ACME fabrica un producto que se utiliza en algunas aplicaciones sensibles a la seguridad. No hay normas de seguridad o estándares de la industria en particular en el dominio de este producto. El brazo empresarial de ACME desea afirmar que "somos 150% más seguros que nuestros competidores". Los clientes de ACME serían más propensos a creer que si la reclamación estuviera respaldada por algún tipo de evaluación independiente. El brazo ético de ACME agradecería que una evaluación tan independiente validara algo sobre la seguridad del producto de ACME.
Parece que la respuesta es que el producto de ACME se someta a algún tipo de certificación, el candidato más obvio es una certificación de Criterios Comunes. Esto parece un proceso desalentador; ni siquiera hay un perfil de protección existente, y la certificación CC introduce una gran demora entre el momento en que se finaliza una versión del producto y el momento en que se puede lanzar. También CC parece validar la metodología más que la seguridad. ¿Se fundan estas opiniones un tanto desinformadas de CC? ¿Hay alternativas a CC?
El gobierno francés ha introducido recientemente una " certificación de seguridad de primer nivel " (CSPN ), que se basa en un enfoque más ligero que el CC: en términos generales, un evaluador aprobado por el gobierno gasta un número predefinido de días-hombre haciendo ataques de caja gris con respecto a un PP. Esto parece una solución ideal, excepto que CSPN es completamente desconocido fuera de Francia. ¿Existe una certificación más reconocida internacionalmente que sea análoga a CSPN?