Cloud Computing Compliance Controls Catalog (C5)

Panoramica

AWSC5Logo

Cloud Computing Compliance Controls Catalog (C5) è uno schema tedesco di attestati riconosciuti dal governo introdotto in Germania dal Federal Office for Information Security (BSI) per aiutare le organizzazioni a dimostrare la sicurezza a livello operativo rispetto agli attacchi informatici comuni nell’ambito delle "Security Recommendations for Cloud Providers“ del governo tedesco.

L’attestato può essere utilizzato dai clienti AWS e dai rispettivi consulenti sulla conformità per comprendere la gamma di servizi di assicurazione per la sicurezza IT offerti da AWS durante il trasferimento dei carichi di lavoro nel cloud. C5 aggiunge il livello di sicurezza IT definito a livello normativo equivalente allo standard IT-Grundschutz, con l’aggiunta di controlli specifici per il cloud.

C5 aggiunge controlli aggiuntivi che forniscono informazioni sulla posizione dei dati, il provisioning dei servizi, la sede di giurisdizione, la certificazione esistente, obblighi di divulgazione delle informazioni e una descrizione completa del servizio. Utilizzando queste informazioni, i clienti possono valutare in che modo le normative legali (ad esempio la privacy dei dati), le proprie politiche o l’ambiente delle minacce sono correlati all’utilizzo dei servizi di cloud computing.

Attestato C5 per le tue applicazioni SaaS e PaaS

I clienti AWS possono ottenere un attestato C5 per le applicazioni del cloud in esecuzione sull'infrastruttura AWS. A partire da novembre 2016, AWS è stato il primo fornitore di servizi cloud in Germania a ricevere C5 a un livello di infrastruttura. Con il report C5, AWS pone le basi per la documentazione di conformità C5, sia come infrastruttura sia come fornitore di servizi (IaaS).

I clienti AWS possono ottenere un attestato C5 per le applicazioni del cloud senza dover verificare la sicurezza fisica dei data center o dell'infrastruttura del cloud. I clienti possono anche certificare applicazioni implementate come Software as a Service (SaaS) e Platform as a Service (PaaS) nel framework di attestazione C5. I loro clienti ricevono quindi la prova che stanno effettivamente implementando il livello standard BSI di sicurezza IT a tutti i livelli.

Testimonial clienti C5

Il BSI Cloud Computing Compliance Control Catalogue (C5) contempla tutti gli aspetti di un servizio cloud gestito in sicurezza. Per gli attuali clienti AWS, la discussione interna con il manager responsabile della sicurezza e conformità sarà notevolmente facilitata. Per i potenziali clienti, sarà molto più semplice trasferire il caso d’uso ad AWS. In entrambi i casi, l’attestato incrementerà sensibilmente il consumo del servizio.

Computacenter AG & Co oHG

L'attestato BSI C5 è la prova che Box Cloud è una soluzione cloud sicura per Enterprise Content Management. Con l'impegno e l'investimento nella conformità sia in Germania che in Europa, Box mostra quanto siano importanti questi mercati per l'azienda. Box utilizza, tra l'altro, l'infrastruttura AWS nella regione di Francoforte, anch'essa conforme a C5.

Box, Inc.

“L'attestato C5 di AWS, uno schema progettato per la gestione dell'infrastruttura, è una prova significativa della sicurezza delle informazioni per noi e per i nostri clienti in ambito di data center, server, rete e dati. Con la sicurezza affidabile di AWS, possiamo investire le nostre energie e concentrarci sulla nostra attività, sapendo di essere in buone mani."

e-Spirit AG

Le seguenti domande frequenti sono intese come guida per il conseguimento dell'attestato C5 per le tue applicazioni SaaS e PaaS. Informazioni aggiuntive sul C5 e il “Cloud Computing Compliance Controls Catalogue (C5) - Criteria to assess the information security of cloud services”, sono disponibili sul sito Web della BSI.

  • Quali servizi di AWS rientrano nell'ambito di C5?

    I servizi AWS coperti nell'ambito di C5 sono disponibili nella pagina relativa alla copertura di conformità dei servizi AWS. Per ulteriori informazioni sull'utilizzo di questi servizi, oppure se sei interessato ad altri servizi, contattaci.

  • Cos'è C5?

    C5 (Cloud Computing Compliance Controls Catalogue) è uno standard tedesco di “cloud computing IT-Security”. Progettata e rilasciata da BSI a febbraio 2016, la serie di controlli dello standard C5 offre un’ulteriore garanzia ai clienti in Germania nel momento in cui trasferiscono i complessi carichi di lavoro regolamentati ai provider di servizi cloud computing quali AWS. C5 contempla i seguenti standard internazionali:

    • ISO/IEC 27001:2013 (ISO - International Organization for Standardization)
    • CSA Cloud Controls Matrix 3.01 (CSA - Cloud Security Alliance)
    • AICPA Trust Service Principles Criteria 2014 (AICPA - American Institute of Certified Public Accountants)
    • ANSSI Référentiel Secure Cloud 2.0 (Bozza) (ANSSI - Agence nationale de la sécurité des systèmes d'information)
    • IDW ERS FAIT 5 04.11.201 (bozza di una dichiarazione sulle responsabilità: "Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing" ["Principi di responsabilità generalmente accettati per l’erogazione di servizi correlati alle responsabilità, compreso il cloud computing"], versione del 4 novembre 2014)
    • BSI IT-Grundschutz Catalogues, 14a versione 2014
    • BSI SaaS Sicherheitsprofile 2014 [Profili di sicurezza BSI SaaS 2014]
  • Chi ha creato questo nuovo standard?

    L'autorità nazionale tedesca per la sicurezza informatica Bundesamt für Sicherheit in der Informationstechnik (BSI) ha creato lo standard C5. La BSI definisce i requisiti di sicurezza informatica per tutti i sistemi governativi e la maggior parte delle aziende tedesche allinea la propria strategia di sicurezza informatica agli standard BSI.

  • Perché è stato creato un nuovo standard?

    I controlli dagli standard sopra menzionati sono stati raccolti e quindi pensati appositamente per l'ambito del Cloud Computing Questo avvantaggia il CSP e il cliente fornendo una chiara comprensione del ruolo del CSP e del ruolo del cliente nel modello di responsabilità condivisa.

  • Qual è la differenza tra C5 e IT-Grundschutz di BSI?

    IT-Grundschutz è uno standard per stabilire e mantenere un'adeguata protezione delle informazioni di un'istituzione. I cataloghi IT-Grundschutz descrivono le salvaguardie per i tipici processi aziendali, i sistemi informatici e le applicazioni e mirano alla protezione delle informazioni di un'azienda. C5 fornisce indicazioni sulle offerte del fornitore di servizi del cloud (CPS).

  • Qual è la differenza tra una certificazione e un attestato?

    Una certificazione è rilasciata da un'azienda specializzata accreditata e nella maggior parte dei casi ha durata compresa tra uno e tre anni. Un attestato può essere rilasciato durante un audit di conformità o una contabilità da parte di personale qualificato. Un attestato si concentra maggiormente sull'aspetto dell'attuazione continua, il che significa che il ciclo di ri-audit è molto più breve (fino a 6 mesi). Secondo il ISAE 3000 / 3402, il processo di audit mostra evidenza di appropriatezza ed efficacia in un intervallo di tempo passato. Una certificazione è solo un'istantanea nel tempo.

  • Quali sono i benefici di questo standard per il cliente?

    Nello specifico, in Germania i clienti sono abituati a cercare servizi certificati rispetto alla IT-Grundschutz tedesca definita dalla BSI (sicurezza di base IT). IT-Grundschutz funziona bene per le relazioni in outsourcing tradizionali o in loco, ma non è ottimizzato per il Cloud Computing. C5 fornisce ai clienti un report che documenta un livello di sicurezza IT equivalente a IT-Grundschutz che copre tutti gli aspetti di sicurezza IT per il Cloud Computing. Per le autorità, un attestato C5 è un requisito di base nel processo di acquisizione.

  • In che modo AWS mi aiuterà a ricevere l'attestato C5 per le mie applicazioni SaaS e PaaS?

    C5 è destinato principalmente ai fornitori di servizi cloud professionali, ai loro auditor e ai clienti dei fornitori di servizi cloud. Definisce quali requisiti (detti anche controlli) i fornitori di servizi cloud devono rispettare o quali requisiti minimi essi devono contemplare. I clienti AWS beneficiano del livello di certificazione C5 per l'infrastruttura (IaaS) che consente loro di concentrarsi sull'attestato delle loro applicazioni di livello SaaS/PaaS.

    A novembre 2016, AWS è stato il primo fornitore di servizi cloud in Germania a ricevere C5 a livello di infrastruttura. Con la nostra attestazione C5, abbiamo posto le basi per il conseguimento dell'attestato C5 per le tue applicazioni cloud da parte del tuo auditor. Ciò offre ai clienti AWS l'opportunità di presentare il proprio attestato C5 senza la necessità di includere la sicurezza fisica dei data center e di gestire la parte dell'infrastruttura del cloud nell'ambito del proprio audit individuale. Le applicazioni implementate come Software as a Service (SaaS) e Platform as a Service (PaaS) possono essere certificate nel framework di attestazione C5. I tuoi clienti ricevono quindi la prova che stai implementando efficacemente il livello standard BSI di sicurezza IT a tutti i livelli.

  • Come posso ottenere un attestato C5?

    Il compliance controls catalogue specifica che un auditor pubblico rilascia un attestato per i servizi cloud esaminati secondo una procedura riconosciuta a livello internazionale. La base per l'attestato è un report di un audit in cui l'auditor dimostra che i requisiti sono stati soddisfatti e implementati in modo efficace.

    Per domande riguardanti la preparazione e l'esecuzione di un audit C5, contatta il tuo auditor.

  • A quali criteri dovrei prestare attenzione quando scelgo un revisore?

    Di solito un audit annuale non viene eseguito da un auditor pubblico in persona, ma da un intero team. Questo team include anche esperti IT. Per attestare il compliance controls catalogue, i membri del team devono verificare di essere qualificati (vedere la Sezione 3.5.1). Gli esempi includono certificazioni dal ISACA (CISA, CISM,CRISC, ilCSA (CCSK) oppure ISO 27001 eauditor IT-Grundschutz. Queste qualifiche devono essere elencate e verificate nell'attestato.

  • Quanto dura il processo di revisione per ottenere un attestato C5?

    La durata del processo di audit dipende dagli attestati di cui è già in possesso la tua azienda. Un attestato come ISO 27001 accorcia il processo di audit. Si raccomanda di ottenere un attestato in concomitanza con un certificato, dal momento che tutti i requisiti di ISO IEC 27001 sono anche elencati nel compliance controls catalogue.

  • Questo standard ha un impatto internazionale?

    BSI ha allineato questo lavoro con ANSSI e con la loro futura Secure Cloud Label. Lo standard C5 è stato influenzato e ha influenzato lo standard Secure Cloud in Francia, con il chiaro obiettivo di avere l'opzione di un riconoscimento reciprocosotto un'etichetta comune denominata ESCloud.

compliance-contactus-icon
Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »