La norme Cloud Computing Compliance Controls Catalog (C5) a été créée par l'Office fédéral allemand de la sécurité de l'information (Bundesamt für Sicherheit in der Informationstechnik, ou BSI) afin de fournir un cadre de référence pour l'évaluation de la cybersécurité d'un fournisseur de services cloud et de garantir la mise en place de contrôles en cas de cyberattaque.
La section C5 décrit les exigences que les fournisseurs de services cloud doivent respecter afin de fournir un niveau de sécurité minimal pour leurs services. La norme combine les normes de sécurité existantes telles que l’ISO 27001, la SOC 2 et les catalogues IT-Grundschutz du BSI avec des exigences supplémentaires spécifiques au C5 pour une transparence accrue dans le traitement des données.
La conformité C5 est requise pour les services cloud utilisés par le gouvernement allemand et les organisations qui travaillent avec le secteur public d’Allemagne. Les évaluations C5 sont effectuées conformément à la norme internationale sur les missions d’assurance (ISAE) 3000 (révisée), Assurance Engagements Other Than Audits or Reviews of Historical Financial Information.
Rapports et autre documentation
Les rapports C5 pour les services répertoriés dans la section « services concernés » sont protégés et disponibles sur demande. Pour demander les rapports IBM Cloud Infrastructure, IBM Cloud VPC et/ou IBM Cloud PaaS/Cloudant C5 :
Les clients IBM actuels et potentiels peuvent utiliser les rapports C5:2020 comme vérification de la conformité de la sécurité du cloud et dans le cadre de leur évaluation de l'utilisation d'IBM Cloud.
Les rapports C5 présentent un intérêt particulier pour les clients d'IBM ayant des bureaux dans l'Union européenne (UE) ou pour d'autres clients internationaux qui recherchent un cadre de contrôle complet pour le cloud computing.
Des rapports C5 peuvent être fournis pour les services IBM qui ont mis en place des contrôles conformément au cadre C5 et qui ont été évalués par un auditeur indépendant, attestant de leur conformité avec C5.
Les services énumérés ci-dessous disposent d’un rapport C5, représentant une période pendant laquelle les contrôles ont été évalués.
Les descriptions de service (SD) IBM indiquent si une offre donnée conserve son statut de conformité C5. Les services ci-dessous publient des rapports C5 au moins une fois par an.