de Congelar Versiones
La fase de monitorización está pensada para la realidad cloud, permitiendo que el producto siga evolucionando mientras se mantiene vigente su nivel de garantía.
Diferenciación a través del PGC
Obtenga una calificación transparente y basada en evidencia medible, pensada para aportar confianza a largo plazo en que el producto sigue siendo seguro.
Seguridad Cloud Demostrada
La evaluación sigue la metodología del CCN para productos cloud, validando tanto la capa web como la exposición relevante del entorno cloud.
Por qué los equipos confían en CYBSER para CICLON
CICLON exige algo más que conocimiento normativo. Requiere un partner capaz de entender el producto, adaptar la norma a su realidad técnica y ejecutar el proceso con criterio en entornos cloud.
Soporte documental sobre DS y DAS
Estructuramos la documentación en torno al producto, al alcance cloud y al modelo de responsabilidad compartida para reducir iteraciones innecesarias y dar claridad al proceso desde el inicio.
Contexto real de arquitectura cloud
Trabajamos con entornos AWS, Azure y GCP, dependencias de terceros, interfaces y decisiones criptográficas que condicionan el alcance de evaluación.
Coordinación con laboratorio y CCN
Reducimos fricción alineando a su equipo, el flujo del laboratorio y los entregables esperados durante todo el proceso.
¿Necesita saber si su producto SaaS, PaaS o IaaS encaja de verdad en CICLON?
Podemos revisar la arquitectura, identificar el alcance probable de certificación y definir una hoja de ruta clara para la documentación, la evaluación y la monitorización posterior.
Modelo de ejecución
Cómo ejecutamos una evaluación CICLON
Organizamos el trabajo en cinco fases claras para que su equipo sepa qué se necesita, qué se está evaluando y qué debe ocurrir después en cada momento.
Documentación
Redacción de la DS y ayuda para preparar el DAS con el alcance del producto y las responsabilidades cloud claramente delimitadas.
Evaluación
Pruebas funcionales, revisión criptográfica y pentesting de caja gris conforme a la metodología del CCN.
Monitorización
Revisiones recurrentes para mantener el nivel de garantía alineado con el estado real del producto.
01
FaseEncaje inicial y planificación
Revisamos cómo se presta el producto, qué funcionalidades entran en juego, el contexto del proveedor cloud y cuál es el alcance probable antes de iniciar la evaluación.
02
FasePreparación de DS y DAS
Redactamos la Declaración de Seguridad (DS) y ayudamos a preparar el Documento de Arquitectura del Servicio (DAS), separando con precisión lo que corresponde a su producto y al entorno cloud.
03
FaseEvaluación técnica
Analizamos la arquitectura, realizamos pruebas funcionales, revisamos la criptografía y ejecutamos el pentesting de caja gris conforme a la metodología del CCN.
04
FaseNo conformidades, revalidación e Informe Técnico de Evaluación (ETR)
Si las pruebas funcionales o de penetración detectan no conformidades, notificamos los problemas encontrados, verificamos las correcciones realizadas y repetimos las comprobaciones necesarias antes de emitir el Informe Técnico de Evaluación (ETR).
05
FaseMonitorización continua
Seguimos revisando el Software Bill of Materials (SBOM) en formato CycloneDX, las vulnerabilidades publicadas, que los componentes de integración sigan evaluados bajo la propia Metodología CICLON y el estado de la certificación del Esquema Nacional de Seguridad (ENS) o del Esquema Europeo de Certificación de Ciberseguridad para Servicios Cloud (EUCS) del proveedor cloud para mantener actualizado el PGC con el paso del tiempo.
La vía directa a la certificación CICLON
La certificación cloud requiere un partner que entienda tanto de normativas como de arquitecturas modernas. Así reducimos fricción, acortamos ciclos de decisión y mejoramos su ruta al sector público español.
- ✓
Gestión del Modelo de Responsabilidad Compartida: Delimitamos con precisión qué controles pertenecen a su software y cuáles hereda de AWS, Azure o GCP para evitar esfuerzos innecesarios.
- ✓
Soporte Continuo en la Monitorización: No desaparecemos tras la evaluación inicial. Gestionamos las iteraciones periódicas de CICLON para que nuevos problemas no degraden silenciosamente su nivel de garantía.
