Rapport de certification PP/0101



Documents pareils
Rapport de certification PP/0002

Évaluation et Certification Carlos MARTIN Responsable du Centre de Certification de la Sécurité des Technologies de l Information

Rapport de certification PP/0308. Profil de protection «Cryptographic Module for CSP Signing Operations with Backup» Version 0.28

Rapport de certification 2007/05

Rapport de certification

Rapport de certification ANSSI-CC-2010/15. OmniPCX Enterprise Solution : logiciels OmniPCX Enterprise (release 9.0) et OmniVista 4760 (release 5.

Rapport de certification

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Rapport de certification

Rapport de certification

Rapport de certification 2002/08

Rapport de certification

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Rapport de certification DCSSI-2008/38. ExaProtect Security Management Solution (SMS)

Rapport de certification

Politique de Référencement Intersectorielle de Sécurité (PRIS)

Rapport de certification

Rapport de certification

Rapport de certification

Rapport de certification

Rapport de certification

Rapport de certification ANSSI-CC-2011/48. Logiciel FAST360, version 5.0/22

Rapport de certification

Rapport de certification ANSSI-CC-2012/47. EJBCA, version 5.0.4

Rapport de certification DCSSI-PP 2008/01 du profil de protection «Pare-feu personnel» (ref : PP-PFP, version 1.7)

Rapport de certification

Rapport de certification ANSSI-CC-2013/17. Suite logicielle IPS-Firewall pour boîtiers NETASQ, version

Rapport de certification

Conditions générales.

Rapport de certification DCSSI-2009/16. Logiciel OpenTrust PKI version 4.3.4

Profil de protection Firewall d'interconnexion IP

Rapport de certification ANSSI-CC-2014/26. SOMA801STM - application EAC, version 1.0

Nomenclatures 2008 NAF rév. 2 - CPF rév. 2. Section K Division 66


Norme de la Chaîne de Traçabilité

MEMENTO Version

Rapport de certification ANSSI-CC-2013/64

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

Les perspectives de la maintenance de l assurance sécurité

Rapport de certification ANSSI-CSPN-2010/07. KeePass Version 2.10 Portable

TOTAL STREAM PROTECTION IS THE KEY. Les critères communs et la certification. Christian Damour Yann Berson

Rapport de certification

Conditions générales de vente sur e-transco

La politique de sécurité

ARKOON FAST360/5.0. Cible de sécurité Critères Communs Niveau EAL3+ Reference : ST_ARKOON_FAST360_50 Version 2.6 Date : 14/09/2011

Convention Beobank Online et Beobank Mobile

MANUEL DES PROCEDURES D ATTRIBUTION, DE CONTRÔLE ET DE RENOUVELLEMENT DES QUALIFICATIONS ET ATTESTATIONS D IDENTIFICATION

Cible publique de sécurité d un service d administration de VPN IPsec

HSM, Modules de sécurité matériels de SafeNet. Gestion de clés matérielles pour la nouvelle génération d applications PKI

Profil de Protection Application de création de signature électronique

CHARTE D UTILISATION DE GÉOANJOU : PLATEFORME MUTUALISEE POUR LE PARTAGE

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

CHAÎNE DE TRACABILITÉ GLOSSAIRE DES TERMES ET DÉFINITIONS

DÉCLARATION ET DEMANDE D'AUTORISATION D OPÉRATIONS RELATIVES A UN MOYEN DE CRYPTOLOGIE


Rapport de certification

Rapport de certification

Rapport de certification ANSSI-CC-PP-2010/07 du profil de protection «Java Card System Closed Configuration» (PP-JCS-Closed-v2.

CONDITIONS GENERALES D UTILISATION. L application VAZEE et le site internet sont édités par :

CONDITIONS GÉNÉRALES DE VENTE

Rapport de certification ANSSI-CC-2015/07. Xaica-AlphaPLUS Version 0116 (PQV) / 0100 (SPI )

SafeNet La protection

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec

Chapitre Ier : Qualifications.

Sécurité et protection contre les vulnérabilités dans Google Apps : une étude détaillée. Livre blanc Google - Février 2007

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

CONDITIONS GENERALES D UTILISATION DE L APPLICATION L@GOON Version Mai 2015

KASPERSKY SECURITY FOR BUSINESS

Guide de l'utilisateur de Symantec Backup Exec System Recovery Granular Restore Option

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

PORTAIL INTERNET DE LA GESTION PUBLIQUE Guide d'utilisation du Portail Internet de la Gestion Publique

Panorama général des normes et outils d audit. François VERGEZ AFAI

Sage CRM. 7.2 Guide de Portail Client

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES

ET LA DÉLIVRANCE DU CERTIFICAT

POLITIQUE ET LIGNES DIRECTRICES EN MATIERE DE TRACABILITE DES RESULTATS DE MESURE

Sécurisation avancée des données de cartes bancaires Guide Hôtel v1.0 SECURISATION AVANCEE DES DONNEES BANCAIRES. Guide Hôtel

Contrat de Souscription : CA Certificat + Conditions Générales d Utilisation Annexe 2 : Guide de souscription

Charte de fonctionnement du portail Géocharente

Guide d'inscription pour obtenir un certificat ssl thawte

RÈGLEMENT NUMÉRO 12 RÈGLEMENT SUR L UTILISATION DES TECHNOLOGIES INFORMATIQUES ET INTERNET

Service d'installation et de démarrage de la solution de stockage réseau HP StoreEasy 1000/3000

Suivi des émissions de gaz à effet serre causées par l'achat d'électricité

INTRODUCTION A LA CERTIFICATION DE LA SÉCURITÉ DES TECHNOLOGIES DE L INFORMATION. Natalya Robert 23 janvier UPMC

Annexe 5. CONTRAT CYBERPLUS PRO Souscrit dans le cadre du Titre 1Conditions Particulières

Médiathèque DASTRI Mentions légales

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Convention européenne sur la promotion d'un service volontaire transnational à long terme pour les jeunes

Université de Lausanne

ESCALE MANUEL UTILISATEUR SIMPLIFIÉ ÉTAT : VERSION VALIDÉE DGFIP - BUREAU SI-2B - DEPS - ÉCHANGE DE DONNÉES. Version 1.

Certificats et infrastructures de gestion de clés

Profil de Protection pour services bancaires et / ou financiers sur Internet. Version : V7 Date : 4 août 2004

REGLES D ATTRIBUTION ET DE SUIVI DE LA CERTIFICATION AMIANTE 1552

Politique de certification et procédures de l autorité de certification CNRS

CA Desktop Migration Manager

Transcription:

PREMIER MINISTRE SECRÉTARIAT GÉNÉRAL DE LA DÉFENSE NATIONALE SERVICE CENTRAL DE LA SÉCURITÉ DES SYSTÈMES D INFORMATION Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de l Information Rapport de certification PP/0101 Intersector Electronic Purse and Purchase Device (version without last purchase cancellation) Version 1.3 Mars 2001

Ce document constitue le rapport de certification du profil de protection Intersector Electronic Purse and Purchase Device (version without last purchase cancellation) Version 1.3. Ce rapport de certification est disponible sur le serveur thématique du Service Central de la Sécurité des Systèmes d'information à l'adresse suivante : www.ssi.gouv.fr Toute correspondance relative à ce rapport de certification doit être adressée au : Secrétariat général de la défense nationale SCSSI Centre de Certification 51, boulevard de Latour-Maubourg 75700 PARIS 07 SP. Mél: certification.dcssi@sgdn.pm.gouv.fr SCSSI, France 2001. La reproduction de tout ou partie de ce document, sans altérations ni coupures, est autorisée. Tous les noms des produits ou des services de ce document sont des marques déposées de leur propriétaire respectif. Ce document est folioté de 1 à 8 et certificat.

PREMIER MINISTRE Schéma Français d Évaluation et de Certification de la Sécurité des Technologies de l Information CERTIFICAT PP/0101 Profil de Protection Intersector Electronic Purse and Purchase Device (version without last purchase cancellation) Version 1.3 Exigences d assurance : EAL 4 augmenté Commanditaire : SFPMEI Le 12 mars 2001, Le Directeur chargé de la sécurité des systèmes d information M. Henri SERRES Ce profil de protection a été évalué par un centre d'évaluation de la sécurité des TI conformément aux critères communs pour l'évaluation de la sécurité des TI version 2.1 et à la méthodologie commune pour l'évaluation de la sécurité des TI version 1.0. Ce certificat ne s'applique qu'à la version évaluée du profil de protection selon les modalités décrites dans le rapport de certification associé. L'évaluation a été conduite en conformité avec les dispositions du Schéma français d'évaluation et de certification de la sécurité des TI. Les conclusions du centre d'évaluation enregistrées dans le rapport technique d'évaluation sont cohérentes avec les éléments de preuve fournis. Ce certificat ne constitue pas en soi une recommandation du profil de protection par l'organisme de certification ou par toute autre organisation qui le reconnaît ou l'utilise. Ce certificat n'exprime directement ou indirectement aucune caution du profil de protection par l'organisme de certification ou par toute autre organisation qui le reconnaît ou l'utilise. Organisme de certification : Secrétariat général de la défense nationale SCSSI 51, boulevard de Latour-Maubourg 75700 PARIS 07 SP.

