Catalogo dei criteri di conformità del cloud computing (C5)
Panoramica sul C5
Nel 2016, l'Ufficio federale tedesco per la sicurezza informatica (Bundesamt für Sicherheit in der Informationstechnik, BSI) ha pubblicato il Cloud Computing Compliance Controls Catalog (C5). Nel 2020 il BSI ha rivisto le linee guida come Cloud Computing Compliance Criteria Catalog (C5:2020). C5 è uno standard verificato che stabilisce misure minime di sicurezza obbligatorie nel cloud e l'adozione di soluzioni cloud pubbliche da parte delle agenzie governative e organizzazioni tedesche che lavorano con gli enti pubblici. Anche il settore privato sta adottando sempre più spesso il C5.
Lo scopo del catalogo dei requisiti C5 è di fornire un quadro di sicurezza coerente per la certificazione dei provider dei servizi cloud e di offrire ai clienti la certezza che i dati vengano gestiti in tutta sicurezza.
Il C5 si basa su standard di sicurezza IT riconosciuti a livello internazionale, come ISO/IEC 27001:2013, il Cloud Security Alliance Cloud Controls Matrix 3.0.1 e i cataloghi IT-Grundschutz di BSI. Il catalogo è costituito da 114 requisiti in 17 domini, ad esempio l'organizzazione della sicurezza delle informazioni e di quella fisica, con requisiti di sicurezza di base per i provider di servizi cloud, nonché altri requisiti per l'elaborazione dei dati estremamente riservati e per situazioni che richiedono una disponibilità elevata.
Anche il BSI sottolinea la trasparenza. Nell'ambito di un controllo, il provider di servizi cloud deve fornire una descrizione dettagliata del sistema e dei parametri ambientali come giurisdizione e luogo del trattamento dei dati, fornitura di servizi e altre certificazioni per i servizi cloud, nonché informazioni sugli obblighi di divulgazione del provider nei confronti delle autorità pubbliche. Questo sistema consente ai potenziali clienti cloud di decidere se i servizi cloud soddisfano i requisiti essenziali, ad esempio la conformità ai requisiti legali, ad esempio la protezione dei dati, i criteri aziendali o la possibilità di affrontare la minaccia dello spionaggio industriale.
Microsoft e C5
I servizi cloud Microsoft vengono controllati almeno una volta l'anno rispetto agli standard SOC 2 (Sezione AT 101). Secondo BSI, un controllo C5 può essere associato a un controllo SOC 2 per poter riutilizzare parti della descrizione del sistema e i risultati del controllo, in caso di controlli sovrapposti. Microsoft Azure, Azure per enti pubblici e Azure Germania gestiscono un report combinato (C5, SOC 2 tipo 2, attestazione CSA STAR) basato sul controllo eseguito da un revisore indipendente, che dimostra la conformità al C5.
Piattaforme e servizi cloud Microsoft inclusi nell'ambito
- Azure, Azure per enti pubblici e Azure Germania
- Office 365 Germania
Azure, Dynamics 365 e C5
Per altre informazioni su Azure, Dynamics 365 e altre Servizi online conformità, vedere l'offerta Germania C5:2020.
Domande frequenti
Posso usare la conformità Microsoft con il C5 per aiutare l'organizzazione a ottenere l'attestazione C5?
Sì. Puoi utilizzare le attestazioni dei servizi cloud Microsoft come base per qualsiasi programma o iniziativa che richieda il C5. Tuttavia, è necessario ottenere la propria attestazione C5 per i componenti esterni o incorporati in questi servizi.
Qual è la differenza tra il C5 e i cataloghi IT-Grundschutz?
IT-Grundschutz fornisce una metodologia specifica che consente alle organizzazioni di identificare e implementare le misure di sicurezza per i sistemi IT ed è uno degli elementi fondamentali degli standard C5. C5 fornisce un insieme di standard di controllo per i provider di servizi cloud, ma lascia i dettagli dell'implementazione ai provider stessi.
Cos'è Microsoft Cloud per la Germania?
Microsoft Cloud Germania ha sede fisicamente in Germania, aderendo ai requisiti della legge tedesca sulla privacy, che limita il trasferimento dei dati personali ad altre nazioni e offre protezione dall'accesso da parte delle autorità di altre giurisdizioni che potrebbero violare le leggi nazionali. Azure Germania fornisce i propri servizi da data center tedeschi con residenza dei dati in Germania, offrendo rigorose misure di accesso e controllo delle informazioni tramite un modello di trustee univoco disciplinato dalla legislazione tedesca.
Usare Microsoft Purview Compliance Manager per valutare il rischio
Microsoft Purview Compliance Manager è una funzionalità del Portale di conformità di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.
Risorse
- Catalogo dei criteri di conformità del cloud computing (C5:2020) (inglese) (tedesco)
- Raccomandazioni sulla sicurezza per i provider di cloud computing (inglese) (tedesco)
- Azure + Dynamics 365 + Online Services - Public & Government - SOC 2 Type II + C5 + CSA Star Report
- Microsoft 365 - C5 Worldwide Type 1 Report
- Cartella di lavoro IT-Grundschutz per Microsoft Azure Germania
- Cartella di lavoro IT-Grundschutz (inglese) per Office 365 Germania
- Cartella di lavoro IT-Grundschutz (tedesco) per Office 365 Germania
- Conformità nel Centro protezione Microsoft
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per