Catálogo de controles de conformidad de informática en la nube (C5)

Información general

AWSC5Logo

El Catálogo de controles de cumplimiento de computación en la nube (C5) es un esquema de acreditación respaldado por el Gobierno alemán, presentado en Alemania por la Oficina Federal para la Seguridad de la Información (BSI). C5 ayuda a las organizaciones a demostrar seguridad operacional contra ciberataques comunes al usar servicios en la nube en el contexto de las Security Recommendations for Cloud Providers (Recomendaciones de seguridad para proveedores en la nube) del Gobierno alemán.

Los clientes de AWS y sus asesores de cumplimiento pueden utilizar la acreditación C5 para comprender los controles de seguridad implementados por AWS a fin de cumplir con los requisitos de C5 a medida que trasladan sus cargas de trabajo a la nube. C5 agrega el nivel de seguridad de TI definido por la normativa equivalente a IT-Grundschutz con la incorporación de controles específicos de la nube.

C5 incluye controles adicionales relativos a la ubicación de datos, aprovisionamiento de servicios, fuero competente, certificaciones existentes, obligaciones de divulgación de la información y una descripción del servicio completo. Con esta información, los clientes pueden evaluar cómo las normativas legales (es decir, la privacidad de los datos), sus propias políticas o el entorno de amenazas se relacionan con el uso de servicios de informática en la nube.

  • ¿Qué es C5?

    C5 (Catálogo de controles de cumplimiento de computación en la nube) es el estándar de “seguridad de TI para la computación en la nube” de Alemania. Diseñado y publicado por el BSI en febrero de 2016, el conjunto de controles de C5 ofrece un control adicional para clientes en Alemania para trasladar sus cargas de trabajo reguladas y complejas a proveedores de servicios de informática en la nube como AWS. El C5 cubre los siguientes estándares internacionales:

    • ISO/IEC 27001:2017 (ISO [International Organization for Standardization]: Organización Internacional de Normalización)
    • Matriz de controles en la nube de CSA 3.01 (CSA [Cloud Security Alliance]: Alianza de Seguridad en la Nube)
    • Criterios de principios de servicios fiduciarios de AICPA 2017 (AICPA [American Institute of Certified Public Accountants]: Instituto Estadounidense de Contadores Públicos Certificados)
    • Perfil de confiabilidad de protección de datos en la nube (TCDP): versión 1
    • ISO/IEC 27017:2015
    • ISO/IEC 27-18:2014
    • BSI IT-Grundschutz Kompendium: edición 2019
  • ¿Quién creó el estándar C5?

    La autoridad de ciberseguridad nacional de Alemania, Bundesamt für Sicherheit in der Informationstechnik (BSI), desarrolló el estándar C5 en 2016. La BSI define los requisitos de seguridad de TI que deben cumplir todos los sistemas gubernamentales y la mayoría de las compañías alemanas adapta su estrategia de seguridad de TI a los estándares de BSI. La BSI revisó y actualizó el catálogo C5 en 2019. En enero de 2020, se terminó una nueva versión (C5:2020). 

  • ¿Qué beneficios ofrece este estándar a los clientes?

    AWS completó la evaluación del programa de cumplimiento y seguridad de la información de C5 del año 2021. El informe de C5 se puede descargar de AWS Artifact. Abarca tanto los criterios básicos como los criterios adicionales de C5. El informe de la acreditación C5 de AWS de 2022 estará disponible a finales de 2022.

    El informe de C5 ofrece a los clientes europeos una acreditación externa de terceros sobre la idoneidad del diseño y de la eficacia operativa de nuestros controles para satisfacer criterios básicos y adicionales de C5. Específicamente en Alemania, los clientes están acostumbrados a buscar servicios en la nube evaluados según los criterios de C5. El C5 ofrece a los clientes un marco que documenta un nivel de seguridad de TI equivalente al IT-Grundschutz, que incluye todos los aspectos de seguridad de TI para la computación en la nube. Para las autoridades federales, la acreditación C5 es un requisito básico para el proceso de adquisición.

  • ¿Qué regiones de AWS se incluyen dentro del alcance de C5?

    Las regiones de AWS dentro del alcance de C5 incluyen a Fráncfort, Irlanda, Londres, París, Milán, Estocolmo y Singapur, además de las ubicaciones de borde en Alemania, Irlanda, Inglaterra, Francia y Singapur.
  • ¿Qué servicios se incluyen dentro del alcance?

    Los servicios de AWS que ya se encuentran dentro del alcance de C5 se pueden encontrar en Servicios de AWS dentro del alcance por programa de cumplimiento. Si desea obtener más información sobre el uso de estos servicios o sobre otros servicios, póngase en contacto con nosotros.

  • ¿Cuál es la diferencia entre C5 e IT-Grundschutz?

    IT-Grundschutz es el estándar para definir y conservar un nivel de protección adecuado para la información de una institución. Los catálogos de IT-Grundschutz describen medidas de seguridad para procesos comerciales, sistemas de TI y aplicaciones tradicionales y su objetivo es proteger la información propia de una empresa. El C5 ofrece directrices sobre los productos que ofrecen los proveedores de servicios en la nube (CSP).
  • ¿El estándar tiene un impacto internacional?

    La BSI trabaja en conjunto con la ANSSI y su próxima etiqueta SecNumCloud. Hubo una influencia recíproca entre el estándar C5 y el estándar SecNumCloud de Francia, con el claro objetivo de tener la opción de un reconocimiento mutuo bajo una etiqueta común llamada ESCloud. Además, la versión borrador del European Union Cybersecurity Certification Scheme for Cloud Services (EUCS) de la European Union Agency for Cybersecurity (ENISA) se basa significativamente en el estándar de seguridad C5.

  • ¿Cuál es la diferencia entre una certificación y una acreditación?

    Las certificaciones son emitidas por una compañía especializada y acreditada y a menudo duran de uno y tres años. Las acreditaciones se pueden recibir durante una auditoría de conformidad o la realización de un informe por parte de personal cualificado. Una acreditación tiene un enfoque mayor en el aspecto de implementación continua, lo que significa que el ciclo de nuevas auditorías es mucho menor; de hasta 6 meses. De acuerdo con ISAE 3000/3402, el proceso de auditoría proporciona evidencia de adecuación y efectividad durante un periodo de tiempo pasado. Una certificación es tan solo una foto instantánea de un momento.

compliance-contactus-icon
¿Tiene preguntas? Pónganse en contacto con un representante empresarial de AWS
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »