El Catálogo de controles de cumplimiento de computación en la nube (C5) fue creado por la Oficina Federal Alemana para la Seguridad de la Información (Bundesamt für Sicherheit in der Informationstechnik, BSI) con el fin de proporcionar un marco para evaluar la ciberseguridad de un proveedor de servicios en la nube y garantizar la existencia de controles en caso de ciberataque.
El C5 esboza los requisitos que deben cumplir los proveedores de servicios en la nube para ofrecer un nivel mínimo de seguridad en sus servicios. El estándar combina normas de seguridad ya existentes, como ISO 27001, SOC 2 y los catálogos IT-Grundschutz de BSI, con requisitos adicionales específicos del C5 para aumentar la transparencia en el tratamiento de datos.
El cumplimiento del C5 es obligatorio para los servicios en la nube utilizados por el gobierno alemán y las organizaciones que trabajan con el sector público de Alemania. Las evaluaciones del C5 se realizan de acuerdo con la Norma internacional para contratos de aseguramiento (ISAE, por sus siglas en inglés) 3000 (revisada), Contratos de aseguramiento distintos de auditorías o revisiones de información financiera histórica.
Informes y otra Documentación
Los informes C5 para los servicios enumerados en la sección “servicios en alcance” están protegidos y disponibles previa solicitud. Para solicitar los informes C5 de IBM Cloud infrastructure, IBM Cloud VPC o IBM Cloud PaaS/Cloudant:
Los clientes actuales y potenciales de IBM pueden utilizar los informes C5:2020 como verificación del cumplimiento de la seguridad en la nube y como parte de su evaluación para utilizar IBM Cloud.
Los informes C5 son de especial interés para los clientes de IBM, con oficinas en la Unión Europea (UE), u otros clientes globales que busquen encontrar un marco de control integral de la computación en la nube.
IBM Cloud Platform - Core Servicesos informes C5 pueden proporcionarse para servicios de IBM que hayan implementado controles de acuerdo con el marco C5 y que hayan sido evaluados por un auditor independiente, demostrando así el cumplimiento del C5.
Los servicios que se enumeran a continuación cuentan con un informe C5 disponible, lo que representa un periodo durante el cual se evaluaron los controles.
Las descripciones de servicios (SD) de IBM indican si una oferta determinada mantiene el estado de cumplimiento de C5. Los servicios a continuación emiten informes C5 al menos una vez al año.