Autovalutazione Cloud Security Alliance (CSA) STAR
Panoramica sull’autovalutazione CSA STAR
La Cloud Security Alliance (CSA) è un'organizzazione no profit guidata da un'ampia coalizione di professionisti del settore, società e altri soggetti importanti. La sua funzione consiste nel definire le procedure consigliate per garantire un ambiente di cloud computing più sicuro e aiutare i potenziali clienti cloud a prendere decisioni ponderate al momento del trasferimento delle loro operazioni IT al cloud.
Nel 2010 la CSA ha pubblicato una serie di strumenti per valutare le operazioni IT nel cloud: la pila CSA su governance, gestione dei rischi e conformità (GRC). È stata creata per aiutare i clienti del cloud a valutare se i provider di servizi cloud (CSP) seguono le procedure consigliate e gli standard del settore e sono conformi alle normative.
Nel 2013, la CSA e la British Standards Institution (BSI) hanno istituito il Security, Trust & Assurance Registry (STAR), un registro libero e accessibile pubblicamente dove i CSP possono pubblicare le loro valutazioni correlate alla CSA.
CSA STAR si basa su due componenti principali della pila CSA GRC:
- Cloud Controls Matrix (CCM): un quadro di controlli che include i principi fondamentali sulla sicurezza in 16 domini consentendo ai clienti cloud di valutare il rischio di sicurezza complessivo di un CSP.
- Il Consensus Assessments Initiative Questionnaire (CAIQ): un insieme di più di 140 domande basate sul CCM che un cliente o un revisore cloud potrebbe porre ai CSP per valutarne la conformità alle procedure consigliate CSA.
STAR prevede tre livelli di controllo: l’autovalutazione CSA-STAR è l'offerta introduttiva al livello 1, gratuita e aperta a tutti i CSP. Procedendo lungo la pila di controllo, il livello 2 del programma STAR prevede certificazioni basate sulla valutazione di terze parti, mentre il livello 3 include certificazioni basate sul monitoraggio continuo.
Microsoft e l’autovalutazione CSA STAR
Nell'ambito dell'autovalutazione STAR, i CSP possono inviare due tipi di documenti diversi per indicare la conformità alle procedure consigliate della CSA: un CAIQ completato o un report che documenti la conformità al CCM. Per la l’autovalutazione CSA STAR, Microsoft pubblica sia un CAIQ sia un report basato sul CCM per Microsoft Azure, e report basati sul CCM per Microsoft Dynamics 365 e Microsoft Office 365.
Piattaforme e servizi cloud Microsoft inclusi nell'ambito
- Azure e Azure per enti pubblici
- Dynamics 365
- Office 365
Azure, Autovalutazione Dynamics 365 e CSA STAR
Per altre informazioni su Azure, Dynamics 365 e la conformità dei servizi online, vedere l'offerta Autovalutazione Azure CSA STAR.
Office 365 e autovalutazione CSA STAR
ambienti Office 365
Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.
Questa sezione illustra gli ambienti di Office 365 seguenti:
- Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
- Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
- Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
- Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
- Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.
Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.
L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.
Applicabilità di Office 365 e servizi inclusi nell'ambito
Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:
| Applicabilità | Servizi inclusi nell'ambito |
|---|---|
| Commerciale | Exchange Online, Exchange Online Protection, Portale per i clienti di Office 365, Office Online, Infrastruttura del servizio di Office, OneDrive for Business, SharePoint Online, Skype for Business |
Domande frequenti
A quali standard di settore viene allineato il CSA CCM?
Il CCM corrisponde agli standard di sicurezza, alle normative e ai quadri di controllo accettati dal settore, come ISO 27001, PCI DSS, HIPAA, AICPA SOC 2, NERC CIP, FedRAMP, NIST e molti altri. Per l'elenco aggiornato, visita il sito Web CSA.
Perché l’autovalutazione CSA STAR è importante?
Consente ai CSP di documentare in modo trasparente la propria conformità alle procedure consigliate pubblicate dalla CSA. I report di autovalutazione sono accessibili pubblicamente, permettendo ai clienti cloud di acquisire visibilità sulle procedure di sicurezza dei CSP e di confrontare diversi CSP con uno stesso strumento di riferimento.
Quali sono i livelli di controllo CSA STAR raggiunti da Office 365?
- Livello 1: autovalutazione CSA STAR: : un’offerta gratuita fornita dai provider di servizi cloud per documentare i propri controlli di sicurezza e consentire ai clienti di valutare la sicurezza del servizio.
Risorse di Office 365
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per