Cloud Computing Compliance Criteria Catalogue
C5
Visão geral
O Cloud Computing Compliance Criteria Catalog (C5) é um programa de certificação mantido pelo governo alemão e implantado no país pelo Federal Office for Information Security (BSI). O C5 ajuda as organizações a comprovar que possuem segurança operacional contra ataques cibernéticos ao usar serviços de nuvem no âmbito das “Security Recommendations for Cloud Providers” do governo alemão.
A certificação do C5 pode ser usada por clientes da AWS e seus consultores de conformidade para compreender os controles de segurança implantados pela AWS para cumprir os requisitos do C5 à medida que migram suas workloads para a nuvem. O C5 adiciona um nível de segurança de TI definido normativamente, equivalente ao IT-Grundschutz com a adição de controles específicos para a nuvem.
O C5 inclui requisitos de controles adicionais relacionados à localização de dados, ao provisionamento de serviços, ao local da jurisdição, às certificações existentes, às obrigações de divulgação de informações e a uma descrição completa dos serviços. Usando essas informações, os clientes podem avaliar como regulamentos legais (por exemplo, privacidade de dados), suas próprias políticas ou o ambiente de ameaças se relacionam ao uso de serviços de computação em nuvem.
Perguntas frequentes
Abrir tudo- ISO/IEC 27001:2013: sistemas de gerenciamento de segurança da informação - requisitos
- ISO/IEC 27002:2016: procedimentos de segurança de TI - diretrizes para medidas de segurança da informação
- ISO/IEC 27017:2015: técnicas de segurança - código de prática para controles de segurança da informação baseado na ISO/IEC 27002 para serviços em nuvem
- BSI: IT-Grundschutz-Kompendium, 2.ª edição 2019
- CSA: Cloud Controls Matrix 3.0.1 (CSA - Cloud Security Alliance)
- AICPA Trust Service Principles Criteria 2017: (AICPA, American Institute of Certified Public Accountants)
- ANSSI (Agence nationale de la sécurité des systèmes d’information, Agência Nacional de Segurança Cibernética da França): provedores de serviços de computação em nuvem v. 3.1 (SecNumCloud)
- IDW (Institut der Wirtschaftsprüfer, o Instituto Alemão de Contadores Públicos Certificados) RS FAIT 5: declaração sobre relatórios financeiros: “princípios de contabilidade ordenada para a terceirização de serviços relacionados a relatórios financeiros, incluindo computação em nuvem”, de 4 de novembro de 2015
O C5 (Cloud Computing Compliance Controls Catalogue) é o padrão de “segurança de TI para computação em nuvem” na Alemanha. Projetado e inicialmente disponibilizado pelo BSI em 2016, o conjunto de controles C5 oferece aos clientes na Alemanha garantia adicional para a movimentação de workloads complexas e normatizadas para provedores de serviços de computação em nuvem, como a AWS.
O C5 atual foi lançado em 2020 e inclui requisitos dos seguintes padrões e publicações:
A autoridade de segurança cibernética nacional da Alemanha, Bundesamt für Sicherheit in der Informationstechnik (BSI), criou o padrão C5 em 2016. O BSI definiu os requisitos de segurança de TI para todos os sistemas governamentais. A maioria das empresas alemãs alinha sua estratégia de segurança de TI aos padrões do BSI. A versão atual (C 5:2020) foi finalizada em janeiro de 2020.
O relatório C5 fornece aos nossos clientes europeus um atestado de terceiro independente sobre a adequação do projeto e a eficácia operacional de nossos controles para atender aos critérios básicos e adicionais do C5. Especificamente na Alemanha, os clientes estão acostumados a procurar serviços de nuvem avaliados de acordo com os critérios do C5. O C5 fornece aos clientes um framework que documenta um nível de segurança de TI equivalente ao IT-Grundschutz, abrangendo todos os aspectos de segurança de TI da computação em nuvem. Para as autoridades federais, o atestado C5 é um requisito básico no processo de aquisição.
As informações atuais sobre o C5 na AWS podem ser analisadas nas respectivas postagens do blog de segurança do C5 da AWS.
As regiões da AWS no escopo do C5 incluem Frankfurt, Irlanda, Londres, Paris, Milão, Estocolmo, Singapura, Zurique e Espanha, bem como locais da borda na Áustria, Bélgica, Bulgária, Croácia, República Tcheca, Dinamarca, Estônia, Finlândia, França, Alemanha, Grécia, Hungria, Irlanda, Itália, Holanda, Noruega, Polônia, Portugal, Romênia, Singapura, Espanha, Suécia, Suíça e Reino Unido.
Os produtos da AWS abrangidos que já estão no escopo do C5 podem ser encontrados em Serviços da AWS no escopo pelo programa de conformidade. Se quiser saber mais sobre o uso desses serviços e tiver interesse em outros, entre em contato conosco.
O IT-Grundschutz é um padrão para estabelecer e manter uma proteção apropriada das informações de uma instituição. Os Catálogos do IT-Grundschutz descrevem as proteções de processos comerciais, aplicações e sistemas de TI típicos, além de abordar a proteção das próprias informações de uma empresa. O C5 fornece orientações sobre as ofertas de provedores de serviços de nuvem (CSP).
O relatório C5 da AWS está disponível para os clientes que usam o AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS, ou saiba mais em Conceitos básicos do AWS Artifact.
Em janeiro de 2026, anunciamos a disponibilidade geral da AWS European Sovereign Cloud, uma nuvem nova e independente para a Europa, totalmente localizada na União Europeia (UE) e separada física e logicamente de todas as outras regiões da AWS. O relatório dedicado C5 da AWS European Sovereign Cloud fornece aos nossos clientes um atestado independente de terceiros quanto à adequação do design dos controles da AWS para atender aos critérios básicos e adicionais do C5.
Para saber mais sobre o relatório C5 da AWS European Sovereign Cloud e seu escopo, acesse https://aws.eu/compliance/.