Cloud Computing Compliance Criteria Catalogue
(C5)
Panoramica
Cloud Computing Compliance Criteria Catalogue (C5) è uno schema di attestazione sostenuto dal governo tedesco introdotto in Germania dall'Ufficio federale per la sicurezza delle informazioni (BSI). C5 aiuta le organizzazioni a dimostrare la sicurezza operativa contro i comuni attacchi informatici quando si utilizzano i servizi cloud nel contesto delle “Raccomandazioni di sicurezza per i provider cloud” del governo tedesco.
L'attestato C5 può essere usato dai clienti AWS e dai rispettivi consulenti in materia di conformità per comprendere i controlli di sicurezza implementati da AWS per soddisfare i requisiti del C5 durante il trasferimento dei carichi di lavoro nel cloud. C5 aggiunge il livello di sicurezza IT definito a livello normativo equivalente allo standard IT-Grundschutz, con l'aggiunta di controlli specifici per il cloud.
Il C5 include controlli aggiuntivi relativi alla posizione dei dati, al provisioning dei servizi, alla sede giurisdizionale, alla certificazione esistente e agli obblighi di divulgazione delle informazioni, oltre a una descrizione completa del servizio. Grazie a tali informazioni, i clienti possono valutare come le normative legali (ad esempio, la privacy dei dati), le proprie policy o l'ambiente delle minacce si relazionano all'uso dei servizi di cloud computing.
Domande frequenti
Apri tutto- ISO/IEC 27001:2013 – Sistemi di gestione della sicurezza delle informazioni – Requisiti
- ISO/IEC-27002:2016 – Procedure di sicurezza IT – Linee guida per le misure di sicurezza delle informazioni
- ISO/IEC 27017:2015 – Tecniche di sicurezza – Codice di condotta per i controlli di sicurezza delle informazioni basati sullo standard ISO/IEC 27002 per i servizi cloud
- BSI – Compendio IT Grundschutz-Kompendium, seconda edizione del 2019
- CSA – Cloud Controls Matrix 3.0.1 (CSA - Cloud Security Alliance)
- AICPA Trust Service Principles Criteria 2017 (AICPA - American Institute of Certified Public Accountants)
- ANSSI (Agence nationale de la sécurité des systèmes d’information, Agenzia nazionale di sicurezza informatica francese) – Fornitori di servizi di cloud computing v. 3.1 (SecNumCloud)
- IDW (Institut der Wirtschaftsprüfer, Istituto tedesco dei commercialisti certificati) RS FAIT 5 – Dichiarazione sulla rendicontazione finanziaria "Principi di contabilità ordinata per l'esternalizzazione dei servizi relativi alla rendicontazione finanziaria, incluso il cloud computing", aggiornata al 4 novembre 2015
Il C5 (Cloud Computing Compliance Criteria Catalogue) è lo standard di sicurezza informatica del cloud computing in Germania. Progettata e rilasciata da BSI per la prima volta nel 2016, la serie di controlli dello standard C5 offre un'ulteriore garanzia ai clienti in Germania nel momento in cui trasferiscono i complessi carichi di lavoro regolamentati ai provider di servizi cloud computing quali AWS.
Gli attuali controlli C5 sono stati rilasciati nel 2020 e include i requisiti dei seguenti standard e pubblicazioni:
L'autorità nazionale tedesca per la sicurezza informatica Bundesamt für Sicherheit in der Informationstechnik (BSI) ha sviluppato lo standard C5 nel 2016. Il BSI definisce i requisiti di sicurezza informatica per tutti i sistemi governativi e la maggior parte delle aziende tedesche allinea la propria strategia di sicurezza informatica agli standard approvati dall’ente. A gennaio 2020 è stata completata la versione attuale (C5:2020).
Il rapporto C5 fornisce ai nostri clienti europei un'attestazione indipendente di terze parti sull'idoneità della progettazione e dell'efficacia operativa dei nostri controlli per soddisfare i criteri di base e aggiuntivi C5. Nello specifico, i clienti in Germania sono abituati a cercare servizi cloud che sono stati valutati in base ai criteri del C5. Il C5 fornisce ai clienti un framework che documenta un livello di sicurezza IT equivalente all'IT-Grundschutz che copre tutti gli aspetti di sicurezza IT per il cloud computing. Per le autorità federali, un attestato C5 è un requisito fondamentale nel processo di approvvigionamento.
Le informazioni attuali su C5 in AWS possono essere consultate nei rispettivi post del blog sulla sicurezza AWS C5.
Le regioni AWS che rientrano nell’ambito di C5 sono: Francoforte, Irlanda, Londra, Parigi, Milano, Stoccolma, Singapore, Zurigo e Spagna, oltre alle posizioni Edge in Austria, Belgio, Bulgaria, Croazia, Repubblica Ceca, Danimarca, Estonia, Finlandia, Francia, Germania, Grecia, Ungheria, Irlanda, Italia, Paesi Bassi, Norvegia, Polonia, Portogallo, Romania, Singapore, Spagna, Svezia, Svizzera e Regno Unito.
I servizi AWS interessati dal C5 sono riportati nella pagina Servizi AWS coperti dal programma di compliance. Per ulteriori informazioni sull'utilizzo di questi servizi, oppure se ti interessano altri servizi, contattaci.
L'IT-Grundschutz è uno standard per stabilire e mantenere un'adeguata protezione delle informazioni di un'istituzione. I cataloghi dell'IT-Grundschutz descrivono le tutele per i processi aziendali, i sistemi informatici e le applicazioni tipici e riguardano la protezione delle informazioni di un'impresa. Il C5 fornisce indicazioni sulle offerte dei provider di servizi cloud (CSP).
I report C5 di AWS sono disponibili per i clienti che utilizzano AWS Artifact, un portale self-service per l'accesso on demand ai report di conformità AWS. Accedi ad AWS Artifact nella Console di gestione AWS o scopri di più nella pagina Nozioni di base su AWS Artifact.
Nel gennaio 2026 abbiamo annunciato la disponibilità al pubblico di AWS European Sovereign Cloud, un nuovo cloud indipendente per l’Europa interamente situato all’interno dell’Unione Europea (UE) e separato in termini fisici e logici da tutte le altre regioni AWS. Il report dedicato AWS European Sovereign Cloud C5 fornisce ai nostri clienti un’attestazione indipendente di terze parti sull’idoneità della progettazione dei controlli AWS per soddisfare i criteri di base e aggiuntivi C5.
Per ulteriori informazioni sul report AWS European Sovereign Cloud C5 e sul suo ambito di interesse, visita il sito web https://aws.eu/compliance/.