Autovalutazione Cloud Security Alliance (CSA) STARCloud Security Alliance (CSA) STAR self-assessment

Panoramica sull’autovalutazione CSA STARCSA STAR self-assessment overview

La Cloud Security Alliance (CSA) è un'organizzazione no profit guidata da un'ampia coalizione di professionisti del settore, società e altri soggetti importanti.The Cloud Security Alliance (CSA) is a nonprofit organization led by a broad coalition of industry practitioners, corporations, and other important stakeholders. La sua funzione consiste nel definire le procedure consigliate per garantire un ambiente di cloud computing più sicuro e aiutare i potenziali clienti cloud a prendere decisioni ponderate al momento del trasferimento delle loro operazioni IT al cloud.It is dedicated to defining best practices to help ensure a more secure cloud computing environment, and to helping potential cloud customers make informed decisions when transitioning their IT operations to the cloud.

Nel 2010 la CSA ha pubblicato una serie di strumenti per valutare le operazioni IT nel cloud: la pila CSA su governance, gestione dei rischi e conformità (GRC).In 2010, the CSA published a suite of tools to assess cloud IT operations: the CSA Governance, Risk Management, and Compliance (GRC) Stack. È stata creata per aiutare i clienti del cloud a valutare se i provider di servizi cloud (CSP) seguono le procedure consigliate e gli standard del settore e sono conformi alle normative.It was designed to help cloud customers assess how cloud service providers (CSPs) follow industry best practices and standards and comply with regulations.

Nel 2013, la CSA e la British Standards Institution (BSI) hanno istituito il Security, Trust & Assurance Registry (STAR), un registro libero e accessibile pubblicamente dove i CSP possono pubblicare le loro valutazioni correlate alla CSA.In 2013, the CSA and the British Standards Institution launched the Security, Trust & Assurance Registry (STAR), a free, publicly accessible registry in which CSPs can publish their CSA-related assessments.

CSA STAR si basa su due componenti principali della pila CSA GRC:CSA STAR is based on two key components of the CSA GRC Stack:

  • Cloud Controls Matrix (CCM): un quadro di controlli che include i principi fondamentali sulla sicurezza in 16 domini consentendo ai clienti cloud di valutare il rischio di sicurezza complessivo di un CSP.Cloud Controls Matrix (CCM): a controls framework covering fundamental security principles across 16 domains to help cloud customers assess the overall security risk of a CSP.
  • Il Consensus Assessments Initiative Questionnaire (CAIQ): un insieme di più di 140 domande basate sul CCM che un cliente o un revisore cloud potrebbe porre ai CSP per valutarne la conformità alle procedure consigliate CSA.The Consensus Assessments Initiative Questionnaire (CAIQ): a set of more than 140 questions based on the CCM that a customer or cloud auditor may want to ask of CSPs to assess their compliance with CSA best practices.

STAR prevede tre livelli di controllo: l’autovalutazione CSA-STAR è l'offerta introduttiva al livello 1, gratuita e aperta a tutti i CSP.STAR provides three levels of assurance; CSA-STAR Self-Assessment is the introductory offering at Level 1, which is free and open to all CSPs. Procedendo lungo la pila di controllo, il livello 2 del programma STAR prevede certificazioni basate sulla valutazione di terze parti, mentre il livello 3 include certificazioni basate sul monitoraggio continuo.Going further up the assurance stack, Level 2 of the STAR program involves third-party assessment-based certifications, and Level 3 involves certifications based on continuous monitoring.

Microsoft e l’autovalutazione CSA STARMicrosoft and CSA STAR self-assessment

Nell'ambito dell'autovalutazione STAR, i CSP possono inviare due tipi di documenti diversi per indicare la conformità alle procedure consigliate della CSA: un CAIQ completato o un report che documenti la conformità al CCM.As part of the STAR Self-Assessment, CSPs can submit two different types of documents to indicate their compliance with CSA best practices: a completed CAIQ, or a report documenting compliance with CCM. Per la l’autovalutazione CSA STAR, Microsoft pubblica sia un CAIQ sia un report basato sul CCM per Microsoft Azure, e report basati sul CCM per Microsoft Dynamics 365 e Microsoft Office 365.For the CSA STAR Self-Assessment, Microsoft publishes both a CAIQ and a CCM-based report for Microsoft Azure, and CCM-based reports for Microsoft Dynamics 365 and Microsoft Office 365.

Come accelerare la distribuzione dell’autovalutazione CSA STAR con il progetto di sicurezza e conformità di Azure: Scaricare la risposta di Azure alle valutazioni sul consenso della CSALearn how to accelerate your CSA STAR Self-Assessment deployment with our Azure Security and Compliance Blueprint: Download Azure response to the CSA Consensus Assessments

Servizi cloud di Microsoft inclusi nell’ambitoMicrosoft in-scope cloud services

Controlli, report e certificatiAudits, reports, and certificates

Domande frequentiFrequently asked questions

A quali standard di settore viene allineato il CSA CCM?Which industry standards does the CSA CCM align with?

Il CCM corrisponde agli standard di sicurezza, alle normative e ai quadri di controllo accettati dal settore, come ISO 27001, PCI DSS, HIPAA, AICPA SOC 2, NERC CIP, FedRAMP, NIST e molti altri.The CCM corresponds to industry-accepted security standards, regulations, and control frameworks such as ISO 27001, PCI DSS, HIPAA, AICPA SOC 2, NERC CIP, FedRAMP, NIST, and many more. Per l'elenco aggiornato, visita il sito Web CSA.For the most current list, visit the CSA website.

Perché l’autovalutazione CSA STAR è importante?Why is the CSA STAR Self-Assessment important?

Consente ai CSP di documentare in modo trasparente la propria conformità alle procedure consigliate pubblicate dalla CSA.It enables CSPs to document compliance with CSA published best practices in a transparent manner. I report di autovalutazione sono accessibili pubblicamente, permettendo ai clienti cloud di acquisire visibilità sulle procedure di sicurezza dei CSP e di confrontare diversi CSP con uno stesso strumento di riferimento.Self-assessment reports are publicly available, thereby helping cloud customers gain visibility into the security practices of CSPs, and compare various CSPs using the same baseline.

Quali sono i livelli di controllo CSA STAR raggiunti dai servizi cloud Microsoft per le aziende?Which CSA STAR levels of assurance have Microsoft business cloud services attained?

  • Livello 1: Autovalutazione CSA STAR: Azure, Dynamics 365 e Office 365.Level 1: CSA STAR Self-Assessment: Azure, Dynamics 365, and Office 365. L'autovalutazione è un'offerta gratuita fornita dai provider di servizi cloud per documentare i propri controlli di sicurezza e consentire ai clienti di valutare la sicurezza del servizio.The Self-Assessment is a complimentary offering from cloud service providers to document their security controls to help customers assess the security of the service.
  • Livello 2 - Certificazione CSA STAR: Azure, Microsoft Cloud App Security, Intune e Power BI.Level 2: CSA STAR Certification: Azure, Microsoft Cloud App Security, Intune, and Power BI. La certificazione STAR si basa sull'ottenimento della certificazione ISO/IEC 27001 e sul rispetto dei criteri specificati nella CCM.STAR Certification is based on achieving ISO/IEC 27001 certification and meeting criteria specified in the CCM. Viene rilasciata dopo una rigorosa valutazione eseguita da terze parti dei controlli e delle procedure di sicurezza di un provider di servizi cloud.It is awarded after a rigorous third-party assessment of the security controls and practices of a cloud service provider.
  • Livello 2 - Attestazione CSA STAR: Azure e Intune.Level 2: CSA STAR Attestation: Azure and Intune. La CSA e l’AICPA hanno collaborato per fornire delle linee guida per le CPA per l'esecuzione di impegni SOC 2, usando i criteri dell’AICPA (Principi dei servizi attendibili, AT 101) e il CSA CCM.CSA and the AICPA have collaborated to provide guidelines for CPAs to use in conducting SOC 2 engagements, using criteria from the AICPA (Trust Service Principles, AT 101) and the CSA CCM. L'attestazione STAR si basa su queste linee guida e viene riconosciuta dopo una rigorosa valutazione indipendente dei provider di servizi cloud.STAR Attestation is based on these guidelines and is awarded after rigorous independent assessments of cloud providers.

RisorseResources

Autovalutazioni CSA STAR di MicrosoftMicrosoft CSA STAR self-assessments