Cloud Computing Compliance Controls Catalog (C5)

Visão geral

AWSC5Logo

O Cloud Computing Compliance Controls Catalog (C5) é um credenciamento apoiado pelo governo alemão, introduzido na Alemanha pelo Departamento Federal de Segurança das Informações (BSI) para ajudar as organizações a demonstrar segurança operacional contra ataques cibernéticos comuns no contexto do documento “Security Recommendations for Cloud Providers” do governo alemão.

O credenciamento C5 pode ser usado por clientes da AWS e seus consultores de conformidade para compreender os controles de segurança implementados pela AWS para cumprir os requisitos C5 à medida que eles migram suas cargas de trabalho para a nuvem. O C5 adiciona um nível de segurança de TI definido normativamente, equivalente ao IT-Grundschutz, com a adição de controles específicos para a nuvem.

O C5 acrescenta controles que fornecem informações sobre localização de dados, provisionamento de serviços, jurisdição, certificações existentes, obrigações de divulgação de informações e uma descrição completa dos serviços. Usando essas informações, os clientes podem avaliar como regulamentos legais (por exemplo, privacidade de dados), suas próprias políticas ou o ambiente de ameaças estão relacionados ao uso de serviços de computação em nuvem.

  • O que é C5?

    C5 (Cloud Computing Compliance Controls Catalogue) é o padrão de "Segurança de TI de computação em nuvem" na Alemanha. Projetado e disponibilizado pelo BSI em fevereiro de 2016, o conjunto de controles C5 oferece a clientes na Alemanha garantia adicional para a movimentação de cargas de trabalho complexas e normatizadas para provedores de serviços de computação em nuvem, como a AWS. O C5 abrange os padrões internacionais a seguir:

    • ISO/IEC 27001:2013 (ISO – International Organization for Standardization)
    • CSA Cloud Controls Matrix 3.01 (CSA – Cloud Security Alliance)
    • AICPA Trust Service Principles Criteria 2014 (AICPA – American Institute of Certified Public Accountants)
    • ANSSI Référentiel Secure Cloud 2.0 (rascunho) (ANSSI – Agence nationale de la sécurité des systèmes d'information)
    • IDW ERS FAIT 5 04.11.201 (rascunho de um parecer sobre contabilidade: “Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing” [Princípios contábeis geralmente aceitos para a terceirização de serviços relacionados à contabilidade, incluindo a computação em nuvem], versão de 4 de novembro de 2014)
    • BSI IT-Grundschutz Catalogues, 14ª versão, 2014
    • BSI SaaS Sicherheitsprofile 2014 [perfis de segurança de SaaS da BSI, 2014]
  • Quais são os benefícios desse padrão para o cliente?

    A AWS concluiu sua avaliação de 2020 com base no programa de conformidade e segurança de informações C5 e o relatório C5 está disponível para download no AWS Artifact. O relatório de credenciamento C5 de 2021 da AWS estará disponível no final de 2021. 

    O relatório C5 fornece aos nossos clientes europeus um credenciamento independente de terceiros sobre a adequação do projeto e a eficácia operacional de nossos controles para atender aos critérios C5 básicos e adicionais. Especificamente, na Alemanha, os clientes estão acostumados a procurar serviços de nuvem avaliados de acordo com os critérios C5. O C5 fornece aos clientes uma estrutura de trabalho que documenta um nível de segurança de TI equivalente ao IT-Grundschutz, abrangendo todos os aspectos de segurança de TI da computação em nuvem. Para as autoridades, o credenciamento C5 é um requisito básico no processo de aquisição.

  • Quais regiões da AWS estão no escopo do C5?

    As regiões da AWS no escopo do C5 incluem Frankfurt, Irlanda, Londres, Paris, Estocolmo e Singapura, além de pontos de presença na Alemanha, Irlanda, Inglaterra, França e Cingapura.

  • Quais serviços estão no escopo?

    Os serviços da AWS abrangidos que já estão no escopo do C5 podem ser encontrados em Serviços da AWS no escopo pelo programa de conformidade. Para saber mais sobre o uso desses serviços e/ou tiver interesse em outros, entre em contato conosco.

  • Quem criou o padrão C5?

    A autoridade de segurança cibernética nacional da Alemanha, Bundesamt für Sicherheit in der Informationstechnik (BSI), criou o padrão C5 em 2016. O BSI reformulou e atualizou o catálogo C5 em 2019. Uma nova versão (C5 2020) foi finalizada em janeiro de 2020. O BSI recomenda a aplicação da C5:2020 para auditorias com períodos de avaliação que expiram a partir de 15 de fevereiro de 2021. O BSI definiu os requisitos de segurança de TI para todos os sistemas governamentais. A maioria das empresas alemãs alinha sua estratégia de segurança de TI aos padrões do BSI.

  • Qual é a diferença entre o C5 e o IT-Grundschutz do BSI?

    O IT-Grundschutz é um padrão para estabelecer e manter uma proteção apropriada das informações de uma instituição. Os Catálogos do IT-Grundschutz descrevem as proteções de processos comerciais, aplicações e sistemas de TI típicos, além de abordar a proteção das próprias informações de uma empresa. O C5 fornece orientações sobre as ofertas do CSP (provedor de serviços de nuvem).

  • Como o AWS Support me ajudará a obter o credenciamento C5 para minhas aplicações SaaS e PaaS?

    O C5 é destinado principalmente para os provedores de serviços de nuvem profissionais, seus auditores e os clientes dos provedores de serviços de nuvem. Ele define quais requisitos (também chamados de controles) os provedores de nuvem devem cumprir.

    Em novembro de 2016, a AWS foi a primeira provedora de serviços de nuvem da Alemanha a receber o credenciamento C5 no nível de infraestrutura. Os clientes da Alemanha e de outros países europeus podem usar o relatório de credenciamento da AWS para atender aos requisitos de segurança local da estrutura de trabalho C5. O credenciamento C5 da AWS estabelece a base para que eles obtenham seu próprio credenciamento C5 para suas aplicações em nuvem junto a seu auditor. Isso dá aos clientes da AWS a oportunidade de buscar seu próprio credenciamento C5, sem terem a necessidade de incluir a segurança física dos datacenters e gerenciar a parte de infraestrutura da nuvem no escopo de sua auditoria individual. As aplicações implantadas como SaaS (Software como Serviço) e como PaaS (Plataforma como Serviço) também podem ser credenciados com base na estrutura de trabalho de credenciamento C5. O suporte da AWS ajuda a mostrar aos clientes que você está implementando o nível de padrão do BSI para a segurança de TI em todas as camadas.

  • Este padrão tem um impacto internacional?

    O BSI alinhou esse trabalho ao ANSSI e ao SecNumCloud Label futuro. O padrão C5 foi influenciado e influenciou o padrão SecNumCloud na França, com o objetivo claro de ter a opção de um reconhecimento mútuo de acordo com um rótulo comum chamado ESCloud. Além disso, a versão preliminar do Esquema de Certificação de Cibersegurança da União Europeia para Serviços de Nuvem (EUCS) da Agência da União Europeia para Cibersegurança (ENISA) baseia-se significativamente no padrão de segurança do C5.

  • Qual é a diferença entre uma certificação e um credenciamento?

    Uma certificação é emitida por uma empresa especializada credenciada e geralmente dura entre um e três anos. Um credenciamento pode ser recebido por pessoal qualificado durante uma auditoria de compatibilidade ou de contabilidade. Um credenciamento enfatiza mais o aspecto de implementação contínua, o que significa que o ciclo de uma nova auditoria é muito menor, com menos de seis meses. De acordo com o ISAE 3000/3402, o processo de auditoria fornece evidências de adequação e eficácia durante um período de tempo passado. Uma certificação é apenas um snapshot no tempo.

compliance-contactus-icon
Dúvidas? Entre em contacto com um representante comercial da AWS
Está a explorar funções de conformidade?
Inscreva-se hoje »
Quer ficar atualizado sobre a Conformidade da AWS?
Siga-nos no Twitter »