El Catálogo de Controles de Conformidad de Computación en la Nube (Cloud Computing Compliance Controls Catalog o C5) fue creado por la Oficina Federal Alemana para la Seguridad de la Información (Bundesamt für Sicherheit in der Informationstechnik o BSI) con el fin de proporcionar un marco para evaluar la ciberseguridad de un proveedor de servicios en la nube y garantizar la existencia de controles en caso de ciberataque.
El C5 describe los requisitos que deben cumplir los proveedores de servicios en la nube a fin de proporcionar un nivel mínimo de seguridad para sus servicios. La norma combina las normas de seguridad existentes, como la ISO 27001, la SOC 2 y los catálogos IT-Grundschutz de la BSI, con requisitos adicionales específicos del C5 para aumentar la transparencia en el tratamiento de los datos.
El cumplimiento de la norma C5 es obligatorio para los servicios en la nube utilizados por el Gobierno alemán y las organizaciones que trabajan con el sector público alemán. Las evaluaciones C5 se realizan de conformidad con la Norma Internacional sobre Encargos de Aseguramiento (ISAE) 3000 (Revisada), encargos de aseguramiento distintos de auditorías o revisiones de información financiera histórica.
Informes y otra documentación
Los informes C5 de los servicios enumerados en la sección "servicios en el ámbito de aplicación" están protegidos y disponibles previa solicitud. Para solicitar los informes C5 de infraestructura de IBM Cloud, IBM Cloud VPC o IBM Cloud PaaS/Cloudant:
Los clientes actuales y potenciales de IBM pueden utilizar los informes C5:2020 como verificación de la conformidad de la seguridad en la nube y como parte de su evaluación para utilizar IBM Cloud.
Los informes C5 son de especial interés para los clientes de IBM, con oficinas en la Unión Europea (UE), u otros clientes globales que buscan encontrar un marco de control de la computación en la nube exhaustivo.
Los informes C5 pueden facilitarse para los servicios de IBM que hayan implementado controles de conformidad con el marco del C5 y que hayan sido evaluados por un auditor independiente, demostrando la prueba de conformidad con el C5.
Los servicios enumerados a continuación tienen un informe C5 disponible, que representa un período de tiempo durante el cual se evaluaron los controles.
Las descripciones de servicios (SD) de IBM indican si una oferta determinada mantiene el estado de conformidad con el C5. Los servicios que figuran a continuación emiten informes C5 al menos una vez al año.