Pular para o conteúdo principal

Segurança na Nuvem AWS

Cloud Computing Compliance Criteria Catalogue

C5

Visão geral

O Cloud Computing Compliance Criteria Catalog (C5) é um programa de certificação mantido pelo governo alemão e implantado no país pelo Federal Office for Information Security (BSI). O C5 ajuda as organizações a comprovar que possuem segurança operacional contra ataques cibernéticos ao usar serviços de nuvem no âmbito das “Security Recommendations for Cloud Providers” do governo alemão.

A certificação do C5 pode ser usada por clientes da AWS e seus consultores de conformidade para compreender os controles de segurança implantados pela AWS para cumprir os requisitos do C5 à medida que migram suas workloads para a nuvem. O C5 adiciona um nível de segurança de TI definido normativamente, equivalente ao IT-Grundschutz com a adição de controles específicos para a nuvem.

O C5 inclui requisitos de controles adicionais relacionados à localização de dados, ao provisionamento de serviços, ao local da jurisdição, às certificações existentes, às obrigações de divulgação de informações e a uma descrição completa dos serviços. Usando essas informações, os clientes podem avaliar como regulamentos legais (por exemplo, privacidade de dados), suas próprias políticas ou o ambiente de ameaças se relacionam ao uso de serviços de computação em nuvem.

Missing alt text value

Perguntas frequentes

Abrir tudo

    O relatório C5 fornece aos nossos clientes europeus um atestado de terceiro independente sobre a adequação do projeto e a eficácia operacional de nossos controles para atender aos critérios básicos e adicionais do C5. Especificamente na Alemanha, os clientes estão acostumados a procurar serviços de nuvem avaliados de acordo com os critérios do C5. O C5 fornece aos clientes um framework que documenta um nível de segurança de TI equivalente ao IT-Grundschutz, abrangendo todos os aspectos de segurança de TI da computação em nuvem. Para as autoridades federais, o atestado C5 é um requisito básico no processo de aquisição.

    As informações atuais sobre o C5 na AWS podem ser analisadas nas respectivas postagens do blog de segurança do C5 da AWS.

    O BSI alinhou esse trabalho ao ANSSI e ao SecNumCloud Label futuro. O padrão C5 foi influenciado e influenciou o padrão SecNumCloud na França, com o objetivo claro de ter a opção de um reconhecimento mútuo de acordo com um rótulo comum chamado ESCloud. Além disso, a versão preliminar do Esquema de Certificação de Cibersegurança da União Europeia para Serviços de Nuvem (EUCS) da Agência da União Europeia para Cibersegurança (ENISA) baseia-se significativamente no padrão de segurança do C5.

    As regiões da AWS no escopo do C5 incluem Frankfurt, Irlanda, Londres, Paris, Milão, Estocolmo, Singapura, Zurique e Espanha, além de locais da borda na Alemanha, Irlanda, Inglaterra, França, Singapura, Suécia, Itália, Espanha e Suíça.

    Uma certificação é emitida por uma empresa especializada credenciada e geralmente dura entre um e três anos. Um credenciamento pode ser recebido por pessoal qualificado durante uma auditoria de compatibilidade ou de contabilidade. Um credenciamento enfatiza mais o aspecto de implementação contínua, o que significa que o ciclo de uma nova auditoria é muito menor, com menos de seis meses. De acordo com o ISAE 3000/3402, o processo de auditoria fornece evidências de adequação e eficácia durante um período de tempo passado. Uma certificação é apenas um snapshot no tempo.

    O IT-Grundschutz é um padrão para estabelecer e manter uma proteção apropriada das informações de uma instituição. Os Catálogos do IT-Grundschutz descrevem as proteções de processos comerciais, aplicações e sistemas de TI típicos, além de abordar a proteção das próprias informações de uma empresa. O C5 fornece orientações sobre as ofertas de provedores de serviços de nuvem (CSP).

    O C5 (Cloud Computing Compliance Controls Catalogue) é o padrão de “segurança de TI para computação em nuvem” na Alemanha. Projetado e inicialmente disponibilizado pelo BSI em 2016, o conjunto de controles C5 oferece aos clientes na Alemanha garantia adicional para a movimentação de workloads complexas e normatizadas para provedores de serviços de computação em nuvem, como a AWS.

    O C5 atual foi lançado em 2020 e inclui requisitos dos seguintes padrões e publicações:

    • ISO/IEC 27001:2013: sistemas de gerenciamento de segurança da informação - requisitos
    • ISO/IEC 27002:2016: procedimentos de segurança de TI - diretrizes para medidas de segurança da informação
    • ISO/IEC 27017:2015: técnicas de segurança - código de prática para controles de segurança da informação baseado na ISO/IEC 27002 para serviços em nuvem
    • BSI: IT-Grundschutz-Kompendium, 2.ª edição 2019
    • CSA: Cloud Controls Matrix 3.0.1 (CSA - Cloud Security Alliance)
    • AICPA Trust Service Principles Criteria 2017: (AICPA, American Institute of Certified Public Accountants)
    • ANSSI (Agence nationale de la sécurité des systèmes d’information, Agência Nacional de Segurança Cibernética da França): provedores de serviços de computação em nuvem v. 3.1 (SecNumCloud)
    • IDW (Institut der Wirtschaftsprüfer, o Instituto Alemão de Contadores Públicos Certificados) RS FAIT 5: declaração sobre relatórios financeiros: “princípios de contabilidade ordenada para a terceirização de serviços relacionados a relatórios financeiros, incluindo computação em nuvem”, de 4 de novembro de 2015

    A autoridade de segurança cibernética nacional da Alemanha, Bundesamt für Sicherheit in der Informationstechnik (BSI), criou o padrão C5 em 2016. O BSI definiu os requisitos de segurança de TI para todos os sistemas governamentais. A maioria das empresas alemãs alinha sua estratégia de segurança de TI aos padrões do BSI. O BSI reformulou e atualizou o catálogo C5 em 2019. Uma nova versão (C5 2020) foi finalizada em janeiro de 2020.