O que é o Catálogo de critérios de conformidade de computação em nuvem?
O Catálogo de Critérios de Conformidade de Computação em Nuvem (C5) é um catálogo de padrões especificamente adaptados para atender às necessidades de segurança dos serviços de computação em nuvem. Esse guia, criado pelo Escritório Federal de Segurança da Informação (BSI), atua como uma estrutura para avaliar e verificar as implementações de segurança que os provedores de serviços em nuvem têm em vigor.
O que o Catálogo de Critérios de Conformidade de Computação em Nuvem implica?
O Catálogo C5 é um conjunto de critérios publicado pelo Escritório Federal de Segurança da Informação em 2016. Ele descreve os padrões mínimos para a computação em nuvem segura e compila os requisitos que os provedores de serviços em nuvem precisam cumprir para serem reconhecidos como parceiros confiáveis no manuseio e processamento de dados confidenciais.
Atualmente, o catálogo de critérios inclui 17 tópicos e aborda mais de 120 critérios. A última edição do catálogo, lançada em 2020, descreve os requisitos em várias áreas, como:
- Organização da segurança da informação
- Políticas de segurança e procedimentos operacionais
- Segurança física
- Procedimentos operacionais padrão
- Gerenciamento de identidade e acesso
- Criptografia e gerenciamento de chaves
- Comunicações seguras
- Gerenciamento de incidentes de segurança
Para quem os critérios de conformidade C5 são relevantes?
Os critérios descritos no catálogo destinam-se principalmente a organizações e empresas que fornecem serviços em nuvem. O catálogo C5 é particularmente importante para os provedores alemães de serviços em nuvem e provedores de armazenamento em nuvem que gerenciam ou armazenam dados confidenciais. Com seus padrões uniformes, ele oferece uma estrutura que os provedores podem usar como guia para garantir que os dados pessoais que armazenam estejam seguros e que os riscos de segurança sejam minimizados.
Não são apenas os provedores que se beneficiam. Os clientes de serviços em nuvem podem utilizar o catálogo de critérios para compreender os principais aspectos da segurança da informação na computação em nuvem. Isso permite que eles façam uma escolha bem informada sobre onde armazenar e colocar seus dados pessoais.
O que diferencia os provedores com certificação C5?
Em geral, os provedores que obtêm a certificação C5 se distinguem por aderirem aos rigorosos padrões de segurança descritos no Catálogo de Critérios de Conformidade de Computação em Nuvem do BSI. Como esse catálogo engloba todos os aspectos da segurança da informação, os provedores de nuvem com certificação C5 são normalmente considerados seguros. Embora isso não implique que os incidentes de segurança sejam totalmente evitáveis, os clientes podem confiar que seus dados estão protegidos e que qualquer evento será tratado de forma profissional.
Os critérios exatos que são atendidos dependem do provedor de serviços individual, pois o catálogo de critérios faz distinção entre critérios básicos e adicionais. Os critérios básicos devem ser atendidos para receber a certificação. Os critérios adicionais, por outro lado, podem ser cumpridos opcionalmente para se obter um nível de proteção ainda mais alto.
Quais são as outras certificações de segurança?
A certificação C5 não é a única certificação relevante para provedores de nuvem. Os critérios do catálogo C5 são provenientes de uma série de padrões nacionais e internacionais, cada um deles com sua própria importância:
- certificação ISO/IEC 27001: Requisitos para a introdução, implementação, monitoramento e melhoria de um sistema documentado de gestão da segurança da informação
- Guia de proteção básica de TI da BSI: práticas recomendadas para a implementação de medidas de segurança
- Certificação ISO/IEC 27002: Informações sobre a implementação de mecanismos de segurança em sistemas de gerenciamento de segurança da informação e sobre outros aspectos da segurança da informação.
O padrão ISO 27001 é de particular importância para os provedores de serviços de TI e provedores de nuvem. Ela é muito mais ampla do que o Catálogo de Critérios de Conformidade de Computação em Nuvem C5 e abrange não apenas os serviços em nuvem, mas também vários aspectos do gerenciamento da segurança da informação. Dessa forma, ela cria uma estrutura mais geral para a segurança das informações.