Attestazione Cloud Security Alliance (CSA) STARCloud Security Alliance (CSA) STAR attestation

Panoramica dell'attestazione CSA STARCSA STAR attestation overview

La Cloud Security Alliance (CSA) gestisce il registro STAR (Security, Trust & Assurance Registry), un registro accessibile pubblicamente e gratuitamente in cui i provider di servizi cloud (CSP) possono pubblicare le proprie valutazioni correlate alla CSA.The Cloud Security Alliance (CSA) maintains the Security, Trust & Assurance Registry (STAR), a free, publicly accessible registry where cloud service providers (CSPs) can publish their CSA-related assessments. Il registro STAR è costituito da tre livelli di controllo allineati agli obiettivi di controllo della CSA Cloud Controls Matrix (CCM).STAR consists of three levels of assurance aligned with control objectives in the CSA Cloud Controls Matrix (CCM). La CCM include i principi fondamentali sulla sicurezza in 16 domini, consentendo ai clienti cloud di valutare il rischio di sicurezza complessivo di un servizio cloud:(The CCM covers fundamental security principles across 16 domains to help cloud customers assess the overall security risk of a cloud service.):

  • Livello 1: autovalutazione STARLevel 1: STAR Self-Assessment
  • Livello 2: attestazione STAR, certificazione STAR e valutazione C-STAR (basati su controlli di terze parti)Level 2: STAR Attestation, STAR Certification, and C-STAR Assessment (which are based on audits by third parties)
  • Livello 3: monitoraggio continuo STAR (i requisiti del programma sono ancora in fase di sviluppo dalla CSA)Level 3: STAR Continuous Monitoring (program requirements are still under development by CSA)

L'attestazione STAR implica un rigoroso controllo indipendente sul comportamento di sicurezza di un provider di servizi cloud, basato su un controllo SOC 2 di tipo 2 con criteri CCM.STAR Attestation involves a rigorous independent audit of a cloud provider's security posture based on a SOC 2 Type 2 audit with CCM criteria. Il revisore indipendente che valuta le offerte del provider di servizi cloud per l'attestazione STAR deve essere un Dottore commercialista e deve avere il certificato CSA in Cloud Security Knowledge (CCSK).The independent auditor that evaluates a cloud provider's offerings for STAR Attestation must be a certified public accountant (CPA) and is required to have the CSA Certificate in Cloud Security Knowledge (CCSK).

Un controllo SOC 2 di tipo 2 è basato sui criteri e i principi dei servizi fiduciari (Trust Services Principles and Criteria) dell'American Institute of Certified Public Accountants (AICPA), tra cui la sicurezza, la disponibilità, la riservatezza, l'integrità di elaborazione e i criteri della CCM.A SOC 2 Type 2 audit is based on American Institute of Certified Public Accountants (AICPA) Trust Services Principles and Criteria, including security, availability, confidentiality, and processing integrity, and the criteria in the CCM. L'attestazione STAR offre i risultati di un revisore sull'idoneità della progettazione e sull'efficacia operativa dei controlli SOC 2 nei servizi cloud Microsoft.STAR Attestation provides an auditor's findings on the design suitability and operating effectiveness of SOC 2 controls in Microsoft cloud services. L'obiettivo è quello di soddisfare i criteri AICPA menzionati in precedenza e i requisiti stabiliti nella CCM.The objective is to meet both the AICPA criteria mentioned above and requirements set forth in the CCM.

Servizi cloud Microsoft inclusi nell'ambitoMicrosoft in-scope cloud services

Microsoft Azure e Microsoft Intune hanno ricevuto l'attestazione CSA STAR.Microsoft Azure and Microsoft Intune have been awarded CSA STAR Attestation. L'attestazione STAR offre i risultati di un revisore sull'idoneità della progettazione e sull'efficacia operativa dei controlli SOC 2 nei servizi cloud Microsoft.STAR Attestation provides an auditor's findings on the design suitability and operating effectiveness of SOC 2 controls in Microsoft cloud services.

  • Azure e Azure per enti pubbliciAzure and Azure Government
  • Azure GermaniaAzure Germany
  • Microsoft Cloud App SecurityMicrosoft Cloud App Security
  • Microsoft GraphMicrosoft Graph
  • IntuneIntune
  • Microsoft Managed DesktopMicrosoft Managed Desktop
  • Servizio cloud Power Automate (in precedenza Microsoft Flow), autonomo o incluso in un piano o in una famiglia di prodotti Office 365 o Dynamics 365Power Automate (formerly Microsoft Flow) cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
  • Servizio cloud PowerApps, autonomo o incluso in un piano o in una famiglia di prodotti con marchio Office 365 o Dynamics 365PowerApps cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
  • Power BIPower BI

Controlli, report e certificatiAudits, reports, and certificates

Domande frequentiFrequently asked questions

A quali standard di settore si allinea la CSA CCM?Which industry standards does the CSA CCM align with?

La CCM corrisponde ai framework dei controlli, alle normative e agli standard di sicurezza approvati dal settore, come ISO/IEC 27001, PCI DSS, HIPAA, AICPA SOC 2, NERC CIP, FedRAMP, NIST e molti altri.The CCM corresponds to industry-accepted security standards, regulations, and control frameworks such as ISO/IEC 27001, PCI DSS, HIPAA, AICPA SOC 2, NERC CIP, FedRAMP, NIST, and many more. Per l'elenco aggiornato, visitare il sito Web CSA.For the most current list, visit the CSA website.

Dove è possibile vedere l'attestazione CSA STAR per i servizi cloud Microsoft?Where can I see the CSA STAR Attestation for Microsoft cloud services?

È possibile scaricare l'attestazione CSA STAR per Azure (valida anche per Intune) dal registro CSA (CSA Registry).You can download the CSA STAR Attestation for Azure, which also covers Intune, from the CSA Registry.

Quali sono i livelli di controllo CSA STAR raggiunti dai servizi cloud aziendali di Microsoft?Which CSA STAR levels of assurance have Microsoft business cloud services attained?

  • Livello 1 - Autovalutazione CSA STAR: Azure, Microsoft Dynamics 365 e Microsoft Office 365.Level 1: CSA STAR Self-Assessment: Azure, Microsoft Dynamics 365, and Microsoft Office 365. L'autovalutazione è un'offerta gratuita fornita dai provider di servizi cloud per documentare i propri controlli di sicurezza e consentire ai clienti di valutare la sicurezza del servizio.The Self-Assessment is a complimentary offering from cloud service providers to document their security controls to help customers assess the security of the service.
  • Livello 2 - Certificazione CSA STAR: Azure, Microsoft Cloud App Security, Intune e Microsoft Power BI.Level 2: CSA STAR Certification: Azure, Microsoft Cloud App Security, Intune, and Microsoft Power BI. La certificazione STAR si basa sull'ottenimento della certificazione ISO/IEC 27001 e sul rispetto dei criteri specificati nella CCM.STAR Certification is based on achieving ISO/IEC 27001 certification and meeting criteria specified in the CCM. Viene rilasciata dopo una rigorosa valutazione eseguita da terze parti dei controlli e delle procedure di sicurezza di un provider di servizi cloud.It is awarded after a rigorous third-party assessment of the security controls and practices of a cloud service provider.
  • Livello 2 - Attestazione CSA STAR: Azure e Intune.Level 2: CSA STAR Attestation: Azure and Intune. La CSA e l'AICPA hanno collaborato per fornire le linee guida ai Dottori commercialisti relative agli impegni SOC 2, usando i criteri dell'AICPA (Principi dei servizi fiduciari - Trust Service Principles, AT 101) e la CSA CCM.CSA and the AICPA have collaborated to provide guidelines for CPAs to use in conducting SOC 2 engagements, using criteria from the AICPA (Trust Service Principles, AT 101) and the CSA CCM. L'attestazione STAR si basa su tali linee guida e viene riconosciuta dopo una rigorosa valutazione indipendente dei provider di servizi cloud.STAR Attestation is based on these guidelines and is awarded after rigorous independent assessments of cloud providers.

Usare Microsoft Compliance Manager per valutare i rischiUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager è una funzionalità nel Centro conformità Microsoft 365 utile per comprendere lo stato di conformità dell'organizzazione e intraprendere azioni per ridurre i rischi.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance Manager offre un modello premium per creare una valutazione per questa normativa.Compliance Manager offers a premium template for building an assessment for this regulation. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager.Find the template in the assessment templates page in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.Learn how to build assessments in Compliance Manager.

RisorseResources