- ✓
Llevamos el Timón del Proceso: Nos encargamos del flujo de solicitud, de la comunicación con el CCN y de la coordinación del proceso de principio a fin.
¿Es CICLON para mi producto?
Nuestra evaluación es el paso adecuado para:
- Plataformas de Software como Servicio (SaaS)
- Soluciones de Plataforma como Servicio (PaaS)
- Proveedores de Infraestructura como Servicio (IaaS)
- Productos cloud que necesitan acceso a CPSTIC para licitaciones públicas
Preguntas Frecuentes
¿Qué es el Porcentaje de Garantía Compuesto (PGC)?
El PGC es la puntuación continua de garantía que usa CICLON para reflejar el nivel de seguridad del producto a lo largo del tiempo. Si durante la evaluación se detectan no conformidades, el veredicto pasa a ser FALLA y el PGC es 0. La puntuación se actualiza después mediante monitorización periódica.
¿Mi producto es apto para una evaluación CICLON?
Si su producto se ofrece en la nube como SaaS, PaaS o IaaS, CICLON es la ruta oficialmente prevista por el CCN para entrar en CPSTIC. Si el producto se despliega on-premises o no se presta como servicio cloud, LINCE suele ser la vía más adecuada.
¿Qué es el Documento de Arquitectura del Servicio (DAS)?
Es un documento privado y clave en CICLON que define cómo se estructura su producto en la nube, sus interfaces internas y externas, y cómo fluye la información sensible. Nuestro equipo ayuda a prepararlo para que refleje correctamente la arquitectura del servicio dentro del proceso CICLON.
¿Por qué es necesaria una fase de monitorización?
La nube evoluciona continuamente. Por eso CICLON exige revisiones periódicas sobre el SBOM en formato CycloneDX, las dependencias cloud, que los componentes de integración relevantes sigan evaluados bajo la propia Metodología CICLON y certificaciones del proveedor como ENS o EUCS para que el nivel de garantía refleje la realidad actual del producto.
¿Qué ocurre si se encuentran vulnerabilidades en mi entorno web/cloud?
Si el pentest realizado conforme a la metodología del CCN identifica vulnerabilidades explotables, le entregamos un informe detallado y trabajamos con su equipo de desarrollo para aplicar y verificar las correcciones necesarias antes del envío final.
¿Cuánto cuesta una certificación CICLON?
El esfuerzo depende de la complejidad de la arquitectura, del número de interfaces, del uso de criptografía, de los componentes de terceros integrados y del alcance objetivo. Los plazos y el coste varían según el producto. Empezamos con un análisis inicial para definir un plan realista y una propuesta ajustada.
¿CICLON sustituye a LINCE para productos cloud?
En la práctica, sí. Si el producto se ofrece como SaaS, PaaS o IaaS, CICLON es la vía pensada para ese modelo cloud. LINCE sigue siendo la opción más adecuada para productos on-premises y no cloud.
¿Un producto SaaS puede entrar en CPSTIC a través de CICLON?
Ese es uno de los motivos principales por los que existe CICLON. La metodología crea una ruta viable para productos cloud que necesitan respaldar su entrada en CPSTIC con un modelo adaptado a la operación en nube.
¿Qué ocurre si el producto cambia durante la monitorización?
CICLON asume que el producto evoluciona. La fase de monitorización existe precisamente para revisar el SBOM en formato CycloneDX, las dependencias, que los componentes de integración sigan evaluados bajo la propia Metodología CICLON y otros cambios relevantes, manteniendo actualizado el nivel de garantía.
Si mi producto cloud quiere entrar en CPSTIC, ¿necesita CICLON?
Si su producto cloud necesita respaldar su entrada en CPSTIC, CICLON es la ruta pensada para ese escenario. Si CPSTIC no es el objetivo y no hace falta aportar evidencia formal de seguridad a entidades sujetas al ENS, puede haber una vía más adecuada.
¿Listo para certificar su producto cloud y abrir el mercado público español?
Cuéntenos su arquitectura y diseñaremos la hoja de ruta CICLON adecuada, desde la documentación y la evaluación técnica hasta la monitorización continua.