Catálogo de controles de conformidad de informática en la nube (C5)

Información general

El Catálogo de controles de cumplimiento de computación en la nube (C5) es un esquema de acreditación respaldado por el Gobierno alemán, presentado en Alemania por la Oficina Federal para la Seguridad de la Información (BSI). C5 ayuda a las organizaciones a demostrar seguridad operacional contra ciberataques comunes al usar servicios en la nube en el contexto de las Security Recommendations for Cloud Providers (Recomendaciones de seguridad para proveedores en la nube) del Gobierno alemán.

Los clientes de AWS y sus asesores de cumplimiento pueden utilizar la acreditación C5 para comprender los controles de seguridad implementados por AWS a fin de cumplir con los requisitos de C5 a medida que trasladan sus cargas de trabajo a la nube. C5 agrega el nivel de seguridad de TI definido por la normativa equivalente a IT-Grundschutz con la incorporación de controles específicos de la nube.

C5 incluye controles adicionales relativos a la ubicación de datos, aprovisionamiento de servicios, fuero competente, certificaciones existentes, obligaciones de divulgación de la información y una descripción del servicio completo. Con esta información, los clientes pueden evaluar cómo las normativas legales (es decir, la privacidad de los datos), sus propias políticas o el entorno de amenazas se relacionan con el uso de servicios de informática en la nube.

  • C5 (Catálogo de controles de cumplimiento de computación en la nube) es el estándar de “seguridad de TI para la computación en la nube” de Alemania. Diseñado y publicado por el BSI en febrero de 2016, el conjunto de controles de C5 ofrece un control adicional para clientes en Alemania para trasladar sus cargas de trabajo reguladas y complejas a proveedores de servicios de informática en la nube como AWS. El C5 cubre los siguientes estándares internacionales:

    • ISO/IEC 27001:2017 (ISO [International Organization for Standardization]: Organización Internacional de Normalización)
    • Matriz de controles en la nube de CSA 3.01 (CSA [Cloud Security Alliance]: Alianza de Seguridad en la Nube)
    • Criterios de principios de servicios fiduciarios de AICPA 2017 (AICPA [American Institute of Certified Public Accountants]: Instituto Estadounidense de Contadores Públicos Certificados)
    • Perfil de confiabilidad de protección de datos en la nube (TCDP): versión 1
    • ISO/IEC 27017:2015
    • ISO/IEC 27-18:2014
    • BSI IT-Grundschutz Kompendium: edición 2019

  • La autoridad nacional de ciberseguridad de Alemania, el Bundesamt für Sicherheit in der Informationstechnik (BSI), desarrolló el estándar C5 en 2016. La BSI define los requisitos de seguridad de TI que deben cumplir todos los sistemas gubernamentales y la mayoría de las compañías alemanas adapta su estrategia de seguridad de TI a los estándares de BSI. La BSI revisó y actualizó el catálogo C5 en 2019. En enero de 2020, se terminó una nueva versión (C5:2020). 

  • El informe C5 proporciona a nuestros clientes europeos una certificación independiente de un tercero sobre la idoneidad del diseño y la eficacia operativa de nuestros controles para cumplir con los criterios básicos y adicionales del C5. Específicamente en Alemania, los clientes están acostumbrados a buscar servicios en la nube evaluados según los criterios de C5. El C5 ofrece a los clientes un marco que documenta un nivel de seguridad de TI equivalente al IT-Grundschutz, que incluye todos los aspectos de seguridad de TI para la computación en la nube. Para las autoridades federales, una certificación C5 es un requisito básico en el proceso de adquisición.

    La información actual acerca de C5 en AWS puede consultarse en las correspondientes publicaciones sobre C5 del Blog de seguridad de AWS.

  • Las regiones de AWS incluidas en el C5 incluyen Fráncfort, Irlanda, Londres, París, Milán, Estocolmo y Singapur, así como las ubicaciones periféricas en Alemania, Irlanda, Inglaterra, Francia y Singapur.

  • Los servicios de AWS que ya se encuentran dentro del alcance de C5 se pueden encontrar en Servicios de AWS dentro del alcance por programa de cumplimiento. Si desea obtener más información sobre el uso de estos servicios o sobre otros servicios, póngase en contacto con nosotros.

  • IT-Grundschutz es el estándar para definir y conservar un nivel de protección adecuado para la información de una institución. Los catálogos de IT-Grundschutz describen medidas de seguridad para procesos comerciales, sistemas de TI y aplicaciones tradicionales y su objetivo es proteger la información propia de una empresa. El C5 ofrece directrices sobre los productos que ofrecen los proveedores de servicios en la nube (CSP).

  • La BSI trabaja en conjunto con la ANSSI y su próxima etiqueta SecNumCloud. Hubo una influencia recíproca entre el estándar C5 y el estándar SecNumCloud de Francia, con el claro objetivo de tener la opción de un reconocimiento mutuo bajo una etiqueta común llamada ESCloud. Además, la versión borrador del European Union Cybersecurity Certification Scheme for Cloud Services (EUCS) de la European Union Agency for Cybersecurity (ENISA) se basa significativamente en el estándar de seguridad C5.

  • Las certificaciones son emitidas por una compañía especializada y acreditada y a menudo duran de uno y tres años. Las acreditaciones se pueden recibir durante una auditoría de conformidad o la realización de un informe por parte de personal cualificado. Una acreditación tiene un enfoque mayor en el aspecto de implementación continua, lo que significa que el ciclo de nuevas auditorías es mucho menor; de hasta 6 meses. De acuerdo con ISAE 3000/3402, el proceso de auditoría proporciona evidencia de adecuación y efectividad durante un periodo de tiempo pasado. Una certificación es tan solo una foto instantánea de un momento.

Recursos de C5

Amazon Web Services: prácticas recomendadas en materia de seguridad, identidad y cumplimiento
Amazon Web Services: riesgo y cumplimiento
¿Tiene preguntas? Pónganse en contacto con un representante empresarial de AWS
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »