Catálogo de Critérios de Conformidade de Computação em Nuvem (C5)
Visão geral do C5
Em 2016, o Serviço Federal Alemão para a Segurança da Informação (Bundesamt für Sicherheit in der Informationstechnik, ou BSI) criou o Cloud Computing Compliance Controls Catalog (C5). O BSI revisou as diretrizes como o Catálogo de Critérios de Conformidade de Computação em Nuvem (C5:2020) em 2020. O C5 é um padrão auditado que estabelece uma linha de base mínima obrigatória para segurança na nuvem e a adoção de soluções de nuvem pública por órgãos governamentais alemães e organizações que trabalham com o governo. O C5 também está sendo progressivamente adotado pelo setor privado.
O objetivo do catálogo de requisitos do C5 é fornecer uma estrutura de segurança consistente para a certificação de provedores de serviços de nuvem e garantir aos clientes que seus dados serão gerenciados com segurança.
O C5 se baseia nas normas de segurança de TI reconhecidas internacionalmente como ISO/IEC 27001:2013, o Cloud Security Alliance Cloud Controls Matrix 3.0.1 e os Catálogos IT-Grundschutz do BSI. O catálogo consiste em 114 requisitos em 17 domínios, por exemplo, a organização de segurança da informação e segurança física, com requisitos de segurança básicos para todos os provedores de serviços em nuvem e outros requisitos para processamento de dados altamente confidenciais e situações que exigem alta disponibilidade.
O BSI também enfatiza a transparência. Como parte de uma auditoria, o provedor de nuvem deve incluir uma descrição detalhada do sistema e divulgar parâmetros ambientais como local de processamento de dados e jurisdição, provisão de serviços e outras certificações emitidas para os serviços de nuvem, além de informações sobre as obrigações de divulgação do provedor de nuvem para autoridades públicas. Esse sistema ajuda potenciais clientes de nuvem a decidir se os serviços de nuvem atendem aos seus requisitos essenciais, como conformidade com requisitos legais, como proteção de dados, políticas da empresa ou capacidade de enfrentar a ameaça de espionagem industrial.
Microsoft e o C5
Os serviços de nuvem da Microsoft são auditados pelo menos anualmente seguindo as normas SOC 2 (AT Section 101). De acordo com o BSI, uma auditoria de C5 pode ser combinada com uma auditoria de SOC 2 para reutilizar partes da descrição do sistema e resultados da auditoria para controles sobrepostos. O Microsoft Azure, o Azure Governamental e o Azure Alemanha mantêm um relatório combinado (C5, SOC 2 Tipo 2, CSA STAR Attestation) com base na avaliação de auditoria realizada por um auditor independente, que demonstra prova de conformidade com o C5.
Plataformas e serviços em nuvem no escopo da Microsoft
- Azure, Azure Governamental e Azure Alemanha
- Office 365 Alemanha
Azure, Dynamics 365 e C5
Para obter mais informações sobre o Azure, Dynamics 365 e outras serviços online conformidade, consulte a oferta de C5:2020 da Alemanha.
Perguntas frequentes
Posso usar a conformidade da Microsoft com o C5 para ajudar minha organização a obter seu próprio atestado de C5?
Sim. Você pode usar o atestado dos serviços de nuvem da Microsoft como base para qualquer programa ou iniciativa que exija o C5. No entanto, você precisa obter seu próprio atestado C5 para componentes externos ou criados a partir desses serviços.
Qual é a diferença entre os Catálogos IT-Grundschutz e o C5?
O IT-Grundschutz fornece a metodologia específica para ajudar as organizações a identificar e implementar medidas de segurança para sistemas de TI e é um dos elementos sobre os quais as normas do C5 são criadas. O C5 fornece um conjunto de normas de auditoria para provedores de serviços de nuvem, mas deixa os detalhes da implementação para o provedor de serviços de nuvem.
O que é o Microsoft Cloud Alemanha?
A Microsoft Cloud Germany está fisicamente sediada na Alemanha, aderindo aos requisitos da lei de privacidade alemã, que limita a transferência de dados pessoais para outras nações e oferece proteção contra o acesso por autoridades de outras jurisdições que poderiam violar leis domésticas. O Azure Alemanha fornece serviços do Azure de datacenters alemães com residência de dados na Alemanha, além de fornecer medidas rigorosas de acesso e controle de dados fornecidas por meio de um modelo administrador de dados exclusivo regido pelas leis alemãs.
Use o Microsoft Purview Compliance Manager para avaliar seu risco
O Microsoft Purview Compliance Manager é um recurso no portal de conformidade do Microsoft Purview para ajudá-lo a entender a postura de conformidade da sua organização e tomar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.
Recursos
- Catálogo de Critérios de Conformidade de Computação em Nuvem (C5:2020) (inglês) (alemão)
- Recomendações de Segurança para Provedores de Computação em Nuvem (inglês) (alemão)
- Azure + Dynamics 365 + Serviços Online – Governo do & Público – SOC 2 Tipo II + C5 + Relatório Estrela do CSA
- Relatório do Microsoft 365 - C5 Worldwide Type 1
- Pasta de Trabalho IT-Grundschutz para o Microsoft Azure Alemanha
- Pasta de Trabalho IT-Grundschutz (inglês) para Office 365 Alemanha
- Pasta de Trabalho IT-Grundschutz (alemão) para Office 365 Alemanha
- Conformidade na Central de Confiabilidade da Microsoft
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários