BSI-PP-0003-2001
Schutzprofil Smart Card Security User Group - Smart Card Protection Profile Version 3.0
| Herausgeber / Issuer | Smart Card Security User Group Europay International S.A. (on behalf of the Smart Card Security User Group) |
| Prüfstelle / Evaluation Facility |
TÜV Informationstechnik GmbH |
| Prüftiefe des Produktes / Assurance of the TOE |
EAL4+ |
| Version der CC / CC Version |
2.1 |
| Ausstellungsdatum / Certification Date |
10.10.2001 |
Zertifizierungsreport / Certification Report
Schutzprofil / Protection Profile
Dieses Schutzprofil beschreibt die IT-Sicherheitsanforderungen für eine Smartcard, die bei sensitiven Anwendungen (z. B.: Bargeldloszahlungen) benutzt werden kann. Die Smartcard in diesem PP ist ein integrierter Schaltkreis, der einen Mikroprozessor sowie flüchtige (volatile) und nicht flüchtige (non-volatile) Speicher enthält. Er kann auf einem Träger mit einem Anwendungssoftware eingebetet sein. Der Smartcard IC, der in der Regel auch RAM, ROM und/oder programmierbare nicht flüchtige Speicher (typisch: EEPROM oder flash memory) enthält, ist eine single chip CPU. Die typischen Träger für diese IC sind Plastikkarten (Chip card carrier), die im allgemeinen dem ISO Standard 7810 und 7813 entsprechen. Dieses Schutzprofil hat das Ziel, die Anforderungen des Smartcard IC und des Betriebssystems transparent zu machen. Dieses Schutzprofil behandelt nicht die spezifische Anwendersoftware, es kann jedoch den verschiedene Anwendungen als Grundlage dienen. Dieses Schutzprofil behandelt die Sicherheitsanforderungen der kontaktlosen und kontaktierbaren Chipkarten (Smartcards). Die kontaktierbaren Anschlüsse von Smartcards sind standardisiert und entsprechen der ISO-Norm 7816, die kontaktlosen der ISO-Norm 14443. Die Halogramme und Magnetstreifen (falls vorhanden) auf den Plastikkarten sind nicht Bestandteil dieses Schutzprofils. Die physikalischen Eigenschaften und andere Eigenschaften der Plastikkarten werden auch im Rahmen dieses Schutzprofils nicht betrachtet.
This PP describes the IT security requirements for a smart card to be used in connection with sensitive applications, such as banking industry financial payment systems. Smart card as used in this PP means an integrated circuit containing a microprocessor, volatile and non-volatile memory, and associated software, packaged and embedded in a carrier. The integrated circuit is a single chip incorporating CPU and memory which may include RAM, ROM, and/or programmable non-volatile memory (typically EEPROM or Flash memory). The carrier is typically made of plastic and usually conforms to ISO 7810 and 7813 -Identification Cards, but may have the smaller size of a GSM (global system for mobile communications) subscriber identification module (SIM). The chip is embedded in a module which provides the capability for standardised connection to systems separate from the chip (typically through contacts in accordance with ISO 7816 or contactless in accordance with ISO 14443). This PP covers the smartcard's integrated circuit and operating software, but does not include specific applications. Application-specific PPs or security targets may use the Smart Card Security User Group - Smart Card Protection Profile Version 3.0 (SCSUG-SCPP) as a foundation for further work. This PP is applicable to both contact and contactless smart cards, without special regard for form factor or physical card security features. This PP does not cover card features such as printing, the magnetic stripe (if present), security features such as holograms, or any other part of the card. It also does not cover security requirements for card acceptor devices (CADs) or networks interfacing with them.
Dieses Schutzprofil basiert auf einer früheren Version der Common Criteria (CC). Bei Verwendung dieses Schutzprofils zusammen mit einer aktuelleren Fassung der CC sind die Sicherheitsvorgaben entsprechend anzupassen und ggf. inhaltlich an den aktuellen Stand der Technik anzupassen.
This Protection Profile uses a previous version of the Common Criteria (CC). When using this Protection Profile together with a more up-to-date version of the CC, the Security Target has to be adapted appropriately and if necessary adapted to the state of the technology.