Gostaria de informações sobre o C5



 

Uptime Institute

O Cloud Computing Compliance Controls Catalog (C5) é um credenciamento apoiado pelo governo alemão, introduzido na Alemanha pelo departamento federal de segurança das informações (BSI) para ajudar as organizações a demonstrar segurança operacional contra ataques cibernéticos comuns dentro do contexto do documento “Security Recommendations for Cloud Providers” do governo alemão.

O credenciamento C5 pode ser usado por clientes da AWS e seus consultores de conformidade para compreender a gama de serviços de garantia de segurança de TI oferecida pela AWS na movimentação de cargas de trabalho para a nuvem. O C5 adiciona um nível de segurança de TI definido normativamente, equivalente ao IT-Grundschutz com a adição de controles específicos para a nuvem.

O C5 acrescenta controles que fornecem informações sobre localização de dados, provisionamento de serviços, jurisdição, certificações existentes, obrigações de divulgação de informações e uma descrição completa dos serviços. Usando essas informações, os clientes podem avaliar como regulamentos legais (por exemplo, privacidade de dados), suas próprias políticas ou o ambiente de ameaças se relacionam ao uso de serviços de computação em nuvem.


Os clientes da AWS podem fazer um credenciamento C5 para os aplicativos de nuvem executados na infraestrutura da AWS. Em novembro de 2016, a AWS foi a primeira provedora de serviços de nuvem na Alemanha a receber o C5 no nível de infraestrutura. Com o relatório C5, a AWS estabelece a base para documentar a compatibilidade do C5 como um provedor de IaaS (Infraestrutura como um Serviço).

Os clientes da AWS agora podem fazer um credenciamento C5 para seus aplicativos de nuvem sem ter que auditar a segurança física dos datacenters ou da infraestrutura da nuvem. Os clientes também podem credenciar aplicativos implantados como um SaaS (Software como um Serviço) e como uma PaaS (Plataforma como um Serviço) na estrutura de credenciamento C5. Desse modo, os clientes, recebem uma prova de que estão, de fato, implementando o nível de padrão do BSI para a segurança de TI em todas as camadas.


O Cloud Computing Compliance Control Catalogue (C5) do BSI cobre todos os aspectos de um serviço de nuvem operado com segurança. Para os clientes atuais da AWS, a discussão interna com os gerentes de segurança e conformidade será facilitada consideravelmente. Para clientes em potencial, será muito mais fácil transferir casos de uso para a AWS. Nos dois casos, entendemos que o credenciamento aumentará substancialmente o consumo de serviços.
Computacenter AG & Co oHG
O credenciamento C5 do BSI é uma prova de que a Box Cloud é uma solução de nuvem segura para o Gerenciamento de Conteúdo Empresarial. Por meio do compromisso e do investimento em compatibilidade na Alemanha e na Europa, a Box mostra a importância desses mercados para a empresa. A Box utiliza, entre outros recursos, a infraestrutura da AWS na região de Frankfurt, que também é compatível com o C5.
Box, Inc.
O credenciamento C5 da AWS, um esquema projetado para gerenciar a infraestrutura, é uma prova significativa de segurança da informação para nós e para nossos clientes nas áreas de datacenter, servidor, rede e dados. Com a segurança confiável da AWS, podemos concentrar nossas energias e nosso foco em nossos próprios negócios, com a certeza de que estamos em boas mãos.
e-Spirit AG

As perguntas frequentes servem como um guia para receber o credenciamento C5 para seus aplicativos de SaaS e de PaaS. Informações adicionais sobre o C5 e o “Cloud Computing Compliance Controls Catalogue (C5) – Critérios para avaliar a segurança das informações dos serviços de nuvem”, podem ser encontradas no site do BSI.

Os serviços da AWS abrangidos que já estão no escopo do C5 podem ser encontrados em Serviços da AWS no escopo por programa de compatibilidade. Se quiser saber mais sobre o uso desses serviços e/ou tiver interesse em outros, entre em contato conosco.

C5 (Cloud [Nuvem], Computação, Compatibilidade, Controles e Catálogo) é o padrão de "Segurança de TI de computação em nuvem" na Alemanha. Projetado e disponibilizado pelo BSI em fevereiro de 2016, o conjunto de controles C5 oferece garantia adicional a clientes na Alemanha conforme eles movimentam suas cargas de trabalho complexas e normatizadas para provedores de serviços de computação em nuvem, como a AWS. O C5 abrange os padrões internacionais a seguir:

ISO/IEC 27001:2013 (ISO – Organização Internacional de Normalização)

CSA Cloud Controls Matrix 3.01 (CSA – Cloud Security Alliance)

AICPA Trust Service Principles Criteria 2014 (AICPA – Instituto Americano de Contadores Públicos Certificados)

ANSSI Référentiel Secure Cloud 2.0 (Rascunho) (ANSSI – Agence nationale de la sécurité des systèmes d'information)

IDW ERS FAIT 5 04.11.201 (rascunho de um parecer sobre contabilidade: “Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing” [Princípios contábeis geralmente aceitos para a terceirização de serviços relacionados à contabilidade, incluindo a computação em nuvem], versão de 4 de novembro de 2014)

BSI IT-Grundschutz Catalogues, 14ª versão, 2014

BSI SaaS Sicherheitsprofile 2014 [perfis de segurança de SaaS da BSI, 2014]

A autoridade de segurança cibernética nacional da Alemanha, Bundesamt für Sicherheit in der Informationstechnik (BSI), criou o padrão C5. O BSI definiu os requisitos de segurança de TI para todos os sistemas governamentais. A maioria das empresas alemãs alinha sua estratégia de segurança de TI aos padrões do BSI.

