Autoevaluación de la nube Security Alliance (CSA)

Introducción a la evaluación automática de CSA STAR

Alianza de seguridad en la nube (CSA) es una organización sin fines de lucro dirigida por una amplia coalición de profesionales de la industria, corporaciones y otras partes interesadas importantes. Se dedica a definir las mejores prácticas para ayudar a garantizar un entorno de informática en nube más seguro, y a ayudar a los clientes potenciales de la nube a tomar decisiones fundamentadas a la hora de realizar la transición de sus operaciones de TI a la nube..

En 2010, la CSA publicó un conjunto de herramientas para evaluar las operaciones de TI de la nube: la pila de gobernanza, Administración de Riesgos y Cumplimiento (GRC). Se diseñó para ayudar a los clientes de la nube a evaluar cómo los proveedores de servicios de nube (CSPs) siguen las mejores prácticas y estándares de la industria y cumplen con las regulaciones.

En 2013, el CSA y la institución británica de normalización lanzaron el Registro de seguridad, Confianza y Aseguramiento (STAR), un registro gratuito y accesible públicamente en el que los CSP pueden publicar sus evaluaciones relacionadas con CSA.

La estrella CSA se basa en dos componentes clave de la pila CSA GRC:

  • Matriz de controles en la nube (CCM): un marco de controles que abarca los principios fundamentales de seguridad en 16 dominios para ayudar a los clientes de la nube a evaluar el riesgo global de seguridad de un CSP.
  • El Cuestionario de la Iniciativa de Evaluaciones de Consenso (CAIQ): un conjunto de más de 140 preguntas basadas en el MCP que un cliente o auditor de la nube puede solicitar a los CSPs que evalúen su cumplimiento con las mejores prácticas de la CSA.

La STAR ofrece tres niveles de seguridad; CSA – STAR evaluación automática es la oferta introductoria en el nivel 1, que es libre y está abierta para todos los CSP. En el nivel 2 del programa STAR se incluyen las certificaciones basadas en evaluaciones de terceros, y en el nivel 3 se incluyen las certificaciones basadas en un seguimiento continuo.

Autoevaluación de Microsoft y CSA STAR

Como parte de la autoevaluación en estrella, los CSP pueden enviar dos tipos diferentes de documentos para indicar su cumplimiento con las prácticas recomendadas de CSA: una CAIQ completada, o un informe que documenta el cumplimiento normativo de CCM. En el caso de la autoevaluación de CSA STAR, Microsoft publica un informe basado en CAIQ y CCM para Microsoft Azure, y informes basados en CCM para Microsoft Dynamics 365 y Microsoft Office 365.

Servicios y plataformas en la nube dentro del ámbito de Microsoft

Azure, Dynamics 365 y autoevaluación de CSA STAR

Para obtener más información acerca del cumplimiento de Azure, Dynamics 365 y otros servicios en línea, consulte la oferta de autoevaluación de Azure CSA STAR de Azure.

Autoevaluación de Office 365 y CSA STAR

Entornos en la nube de Office 365

Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.

En esta sección se tratan los siguientes entornos en la nube de Office 365:

  • Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
  • Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
  • Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
  • Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
  • Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.

Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.

Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.

Aplicabilidad y servicios dentro Office 365

Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:

Aplicabilidad Servicios incluidos
Comercial Exchange Online, Exchange Online Protection, Portal del cliente de Office 365, Office Online, Infraestructura de Servicios de Office, OneDrive para la Empresa, SharePoint Online, Skype Empresarial

Preguntas más frecuentes

¿Con qué estándares del sector de la industria se alinea CSA CCM?

La CCM corresponde a los estándares de seguridad, regulaciones y marcos de control aceptados por la industria, tales como ISO 27001, PCI DSS, HIPAA, AICPA SOC 2, NERC CIP, FedRAMP, NIST y muchos más. Para ver la lista actualizada, visite el sitio web de CSA.

¿Por qué es importante la autoevaluación por la estrella CSA?

Permita que los CSP documenten el cumplimiento de CSA, la publicación de procedimientos recomendados de forma transparente. Los informes de autoevaluación se encuentran disponibles públicamente y, por lo tanto, ayudan a los clientes de la nube a mejorar la visibilidad de las prácticas de seguridad de los CSP y comparan varios CSP con la misma línea base.

¿Qué niveles de garantía de CSA STAR ha obtenido Office 365?

  • Nivel 1: autoevaluación de CSA STAR: ofrecimiento gratuito de los proveedores de servicios en la nube para documentar sus controles de seguridad y así ayudar a los clientes a evaluar la seguridad del servicio.

Recursos de Office 365