Cloud Computing Compliance Controls Catalog (C5)

Panoramica

AWSC5Logo

Cloud Computing Compliance Controls Catalog (C5) è uno schema di attestazione approvato dal governo tedesco introdotto in Germania dall'Ufficio federale per la sicurezza informatica (Bundesamt für Sicherheit in der Informationstechnik, BSI) per aiutare le organizzazioni a dimostrare la sicurezza a livello operativo contro gli attacchi informatici comuni quando si utilizzano i servizi cloud nell'ambito delle "Security Recommendations for Cloud Providers" (Raccomandazioni di sicurezza per i cloud provider) del governo tedesco.

L'attestato C5 può essere usato dai clienti AWS e dai rispettivi consulenti in materia di conformità per comprendere i controlli di sicurezza implementati da AWS per soddisfare i requisiti del C5 durante il trasferimento dei carichi di lavoro nel cloud. Il C5 aggiunge il livello di sicurezza IT a norma di legge equivalente allo standard IT-Grundschutz, con l'aggiunta di controlli specifici per il cloud.

Il C5 include controlli aggiuntivi relativi alla posizione dei dati, al provisioning dei servizi, alla sede giurisdizionale, alla certificazione esistente e agli obblighi di divulgazione delle informazioni, oltre a una descrizione completa del servizio. Grazie a tali informazioni, i clienti possono valutare il rapporto tra le norme di legge (ad esempio sulla privacy dei dati), le politiche in uso o l'ambiente delle minacce e l'uso dei servizi di cloud computing.

  • Cos'è il C5?

    Il C5 (Cloud Computing Compliance Controls Catalogue) è lo standard di sicurezza informatica del cloud computing in Germania. Progettata e rilasciata da BSI a febbraio 2016, la serie di controlli dello standard C5 offre un'ulteriore garanzia ai clienti in Germania nel momento in cui trasferiscono i complessi carichi di lavoro regolamentati ai provider di servizi cloud computing quali AWS. C5 contempla i seguenti standard internazionali:

    • ISO/IEC 27001:2013 (ISO - International Organization for Standardization)
    • CSA Cloud Controls Matrix 3.01 (CSA - Cloud Security Alliance)
    • AICPA Trust Service Principles Criteria 2014 (AICPA - American Institute of Certified Public Accountants)
    • ANSSI Référentiel Secure Cloud 2.0 (Bozza) (ANSSI - Agence nationale de la sécurité des systèmes d'information)
    • IDW ERS FAIT 5 04.11.201 (bozza di una dichiarazione sulle responsabilità: "Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing" ["Principi di responsabilità generalmente accettati per l'erogazione di servizi correlati alle responsabilità, compreso il cloud computing"], versione del 4 novembre 2014)
    • BSI IT-Grundschutz Catalogues, 14a versione 2014
    • BSI SaaS Sicherheitsprofile 2014 [Profili di sicurezza SaaS BSI 2014]
  • Quali sono i vantaggi per il cliente di questo standard?

    AWS ha completato la valutazione del 2020 relativa al programma di sicurezza informatica e conformità C5 e il report è scaricabile da AWS Artifact. Il report dell'attestato C5 di AWS per il 2021 sarà disponibile a fine anno. 

    Il report C5 fornisce ai nostri clienti europei un attestato esterno indipendente sull'idoneità della configurazione e sull'efficacia operativa dei nostri controlli per adempiere ai criteri del C5 di base e supplementari. Nello specifico, i clienti in Germania sono abituati a cercare servizi cloud che sono stati valutati in base ai criteri del C5. Il C5 fornisce ai clienti un framework che documenta un livello di sicurezza IT equivalente all'IT-Grundschutz che copre tutti gli aspetti di sicurezza IT per il cloud computing. Per le autorità federali, l'attestato C5 è un requisito di base nel processo di approvvigionamento.

  • Quali regioni AWS rientrano nell'ambito del C5?

    Le regioni AWS che rientrano nell'ambito di C5 includono Francoforte, Irlanda, Londra, Parigi, Milano, Stoccolma e Singapore, nonché le edge location in Germania, Irlanda, Inghilterra, Francia e Singapore.

  • Quali sono i servizi interessati?

    I servizi AWS interessati dal C5 sono riportati nei Servizi AWS coperti dal programma di compliance. Per ulteriori informazioni sull'uso di tali servizi o se ti interessano altri servizi, contattaci.

  • Chi ha creato lo standard C5?

    Il Bundesamt für Sicherheit in der Informationstechnik (BSI), l'autorità nazionale tedesca per la sicurezza informatica, ha sviluppato lo standard C5 nel 2016. Il BSI ha rielaborato e aggiornato il catalogo C5 nel 2019. A gennaio 2020 ne è stata completata una nuova versione (C5:2020). Il BSI consiglia vivamente l'applicazione del C5:2020 per gli audit con periodi di valutazione che terminano in data corrispondente o successiva al 15 febbraio 2021. Il BSI definisce i requisiti di sicurezza informatica per tutti i sistemi governativi e la maggior parte delle aziende tedesche allinea la propria strategia di sicurezza informatica agli standard approvati dall'ente.

  • Qual è la differenza tra il C5 e l'IT-Grundschutz del BSI?

    L'IT-Grundschutz è uno standard per stabilire e mantenere un'adeguata protezione delle informazioni di un'istituzione. I cataloghi dell'IT-Grundschutz descrivono le tutele per i processi aziendali, i sistemi informatici e le applicazioni tipici e riguardano la protezione delle informazioni di un'impresa. Il C5 fornisce indicazioni sulle offerte dei fornitori di servizi cloud (cloud service provider, CSP).

  • Quale supporto offrirà AWS per ottenere l'attestato C5 per le applicazioni SaaS e PaaS?

    Il C5 è destinato principalmente ai fornitori di servizi cloud professionali, ai loro auditor e ai clienti di tali fornitori. Lo standard definisce i requisiti (denominati anche controlli) ai quali i fornitori di servizi cloud devono attenersi.

    A novembre 2016, AWS è stato il primo fornitore di servizi cloud in Germania a ricevere l'attestato C5 a livello di infrastruttura. I clienti in Germania e in altri paesi europei possono usare il report sull'attestato di AWS per agevolare l'adempimento ai requisiti di sicurezza locali del framework C5. L'attestato C5 di AWS getta le basi affinché possano ottenere a loro volta l'attestato C5 per le rispettive applicazioni cloud da parte del loro auditor. Nello specifico, i clienti hanno l'opportunità di presentare il loro attestato C5 senza la necessità di includere la sicurezza fisica dei data center o di gestire la parte dell'infrastruttura del cloud nell'ambito dell'audit individuale. Le applicazioni implementate sotto forma di Software-as-a-Service (SaaS) e Platform-as-a-Service (PaaS) possono essere valutate in base ai requisiti del framework C5. Il supporto di AWS ti aiuta a dimostrare ai clienti che stai implementando efficacemente il livello standard BSI di sicurezza IT a tutti i livelli.

  • Questo standard ha un impatto internazionale?

    Il BSI ha allineato questo lavoro con l'ANSSI e con la sua futura etichetta SecNumCloud. Lo standard C5 è stato influenzato dallo standard SecNumCloud francese e lo ha influenzato a sua volta, con il chiaro obiettivo di avere l'opzione di un riconoscimento reciproco sotto un'etichetta comune denominata ESCloud. Anche la bozza dell'European Union Cybersecurity Certification Scheme for Cloud Services (EUCS) stilata dall'Agenzia dell'Unione europea per la cibersicurezza (ENISA) si ispira in buona parte allo standard di sicurezza del C5.

  • Qual è la differenza tra una certificazione e un attestato?

    La certificazione viene emessa da un'azienda specializzata accreditata e, nella maggior parte dei casi, ha una durata compresa tra uno e tre anni. È possibile ricevere l'attestato durante un audit di conformità o una revisione contabile da parte di personale qualificato. L'attestato si concentra in primo luogo sull'aspetto dell'implementazione continua, il che significa che il ciclo di ripetizione degli audit è molto più breve e si riduce a 6 mesi. Secondo le norme ISAE 3000/3402, il processo di audit dimostra l'adeguatezza e l'efficacia in un intervallo di tempo passato. Una certificazione è solo un'istantanea nel tempo.

compliance-contactus-icon
Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »