Cloud Computing Compliance Controls Catalog (C5)

Panoramica

Cloud Computing Compliance Controls Catalog (C5) è uno schema di attestazione sostenuto dal governo tedesco introdotto in Germania dall'Ufficio federale per la sicurezza delle informazioni (BSI). C5 aiuta le organizzazioni a dimostrare la sicurezza operativa contro i comuni attacchi informatici quando si utilizzano i servizi cloud nel contesto delle "Raccomandazioni di sicurezza per i fornitori di cloud" del governo tedesco".

L'attestato C5 può essere usato dai clienti AWS e dai rispettivi consulenti in materia di conformità per comprendere i controlli di sicurezza implementati da AWS per soddisfare i requisiti del C5 durante il trasferimento dei carichi di lavoro nel cloud. Il C5 aggiunge il livello di sicurezza IT a norma di legge equivalente allo standard IT-Grundschutz, con l'aggiunta di controlli specifici per il cloud.

Il C5 include controlli aggiuntivi relativi alla posizione dei dati, al provisioning dei servizi, alla sede giurisdizionale, alla certificazione esistente e agli obblighi di divulgazione delle informazioni, oltre a una descrizione completa del servizio. Grazie a tali informazioni, i clienti possono valutare il rapporto tra le norme di legge (ad esempio sulla privacy dei dati), le politiche in uso o l'ambiente delle minacce e l'uso dei servizi di cloud computing.

  • Il C5 (Cloud Computing Compliance Controls Catalogue) è lo standard di sicurezza informatica del cloud computing in Germania. Progettata e rilasciata da BSI a febbraio 2016, la serie di controlli dello standard C5 offre un'ulteriore garanzia ai clienti in Germania nel momento in cui trasferiscono i complessi carichi di lavoro regolamentati ai provider di servizi cloud computing quali AWS. C5 contempla i seguenti standard internazionali:

    • ISO/IEC 27001:2017 (ISO - International Organization for Standardization)
    • CSA Cloud Controls Matrix 3.01 (CSA - Cloud Security Alliance)
    • AICPA Trust Service Principles Criteria 2017 (AICPA - American Institute of Certified Public Accountants)
    • Profilo di protezione dei dati nel cloud di fiducia (TCDP)   - Versione 1
    • ISO/IEC 27017:2015
    • ISO/IEC 27-18:2014
    • Compendio BSI IT-Grundschutz – Edizione 2019

  • L'autorità nazionale tedesca per la sicurezza informatica Bundesamt für Sicherheit in der Informationstechnik (BSI) ha sviluppato lo standard C5 nel 2016. Il BSI definisce i requisiti di sicurezza informatica per tutti i sistemi governativi e la maggior parte delle aziende tedesche allinea la propria strategia di sicurezza informatica agli standard approvati dall'ente. Il BSI ha rielaborato e aggiornato il catalogo C5 nel 2019. A gennaio 2020 ne è stata completata una nuova versione (C5:2020). 

  • Il rapporto C5 fornisce ai nostri clienti europei un'attestazione indipendente di terze parti sull'idoneità della progettazione e dell'efficacia operativa dei nostri controlli per soddisfare i criteri di base e aggiuntivi C5. Nello specifico, i clienti in Germania sono abituati a cercare servizi cloud che sono stati valutati in base ai criteri del C5. Il C5 fornisce ai clienti un framework che documenta un livello di sicurezza IT equivalente all'IT-Grundschutz che copre tutti gli aspetti di sicurezza IT per il cloud computing. Per le autorità federali, un attestato C5 è un requisito fondamentale nel processo di approvvigionamento.

    Le informazioni attuali su C5 in AWS possono essere consultate nei rispettivi post del blog sulla sicurezza AWS C5.

  • Le regioni AWS che rientrano nell'ambito del C5 includono Francoforte, Irlanda, Londra, Parigi, Milano, Stoccolma e Singapore, oltre a posizioni edge in Germania, Irlanda, Inghilterra, Francia e Singapore.

  • I servizi AWS interessati dal C5 sono riportati nei Servizi AWS coperti dal programma di compliance. Per ulteriori informazioni sull'uso di tali servizi o se ti interessano altri servizi, contattaci.

  • L'IT-Grundschutz è uno standard per stabilire e mantenere un'adeguata protezione delle informazioni di un'istituzione. I cataloghi dell'IT-Grundschutz descrivono le tutele per i processi aziendali, i sistemi informatici e le applicazioni tipici e riguardano la protezione delle informazioni di un'impresa. Il C5 fornisce indicazioni sulle offerte dei fornitori di servizi cloud (cloud service provider, CSP).

  • Il BSI ha allineato questo lavoro con l'ANSSI e con la sua futura etichetta SecNumCloud. Lo standard C5 è stato influenzato dallo standard SecNumCloud francese e lo ha influenzato a sua volta, con il chiaro obiettivo di avere l'opzione di un riconoscimento reciproco sotto un'etichetta comune denominata ESCloud. Anche la bozza dell'European Union Cybersecurity Certification Scheme for Cloud Services (EUCS) stilata dall'Agenzia dell'Unione europea per la cibersicurezza (ENISA) si ispira in buona parte allo standard di sicurezza del C5.

  • La certificazione viene emessa da un'azienda specializzata accreditata e, nella maggior parte dei casi, ha una durata compresa tra uno e tre anni. È possibile ricevere l'attestato durante un audit di conformità o una revisione contabile da parte di personale qualificato. L'attestato si concentra in primo luogo sull'aspetto dell'implementazione continua, il che significa che il ciclo di ripetizione degli audit è molto più breve e si riduce a 6 mesi. Secondo le norme ISAE 3000/3402, il processo di audit dimostra l'adeguatezza e l'efficacia in un intervallo di tempo passato. Una certificazione è solo un'istantanea nel tempo.

Risorse C5

Amazon Web Services: Best Practice per la sicurezza, l'identità e la conformità
Amazon Web Services: rischio e conformità
Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »