Desidero informazioni su C5



 

Uptime Institute

Cloud Computing Compliance Controls Catalog (C5) è uno schema tedesco di attestati riconosciuti dal governo introdotto in Germania dal Federal Office for Information Security (BSI) per aiutare le organizzazioni a dimostrare la sicurezza a livello operativo rispetto agli attacchi informatici comuni nell’ambito delle "Security Recommendations for Cloud Providers“ del governo tedesco.

L’attestato può essere utilizzato dai clienti AWS e dai rispettivi consulenti sulla conformità per comprendere la gamma di servizi di assicurazione per la sicurezza IT offerti da AWS durante il trasferimento dei carichi di lavoro nel cloud. C5 aggiunge il livello di sicurezza IT definito a livello normativo equivalente allo standard IT-Grundschutz, con l’aggiunta di controlli specifici per il cloud.

C5 aggiunge controlli aggiuntivi che forniscono informazioni sulla posizione dei dati, il provisioning dei servizi, la sede di giurisdizione, la certificazione esistente, obblighi di divulgazione delle informazioni e una descrizione completa del servizio. Utilizzando queste informazioni, i clienti possono valutare in che modo le normative legali (ad esempio la privacy dei dati), le proprie politiche o l’ambiente delle minacce sono correlati all’utilizzo dei servizi di cloud computing.


I clienti AWS possono ottenere un attestato C5 per le applicazioni del cloud in esecuzione sull'infrastruttura AWS. A partire da novembre 2016, AWS è stato il primo fornitore di servizi cloud in Germania a ricevere C5 a un livello di infrastruttura. Con il report C5, AWS pone le basi per la documentazione di conformità C5, sia come infrastruttura sia come fornitore di servizi (IaaS).

I clienti AWS possono ottenere un attestato C5 per le applicazioni del cloud senza dover verificare la sicurezza fisica dei data center o dell'infrastruttura del cloud. I clienti possono anche certificare applicazioni implementate come Software as a Service (SaaS) e Platform as a Service (PaaS) nel framework di attestazione C5. I loro clienti ricevono quindi la prova che stanno effettivamente implementando il livello standard BSI di sicurezza IT a tutti i livelli.


Il BSI Cloud Computing Compliance Control Catalogue (C5) contempla tutti gli aspetti di un servizio cloud gestito in sicurezza. Per gli attuali clienti AWS, la discussione interna con il manager responsabile della sicurezza e conformità sarà notevolmente facilitata. Per i potenziali clienti, sarà molto più semplice trasferire il caso d’uso ad AWS. In entrambi i casi, l’attestato incrementerà sensibilmente il consumo del servizio.
Computacenter AG & Co oHG
L'attestato BSI C5 è la prova che Box Cloud è una soluzione cloud sicura per Enterprise Content Management. Con l'impegno e l'investimento nella conformità sia in Germania che in Europa, Box mostra quanto siano importanti questi mercati per l'azienda. Box utilizza, tra l'altro, l'infrastruttura AWS nella regione di Francoforte, anch'essa conforme a C5.
Box, Inc.
L'attestato C5 di AWS, uno schema progettato per la gestione dell'infrastruttura, è una prova significativa della sicurezza delle informazioni per noi e per i nostri clienti nelle aree di data center, server, rete e dati.Con la sicurezza affidabile di AWS, possiamo investire le nostre energie e concentrarci sulla nostra attività, sapendo di essere in buone mani.
e-Spirit AG

Le seguenti domande frequenti sono intese come guida per il conseguimento dell' attestato C5 per le tue applicazioni SaaS e PaaS. Informazioni aggiuntive su C5 e il “Cloud Computing Compliance Controls Catalogue (C5) – Criteria to assess the information security of cloud services”, sono disponibili sulsito BSI

I servizi AWS coperti nell'ambito di ISO 5 sono disponibili nella pagina relativa alla copertura di compliance dei servizi AWS. Per ulteriori informazioni sull'utilizzo di questi servizi, oppure se sei interessato ad altri servizi, contattaci.

C5 (Cloud Computing Compliance Controls Catalogue) è uno standard tedesco di “cloud computing IT-Security”. Progettata e rilasciata da BSI a febbraio 2016, la serie di controlli dello standard C5 offre un’ulteriore garanzia ai clienti in Germania nel momento in cui trasferiscono i complessi carichi di lavoro regolamentati ai provider di servizi cloud computing quali AWS. C5 contempla i seguenti standard internazionali:

ISO/IEC 27001:2013 (ISO – International Organization for Standardization)

CSA Cloud Controls Matrix 3.01 (CSA – Cloud Security Alliance)

AICPA Trust Service Principles Criteria 2014 (AICPA – American Institute of Certified Public Accountants)

ANSSI Référentiel Secure Cloud 2.0 (Draft) (ANSSI – Agence nationale de la sécurité des systèmes d'information)

IDW ERS FAIT 5 04.11.201 (bozza di una dichiarazione sulle responsabilità: "Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing" [Principi di responsabilità generalmente accettati per l’erogazione di servizi correlati alle responsabilità, compreso il cloud computing], versione del 4 novembre 2014)

BSI IT-Grundschutz Catalogues, 14a versione 2014

BSI SaaS Sicherheitsprofile 2014 [Profili di sicurezza SaaS BSI 2014]

L'autorità nazionale tedesca per la sicurezza informatica Bundesamt für Sicherheit in der Informationstechnik (BSI)ha creato lo standard C5. BSI definisce i requisiti di sicurezza IT per tutti i sistemi governativi e la maggior parte delle aziende tedesche allinea la propria strategia di sicurezza IT agli standard BSI.

