Cloud Computing Compliance Controls Catalog (C5)

Panoramica

Cloud Computing Compliance Controls Catalog (C5) è uno schema di attestazione sostenuto dal governo tedesco introdotto in Germania dall'Ufficio federale per la sicurezza delle informazioni (BSI). C5 aiuta le organizzazioni a dimostrare la sicurezza operativa contro i comuni attacchi informatici quando si utilizzano i servizi cloud nel contesto delle "Raccomandazioni di sicurezza per i fornitori di cloud" del governo tedesco".

L'attestato C5 può essere usato dai clienti AWS e dai rispettivi consulenti in materia di conformità per comprendere i controlli di sicurezza implementati da AWS per soddisfare i requisiti del C5 durante il trasferimento dei carichi di lavoro nel cloud. Il C5 aggiunge il livello di sicurezza IT a norma di legge equivalente allo standard IT-Grundschutz, con l'aggiunta di controlli specifici per il cloud.

Il C5 include controlli aggiuntivi relativi alla posizione dei dati, al provisioning dei servizi, alla sede giurisdizionale, alla certificazione esistente e agli obblighi di divulgazione delle informazioni, oltre a una descrizione completa del servizio. Grazie a tali informazioni, i clienti possono valutare il rapporto tra le norme di legge (ad esempio sulla privacy dei dati), le politiche in uso o l'ambiente delle minacce e l'uso dei servizi di cloud computing.

  • Il C5 (Cloud Computing Compliance Controls Catalogue) è lo standard di sicurezza informatica del cloud computing in Germania. Progettata e rilasciata da BSI a febbraio 2016, la serie di controlli dello standard C5 offre un'ulteriore garanzia ai clienti in Germania nel momento in cui trasferiscono i complessi carichi di lavoro regolamentati ai provider di servizi cloud computing quali AWS. C5 contempla i seguenti standard internazionali:

    • ISO/IEC 27001:2017 (ISO - International Organization for Standardization)
    • CSA Cloud Controls Matrix 3.01 (CSA - Cloud Security Alliance)
    • AICPA Trust Service Principles Criteria 2017 (AICPA - American Institute of Certified Public Accountants)
    • Profilo di protezione dei dati nel cloud di fiducia (TCDP)   - Versione 1
    • ISO/IEC 27017:2015
    • ISO/IEC 27-18:2014
    • Compendio BSI IT-Grundschutz – Edizione 2019
  • Il Bundesamt für Sicherheit in der Informationstechnik (BSI), l'autorità nazionale tedesca per la sicurezza informatica, ha sviluppato lo standard C5 nel 2016. Il BSI definisce i requisiti di sicurezza informatica per tutti i sistemi governativi e la maggior parte delle aziende tedesche allinea la propria strategia di sicurezza informatica agli standard approvati dall'ente. Il BSI ha rielaborato e aggiornato il catalogo C5 nel 2019. A gennaio 2020 ne è stata completata una nuova versione (C5:2020). 

  • AWS ha completato la valutazione del 2021 relativa al programma di sicurezza informatica e conformità C5 e il report C5 è scaricabile da AWS Artifact. Copre sia i criteri di base che quelli aggiuntivi C5. Il report dell'attestato C5 di AWS per il 2022 sarà disponibile a fine anno.

    Il report C5 fornisce ai nostri clienti europei un attestato esterno indipendente sull'idoneità della configurazione e sull'efficacia operativa dei nostri controlli per adempiere ai criteri del C5 di base e supplementari. Nello specifico, i clienti in Germania sono abituati a cercare servizi cloud che sono stati valutati in base ai criteri del C5. Il C5 fornisce ai clienti un framework che documenta un livello di sicurezza IT equivalente all'IT-Grundschutz che copre tutti gli aspetti di sicurezza IT per il cloud computing. Per le autorità federali, l'attestato C5 è un requisito di base nel processo di approvvigionamento.

  • Le regioni AWS che rientrano nell'ambito di C5 includono Francoforte, Irlanda, Londra, Parigi, Milano, Stoccolma e Singapore, nonché le edge location in Germania, Irlanda, Inghilterra, Francia e Singapore.
  • I servizi AWS interessati dal C5 sono riportati nei Servizi AWS coperti dal programma di compliance. Per ulteriori informazioni sull'uso di tali servizi o se ti interessano altri servizi, contattaci.

  • L'IT-Grundschutz è uno standard per stabilire e mantenere un'adeguata protezione delle informazioni di un'istituzione. I cataloghi dell'IT-Grundschutz descrivono le tutele per i processi aziendali, i sistemi informatici e le applicazioni tipici e riguardano la protezione delle informazioni di un'impresa. Il C5 fornisce indicazioni sulle offerte dei fornitori di servizi cloud (cloud service provider, CSP).
  • Il BSI ha allineato questo lavoro con l'ANSSI e con la sua futura etichetta SecNumCloud. Lo standard C5 è stato influenzato dallo standard SecNumCloud francese e lo ha influenzato a sua volta, con il chiaro obiettivo di avere l'opzione di un riconoscimento reciproco sotto un'etichetta comune denominata ESCloud. Anche la bozza dell'European Union Cybersecurity Certification Scheme for Cloud Services (EUCS) stilata dall'Agenzia dell'Unione europea per la cibersicurezza (ENISA) si ispira in buona parte allo standard di sicurezza del C5.

  • La certificazione viene emessa da un'azienda specializzata accreditata e, nella maggior parte dei casi, ha una durata compresa tra uno e tre anni. È possibile ricevere l'attestato durante un audit di conformità o una revisione contabile da parte di personale qualificato. L'attestato si concentra in primo luogo sull'aspetto dell'implementazione continua, il che significa che il ciclo di ripetizione degli audit è molto più breve e si riduce a 6 mesi. Secondo le norme ISAE 3000/3402, il processo di audit dimostra l'adeguatezza e l'efficacia in un intervallo di tempo passato. Una certificazione è solo un'istantanea nel tempo.

Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »