隨著近幾年科技的迅速發展，越來越多的資訊、通訊系統透過個人的生物特徵 (Biometrics) 作為身份識別與敏感資訊解鎖，諸如手機、平板、提款機、資訊系統、網路攝影機及監控設備等。根據歐盟的一般數據保護法案 (EU GDPR) 的定義，生物特徵資料屬於個人敏感資料， 只要是產品直接或間接處理個人數據，就必須依法加以保護，例如，加密。

因此，生物識別產品 (Biometrics) 的安全性，受到歐盟網絡安全局 (European Union Agency for Cybersecurity, ENISA) 極大的關注，並且根據歐盟網絡安全法 (EU Cybersecurity Act)，正在針對歐盟單一數位市場 (EU Digital Single Market) 建立泛歐盟的統一網路安全認證框架 (EU cybersecurity certification framework)。在這認證框架下，特別是涉及國家關鍵設施 (Critical Infrastructure) 維運相關的資訊、通訊產品，都會被要求通過資訊技術安全評估共同準則 (Cybersecurity Certification: EUCC Candidate Scheme) 安全技術相關檢測與認證。

在這樣的背景下，我們正在找尋有意願取得 CC 產品安全技術認證的客戶。同時，我們也建議客戶一開始以 CC EAL 2 安全評估等級為主認證。

這樣的好處包含：

• 時間短：預估約 2 ~ 4 個月; (依照評估標的 (TOE)之不同，時間可能會延長)
• 證書認可度高：取得歐盟及所有 CCRA 會員國家的認可;
• 保障資訊安全：
• 資料交換，全程透過 PGP 加密，只有被授權人員可存取。
• 開發商不需提供源代碼或者細部的產品硬體設計電路圖，保障資訊安全。
• 檢測與評估全程在認證安全實驗室內進行。

服務的基本資料，您可以參考 [ 資訊技術安全評估共同準則 (CC, ISO/IEC 15408) 產品檢測與認證服務介紹 ] 

適合對象

包含下列產品安全技術的開發商：

1. 眼球/虹膜 (iris recognition) 識別技術
2. 臉部識別技術 (facial recognition)
• 2D 
• 3D
3. 指紋識別技術 (fingerprint recognition)
4. 靜脈識別技術 (vein recognition) 

參考規範

• 保護剖繪 (PP)
• Biometric Verification Mechanisms Protection Profile, Version 1.3
• Fingerprint Spoof Detection Protection Profile based on Organisational Security Policies (FSDPP_OSP), Version 1.7
  
• 評估標的 (TOE) 的邏輯範圍，最少必須包含下列安全功能：
• 欺騙偵測功能 (Spoof detection);
• 管理功能 (Management);
• 儲存資訊保護功能 (Residual information protection);
• 稽核功能 (Audit).
• 評估標的 (TOE) 的實體範圍，請參考下列圖示：

• 其他：
• Biometrics Security iTC (BIO-iTC) 

共同準則評估與認證過程中，我們可以提供，但不限於下列服務：

1. 共同準則標準應用教育訓練
2. 協助開發商 TOE 相關技術文件準備 
3. 協助製造商環境安全認證準備
4. 共同準則認可實驗室評估與認證輔導

為了協助您儘快釐清共同準則評估與認證的可行性，請預先準備下列資料，便於討論：

   Philip KU

   philip.ku@tksg.global  [ PGP Public Key ]

   (PGP Fingerprint: BE11 C1CC BFE2 A3A9 4929  3D1C 10FF C3BE A51C 92F7)