Catálogo de Productos de Seguridad TIC de España

Inclusión en CPSTIC: Su Llave al Sector Público

Gestionamos todo el proceso para incluir su producto en el Catálogo CPSTIC, el requisito de facto para vender al gobierno español y a entidades sujetas al Esquema Nacional de Seguridad (ENS).

Evaluar la vía adecuada Ver el Proceso
Imagen Hero del Catálogo CPSTIC
Evaluar mi vía

¿Qué es el Catálogo CPSTIC?

El CPSTIC (Catálogo de Productos de Seguridad TIC), definido oficialmente en el documento CCN-STIC 105, es el portfolio oficial de productos y servicios de ciberseguridad aprobados para su uso en entidades reguladas por el Esquema Nacional de Seguridad (ENS). Incluyendo a la Administración Pública española y empresas privadas.

A efectos prácticos, estar en el Catálogo es el requisito indispensable para acceder a la contratación pública. Es la forma oficial de demostrar que un producto cumple con los estándares de seguridad exigidos por el ENS, convirtiéndolo en la opción preferente para los compradores gubernamentales.

Ver el Catálogo oficial CPSTIC →
Logo CPSTIC

Catálogo CPSTIC

Requisito indispensable para la contratación con la Administración Pública Española.

LINCE como vía de acceso a CPSTIC

Dos guías CCN-STIC ayudan a entender cuándo LINCE es la ruta adecuada

Para productos software, hardware o IoT on-prem, LINCE suele ser una vía directa para preparar la inclusión en CPSTIC. Estas guías explican el marco y la metodología que afectan a esa decisión.

CCN-STIC 2001

Explica el marco de la certificación LINCE y ayuda a entender cuándo esta vía aplica a software, hardware e IoT on-prem.

Ver guía CCN-STIC 2001 →

CCN-STIC 2002

Detalla la metodología de evaluación LINCE, las evidencias mínimas y el esfuerzo técnico que debe preparar el fabricante.

Ver guía CCN-STIC 2002 →
Ver guías CCN-STIC para LINCE →

¿CICLON o LINCE?

Elija la vía de certificación adecuada según cómo se despliega su producto.

Elija CICLON

Cloud

La vía adecuada para productos cloud-native que necesitan demostrar seguridad en entornos SaaS, PaaS o IaaS.

  • Despliegue cloud y modelo de responsabilidad compartida
  • Monitorización continua del SBOM, dependencias relevantes, evaluación CICLON de los componentes de integración y certificación ENS o EUCS del proveedor cloud
  • Encaje frecuente cuando se busca CPSTIC en escenarios cloud regulados
Ver vía CICLON →

Elija LINCE

Software on-premises

La mejor vía para productos que se despliegan en infraestructura del cliente, se instalan on-premises o no se prestan como servicio cloud.

  • Evaluación puntual en lugar de monitorización iterativa
  • Adecuada para software on-premises, aplicaciones instaladas y productos on-prem
  • Ruta clara cuando el modelo cloud no es el núcleo del producto
Ver vía LINCE →

Rutas de evaluación que ofrecemos

Le ayudamos a elegir la ruta que mejor se adapte a la madurez de su producto, la categoría objetivo y los plazos.

Icono LINCE

LINCE

Evaluación ágil y rentable, pensada para software, hardware y otros productos on-prem que buscan entrar en CPSTIC.

  • Pruebas basadas en amenazas
  • Permite el acceso directo a ENS Categoría MEDIA
  • Menor tiempo de inclusión en Catálogo
  • Ideal para PYMEs y nuevos productos
Icono CICLON

CICLON

La vía principal para productos y servicios cloud como SaaS, PaaS e IaaS cuando el objetivo es la inclusión en CPSTIC en España.

  • CICLON es la ruta designada para productos y servicios Cloud/SaaS
  • Diseñado para arquitecturas cloud dinámicas
  • Da soporte al alcance objetivo en CPSTIC y ENS
  • Incluye evaluación y monitorización continua
Icono STIC complementaria

STIC Complementaria

Para productos ya certificados que solo necesitan cubrir gaps adicionales concretos exigidos para la inclusión en CPSTIC.

