Certificaciones y cumplimiento
El estado de las certificaciones, expresado con precisión
Esta página separa lo que BCrypto ha alcanzado de aquello en lo que trabajamos. Nada aquí implica una certificación que no poseemos. Las validaciones formales están secuenciadas según hitos de financiación y de pilotos, y cada afirmación con fecha de esta página se revisa trimestralmente.
Alcanzado a día de hoy
NIST FIPS 203 (ML-KEM-1024) implementado en hardware
ML-KEM-1024 se ejecuta en hardware y cada build queda condicionada en CI por known-answer tests (KAT): los mismos vectores de prueba idénticos byte a byte deben pasar en Android, iOS y Desktop antes de cualquier entrega.
Tres solicitudes de patente presentadas ante la UIBM
Tres solicitudes de patente que cubren la arquitectura de seguridad de voz impuesta por hardware se presentaron ante la UIBM, la oficina italiana de patentes, en 2026. Presentadas significa presentadas — el examen y la concesión son pasos posteriores y distintos.
TRL 6 — firmware feature-complete
El firmware está feature-complete y demostrado en un entorno relevante, lo que corresponde a TRL 6. El TRL mide madurez de ingeniería; no es una certificación, y lo citamos exactamente como lo que es.
Cadena de suministro diseñada en la UE
La responsabilidad de diseño del hardware y el firmware reside en la UE, con una cadena de suministro documentada para procedencia y auditabilidad — un requisito básico en la contratación pública y de defensa europea.
security.txt RFC 9116 y divulgación coordinada
Un archivo security.txt conforme a RFC 9116 y una política de divulgación coordinada de vulnerabilidades están publicados y operativos hoy, con ventanas definidas de acuse de recibo y divulgación.
En curso y como objetivo
Ninguno de los puntos de esta sección se posee hoy. Las validaciones formales son procesos largos y costosos: cada una comienza cuando se alcanza el hito de financiación o de piloto que la justifica. Declaramos esa dependencia abiertamente en lugar de dar a entender avances que no se han producido.
Validación algorítmica CAVP
Validación independiente de la implementación ML-KEM-1024 en el Cryptographic Algorithm Validation Program del NIST — confirmación por terceros de los vectores que nuestra CI ya impone, y requisito previo para FIPS 140-3.
Validación de módulo FIPS 140-3
Validación formal del módulo criptográfico completo — roles, interfaces, gestión de claves, seguridad física — por un laboratorio acreditado. Va mucho más allá de la conformidad algorítmica y comienza después de la CAVP.
Evaluación Common Criteria
Evaluación del producto según Common Criteria. El alcance y el nivel de aseguramiento se fijarán junto con los primeros clientes institucionales, de modo que la configuración evaluada corresponda a despliegues reales.
Certificación ISO 27001
Certificación del sistema de gestión de seguridad de la información de BCrypto según ISO 27001. La preparación avanza en paralelo al trabajo de producto; la auditoría está planificada según los hitos de crecimiento de la empresa.
Cualificación de interoperabilidad STANAG de la OTAN
Cualificación frente a los requisitos de interoperabilidad STANAG aplicables. Este paso sigue a los pilotos liderados por clientes: las naciones compradoras determinan qué normas y regímenes de prueba aplican, de modo que los pilotos van necesariamente primero.
Preparación para el CRA de la UE
Alineación del producto y los procesos con el Cyber Resilience Act (CRA) de la UE antes de sus fechas de aplicación — evaluación de conformidad, gestión de vulnerabilidades y obligaciones de actualización.
Mapeo de alineación NIS2
Un mapeo documentado de cómo los despliegues de Q-Audion respaldan las obligaciones NIS2 de nuestros clientes. BCrypto no es aquí la entidad regulada; el mapeo existe para acortar el trabajo de cumplimiento de nuestros clientes.
La conformidad algorítmica no es la validación de módulo
La conformidad algorítmica con FIPS 203 no es la validación de módulo FIPS 140-3. La primera significa que nuestra implementación ML-KEM-1024 produce los resultados estandarizados — verificados en cada build por una CI condicionada por KAT. La segunda es una evaluación formal y distinta del módulo criptográfico completo por un laboratorio acreditado. BCrypto tiene hoy la primera; la segunda está en la hoja de ruta, aún no obtenida.
Cada afirmación con fecha de esta página se revisa trimestralmente. El trabajo de certificación está secuenciado según hitos de financiación y de pilotos; cuando un hito se mueve, la entrada se actualiza en lugar de dar a entender avances que no se han producido.
¿Listo para proteger su soberanía digital?
Únase a la revolución europea de la seguridad post-cuántica. Contacte con nuestro equipo para alianzas institucionales y colaboraciones estratégicas.