Catálogo de Critérios de Computação na Cloud (C5)

Visão geral do C5

Em 2016, o Serviço Federal Alemão para a Segurança da Informação (Bundesamt für Sicherheit in der Informationstechnik, ou BSI) criou o Cloud Computing Compliance Controls Catalog (C5). O BSI reviu a documentação de orientação como o Catálogo de Critérios de Conformidade da Computação na Cloud (C5:2020) em 2020. O C5 é um padrão auditado que estabelece uma linha de base mínima obrigatória para segurança na nuvem e a adoção de soluções de nuvem pública por órgãos governamentais alemães e organizações que trabalham com o governo. O C5 também está sendo progressivamente adotado pelo setor privado.

O objetivo do catálogo de requisitos do C5 é fornecer uma estrutura de segurança consistente para a certificação de provedores de serviços de nuvem e garantir aos clientes que seus dados serão gerenciados com segurança.

O C5 se baseia nas normas de segurança de TI reconhecidas internacionalmente como ISO/IEC 27001:2013, o Cloud Security Alliance Cloud Controls Matrix 3.0.1 e os Catálogos IT-Grundschutz do BSI. O catálogo consiste em 114 requisitos em 17 domínios, por exemplo, a organização de segurança da informação e segurança física, com requisitos de segurança básicos para todos os provedores de serviços em nuvem e outros requisitos para processamento de dados altamente confidenciais e situações que exigem alta disponibilidade.

O BSI também enfatiza a transparência. Como parte de uma auditoria, o provedor de nuvem deve incluir uma descrição detalhada do sistema e divulgar parâmetros ambientais como local de processamento de dados e jurisdição, provisão de serviços e outras certificações emitidas para os serviços de nuvem, além de informações sobre as obrigações de divulgação do provedor de nuvem para autoridades públicas. Este sistema ajuda potenciais clientes da cloud a decidir se os serviços cloud cumprem os seus requisitos essenciais, como o cumprimento de requisitos legais, como a proteção de dados, as políticas da empresa ou a capacidade de lidar com a ameaça de espionagem industrial.

Microsoft e o C5

Os serviços de nuvem da Microsoft são auditados pelo menos anualmente seguindo as normas SOC 2 (AT Section 101). De acordo com o BSI, uma auditoria de C5 pode ser combinada com uma auditoria de SOC 2 para reutilizar partes da descrição do sistema e resultados da auditoria para controles sobrepostos. O Microsoft Azure, o Azure Governamental e o Azure Alemanha mantêm um relatório combinado (C5, SOC 2 Tipo 2, CSA STAR Attestation) com base na avaliação de auditoria realizada por um auditor independente, que demonstra prova de conformidade com o C5.

Plataformas e serviços em nuvem no escopo da Microsoft

Azure, Dynamics 365 e C5

Para obter mais informações sobre a conformidade com o Azure, o Dynamics 365 e outros serviços online, consulte a oferta Germany C5:2020.

Perguntas frequentes

Posso usar a conformidade da Microsoft com o C5 para ajudar minha organização a obter seu próprio atestado de C5?

Sim. Você pode usar o atestado dos serviços de nuvem da Microsoft como base para qualquer programa ou iniciativa que exija o C5. No entanto, você precisa obter seu próprio atestado C5 para componentes externos ou criados a partir desses serviços.

Qual é a diferença entre os Catálogos IT-Grundschutz e o C5?

O IT-Grundschutz fornece a metodologia específica para ajudar as organizações a identificar e implementar medidas de segurança para sistemas de TI e é um dos elementos sobre os quais as normas do C5 são criadas. O C5 fornece um conjunto de normas de auditoria para provedores de serviços de nuvem, mas deixa os detalhes da implementação para o provedor de serviços de nuvem.

O que é o Microsoft Cloud Alemanha?

A Microsoft Cloud Germany está fisicamente sediada na Alemanha, cumprindo os requisitos da lei de privacidade alemã, que limita a transferência de dados pessoais para outras nações e oferece proteção contra o acesso por parte de autoridades de outras jurisdições que possam violar as leis internas. O Azure Alemanha fornece serviços do Azure de datacenters alemães com residência de dados na Alemanha, além de fornecer medidas rigorosas de acesso e controle de dados fornecidas por meio de um modelo administrador de dados exclusivo regido pelas leis alemãs.

Utilizar o Gestor de Conformidade do Microsoft Purview para avaliar o risco

O Gestor de Conformidade do Microsoft Purview é uma funcionalidade no portal de conformidade do Microsoft Purview que o ajuda a compreender a postura de conformidade da sua organização e a tomar medidas para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos