Katalog Kontrol Kepatuhan Komputasi Cloud (C5)

Gambaran Umum

AWSC5Logo

Katalog Kontrol Kepatuhan Komputasi Cloud (C5) adalah skema pengesahan yang bersandarkan pada Pemerintah Jerman dan diperkenalkan di Jerman oleh Kantor Federal untuk Keamanan Informasi (BSI) guna membantu organisasi dalam menunjukkan keamanan operasional terhadap serangan cyber umum pada konteks "Rekomendasi Keamanan bagi Penyedia Cloud" Pemerintah Jerman.

Pengesahan C5 dapat digunakan oleh pelanggan AWS dan penasihat kepatuhan mereka untuk memahami cakupan layanan jaminan keamanan IT yang ditawarkan AWS saat mereka memindahkan beban kerja mereka ke cloud. C5 menambahkan tingkat Keamanan IT yang ditentukan undang-undang setara dengan IT-Grundschutz dengan tambahan kontrol khusus cloud.

C5 memberi kontrol tambahan yang menyediakan informasi terkait lokasi data, ketentuan layanan, tempat yurisdiksi, sertifikasi yang ada, kewajiban pengungkapan informasi, dan penjelasan layanan penuh. Menggunakan informasi ini, pelanggan dapat mengevaluasi peraturan hukum (seperti privasi data), kebijakan mereka sendiri, atau lingkungan ancaman terkait penggunaan layanan komputasi cloud mereka.

Pengesahan C5 untuk Aplikasi SaaS dan PaaS Anda

Pelanggan AWS dapat memperoleh pengesahan C5 untuk aplikasi cloud yang dijalankan di infrastruktur AWS. Per November 2016, AWS adalah Penyedia Layanan Cloud pertama di Jerman yang memperoleh C5 di tingkat infrastruktur. Dengan laporan C5, AWS meletakkan fondasi untuk mendokumentasikan kepatuhan C5 sebagai penyedia Infrastructure as a Service (IaaS).

Pelanggan AWS kini dapat memperoleh pengesahan C5 untuk aplikasi cloud mereka tanpa perlu mengaudit keamanan fisik pusat data atau infrastruktur cloud. Pelanggan juga dapat mengesahkan aplikasi yang dijalankan sebagai Software as a Service (SaaS) dan Platform as a Service (PaaS) ke kerangka kerja pengesahan C5. Dengan demikian, pelanggan mereka menerima bukti bahwa mereka telah mengimplementasikan keamanan IT di tingkat standar BSI pada semua lapisan secara efektif.

Testimoni Pelanggan C5

Katalog Kontrol Kepatuhan Komputasi Cloud (C5) BSI mencakup semua aspek Layanan Cloud yang dioperasikan secara aman. Bagi pelanggan AWS saat ini, diskusi internal dengan Manajer Keamanan dan Kepatuhan akan difasilitasi dengan baik. Untuk pelanggan potensial, transfer Kasus Penggunaan ke AWS akan jauh lebih memudahkan. Dalam kasus yang mana pun yang kami jalani, pengesahan akan meningkatkan Konsumsi-Layanan secara signifikan.

Computacenter AG & Co oHG

Pengesahan C5 BSI merupakan bukti bahwa Box Cloud merupakan solusi cloud yang aman bagi Manajemen Konten Perusahaan. Berdasarkan komitmen kepada, serta investasi dalam, kepatuhan baik di Jerman dan Eropa, Box menunjukkan betapa pentingnya pasar-pasar ini bagi perusahaan. Box memanfaatkan, di antara hal lainnya, infrastruktur AWS di wilayah Frankfurt, yang juga sesuai dengan C5.

Box, Inc.

"Pengesahan C5 AWS, sebuah skema yang dirancang untuk mengelola infrastruktur, merupakan bukti keamanan informasi yang signifikan bagi kami serta pelanggan kami di bidang pusat data, server, jaringan, dan data. Dengan keamanan AWS yang dapat diandalkan, kami bisa memfokuskan energi pada bisnis, karena kami yakin berada di tangan yang tepat."

e-Spirit AG

Tanya Jawab berikut dimaksudkan sebagai panduan untuk memperoleh pengesahan C5 untuk aplikasi SaaS dan PaaS Anda. Informasi tambahan tentang C5 dan “Katalog Kontrol Kepatuhan Komputasi Cloud (C5) – Kriteria untuk menilai keamanan informasi layanan cloud", dapat ditemukan di situs web BSI.

