Common Criteria è uno standard internazionale per la valutazione della sicurezza di un artefatto software. A seconda del livello esatto ( EAL ) di CC in uso, questo può includere informazioni sui processi utilizzati durante lo sviluppo del software come oltre a testare alcuni degli aspetti di sicurezza del software.
Poiché i sistemi software sono così complessi, non è sempre possibile convalidarli per intero. In quanto tale, solo una parte di un sistema può essere oggetto di valutazione. Questa parte è chiamata Target of Evaluation o TOE.
CC fornisce solo linee guida generali su ciò che è importante monitorare durante lo sviluppo e i test. Ogni tipo di prodotto software può avere requisiti specifici. Profili di protezione (PP) sono un insieme di requisiti concordati per un tipo specifico di software e EAL. Ad esempio, potrebbe esserci un PP per un server Web per EAL 1, 2, 3, ecc. Per ciascun EAL, esso specificherà le caratteristiche richieste, la documentazione e i test che il TOE deve soddisfare per raggiungere tale EAL.
Un target di sicurezza (ST) specifica la funzionalità prevista dell'applicazione. Ad esempio, se si dispone di un'app Web, è probabile che soddisfi alcuni o tutti i requisiti per un server Web PP, un database PP e alcuni requisiti specifici del prodotto.