Існує безліч міжнародних та національних сертифікацій, які підтверджують відповідність рішень та бізнес-процесів хмарного оператора загальноприйнятим вимогам. Однією з таких є CSA STAR. Що це, які переваги надає та як її пройти, розповідаємо нижче.

Що таке сертифікація CSA STAR

CSA Security, Trust і Assurance Registry (STAR) ― незалежна оцінка безпеки cloud сервісів. Цю сертифікацію розробили Британський інститут стандартів (BSI) та Альянс хмарної безпеки (Cloud Security Alliance).

Проєкт поєднує засоби контролю та найкращі практики, викладені в інших стандартах інформаційної безпеки, наприклад, ISO/IEC 27001:2013. А також допомагає хмарним операторам краще захистити дані своїх клієнтів.

CSA STAR рівні сертифікації

Поділяється на три рівні.

Рівень 1 ― Самооцінка на основі опитувальника Ініціативи консенсусних оцінок (CAIQ)

Щоб отримати сертифікат першого рівня, потрібно провести самооцінку своїх систем та засобів контролю відповідно до найкращих практик CSA. Для цього хмарні оператори мають заповнити анкету Ініціативи консенсусних оцінок (CAIQ) та надіслати до Cloud Security Alliance для перевірки.

Сертифікацію потрібно проходити щорічно. Але якщо компанії проходять її хоч щомісяця, мають право на безперервну сертифікацію. Це дозволяє їм запевнити своїх клієнтів у тому, що вони дотримуються нормативних вимог постійно, а не лише тоді, коли настає час ресертифікації.

GigaCloud єдиний серед українських хмарних операторів пройшов сертифікацію CSA STAR та отримав сертифікат першого рівня на публічну хмару на VMware, розташовану на майданчиках в Україні та Польщі.

Рівень 2 ― Незалежне оцінювання третьої сторони

Передбачає проведення оцінки систем та сервісів третьою стороною, сертифікованою CSA. Наприклад, CSA STAR Attestation та CSA STAR Certification.

Є декілька способів отримання сертифіката другого рівня:

• Атестація AICPA SOC 2 + CSA STAR. Включає критерії довірчих послуг SOC 2 та структуру CCM і повинна поновлюватися щорічно.
• Сертифікація ISO 27001:2013 + CSA STAR. Включає вимоги стандарту ISO 27001:2013 та рамкові вимоги CSA. Її необхідно проходити кожні три роки.
• GB/T 22080-2008 + CSA C-STAR. Призначена для постачальників хмарних послуг, які працюють у Китаї. Оцінювання включає структуру CSA і китайські національні вимоги GB/T 22080-2008, а також додаткові засоби контролю з GB/T 22239-2008 і GB/Z 28828-2012. Оцінювання необхідно проходити кожні три роки.

Рівень 3 ― Безперервний моніторинг

На сайті Cloud Security Alliance третій рівень зазначений як «coming soon». Тобто наразі він не є офіційно доступним. У майбутньому безперервна оцінка буде досягнута шляхом збору даних в режимі реального часу за допомогою інструментів моніторингу, таких як аналітика журналів, мережева статистика, статистика процесів або використання ресурсів.

Переваги сертифікації

Дозволяє клієнтам швидко знайти постачальника, який пропонує рівень безпеки, необхідний для їхнього бізнесу.

Допомагає існуючим клієнтам забезпечити краще узгодження практик безпеки між ними та їхніми хмарними операторами, спрощуючи процес побудови ефективної програми управління, ризиків та відповідності.

Реєстр CSA STAR

Реєстр STAR ― це публічний реєстр постачальників хмарних послуг, котрі використовують засоби контролю програми STAR та отримали сертифікат. Реєстр знаходиться на сайті компанії та дозволяє будь-кому завантажити копію сертифіката, який отримав хмарний оператор.

Раніше ми розповідали, що означає SLA 99,95% і яка відповідальність хмарного оператора.