Autoavaliação Star da Cloud Security Alliance (CSA)

Visão geral da autoavaliações do STAR da CSA

A Cloud Security Alliance (CSA) é uma organização sem fins lucrativos dirigida por uma ampla coalizão de profissionais e corporações do setor e outros interessados de importância. Sua função é definir práticas recomendadas para contribuir para um ambiente de computação em nuvem mais seguro e ajudar possíveis clientes de nuvem a tomar decisões fundamentadas na transição de suas operações de TI para a nuvem.

Em 2010, a CSA lançou um conjunto de ferramentas para avaliar operações de TI na nuvem: CSA Governance, Risk Management e Compliance (GRC) Stack. Elas foram desenvolvidas para ajudar os clientes da nuvem a avaliar como os provedores de serviços de nuvem (CSPs) seguem as melhores práticas e padrões do setor, e se eles estão em conformidade com as regulamentações.

Em 2013, a CSA e o Instituto Britânico de Normas lançaram o Security, Trust & Assurance Registry (STAR), um registro gratuito e publicamente acessível em que os CSPs podem publicar suas avaliações relacionadas com a CSA.

O STAR da CSA é baseada em dois componentes-chave do GRC Stack da CSA:

  • (Cloud Controls Matrix (CCM): uma estrutura de controles que abrange princípios fundamentais de segurança em 16 domínios para auxiliar os clientes na nuvem a avaliarem o risco geral de segurança de uma CSP.
  • O Consensus Assessments Initiative Questionnaire (CAIQ): um conjunto de mais de 140 perguntas com base no CCM que um cliente ou auditor da nuvem pode fazer aos CSPs para avaliar a conformidade deles com as melhores práticas de CSA.

O STAR oferece três níveis de garantia; a Autoavaliação CSA-STAR é a oferta introdutória no Nível 1, a qual é gratuita e aberta a todos os CSPs. O nível de garantia seguinte é o Nível 2 do programa STAR, que envolve certificações de terceiros baseados em certificações, e o Nível 3 envolve certificações baseados no monitoramento contínuo.

Autoavaliações do STAR da CSA e da Microsoft

Como parte da Autoavaliação do STAR, os CSPs podem enviar dois tipos diferentes de documentos para indicar a conformidade com as melhores práticas de CSA: um CAIQ preenchido ou um relatório documentando a conformidade com o CCM. Para a Autoavaliação do STAR da CSA, a Microsoft publica um CAIQ e um relatório com base CCM para o Microsoft Azure, e relatórios com base no CCM para Microsoft Dynamics 365 e Microsoft Office 365.

Plataformas e serviços de nuvem no escopo da Microsoft

Autoavaliação do Azure, Dynamics 365 e CSA STAR

Para obter mais informações sobre o Azure, Dynamics 365 e outros serviços de conformidade online, consulte a Oferta de autoavaliação do Azure CSA STAR.

Autoavaliação do Office 365 e CSA STAR

Ambientes de nuvem do Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes em nuvem do Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
Comercial Exchange Online, Proteção do Exchange Online, Portal do Cliente do Office 365, Office Online, Infraestrutura de Serviços do Office, OneDrive for Business, SharePoint Online, Skype for Business

Perguntas frequentes

A quais padrões da indústria o CCM da CSA se alinha?

O CCM corresponde a padrões de segurança, regulamentos e estruturas de controle aceitos pelo setor, como ISO 27001, PCI DSS, HIPAA, AICPA SOC 2, NERC CIP, FedRAMP, NIST e muito mais. Para obter a lista mais atual, visite o site da CSA.

Por que a Autoavaliação do STAR da CSA é importante?

Ela permite aos CSPs documentar a conformidade com as melhores práticas publicadas da CSA de forma transparente. Os relatórios de autoavaliação estão publicamente disponíveis e ajudam os clientes a ganhar visibilidade em relação às práticas de segurança de CSPs e a comparar vários CSPs usando a mesma linha de base.

Quais níveis de garantia CSA STAR o Office 365 atingiu?

  • Nível 1: Autoavaliação CSA STAR: uma oferta gratuita de provedores de serviços em nuvem para documentar seus controles de segurança para ajudar os clientes a avaliarem a segurança do serviço.

Recursos do Office 365