Catálogo de controles de conformidad de informática en la nube (C5)

Información general

AWSC5Logo

El Catálogo de controles de conformidad de informática en la nube (C5) es un esquema de certificación respaldado por el gobierno alemán e introducido en Alemania por el Servicio Federal de Seguridad de la Información (BSI) para ayudar a las organizaciones a mostrar la seguridad operativa frente a ciberataques comunes en el contexto de las "Recomendaciones de seguridad para proveedores de la nube" del gobierno alemán.

Los clientes de AWS y sus asesores de conformidad pueden utilizar la certificación de C5 para comprender la gama de servicios de control de seguridad de TI que AWS ofrece a medida que trasladan sus cargas de trabajo a la nube. C5 agrega el nivel de seguridad de TI definido por la normativa equivalente al "IT-Grundschutz" con la incorporación de controles específicos de la nube.

C5 agrega controles adicionales que proporcionan información relativa a la ubicación de datos, aprovisionamiento de servicios, fuero jurisdiccional, certificación existente, obligaciones de divulgación de la información y una descripción del servicio completo. Con esta información, los clientes pueden evaluar cómo las normativas legales (es decir, la privacidad de los datos), sus propias políticas o el entorno de amenazas se relaciona con su uso de servicios de informática en la nube.

Acreditación C5 para aplicaciones SaaS y PaaS

Los clientes de AWS pueden obtener la acreditación C5 para las aplicaciones de la nube que se ejecuten en la infraestructura de AWS. En noviembre de 2016, AWS se convirtió en el primer proveedor de servicios en la nube en recibir la acreditación C5 a nivel de infraestructura en Alemania. Con el informe C5, AWS sienta las bases para presentar documentación que respalde su conformidad con C5 como proveedor de infraestructura como servicio (IaaS).

Los clientes de AWS ahora pueden obtener la acreditación C5 para sus aplicaciones en la nube sin que se les solicite auditar la seguridad física de los centros de datos ni de la infraestructura de la nube. Los clientes también pueden certificar aplicaciones implementadas como software como servicio (SaaS) y plataforma como servicio (PaaS) dentro del marco de la acreditación C5. De esta manera, sus clientes tienen la certeza de que están implementando eficientemente el nivel de seguridad de TI del estándar de BSI en todas las capas.

Testimonios de clientes sobre C5

El Catálogo de controles de conformidad de informática en la nube (C5) de BSI abarca todos los aspectos de un servicio en la nube operado de forma segura. Para los clientes actuales de AWS se facilitará considerablemente el debate interno con el responsable de seguridad y conformidad. Para los clientes potenciales será mucho más sencillo transferir casos de uso a AWS. En cualquiera de los casos, la certificación aumentará considerablemente el consumo de servicios.

Computacenter AG & Co oHG

La acreditación C5 de BSI es la prueba que demuestra que Box Cloud es una solución en la nube segura para la administración de contenido empresarial. Mediante su compromiso con la incorporación de certificaciones de conformidad alemanas y europeas, y las inversiones realizadas en pos de su obtención, Box demuestra la importancia que ambos mercados tienen para la compañía. Entre otras, Box utiliza la infraestructura de AWS en la región de Fráncfort, que también cumple con los requisitos de C5.

Box, Inc.

"La acreditación C5 de AWS, un esquema diseñado para la administración de la infraestructura, es una constancia importante de protección de la información, tanto para nosotros como para nuestros clientes, en las áreas de centro de datos, servidor, redes y datos. Gracias a la protección fiable de AWS, podemos enfocar nuestras energías y concentrarnos en nuestro propio negocio, con la certeza de que estamos en buenas manos."

e-Spirit AG

Las siguientes preguntas frecuentes funcionan como una guía para la obtención de la acreditación C5 para sus aplicaciones SaaS y PaaS. Es posible encontrar más información acerca de C5 y el "Catálogo de controles de conformidad de informática en la nube (C5) – Criterios para evaluar la protección de la información en servicios en la nube" en el sitio web de BSI.

