Il Cloud Computing Compliance Controls Catalog (C5) è stato creato dall'Ufficio federale tedesco per la sicurezza delle informazioni (Bundesamt für Sicherheit in der Informationstechnik o BSI) con l'obiettivo di fornire un quadro di riferimento per la valutazione della sicurezza informatica di un provider di servizi cloud, e per garantire che siano implementati i dovuti controlli in caso di attacco informatico.
Il C5 descrive i requisiti che i provider di servizi cloud devono soddisfare per fornire un livello di sicurezza minimo. Questo standard combina gli standard di sicurezza esistenti come ISO 27001, SOC 2 e i cataloghi IT-Grundschutz di BSI con ulteriori requisiti specifici C5 per una maggiore trasparenza nell'elaborazione dei dati.
La conformità C5 è necessaria per i servizi cloud utilizzati dal governo tedesco e dalle organizzazioni che lavorano con il settore pubblico tedesco. Le valutazioni C5 sono eseguite in conformità con lo standard internazionale per gli incarichi di assicurazione (ISAE) 3000 (Revised), gli incarichi di assicurazione diversi dagli audit e le revisioni delle informazioni finanziarie storiche.
Report e altra documentazione
I report C5 per i servizi elencati nella sezione «servizio compresi» sono protetti e disponibili su richiesta. Per richiedere l'infrastruttura IBM Cloud, IBM Cloud VPC e/o IBM Cloud PaaS/Cloudant C5:
I clienti effettivi e potenziali di IBM possono utilizzare i report C5:2020 come verifica di conformità per la sicurezza del cloud, e nell'ambito delle loro valutazioni circa l'impiego di IBM Cloud.
I report C5 rivestono un particolare interesse per i clienti di IBM, data la presenza di uffici nell'Unione Europea (UE), o per altri clienti internazionali alla ricerca di un framework di controllo completo per il cloud computing.
È possibile fornire report C5 per i servizi di IBM che hanno implementato una struttura di controlli conforme al framework C5, e che siano stati valutati da un organismo di revisione indipendente che abbia dimostrato la conformità ai criteri C5.
I servizi elencati di seguito sono corredati da un report C5 disponibile, che rappresenta l'intervallo di tempo nel quale i controlli sono stati valutati.
Le descrizioni dei servizi (SD) di IBM indicano se una determinata offerta mantiene lo stato di conformità C5. I servizi sottostanti emettono dei report C5 almeno una volta all'anno.