Cloud Computing Compliance Controls Catalog (C5)

Visão geral

O Cloud Computing Compliance Controls Catalog (C5) é um programa de certificação mantido pelo governo alemão e implantado no país pelo Federal Office for Information Security (BSI). O C5 ajuda as organizações a demonstrar que possuem segurança operacional contra ataques cibernéticos ao usar serviços de nuvem no âmbito das “Security Recommendations for Cloud Providers” (Recomendações de segurança para provedores de nuvem) do governo alemão.

O atestado do C5 pode ser usado por clientes da AWS e seus consultores de conformidade para compreender os controles de segurança implantados pela AWS para cumprir os requisitos do C5 à medida que eles migram suas workloads para a nuvem. O C5 adiciona um nível de segurança de TI definido normativamente, equivalente ao IT-Grundschutz, com a adição de controles específicos para a nuvem.

O C5 acrescenta controles que fornecem informações sobre localização de dados, provisionamento de serviços, jurisdição, certificações existentes, obrigações de divulgação de informações e uma descrição completa dos serviços. Usando essas informações, os clientes podem avaliar como regulamentos legais (por exemplo, privacidade de dados), suas próprias políticas ou o ambiente de ameaças estão relacionados ao uso de serviços de computação em nuvem.

  • O C5 (Cloud Computing Compliance Controls Catalogue) é o padrão de “segurança de TI para computação em nuvem” na Alemanha. Projetado e disponibilizado pelo BSI em fevereiro de 2016, o conjunto de controles C5 oferece a clientes na Alemanha garantia adicional para a movimentação de cargas de trabalho complexas e normatizadas para provedores de serviços de computação em nuvem, como a AWS. O C5 abrange os padrões internacionais a seguir:

    • ISO/IEC 27001:2017 (ISO: International Organization for Standardization)
    • CSA Cloud Controls Matrix 3.01 (CSA: Cloud Security Alliance)
    • AICPA Trust Service Principles Criteria 2017 (AICPA: American Institute of Certified Public Accountants)
    • Trusted Cloud Data Protection Profile (TCDP) versão 1
    • ISO/IEC 27017:2015
    • ISO/IEC 27-18:2014
    • BSI IT-Grundschutz Kompendium, edição de 2019

  • A autoridade de segurança cibernética nacional da Alemanha, Bundesamt für Sicherheit in der Informationstechnik (BSI), criou o padrão C5 em 2016. O BSI definiu os requisitos de segurança de TI para todos os sistemas governamentais. A maioria das empresas alemãs alinha sua estratégia de segurança de TI aos padrões do BSI. O BSI reformulou e atualizou o catálogo C5 em 2019. Uma nova versão (C5 2020) foi finalizada em janeiro de 2020. 

  • O relatório C5 fornece aos nossos clientes europeus um atestado de terceiro independente sobre a adequação do projeto e a eficácia operacional de nossos controles para atender aos critérios básicos e adicionais do C5. Especificamente na Alemanha, os clientes estão acostumados a procurar serviços de nuvem avaliados de acordo com os critérios do C5. O C5 fornece aos clientes um framework que documenta um nível de segurança de TI equivalente ao IT-Grundschutz, abrangendo todos os aspectos de segurança de TI da computação em nuvem. Para as autoridades federais, o atestado C5 é um requisito básico no processo de aquisição.

    As informações atuais sobre o C5 na AWS podem ser analisadas nas respectivas postagens do blog de segurança do C5 da AWS.

  • As regiões da AWS no escopo do C5 incluem Frankfurt, Irlanda, Londres, Paris, Milão, Estocolmo e Singapura, além de locais de borda na Alemanha, Irlanda, Inglaterra, França e Singapura.

  • Os produtos da AWS abrangidos que já estão no escopo do C5 podem ser encontrados em AWS Services in Scope by Compliance Program (Produtos da AWS no escopo de acordo com o programa de conformidade). Se quiser saber mais sobre o uso desses serviços e/ou tiver interesse em outros, entre em contato conosco.

  • O IT-Grundschutz é um padrão para estabelecer e manter uma proteção apropriada das informações de uma instituição. Os Catálogos do IT-Grundschutz descrevem as proteções de processos comerciais, aplicações e sistemas de TI típicos, além de abordar a proteção das próprias informações de uma empresa. O C5 fornece orientações sobre as ofertas de provedores de serviços de nuvem (CSP).

  • O BSI alinhou esse trabalho ao ANSSI e ao SecNumCloud Label futuro. O padrão C5 foi influenciado e influenciou o padrão SecNumCloud na França, com o objetivo claro de ter a opção de um reconhecimento mútuo de acordo com um rótulo comum chamado ESCloud. Além disso, a versão preliminar do Esquema de Certificação de Cibersegurança da União Europeia para Serviços de Nuvem (EUCS) da Agência da União Europeia para Cibersegurança (ENISA) baseia-se significativamente no padrão de segurança do C5.

  • Uma certificação é emitida por uma empresa especializada credenciada e geralmente dura entre um e três anos. Um credenciamento pode ser recebido por pessoal qualificado durante uma auditoria de compatibilidade ou de contabilidade. Um credenciamento enfatiza mais o aspecto de implementação contínua, o que significa que o ciclo de uma nova auditoria é muito menor, com menos de seis meses. De acordo com o ISAE 3000/3402, o processo de auditoria fornece evidências de adequação e eficácia durante um período de tempo passado. Uma certificação é apenas um snapshot no tempo.

Recursos do C5

Amazon Web Services: práticas recomendadas de segurança, identidade e conformidade
Amazon Web Services: risco e conformidade
Dúvidas? Entre em contacto com um representante comercial da AWS
Está a explorar funções de conformidade?
Inscreva-se hoje »
Quer ficar atualizado sobre a Conformidade da AWS?
Siga-nos no Twitter »