Os controles dos padrões mencionados acima foram coletados e, então, empacotados especialmente para o escopo da Computação em Nuvem. Isso beneficia o CSP e o cliente ao fornecer um entendimento claro da função do CSP e da função do cliente no Modelo de Responsabilidade Compartilhada.

O IT-Grundschutz é um padrão para estabelecer e manter uma proteção apropriada das informações de uma instituição. Os Catálogos do IT-Grundschutz descrevem as proteções típicas para os processos corporativos e para os aplicativos e sistemas de TI, além de ter como objetivo a proteção das próprias informações de uma empresa. O C5 fornece orientações sobre as ofertas do CSP (provedor de serviços de nuvem).

Uma certificação é emitida por uma empresa especializada credenciada e geralmente dura entre um e três anos. Um credenciamento pode ser recebido por pessoal qualificado durante uma auditoria de compatibilidade ou uma contabilidade. Um credenciamento enfatiza mais o aspecto de implementação contínua, o que significa que o ciclo de uma nova auditoria é muito menor, com menos de seis meses. De acordo com o ISAE 3000/3402, o processo de auditoria fornece evidências de adequação e de eficácia durante um período de tempo passado. Uma certificação é apenas um snapshot no tempo.

Especialmente na Alemanha, os clientes estão acostumados a procurar por serviços que são certificados pelo IT-Grundschutz alemão (Segurança de linha de base de TI) definido pelo BSI. O IT-Grundschutz funciona bem para relações de terceirização tradicionais ou no local, mas não é otimizado para computação em nuvem. O C5 fornece aos clientes um relatório que documenta um nível de segurança de TI equivalente ao IT-Grundschutz, abrangendo todos os aspectos de segurança de TI para a computação em nuvem. Para as autoridades, o credenciamento C5 é um requisito básico no processo de aquisição.

O C5 é destinado principalmente para os provedores de serviços de nuvem profissionais, seus auditores e os clientes de serviços de nuvem. Ele define quais requisitos (também conhecidos como controles) os provedores de nuvem devem cumprir ou quais requisitos mínimos os provedores de nuvem devem ser obrigados a cumprir. Os clientes da AWS se beneficiam com o credenciamento C5 na camada de infraestrutura (IaaS), o que permite que eles se concentrem no credenciamento de seus aplicativos de camada de SaaS/PaaS.

Em novembro de 2016, a AWS foi a primeira provedora de serviços de nuvem na Alemanha a receber o C5 no nível de infraestrutura. Com nosso credenciamento C5, estabelecemos a base para que você receba o credenciamento C5 de seu auditor para seus aplicativos de nuvem. Isso dá aos clientes da AWS a oportunidade de buscar seu próprio credenciamento C5, sem terem a necessidade de incluir a segurança física dos datacenters e gerenciar a parte de infraestrutura da nuvem no escopo de sua auditoria individual. Os aplicativos implantados como um SaaS (Software como um Serviço) e como uma PaaS (Plataforma como um Serviço) também podem ser atestados na estrutura de credenciamento C5. Desse modo, os clientes recebem uma prova de que estão, de fato, implementando o nível de padrão do BSI para a segurança de TI em todas as camadas.

O catálogo de controles de compatibilidade especifica que um auditor público emite um credenciamento para os serviços de nuvem examinados de acordo com um procedimento internacionalmente reconhecido. A base para o credenciamento é um relatório de auditoria no qual o auditor demonstra se os requisitos foram de fato cumpridos e implementados.

Para questões relacionadas à preparação e execução de uma auditoria do C5, entre em contato com o auditor.

Uma auditoria anual geralmente não é realizada por um auditor público pessoalmente, mas sim por uma equipe. Essa equipe também tem especialistas em TI. Para atestar o catálogo de controles de compatibilidade, os membros da equipe devem verificar se estão qualificados (leia a Seção 3.5.1). Os exemplos incluem certificações dos auditores das normas ISACA (CISA, CISM, CRISC), CSA (CCSK) ou ISO 27001 e IT-Grundschutz. Essas qualificações devem ser listadas e verificadas no credenciamento.

A duração do processo de auditoria depende das certificações existentes em sua empresa. Uma certificação como a ISO 27001 reduz o processo de auditoria. É recomendável fazer um credenciamento junto com uma certificação, pois os requisitos da ISO IEC 27001 também estão listados no catálogo de controle de compatibilidade.

O BSI alinhou esse trabalho com o ANSSI e com o Secure Cloud Label futuro. O padrão C5 foi influenciado e influenciou o padrão Secure Cloud na França, com o objetivo evidente de ter a opção de um reconhecimento mútuo de acordo com um rótulo comum chamado ESCloud.

 

Entre em contato conosco