Autoavaliação Star da Cloud Security Alliance (CSA)
Visão geral da autoavaliações do STAR da CSA
A Cloud Security Alliance (CSA) é uma organização sem fins lucrativos dirigida por uma ampla coalizão de profissionais e corporações do setor e outros interessados de importância. Sua função é definir práticas recomendadas para contribuir para um ambiente de computação em nuvem mais seguro e ajudar possíveis clientes de nuvem a tomar decisões fundamentadas na transição de suas operações de TI para a nuvem.
Em 2010, a CSA lançou um conjunto de ferramentas para avaliar operações de TI na nuvem: CSA Governance, Risk Management e Compliance (GRC) Stack. Elas foram desenvolvidas para ajudar os clientes da nuvem a avaliar como os provedores de serviços de nuvem (CSPs) seguem as melhores práticas e padrões do setor, e se eles estão em conformidade com as regulamentações.
Em 2013, a CSA e o Instituto Britânico de Normas lançaram o Security, Trust & Assurance Registry (STAR), um registro gratuito e publicamente acessível em que os CSPs podem publicar suas avaliações relacionadas com a CSA.
O STAR da CSA é baseada em dois componentes-chave do GRC Stack da CSA:
- (Cloud Controls Matrix (CCM): uma estrutura de controles que abrange princípios fundamentais de segurança em 16 domínios para auxiliar os clientes na nuvem a avaliarem o risco geral de segurança de uma CSP.
- O Consensus Assessments Initiative Questionnaire (CAIQ): um conjunto de mais de 140 perguntas com base no CCM que um cliente ou auditor da nuvem pode fazer aos CSPs para avaliar a conformidade deles com as melhores práticas de CSA.
O STAR oferece três níveis de garantia; a Autoavaliação CSA-STAR é a oferta introdutória no Nível 1, a qual é gratuita e aberta a todos os CSPs. O nível de garantia seguinte é o Nível 2 do programa STAR, que envolve certificações de terceiros baseados em certificações, e o Nível 3 envolve certificações baseados no monitoramento contínuo.
Autoavaliações do STAR da CSA e da Microsoft
Como parte da Autoavaliação do STAR, os CSPs podem enviar dois tipos diferentes de documentos para indicar a conformidade com as melhores práticas de CSA: um CAIQ preenchido ou um relatório documentando a conformidade com o CCM. Para a Autoavaliação do STAR da CSA, a Microsoft publica um CAIQ e um relatório com base CCM para o Microsoft Azure, e relatórios com base no CCM para Microsoft Dynamics 365 e Microsoft Office 365.
Plataformas e serviços de nuvem no escopo da Microsoft
- Azure e Azure Governamental
- Dynamics 365
- Office 365
Autoavaliação do Azure, Dynamics 365 e CSA STAR
Para obter mais informações sobre o Azure, Dynamics 365 e outros serviços de conformidade online, consulte a Oferta de autoavaliação do Azure CSA STAR.
Autoavaliação do Office 365 e CSA STAR
ambientes Office 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Esta seção aborda os seguintes ambientes de Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:
| Aplicabilidade | Serviços no escopo |
|---|---|
| Comercial | Exchange Online, Proteção do Exchange Online, Portal do Cliente do Office 365, Office Online, Infraestrutura de Serviços do Office, OneDrive for Business, SharePoint Online, Skype for Business |
Perguntas frequentes
A quais padrões da indústria o CCM da CSA se alinha?
O CCM corresponde aos padrões de segurança, regulamentos e estruturas de controle aceitos pelo setor, como ISO 27001, PCI DSS, HIPAA, AICPA SOC 2, NERC CIP, FedRAMP, NIST e muitos mais. Para obter a lista mais recente, acesse o site da CSA.
Por que a Autoavaliação do STAR da CSA é importante?
Ela permite aos CSPs documentar a conformidade com as melhores práticas publicadas da CSA de forma transparente. Os relatórios de autoavaliação estão publicamente disponíveis e ajudam os clientes a ganhar visibilidade em relação às práticas de segurança de CSPs e a comparar vários CSPs usando a mesma linha de base.
Quais níveis de garantia CSA STAR o Office 365 atingiu?
- Nível 1: Autoavaliação CSA STAR: uma oferta gratuita de provedores de serviços em nuvem para documentar seus controles de segurança para ajudar os clientes a avaliarem a segurança do serviço.