  • Se usa para gaps de productos ya certificados
  • Esfuerzo de evaluación enfocado
  • Útil cuando no hace falta una ruta completa nueva
  • Alineada con los requisitos pendientes de CPSTIC
Icono Common Criteria

Common Criteria / EUCC

Certificación reconocida internacionalmente. Desde EAL2 en adelante, y conforme a los Requisitos Funcionales de Seguridad de la familia para CPSTIC.

  • Reconocimiento global
  • Habilita el acceso a ENS Categoría ALTA
  • Ideal para altas exigencias de seguridad
  • Genera máxima confianza para ventas B2B
  • Según normas EUCC / CC:2022

Eligiendo la Ruta Correcta hacia el CPSTIC

Su producto y sus objetivos determinan la ruta más eficiente. Así se comparan las principales vías para la inclusión en el Catálogo CPSTIC.

LINCE Logo LINCECICLON Logo CICLON
CPSTIC Logo STIC Complementaria
CC Logo Common Criteria / EUCC
Ideal ParaNecesita una entrada rápida a CPSTIC para software, hardware u otros productos on-prem.Necesita acceso a CPSTIC para un producto o servicio cloud.Ya dispone de un producto certificado y solo necesita cerrar gaps concretos.Productos que requieren los más altos niveles de seguridad para mercados globales.
Enfoque PrincipalAnálisis funcional y pruebas de penetración.Evaluación cloud, pentesting web/cloud y monitorización continua.Cierre dirigido de requisitos pendientes en productos ya certificados.Verificación formal exhaustiva de documentación y procesos.
Tiempo y EsfuerzoBajoVariable según el alcance cloudEnfocadoAlto (Meses/Años)
CosteEl más AsequibleAdaptado a la arquitectura y al alcance de monitorizaciónAjustado solo a los gaps pendientesInversión Significativa

¿Por Qué Elegirnos para CPSTIC?

Combinamos un profundo conocimiento regulatorio con una gestión de proyectos estratégica para entregar resultados, no solo informes.

Definición de Ruta Estratégica

No nos limitamos a seguir una lista de tareas. Analizamos su producto y sus metas para encontrar la ruta más rápida y rentable hacia la inclusión.

Gestión Integral

Desde el análisis inicial hasta la evaluación y la coordinación con el CCN, gestionamos todo el proceso para que su equipo pueda centrarse en el producto.

Experiencia Inigualable

Nuestro equipo posee una profunda experiencia práctica con las distintas familias y taxonomías de CPSTIC, así como con los matices de los procesos del CCN.

Su Hoja de Ruta Probada para el Catálogo CPSTIC

Nosotros gestionamos la complejidad, usted obtiene el resultado. Nuestro proceso se adapta a las necesidades de su producto, asegurando la vía más eficiente para su inclusión.

1

Análisis Estratégico y Definición de Ruta

Empezamos con un análisis gratuito de su producto y sus objetivos. A partir de ahí, determinamos la ruta más eficiente: LINCE para software on-premises, soluciones con componente hardware y otros productos on-prem, CICLON para cloud, o STIC complementaria cuando un producto ya certificado solo necesita cerrar gaps concretos.

2

Documentación y Recopilación de Evidencias

Gestionamos la creación de toda la documentación requerida, incluyendo la Declaración de Seguridad y dando soporte con los manuales, asegurando que cumple los rigurosos estándares del CCN para que no tenga que preocuparse por el papeleo.

3

Evaluación y Enlace Técnico

Si se requieren pruebas, realizamos la evaluación sin listas de espera. Si se encuentran problemas, trabajamos con su equipo para solucionarlos. Durante todo el proceso, actuamos como su único punto de contacto técnico, gestionando todas las consultas para asegurar un proceso fluido.

4

Presentación y Seguimiento

Preparamos y presentamos el paquete completo al CCN, gestionando de forma proactiva todas las comunicaciones y seguimientos para asegurar un proceso de revisión fluido y puntual.

5

Inclusión Exitosa y Documentación PES

Su producto es incluido oficialmente en el Catálogo CPSTIC. Como paso final, generamos el Procedimiento de Empleo Seguro (PES), documento obligatorio para completar su alta.

Preguntas Frecuentes

¿Es Common Criteria o EUCC obligatorio para CPSTIC?
No. Las evaluaciones LINCE, CICLON o STIC complementarias pueden ser rutas válidas y más eficientes. Le ayudamos a determinar el mejor camino según si su producto es on-premises, cloud o ya cuenta con una certificación previa.
¿Qué Categorías ENS cubre la cualificación CPSTIC?
La cualificación CPSTIC es el principal mecanismo para demostrar el cumplimiento del Esquema Nacional de Seguridad (ENS), dando soporte a productos y servicios para su uso en sistemas de Categoría ALTA, MEDIA y BÁSICA.
¿Cuánto dura el proceso de inclusión en CPSTIC?
El plazo varía. Si su producto solo requiere un análisis de gaps sobre una certificación existente, el proceso puede durar solo unos días. Si se necesitan pruebas adicionales, normalmente lleva unas pocas semanas. En cualquier escenario, nuestro proceso está optimizado para que su producto sea incluido en el Catálogo lo más rápido posible.
¿Ofrecen soporte integral para la documentación?
Sí. Nos encargamos de todo el proceso de documentación, incluyendo, en caso de ser necesario, la Declaración de Seguridad, el análisis diferencial y la presentación de esta.
¿Cuáles son las principales categorías del Catálogo CPSTIC y cómo aplican a mi producto?
El Catálogo CPSTIC se divide en tres categorías: Productos Aprobados, que son adecuados para manejar información clasificada; Productos y Servicios Cualificados, que cumplen con los requisitos de seguridad para información sensible bajo el ENS; y Productos y Servicios de Conformidad y Gobernanza, que facilitan el cumplimiento de las regulaciones de seguridad. Cada categoría aborda necesidades específicas de seguridad y ayuda a posicionar su producto para la contratación pública.
¿Qué son las familias de CPSTIC?
Las familias del CPSTIC son las categorías oficiales que utiliza el CPSTIC para clasificar los productos de ciberseguridad según su función principal (p. ej., Cortafuegos, EDR o SIEM). Estas familias garantizan que su producto sea evaluado según los criterios más relevantes para su uso previsto. La lista completa de familias se detalla en la guía CCN-STIC 140.
¿Qué es la guía CCN-STIC 106?
La CCN-STIC 106 es la guía oficial del CCN que establece los diferentes procedimientos para la inclusión de productos en el Catálogo CPSTIC. Nuestro dominio de esta guía nos permite navegar el proceso de forma eficiente, eligiendo la mejor estrategia para su producto y asegurando que se cumplen todos los requisitos.
¿Cuánto tiempo estaré incluido en el Catálogo CPSTIC?
La duración de la inclusión en el Catálogo CPSTIC depende del proceso de entrada, pero el plazo máximo será de 5 años. Nos encargamos de monitorizar su producto y gestionar el proceso de recualificación antes de que expire su inclusión en el CPSTIC.
Somos una empresa extranjera. ¿Pueden gestionar todo el proceso con CPSTIC por nosotros?
Por supuesto. Nos especializamos en actuar como el socio estratégico local para empresas internacionales. Gestionamos todas las interacciones con el CCN, nos encargamos de la documentación en español y navegamos todo el proceso en su nombre, eliminando las barreras geográficas e idiomáticas.
¿En qué consiste el proceso de recualificación en CPSTIC?
La recualificación implica repetir las pruebas, adaptándolas al estado del arte actual, para asegurar que el producto sigue siendo seguro frente a nuevas amenazas. Al basarse en la evaluación previa, este proceso es significativamente más rápido y económico que la inclusión inicial. Gestionamos este proceso para garantizar una renovación rápida.
¿Qué pasa si mi producto no cumple los requisitos durante la evaluación?
Es un escenario habitual y una parte constructiva del proceso. Nuestro rol no es solo auditar, sino mejorar su producto. Si encontramos desviaciones, le proporcionamos un informe detallado y trabajamos con su equipo para definir la mejor estrategia de remediación. El objetivo es asegurar que su producto alcance la conformidad de la manera más eficiente, no simplemente emitir un veredicto de "pasa" o "falla".

¿Listo para Entrar en el Catálogo CPSTIC?

Programe una consulta gratuita y sin compromiso para analizar su producto y obtener una hoja de ruta clara para la inclusión en CPSTIC.