Rapport de certification PP/0101 4 Chapitre 1 Introduction 1 Ce document présente le rapport de certification du profil de protection Intersector Electronic Purse and Purchase Device (version without last purchase cancellation) version 1.3 dont la référence est PP/0101 [8]. 2 Ce profil de protection est dérivé des deux profils de protection suivants: le PP/9908 [6] et le PP/9909 [7]. Il vise le niveau d assurance du PP/9909 (EAL 4 augmenté) avec les fonctionnalités du PP/9908, c est à dire sans last purchase cancellation. 3 L évaluation est basée sur la version 2.1 des Critères Communs. 4 L'enregistrement du profil de protection a été demandé par la SFPMEI : SFPMEI 4, avenue Bertie Albrecht 75008 Paris. 5 Le profil de protection PP/0101 a été développé par le même organisme et est rédigé en langue anglaise. 6 Un profil de protection définit pour une catégorie de cibles d évaluation un ensemble d exigences et d objectifs de sécurité des TI indépendant de l implémentation. Les cibles d évaluation ainsi définies ont pour objet de satisfaire des besoins communs de clients en ce qui concerne la sécurité des TI. 7 Le contenu d un profil de protection doit se conformer aux exigences décrites dans la partie 1 des Critères Communs [1]. 8 Un profil de protection est un document constitué de deux parties : - le corps du document définissant pour la catégorie de cibles d'évaluation envisagées les objectifs et les exigences de sécurité, - une partie justificative constituée des éléments de preuve nécessaires à l'évaluation du profil de protection. Cette partie peut être fournie séparément si cela s'avère nécessaire. 9 Ce profil de protection, y compris sa partie justificative, est un document public. 1.1 Contexte de l évaluation 10 L évaluation du profil de protection a été menée conformément aux Critères Communs [1] à [3] et à la méthodologie associée [4]. Mars 2001 Page 1

1 - Introduction Rapport de certification PP/0101 11 L' évaluation du profil de protection en date du mois de février 2001 a été conduite par le Service Central de la Sécurité des Systèmes d Information. 1.2 Résultats 12 Le profil de protection détaillé au chapitre 2 du présent rapport satisfait aux exigences des critères d'évaluation des profils de protection définis dans la classe APE de la partie 3 des Critères Communs [3]. 1.3 Enregistrement 13 Ce profil de protection est enregistré dans le catalogue des profils de protection certifiés suite à son évaluation par le Service Central de la Sécurité des Systèmes d Information. 14 Un profil de protection enregistré est un document public dont une copie pourra être téléchargée à partir du serveur thématique du SCSSI à l adresse suivante : www.ssi.gouv.fr. 15 Suite à modification, une nouvelle version de ce profil de protection peut être enregistrée. 16 Sur demande, il pourra être retiré du catalogue des profils de protection certifiés conformément aux exigences définies dans le guide technique ECF11 [5]. 17 Ce profil de protection Intersector Electronic Purse and Purchase Device (version without last purchase cancellation version 1.3 sera mentionné dans le catalogue des profils de protection certifiés sur le serveur thématique du SCSSI à l adresse suivante : www.ssi.gouv.fr. 1.4 Portée de la certification 18 Le certificat d'un profil de protection ne s'applique qu'à la version évaluée du profil de protection selon les modalités décrites dans le rapport de certification associé. 19 Le certificat d'un profil de protection ne constitue pas en soi une recommandation du profil de protection par l'organisme de certification ou par toute autre organisation qui le reconnaît ou l'utilise. 20 Le certificat d'un profil de protection n'exprime directement ou indirectement aucune caution du profil par l'organisme de certification ou par toute autre organisation qui le reconnaît ou l'utilise. Page 2 Mars 2001

Rapport de certification PP/0101 1 - Introduction 1.5 Fiche signalétique du profil de protection Profil de protection Statut CESTI Intersector Electronic Purse and Purchase Device (version without the last purchase cancellation function) Certifié SCSSI Version 1.3 Date de parution Février 2001 Diffusion du document Demande d'enregistrement Développeur Document public SFPMEI SFPMEI Évaluation Février 2001 Référence d'enregistrement Langue utilisée Exigences d'assurance PP/0101 Anglais EAL 4 augmenté Résistance élevée des fonctions de sécurité Mars 2001 Page 3

1 - Introduction Rapport de certification PP/0101 Page 4 Mars 2001

Rapport de certification PP/0101 6 Chapitre 2 Présentation du Profil de Protection 2.1 Description de la cible d évaluation 21 La cible d'évaluation définie dans ce profil de protection est celle du couple portemonnaie électronique et équipement d'acceptation du commerçant à l'intérieur d'un modèle d'échanges entre différents acteurs appelé ronde fermé de la valeur électronique. 22 Les principaux échanges fonctionnels couverts par le profil de protection sont les suivants : - transaction de chargement : le porte-monnaie électronique est crédité d'un montant de valeur électronique par l'intermédiaire d'un équipement de chargement ; - transaction d'achat : le porte-monnaie électronique est débité d'un montant de valeur électronique, en contre-partie, l'équipement d'acceptation du commerçant est crédité de la même valeur électronique, le porteur reçoit le bien ou le service vendu ; - transaction de collecte : un ou plusieurs montants de valeur électronique (correspondant aux transactions d'achat) stockés par l'équipement d'acceptation du commerçant sont transmis à un acquéreur ; le commerçant reçoit en contrepartie la valeur d'argent correspondante sur son compte bancaire ; - modifications des paramètres du porte-monnaie électronique et de l'équipement d'acceptation du commerçant par un administrateur (clés de transactions, valeurs limites,...). 2.2 Menaces 23 Les menaces définies dans le cadre de ce profil de protection peuvent être résumées comme suit : - blanchiment d'argent, - usurpation d'identité de l'un des acteurs du système, - création frauduleuse de valeur électronique, - perte de valeur électronique. Mars 2001 Page 5

2 - Présentation du Profil de Protection Rapport de certification PP/0101 24 L'objectif de sécurité principal du système porte-monnaie électronique étant celui de la conservation du flux de valeur électronique, les biens à protéger au sein de la cible d'évaluation sont définis comme étant la valeur électronique, les paramètres d'administration du porte-monnaie électronique et de l'équipement d'acceptation ainsi que les données de traçabilité. Ces biens doivent être protégés en intégrité 2.3 Exigences fonctionnelles 25 Le profil de protection définit les principales fonctionnalités suivantes: - authentification du porte-monnaie électronique et de l'équipement d'acceptation du commerçant, - authentification des acteurs, - contrôle d'accès (valeur électronique et contrôle de flux), - preuves d'origine et de réception des transactions (chargement, achat, collecte), - protection des fonctions de sécurité : notification et résistance aux attaques physiques, détection de rejeu, préservation d'état sûr, recouvrement des fonctions, séparation de domaines. 2.4 Exigences d assurance 26 Le niveau d'assurance exigé par ce profil de protection est le niveau EAL 4 augmenté. 27 Le tableau suivant précise les exigences d'assurance qui sont demandées en complément du niveau d'évaluation EAL 4: 28 Exigences d'assurance complémentaires ADV_IMP.2 ALC_DVS.2 AVA_VLA.4 Type Implémentation de la TSF. Caractère suffisant des mesures de sécurité. Résistance élevée. Page 6 Mars 2001

Rapport de certification PP/0101 8 Annexe A Références [1] [CC-1] Common Criteria for Information Technology Security Evaluation Part 1: Introduction and general model CCIMB-99-031, version 2.1 August 1999. [2] [CC-2] Common Criteria for Information Technology Security Evaluation Part 2: Security Functional Requirements CCIMB-99-032, version 2.1 August 1999. [3] [CC-3] Common Criteria for Information Technology security Evaluation Part 3: Security Assurance Requirements CCIMB-99-033, version 2.1 August 1999. [4] [CEM] Common Methodology for Information Technology Security Evaluation CEM-99/045 version 1.0 August 1999. [5] ECF11, Procédure d'enregistrement des profils de protection version 2.0 du 20 décembre 1999. [6] Profil de protection PP/9908 : Intersector Electronic Purse and Purchase Device (version for pilot scheme only), version 1.2, février 1999. [7] Profil de protection PP/9909 : Intersector Electronic Purse and Purchase Device, version 1.2, février 1999. [8] Profil de protection PP/0101 : Intersector Electronic Purse and Purchase Device (version without last purchase cancellation), version 1.3, février 2001. Mars 2001 Page 7

A - Références Rapport de certification PP/0101 Page 8 Mars 2001

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back