Condividi tramite


Autovalutazione Cloud Security Alliance (CSA) STAR

Panoramica sull’autovalutazione CSA STAR

La Cloud Security Alliance (CSA) è un'organizzazione no profit guidata da un'ampia coalizione di professionisti del settore, società e altri soggetti importanti. La sua funzione consiste nel definire le procedure consigliate per garantire un ambiente di cloud computing più sicuro e aiutare i potenziali clienti cloud a prendere decisioni ponderate al momento del trasferimento delle loro operazioni IT al cloud.

Nel 2010 la CSA ha pubblicato una serie di strumenti per valutare le operazioni IT nel cloud: la pila CSA su governance, gestione dei rischi e conformità (GRC). È stata creata per aiutare i clienti del cloud a valutare se i provider di servizi cloud (CSP) seguono le procedure consigliate e gli standard del settore e sono conformi alle normative.

Nel 2013, la CSA e la British Standards Institution (BSI) hanno istituito il Security, Trust & Assurance Registry (STAR), un registro libero e accessibile pubblicamente dove i CSP possono pubblicare le loro valutazioni correlate alla CSA.

CSA STAR si basa su due componenti principali della pila CSA GRC:

  • Cloud Controls Matrix (CCM): un quadro di controlli che include i principi fondamentali sulla sicurezza in 16 domini consentendo ai clienti cloud di valutare il rischio di sicurezza complessivo di un CSP.
  • Il Consensus Assessments Initiative Questionnaire (CAIQ): un insieme di più di 140 domande basate sul CCM che un cliente o un revisore cloud potrebbe porre ai CSP per valutarne la conformità alle procedure consigliate CSA.

STAR prevede tre livelli di controllo: l’autovalutazione CSA-STAR è l'offerta introduttiva al livello 1, gratuita e aperta a tutti i CSP. Procedendo lungo la pila di controllo, il livello 2 del programma STAR prevede certificazioni basate sulla valutazione di terze parti, mentre il livello 3 include certificazioni basate sul monitoraggio continuo.

Microsoft e l’autovalutazione CSA STAR

Nell'ambito dell'autovalutazione STAR, i CSP possono inviare due tipi di documenti diversi per indicare la conformità alle procedure consigliate della CSA: un CAIQ completato o un report che documenti la conformità al CCM. Per la l’autovalutazione CSA STAR, Microsoft pubblica sia un CAIQ sia un report basato sul CCM per Microsoft Azure, e report basati sul CCM per Microsoft Dynamics 365 e Microsoft Office 365.

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

Azure, Autovalutazione Dynamics 365 e CSA STAR

Per altre informazioni su Azure, Dynamics 365 e la conformità dei servizi online, vedere l'offerta Autovalutazione Azure CSA STAR.

Office 365 e autovalutazione CSA STAR

ambienti Office 365

Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.

Questa sezione illustra gli ambienti di Office 365 seguenti:

  • Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
  • Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
  • Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
  • Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
  • Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.

Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.

L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.

Applicabilità di Office 365 e servizi inclusi nell'ambito

Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:

Applicabilità Servizi inclusi nell'ambito
Commerciale Exchange Online, Exchange Online Protection, Portale per i clienti di Office 365, Office Online, Infrastruttura del servizio di Office, OneDrive for Business, SharePoint Online, Skype for Business

Domande frequenti

A quali standard di settore viene allineato il CSA CCM?

Il CCM corrisponde agli standard di sicurezza, alle normative e ai quadri di controllo accettati dal settore, come ISO 27001, PCI DSS, HIPAA, AICPA SOC 2, NERC CIP, FedRAMP, NIST e molti altri. Per l'elenco aggiornato, visita il sito Web CSA.

Perché l’autovalutazione CSA STAR è importante?

Consente ai CSP di documentare in modo trasparente la propria conformità alle procedure consigliate pubblicate dalla CSA. I report di autovalutazione sono accessibili pubblicamente, permettendo ai clienti cloud di acquisire visibilità sulle procedure di sicurezza dei CSP e di confrontare diversi CSP con uno stesso strumento di riferimento.

Quali sono i livelli di controllo CSA STAR raggiunti da Office 365?

  • Livello 1: autovalutazione CSA STAR: : un’offerta gratuita fornita dai provider di servizi cloud per documentare i propri controlli di sicurezza e consentire ai clienti di valutare la sicurezza del servizio.

Risorse di Office 365