  • ¿Qué servicios de AWS se incluyen dentro de la acreditación C5?

    En Servicios de AWS en el ámbito del programa de conformidad podrá encontrar los servicios de AWS incluidos en C5. Si desea obtener más información sobre el uso de estos servicios o sobre otros servicios, contacte con nosotros.

  • ¿Qué es C5?

    C5 (catálogo de controles de conformidad de informática en la nube) es el estándar de "seguridad de TI en la informática en la nube" de Alemania. Diseñado y publicado por el BSI en febrero de 2016, el conjunto de controles de C5 ofrece un control adicional para clientes radicados en Alemania que deseen migrar cargas de trabajo reguladas y complejas a proveedores de servicios de informática en la nube, como AWS. C5 cubre los siguientes estándares internacionales:

    • ISO/IEC 27001:2013 (ISO – Organización Internacional de Normalización)
    • Matriz de controles en la nube de CSA 3.01 (CSA – Alianza de Seguridad en la Nube)
    • Criterios de principios de servicios fiduciarios de AICPA 2014 (AICPA – Instituto Estadounidense de Contadores Públicos Certificados)
    • ANSSI Référentiel Secure Cloud 2.0 (borrador) (ANSSI – Agence nationale de la sécurité des systèmes d'information)
    • IDW ERS FAIT 5 04.11.201 (borrador de declaración sobre contabilidad: "Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing" ["Principios contables generalmente aceptados para la externalización de servicios relacionados con la contabilidad, incluida la informática en la nube"], versión del 4 de noviembre de 2014)
    • Catálogos de IT-Grundschutz del BSI, 14ª versión de 2014
    • BSI SaaS Sicherheitsprofile 2014 [Perfiles de seguridad de SaaS del BSI, 2014]
  • ¿Quién creó este nuevo estándar?

    La autoridad de ciberseguridad nacional de Alemania, Bundesamt für Sicherheit in der Informationstechnik (BSI) fue la responsable de crear el estándar C5. La BSI define los requisitos de seguridad de TI que deben cumplir todos los sistemas gubernamentales, y la mayoría de las compañías alemanas ajusta su estrategia de seguridad de TI a los estándares de esta autoridad.

  • ¿Por qué motivo se creó un estándar nuevo?

    Los controles de los estándares mencionados anteriormente se recopilaron y luego se organizaron específicamente para el ámbito de la informática en la nube. El estándar beneficia al CSP y al cliente mediante el suministro de información clara acerca de la función de cada uno de ellos en el modelo de responsabilidad compartida.

  • ¿Cuál es la diferencia entre C5 y T-Grundschutz de BSI?

    IT-Grundschutz es el estándar para definir y conservar un nivel de protección adecuado para la información de una institución. Los catálogos de IT-Grundschutz describen medidas de seguridad para procesos comerciales, sistemas de TI y aplicaciones tradicionales, y su objetivo es proteger la información propia de una empresa. C5 ofrece directrices acerca de los productos que ofrecen los proveedores de servicios en la nube (CSP).

  • ¿Cuál es la diferencia entre una certificación y una acreditación?

    Las certificaciones son emitidas por una compañía especializada y acreditada y, a menudo, tienen una duración de entre uno y tres años. Las acreditaciones se pueden recibir durante una auditoría de conformidad o la realización de un informe por parte de personal cualificado. Una acreditación tiene un enfoque mayor en el aspecto de implementación continua, lo que significa que el ciclo de auditorías es mucho menor, de hasta 6 meses. De acuerdo con ISAE 3000/3402, el proceso de auditoría proporciona evidencia de adecuación y efectividad durante un período de tiempo pasado. Una certificación es tan solo una foto instantánea de un momento.

  • ¿Qué beneficios tiene el estándar para los clientes?

    Específicamente, en Alemania los clientes están acostumbrados a buscar servicios que estén certificados por el IT-Grundschutz (nivel de seguridad básico de TI) alemán del BSI. El certificado IT-Grundschutz funciona para las relaciones de externalización tradicionales u on-premise, pero no es adecuado para la informática en la nube. El C5 ofrece a los clientes un informe que documenta un nivel de seguridad de TI equivalente al IT-Grundschutz que incluye todos los aspectos de seguridad de TI para la informática en la nube. Para las autoridades, la acreditación C5 es un requisito básico para el proceso de contratación.

  • ¿De qué manera AWS me ayudará a obtener la acreditación C5 para mis aplicaciones SaaS y PaaS?

    El C5 está destinado principalmente a proveedores de servicios en la nube profesionales, sus auditores y clientes de los proveedores de servicios en la nube. Define qué requisitos (también denominados controles) deben cumplir los proveedores de servicios en la nube o cuáles son los requisitos mínimos que están obligados a cumplir. Los clientes de AWS se benefician de la acreditación C5 para la capa de infraestructura (IaaS), que les permite enfocarse en la acreditación de sus aplicaciones en las capas SaaS y PaaS.

    En noviembre de 2016, AWS se convirtió en el primer proveedor de servicios en la nube en recibir la acreditación C5 a nivel de infraestructura en Alemania. Con nuestra acreditación C5, hemos sentado las bases para que reciba la acreditación C5 para sus aplicaciones en la nube por parte de su auditor. Esto ofrece a los clientes de AWS la oportunidad de obtener su propia acreditación C5 sin la necesidad de tener que incluir la seguridad física de los centros de datos ni la sección de administración de infraestructura de la nube dentro del ámbito de su auditoría individual. Las aplicaciones implementadas como software como servicio (SaaS) y plataforma como servicio (PaaS) también pueden acreditarse en el marco de la acreditación C5. De esta manera, sus clientes tienen la certeza de que usted está implementando eficientemente el nivel de seguridad de TI del estándar de BSI en todas las capas.

  • ¿De qué manera puedo obtener la acreditación C5?

    El catálogo de controles de conformidad especifica que un auditor público emite una acreditación para los servicios en la nube examinados de acuerdo con un procedimiento de reconocimiento internacional. La base de la certificación es un informe de auditoría en el que el auditor manifiesta si los requisitos se cumplieron e implementaron eficientemente.

    Si tiene preguntas acerca de la preparación y ejecución de una auditoría de C5, entre en contacto con su auditor.

  • ¿Qué criterios debo tener en cuenta al seleccionar un auditor?

    Generalmente, una auditoría anual no está a cargo de un auditor público individual, sino de un equipo. Este equipo también incluye expertos en TI. Para poder acreditar el cumplimiento del catálogo de controles de conformidad, los miembros del equipo deben estar cualificados para ello (ver sección 3.5.1). Como ejemplos, se incluyen las certificaciones de ISACA (CISA, CISM, CRISC), CSA (CCSK) o ISO 27001 y auditores de IT-Grundschutz. Estas cualificaciones deben incluirse y verificarse en la acreditación.

  • ¿Cuánto tiempo demora el proceso de auditoría para la obtención de la acreditación C5?

    La duración del proceso de auditoría depende de las certificaciones existentes de su compañía. Una certificación como ISO 27001 abrevia el proceso de la auditoría. Se recomienda realizar una acreditación junto con una certificación, ya que todos los requisitos de ISO IEC 27001 también se incluyen en el catálogo de controles de conformidad.

  • ¿El estándar tiene reconocimiento internacional?

    El BSI trabaja en conjunto con ANSSI y su inminente Etiqueta de nube segura. El estándar C5 recibió influencia de e influyó en el estándar de Nube segura de Francia, con el claro objetivo de tener la opción de un reconocimiento mutuo bajo una etiqueta común llamada ESCloud.

compliance-contactus-icon
¿Tiene preguntas? ¿Necesita ponerse en contacto con un representante empresarial de AWS?
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »