El perfil de protección de acceso controlado , también conocido como CAPP, es un perfil de seguridad de criterios comunes que especifica un conjunto de requisitos funcionales y de garantía para los productos de tecnología de la información. El software y los sistemas que cumplen con los estándares CAPP proporcionan controles de acceso que son capaces de imponer limitaciones de acceso a usuarios individuales y objetos de datos. Los productos que cumplen con CAPP también proporcionan una capacidad de auditoría que registra los eventos relevantes para la seguridad que ocurren dentro del sistema.
CAPP está destinado a la protección de software y sistemas donde se supone que los usuarios no son hostiles y están bien administrados, lo que requiere protección principalmente contra amenazas de intentos inadvertidos o casuales de violar las protecciones de seguridad. No pretende ser aplicable a circunstancias en las que se requiere protección contra intentos determinados de atacantes hostiles y bien financiados. No aborda por completo las amenazas planteadas por el personal administrativo o de desarrollo de sistemas malintencionados, que generalmente tienen un mayor nivel de acceso. El CAPP se derivó de los requisitos de la clase C2 de los Criterios de evaluación de sistemas informáticos de confianza del Departamento de Defensa de EE. UU. Y del material en el que se basan esos requisitos.