  • Apa saja layanan AWS yang berada dalam lingkup untuk C5?

    Layanan AWS tercakup yang sudah berada dalam lingkup C5 dapat ditemukan di Layanan dalam Lingkup AWS menurut Program Kepatuhan. Jika Anda ingin mempelajari lebih lanjut tentang penggunaan layanan ini dan/atau tertarik dengan layanan lain, hubungi kami.

  • Apa itu C5?

    C5 (Katalog Kontrol Kepatuhan Komputasi Cloud) merupakan standar "Keamanan IT komputasi cloud" di Jerman. Dirancang dan dikeluarkan oleh BSI pada Februari 2016, set kontrol C5 menawarkan jaminan tambahan kepada pelanggan di Jerman saat mereka memindahkan beban kerja mereka yang kompleks dan teregulasi ke penyedia Layanan Komputasi Cloud seperti AWS. C5 mencakup standar internasional berikut:

    • ISO/IEC 27001:2013 (ISO – International Organization for Standardization)
    • CSA Cloud Controls Matrix 3.01 (CSA – Cloud Security Alliance)
    • AICPA Trust Service Principles Criteria 2014 (AICPA – American Institute of Certified Public Accountants)
    • ANSSI Référentiel Secure Cloud 2.0 (Draft) (ANSSI – Agence nationale de la sécurité des systèmes d'information)
    • IDW ERS FAIT 5 04.11.201 (konsep pernyataan atas akuntansi: "Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing" ["Prinsip-prinsip akuntansi yang diterima secara umum untuk mengalihdayakan layanan terkait akuntansi, termasuk komputasi cloud"], Versi 4 November 2014)
    • BSI IT-Grundschutz Catalogues, Versi ke-14, 2014
    • BSI SaaS Sicherheitsprofile 2014 [Profil Keamanan SaaS BSI 2014]
  • Siapa yang membuat standar baru ini?

    Otoritas keamanan cyber nasional, Bundesamt für Sicherheit in der Informationstechnik (BSI), adalah pihak yang membuat standar C5. BSI menentukan persyaratan Keamanan IT untuk seluruh sistem pemerintahan, dan sebagian besar perusahaan Jerman menyelaraskan strategi Keamanan IT mereka dengan standar BSI.

  • Mengapa sebuah standar baru dibuat?

    Kontrol dari standar yang disebutkan di atas dikumpulkan kemudian dikemas secara khusus untuk lingkup Komputasi Cloud. Ini memberi keuntungan bagi CSP dan pelanggan dengan menyediakan pemahaman yang jelas atas peran CSP serta pelanggan dalam Model Berbagi Tanggung Jawab.

  • Apa perbedaan antara C5 dan IT-Grundschutz BSI?

    IT-Grundschutz adalah standar untuk menetapkan dan menjaga perlindungan yang tepat atas informasi sebuah lembaga. IT-Grundschutz Catalogues menjelaskan perlindungan untuk aplikasi, sistem IT, dan proses bisnis umum, serta menangani pelindungan informasi perusahaan itu sendiri. C5 menyediakan panduan untuk penawaran penyedia layanan cloud (CSP).

  • Apa perbedaan antara sertifikasi dan pengesahan?

    Sertifikasi diterbitkan oleh sebuah perusahaan khusus yang terakreditasi dan umumnya habis berlaku dalam satu hingga tiga tahun. Pengesahan dapat diperoleh selama audit kepatuhan atau akuntansi oleh personel berkualifikasi. Pengesahan lebih berfokus pada aspek implementasi berkelanjutan, yang berarti siklus audit ulangnya lebih pendek – hingga 6 bulan. Berdasarkan ISAE 3000/3402, proses audit menghasilkan bukti kesesuaian dan keberlakuan selama jangka waktu yang lalu. Sertifikasi hanyalah capaian pada waktu tersebut.

  • Apa saja manfaat standar ini bagi pelanggan?

    Secara khusus, di Jerman, pelanggan terbiasa mencari layanan yang telah disertifikasi atas BSI, IT-Grundschutz yang ditentukan Jerman (keamanan berbasis IT). IT-Grundschutz berkerja dengan baik untuk relasi outsource tradisional atau di lokasi fisik, tetapi tidak optimal untuk Komputasi Cloud. C5 memberikan laporan yang mendokumentasikan tingkat Keamanan IT yang setara dengan IT-Grundschutz, yang mencakup seluruh aspek Keamanan IT untuk Komputasi Cloud, kepada pelanggan. Untuk otoritas, pengesahan C5 adalah persyaratan dasar dalam proses pengadaan.

  • Bagaimana AWS akan mendukung saya dalam menerima pengesahan C5 untuk aplikasi SaaS dan PaaS saya?

    C5 utamanya dimaksudkan untuk penyedia layanan cloud profesional, auditornya, serta pelanggan penyedia layanan cloud. C5 menentukan persyaratan apa (disebut juga sebagai kontrol) yang harus dipatuhi penyedia cloud atau persyaratan minimum yang wajib dipenuhi oleh penyedia cloud. Pelanggan AWS mendapat manfaat dari pengesahan C5 untuk lapisan infrastruktur (IaaS), memungkinkan mereka untuk berfokus pada pengesahan aplikasi lapisan SaaS/PaaS mereka.

    Pada November 2016, AWS adalah Penyedia Layanan Cloud pertama di Jerman yang memperoleh C5 di tingkat infrastruktur. Dengan pengesahan C5, kami telah meletakkan fondasi bagi Anda untuk menerima pengesahan C5 untuk aplikasi cloud Anda dari auditor Anda. Ini memberi pelanggan AWS peluang untuk mengupayakan pengesahan C5 mereka sendiri tanpa perlu menyertakan keamanan fisik pusat data serta pengelolaan bagian infrastruktur cloud dalam lingkup audit individual mereka. Aplikasi yang dijalankan sebagai Software as a Service (SaaS) dan Platform as a Service (PaaS) juga dapat dijadikan pembuktian untuk kerangka kerja pengesahan C5. Dengan demikian, pelanggan Anda menerima bukti bahwa Anda telah mengimplementasikan keamanan IT di tingkat standar BSI pada semua lapisan secara efektif.

  • Bagaimana cara agar saya mendapat pengesahan C5?

    Katalog kontrol kepatuhan menjelaskan bahwa auditor publik mengeluarkan pengesahan untuk layanan cloud yang diperiksa berdasarkan prosedur yang diakui secara internasional. Dasar untuk pengesahan adalah laporan audit di mana auditor menunjukkan apakah persyaratan telah dipenuhi dan diimplementasikan secara efektif.

    Untuk pertanyaan terkait persiapan dan eksekusi audit C5, harap hubungi auditor Anda.

  • Kriteria yang mana yang perlu saya perhatikan saat memilih seorang auditor?

    Audit tahunan umumnya tidak dilakukan auditor publik secara individu, tapi secara tim. Tim ini juga mencakup pakar IT. Agar dapat mengesahkan katalog kontrol kepatuhan, anggota tim harus memverifikasi bahwa mereka telah berkualifikasi (lihat Bagian 3.5.1). Contohnya termasuk sertifikasi dari auditor ISACA (CISA, CISM, CRISC), CSA (CCSK) atau ISO 27001 dan IT-Grundschutz. Kualifikasi tersebut harus didaftar dan diverifikasi dalam pengesahan.

  • Berapa lama waktu yang dibutuhkan proses audit untuk mendapatkan pengesahan C5?

    Durasi proses audit bergantung pada sertifikasi yang telah ada di perusahaan Anda. Sertifikasi seperti ISO 27001 dapat mempersingkat proses audit. Sangat disarankan untuk melakukan pengesahan bersama dengan sertifikasi, mengingat semua persyaratan ISO IEC 27001 juga terdaftar dalam katalog kontrol kepatuhan.

  • Apakah standar ini memiliki dampak secara internasional?

    BSI telah menyelaraskan kerja ini dengan ANSSI dan Label Cloud Aman mereka yang akan datang. Standar C5 telah dipengaruhi dan memengaruhi standar Cloud Aman di Prancis, dengan tujuan yang jelas untuk memiliki opsi bagi pengakuan bersama dalam label umum yang disebut ESCloud.

compliance-contactus-icon
Ada Pertanyaan? Terhubung dengan Perwakilan Bisnis AWS
Menjelajahi peran kepatuhan?
Daftar sekarang »
Ingin mendapatkan info terbaru tentang Kepatuhan AWS?
Ikuti Kami di Twitter »