I controlli dagli standard sopra menzionati sono stati raccolti e quindi pensati appositamente per l'ambito del Cloud Computing Questo avvantaggia il CSP e il cliente fornendo una chiara comprensione del ruolo del CSP e del ruolo del cliente nel modello di responsabilità condivisa.

IT-Grundschutz è uno standard per stabilire e mantenere un'adeguata protezione delle informazioni di un'istituzione. I cataloghi IT-Grundschutz descrivono le salvaguardie per i tipici processi aziendali, i sistemi informatici e le applicazioni e mirano alla protezione delle informazioni di un'azienda. C5 fornisce indicazioni sulle offerte del fornitore di servizi del cloud (CPS).

Una certificazione è rilasciata da un'azienda specializzata accreditata e nella maggior parte dei casi ha durata compresa tra uno e tre anni. Un attestato può essere rilasciato durante un audit di conformità o una contabilità da parte di personale qualificato. Un attestato si concentra maggiormente sull'aspetto dell'attuazione continua, il che significa che il ciclo di ri-audit è molto più breve (fino a 6 mesi). Secondo il ISAE 3000 / 3402, il processo di audit mostra evidenza di appropriatezza ed efficacia in un intervallo di tempo passato. Una certificazione è solo un'istantanea nel tempo.

Nello specifico, in Germania i clienti sono abituati a cercare servizi certificati rispetto alla IT-Grundschutz tedesca definita dalla BSI (sicurezza di base IT). IT-Grundschutz funziona bene per le relazioni in outsourcing tradizionali o in loco, ma non è ottimizzato per il Cloud Computing. C5 fornisce ai clienti un report che documenta un livello di sicurezza IT equivalente a IT-Grundschutz che copre tutti gli aspetti di sicurezza IT per il Cloud Computing. Per le autorità, un attestato C5 è un requisito di base nel processo di acquisizione.

C5 è destinato principalmente ai fornitori di servizi cloud professionali, ai loro auditor e ai clienti dei fornitori di servizi cloud. Definisce quali requisiti (detti anche controlli) i fornitori di servizi cloud devono rispettare o quali requisiti minimi essi devono contemplare. I clienti AWS beneficiano del livello di certificazione C5 per l'infrastruttura (IaaS) che consente loro di concentrarsi sull'attestato delle loro applicazioni di livello SaaS/PaaS.

A novembre 2016, AWS è stato il primo fornitore di servizi cloud in Germania a ricevere C5 a livello di infrastruttura. Con la nostra attestazione C5, abbiamo posto le basi per il conseguimento dell'attestato C5 per le tue applicazioni cloud da parte del tuo auditor. Ciò offre ai clienti AWS l'opportunità di presentare il proprio attestato C5 senza la necessità di includere la sicurezza fisica dei data center e di gestire la parte dell'infrastruttura del cloud nell'ambito del proprio audit individuale. Le applicazioni implementate come Software as a Service (SaaS) e Platform as a Service (PaaS) possono essere certificate nel framework di attestazione C5. I tuoi clienti ricevono quindi la prova che stai implementando efficacemente il livello standard BSI di sicurezza IT a tutti i livelli.

Il compliance controls catalogue specifica che un auditor pubblico rilascia un attestato per i servizi cloud esaminati secondo una procedura riconosciuta a livello internazionale. La base per l'attestato è un report di un audit in cui l'auditor dimostra che i requisiti sono stati soddisfatti e implementati in modo efficace.

Per domande riguardanti la preparazione e l'esecuzione di un audit C5, contatta il tuo auditor.

Di solito un audit annuale non viene eseguito da un auditor pubblico in persona, ma da un intero team. Questo team include anche esperti IT. Per attestare il compliance controls catalogue, i membri del team devono verificare di essere qualificati (vedere la Sezione 3.5.1). Gli esempi includono certificazioni dal ISACA (CISA, CISM,CRISC, ilCSA (CCSK) oppure ISO 27001 eauditor IT-Grundschutz. Queste qualifiche devono essere elencate e verificate nell'attestato.

La durata del processo di audit dipende dagli attestati di cui è già in possesso la tua azienda. Un attestato come ISO 27001 accorcia il processo di audit. Si raccomanda di ottenere un attestato in concomitanza con un certificato, dal momento che tutti i requisiti di ISO IEC 27001 sono anche elencati nel compliance controls catalogue.

BSI ha allineato questo lavoro con ANSSI e con la loro futura Secure Cloud Label. Lo standard C5 è stato influenzato e ha influenzato lo standard Secure Cloud in Francia, con il chiaro obiettivo di avere l'opzione di un riconoscimento reciprocosotto un'etichetta comune denominata ESCloud.

 

Contattaci