Catálogo de criterios de cumplimiento de informática en la nube (C5)

Información general sobre C5

En el año 2016, la Oficina Federal Alemana para la Seguridad de la Información (Bundesamt für Sicherheit in der Informationstechnik, o BSI) creó Catálogo de controles de cumplimiento de informática en la nube (C5). BSI revisó la guía como catálogo de criterios de cumplimiento de informática en la nube (C5:2020) en 2020. El C5 es un estándar de auditoría que establece una línea base mínima obligatoria para la seguridad en la nube y la adopción de soluciones en la nube pública por parte de organismos gubernamentales alemanes y organizaciones que trabajan con el gobierno. El sector privado está adoptando cada vez más el C5.

El objetivo del catálogo de controles C5 es proporcionar un marco de seguridad coherente para certificar a los proveedores de los Servicios en la Nube y ofrecer a los clientes la seguridad de que sus datos serán gestionados de forma segura.

El C5 se basa en los estándares de seguridad de TI reconocidos internacionalmente, como la norma ISO/IEC 27001:2013, la Cloud Security Alliance Cloud Controls Matrix 3.0.1 y los catálogos de TI Grundschutz de BSI. El catálogo consta de 114 requisitos en 17 dominios, por ejemplo, la organización de la seguridad de la información y la seguridad física, con requisitos de seguridad básicos para todos los proveedores de servicios en la nube, y otros requisitos para el procesamiento de datos altamente confidenciales y situaciones que requieren una alta disponibilidad.

El BSI también se enfoca en la transparencia. Como parte de una auditoría, el proveedor de la nube debe incluir una descripción detallada del sistema e informar a las autoridades públicas acerca de los parámetros del entorno, como la jurisdicción y la ubicación del procesamiento de datos, la prestación de servicios y otras certificaciones otorgadas a los servicios en la nube, así como información sobre las obligaciones que proveedor de la nube tiene de informar a las autoridades públicas. Este sistema ayuda a los clientes potenciales de la nube a decidir si los servicios en la nube cumplen sus requisitos esenciales, como el cumplimiento de requisitos legales como la protección de datos, las directivas de la empresa o la capacidad de abordar la amenaza del espionaje industrial.

Microsoft y C5

Los servicios en la nube de Microsoft son auditados al menos una vez al año según los estándares de SOC 2 (AT Sección 101). Según la BSI, una auditoría C5 puede combinarse con una auditoría SOC 2 para reutilizar partes de la descripción del sistema y resultados de auditoría para controles superpuestos. Microsoft Azure, Azure Government y Azure Alemania mantienen un informe combinado (C5, SOC 2 Type 2, CSA Atestación STAR) basado en la evaluación de auditoria realizada por un auditor independiente, que demuestre que se ha cumplido con el estándar C5.

Servicios y plataformas en la nube dentro de Microsoft

• Azure, Azure Government y Azure Alemania
• Office 365 Alemania

Azure, Dynamics 365 y C5

Para obtener más información sobre Azure, Dynamics 365 y otros servicios en línea cumplimiento, consulte la oferta de Alemania C5:2020.

Preguntas frecuentes

¿Puedo usar el cumplimiento de Microsoft con C5 para ayudar a mi organización a obtener su propia certificación C5?

Sí. Usted puede utilizar la certificación de los servicios en la nube de Microsoft como base para cualquier programa o iniciativa que requiera el C5. Sin embargo, usted necesita conseguir su propio certificado C5 para componentes externos o generados en estos servicios.

¿Cuál es la diferencia entre el C5 y los catálogos de la tecnología de la información (IT) - Grundschutz

La tecnología de la información (IT) - Grundschutz proporciona la metodología específica para ayudar a las organizaciones a identificar e implementar medidas de seguridad para los sistemas de IT y es uno de los elementos sobre los que se basan los estándares del C5. El C5 proporciona un conjunto de estándares de auditoría para los proveedores de los Servicios en la Nube, pero deja los detalles de implementación en manos del proveedor de servicios en la Nube.

¿Qué es la nube de Microsoft Alemania?

Microsoft Cloud Alemania tiene su sede física en Alemania, de acuerdo con los requisitos de la ley de privacidad alemana, que limita la transferencia de datos personales a otras naciones y ofrece protección contra el acceso de las autoridades desde otras jurisdicciones que podrían infringir las leyes nacionales. Azure Alemania ofrece los servicios de Azure desde los centros de datos alemanes con residencia de datos en Alemania, y ofrece estrictas medidas de control y acceso a los datos a través de un modelo único de administración de datos regido por la ley alemana.

Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo

El Administrador de cumplimiento de Microsoft Purview es una característica de la portal de cumplimiento Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.

Recursos

• Catálogo de criterios de cumplimiento de informática en la nube (C5:2020) (inglés) (alemán)
• Recomendaciones de seguridad para proveedores de informática en la nube (inglés) (alemán)
• Azure + Dynamics 365 + Online Services - Public & Government - SOC 2 Tipo II + C5 + CSA Star Report
• Microsoft 365 - C5 Worldwide Type 1 Report
• Libro IT-Grundschutz para Microsoft Azure Alemania
• Libro IT-Grundschutz (inglés) para Office 365 Alemania
• IT-Grundschutz Workbook (alemán) para Office 365 Alemania
• Cumplimiento normativo en el Centro de confianza de Microsoft