Catálogo de controles de conformidad de informática en la nube (C5)

Información general

AWSC5Logo

El Catálogo de controles de conformidad de informática en la nube (C5) es un esquema de acreditación respaldado por el Gobierno alemán e introducido en Alemania por el Servicio Federal de Seguridad de la Información (BSI) para ayudar a las organizaciones a demostrar seguridad operativa frente a ciberataques comunes durante el uso de servicios de nube, en el contexto de las “Recomendaciones de seguridad para proveedores de la nube” del Gobierno alemán.

Los clientes de AWS y sus asesores de conformidad pueden utilizar la acreditación de C5 para comprender los controles de seguridad implementados por AWS a fin de cumplir los requisitos de C5 a medida que trasladan sus cargas de trabajo a la nube. C5 agrega el nivel de seguridad de TI definido por la normativa equivalente a IT-Grundschutz con la incorporación de controles específicos de la nube.

C5 incluye controles adicionales relativos a la ubicación de datos, aprovisionamiento de servicios, fuero competente, certificaciones existentes, obligaciones de divulgación de la información y una descripción del servicio completo. Con esta información, los clientes pueden evaluar cómo las normativas legales (es decir, la privacidad de los datos), sus propias políticas o el entorno de amenazas se relacionan con el uso de servicios de informática en la nube.

  • ¿Qué es C5?

    C5 (Catálogo de controles de conformidad de informática en la nube) es el estándar de “seguridad de TI en la informática en la nube” de Alemania. Diseñado y publicado por el BSI en febrero de 2016, el conjunto de controles de C5 ofrece un control adicional para clientes en Alemania para trasladar sus cargas de trabajo reguladas y complejas a proveedores de servicios de informática en la nube como AWS. C5 cubre los siguientes estándares internacionales:

    • ISO/IEC 27001:2013 (ISO – Organización Internacional de Normalización)
    • Matriz de controles en la nube de CSA 3.01 (CSA – Alianza de Seguridad en la Nube)
    • Criterios de principios de servicios fiduciarios de AICPA 2014 (AICPA – Instituto Estadounidense de Contadores Públicos Certificados)
    • ANSSI Référentiel Secure Cloud 2.0 (borrador) (ANSSI – Agence nationale de la sécurité des systèmes d'information)
    • IDW ERS FAIT 5 04.11.201 (borrador de declaración sobre contabilidad: "Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing" ["Principios contables generalmente aceptados para la externalización de servicios relacionados con la contabilidad, incluida la informática en la nube"], versión del 4 de noviembre de 2014)
    • Catálogos de IT-Grundschutz del BSI, 14ª versión de 2014
    • BSI SaaS Sicherheitsprofile 2014 [BSI SaaS Security Profiles 2014]
  • ¿Qué beneficios ofrece este estándar a los clientes?

    AWS completó la evaluación del programa de seguridad y conformidad de la información de C5 del año 2020 y el informe de C5 está listo para descargarlo de AWS Artifact. El informe de la acreditación C5 de AWS de 2021 estará disponible a finales de 2021. 

    El informe de C5 ofrece a los clientes europeos una acreditación externa independiente de la idoneidad del diseño y de la eficacia operativa de nuestros controles para satisfacer criterios básicos y adicionales de C5. Específicamente en Alemania, los clientes están acostumbrados a buscar servicios de nube evaluados según los criterios de C5. El C5 ofrece a los clientes un marco que documenta un nivel de seguridad de TI equivalente al IT-Grundschutz, que incluye todos los aspectos de seguridad de TI para la informática en la nube. Para las autoridades federales, la acreditación C5 es un requisito básico para el proceso de contratación.

  • ¿Qué regiones de AWS se incluyen dentro del alcance de C5?

    Las regiones de AWS dentro del alcance de C5 incluyen Frankfurt, Ireland, London, Paris, Milan, Stockholm y Singapore, además de las ubicaciones de borde Germany, Ireland, England, France y Singapore.

  • ¿Qué servicios se incluyen dentro del alcance?

    Los servicios de AWS que ya se encuentran dentro del alcance de C5 se pueden encontrar en Servicios de AWS dentro del alcance por programa de conformidad. Si desea obtener más información sobre el uso de estos servicios o sobre otros servicios, contáctenos.

  • ¿Quién creó el estándar C5?

    La autoridad de ciberseguridad nacional de Alemania, Bundesamt für Sicherheit in der Informationstechnik (BSI), creó el estándar C5 en 2016. La BSI revisó y actualizó en 2019 el catálogo de C5. En enero de 2020, se terminó una nueva versión (C5:2020). La BSI recomienda enfáticamente la aplicación del C5:2020 para auditorías con periodos de evaluación que finalicen el 15 de febrero de 2021 o después. La BSI define los requisitos de seguridad de TI que deben cumplir todos los sistemas gubernamentales y la mayoría de las compañías alemanas adapta su estrategia de seguridad de TI a los estándares de BSI.

  • ¿Cuál es la diferencia entre C5 e IT-Grundschutz de BSI?

    IT-Grundschutz es el estándar para definir y conservar un nivel de protección adecuado para la información de una institución. Los catálogos de IT-Grundschutz describen medidas de seguridad para procesos comerciales, sistemas de TI y aplicaciones tradicionales y su objetivo es proteger la información propia de una empresa. El C5 ofrece directrices sobre los productos que ofrecen los proveedores de servicios en la nube (CSP).

  • ¿De qué manera AWS me ayudará a obtener la acreditación C5 para mis aplicaciones SaaS y PaaS?

    El C5 está destinado principalmente a proveedores de servicios en la nube profesionales, a sus auditores y a clientes de los proveedores de servicios en la nube. Define las exigencias (también conocidas como controles) que los proveedores de servicios en la nube deben cumplir.

    En noviembre de 2016, AWS se convirtió en el primer proveedor de servicios en la nube en recibir la acreditación C5 a nivel de infraestructura en Alemania. Los clientes en Alemania y otros países europeos pueden utilizar el informe de la acreditación de AWS para cumplir con los requisitos locales de seguridad del marco C5. La acreditación C5 de AWS establece la base para que dichos clientes logren obtener de parte de sus auditores acreditaciones C5 propias para las aplicaciones en la nube. Específicamente, esto ofrece a los clientes la oportunidad de obtener acreditaciones C5 propias sin la necesidad de tener que incluir la seguridad física de los centros de datos ni la sección de administración de infraestructura de la nube dentro del ámbito de la auditoría individual. Las aplicaciones implementadas como software como servicio (SaaS) y plataforma como servicio (PaaS) también pueden evaluarse en el marco de la acreditación C5. AWS Support lo ayuda a mostrar a sus clientes que está implementando eficientemente el nivel de seguridad de TI del estándar de BSI en todas las capas.

  • ¿El estándar tiene un impacto internacional?

    La BSI trabaja en conjunto con ANSSI y su próxima calificación SecNumCloud. Hubo una influencia recíproca entre el estándar C5 y el estándar SecNumCloud de Francia, con el claro objetivo de tener la opción de un reconocimiento mutuo bajo una etiqueta común llamada ESCloud. Además, la versión borrador del European Union Cybersecurity Certification Scheme for Cloud Services (EUCS) de la European Union Agency for Cybersecurity (ENISA) se basa significativamente en el estándar de seguridad C5.

  • ¿Cuál es la diferencia entre una certificación y una acreditación?

    Las certificaciones son emitidas por una compañía especializada y acreditada y a menudo duran de uno y tres años. Las acreditaciones se pueden recibir durante una auditoría de conformidad o la realización de un informe por parte de personal cualificado. Una acreditación tiene un enfoque mayor en el aspecto de implementación continua, lo que significa que el ciclo de nuevas auditorías es mucho menor; de hasta 6 meses. De acuerdo con ISAE 3000/3402, el proceso de auditoría proporciona evidencia de adecuación y efectividad durante un periodo de tiempo pasado. Una certificación es tan solo una foto instantánea de un momento.

compliance-contactus-icon
¿Tiene preguntas? ¿Necesita ponerse en contacto con un representante empresarial de AWS?
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »