Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Visão geral do C5
Em 2016, o Serviço Federal Alemão para a Segurança da Informação (Bundesamt für Sicherheit in der Informationstechnik, ou BSI) criou o Cloud Computing Compliance Controls Catalog (C5). O BSI reviu a documentação de orientação como o Catálogo de Critérios de Conformidade da Computação na Cloud (C5:2020) em 2020. O C5 é um padrão auditado que estabelece uma linha de base mínima obrigatória para segurança na nuvem e a adoção de soluções de nuvem pública por órgãos governamentais alemães e organizações que trabalham com o governo. O sector privado está também a adoptar cada vez mais a C5.
O objetivo do catálogo C5 de requisitos é fornecer uma estrutura de segurança consistente para certificar fornecedores de serviços cloud e dar aos clientes a garantia de que os seus dados são geridos de forma segura.
O C5 se baseia nas normas de segurança de TI reconhecidas internacionalmente como ISO/IEC 27001:2013, o Cloud Security Alliance Cloud Controls Matrix 3.0.1 e os Catálogos IT-Grundschutz do BSI. O catálogo consiste em 114 requisitos em 17 domínios, por exemplo, a organização de segurança da informação e segurança física, com requisitos de segurança básicos para todos os provedores de serviços em nuvem e outros requisitos para processamento de dados altamente confidenciais e situações que exigem alta disponibilidade.
O BSI também enfatiza a transparência. Como parte de uma auditoria, o provedor de nuvem deve incluir uma descrição detalhada do sistema e divulgar parâmetros ambientais como local de processamento de dados e jurisdição, provisão de serviços e outras certificações emitidas para os serviços de nuvem, além de informações sobre as obrigações de divulgação do provedor de nuvem para autoridades públicas. Este sistema ajuda potenciais clientes da cloud a decidir se os serviços cloud cumprem os seus requisitos essenciais, como o cumprimento de requisitos legais, como a proteção de dados, as políticas da empresa ou a capacidade de lidar com a ameaça de espionagem industrial.
Microsoft e o C5
Os serviços de nuvem da Microsoft são auditados pelo menos anualmente seguindo as normas SOC 2 (AT Section 101). De acordo com o BSI, uma auditoria de C5 pode ser combinada com uma auditoria de SOC 2 para reutilizar partes da descrição do sistema e resultados da auditoria para controles sobrepostos. O Microsoft Azure, o Azure Governamental e o Azure Alemanha mantêm um relatório combinado (C5, SOC 2 Tipo 2, CSA STAR Attestation) com base na avaliação de auditoria realizada por um auditor independente, que demonstra prova de conformidade com o C5.
Plataformas e serviços em nuvem no escopo da Microsoft
- Azure, Azure Governamental e Azure Alemanha
- Microsoft 365 Alemanha
Azure, Dynamics 365 e C5
Para obter mais informações sobre Azure, Dynamics 365 e outros serviços online conformidade, consulte a oferta Germany C5:2020.
Perguntas frequentes
Posso usar a conformidade da Microsoft com o C5 para ajudar minha organização a obter seu próprio atestado de C5?
Sim. Pode utilizar o atestado dos serviços cloud da Microsoft como base para qualquer programa ou iniciativa que necessite de C5. No entanto, você precisa obter seu próprio atestado C5 para componentes externos ou criados a partir desses serviços.
Qual é a diferença entre os Catálogos IT-Grundschutz e o C5?
O IT-Grundschutz fornece a metodologia específica para ajudar as organizações a identificar e implementar medidas de segurança para sistemas de TI e é um dos elementos sobre os quais as normas do C5 são criadas. O C5 fornece um conjunto de normas de auditoria para provedores de serviços de nuvem, mas deixa os detalhes da implementação para o provedor de serviços de nuvem.
O que é o Microsoft Cloud Alemanha?
A Microsoft Cloud Germany está fisicamente sediada na Alemanha, cumprindo os requisitos da lei de privacidade alemã, que limita a transferência de dados pessoais para outras nações e oferece proteção contra o acesso por parte de autoridades de outras jurisdições que possam violar as leis internas. O Azure Alemanha fornece serviços do Azure de datacenters alemães com residência de dados na Alemanha, além de fornecer medidas rigorosas de acesso e controle de dados fornecidas por meio de um modelo administrador de dados exclusivo regido pelas leis alemãs.
Utilizar o Gestor de Conformidade do Microsoft Purview para avaliar o risco
O Gestor de Conformidade do Microsoft Purview é uma funcionalidade no portal do Microsoft Purview que o ajuda a compreender a postura de conformidade da sua organização e a tomar medidas para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.
Recursos
- Catálogo de Critérios de Conformidade da Computação na Cloud (C5:2020) (inglês) (alemão)
- Recomendações de Segurança para Provedores de Computação em Nuvem (inglês) (alemão)
- Azure + Dynamics 365 + Serviços Online - Administração Pública & - SOC 2 Tipo II + C5 + CSA Star Report
- Microsoft 365 - C5 Worldwide - C5 Type 2 Report
- It-Grundschutz Workbook for Microsoft Azure Germany
- It-Grundschutz Workbook (Inglês) for Office 365 Germany
- It-Grundschutz Workbook (Alemão) for Office 365 Germany
- Conformidade na Central de Confiabilidade da Microsoft