CSA Star

 
 
 
Web: www.cloudsecurityalliance.org
Ámbito geográfico: Internacional.
Promovido por: Organización sin ánimo de lucro.
Descripción: Certificado de seguridad para proveedores de servicios cloud y registro de proveedores.
 
 
 

El registro de evaluación, confianza y seguridad CSA STAR (Security, Trust & Assurance Registry) de la organización CSA es un mecanismo de evaluación de la seguridad de los proveedores de servicios en la nube, aunando principios de transparencia, rigor en la auditoría, armonización de estándares y monitorización continua. Está dirigido a proveedores de servicios cloud, a sus usuarios, a auditores y entidades de certificación y a empresas de seguridad y consultores.

Para la evaluación ofrece una matriz de controles cloud (Cloud Controls Matrix (CCM)) con correspondencias con distintos estándares, mejores prácticas y normativas (COBIT, HIPPA, ISO27001, NIST SP800-53, Fed RAMP, PCI DSS, BITS, GAPP,…). También proporciona un cuestionario de preguntas que sirven al usuario o al auditor para verificar el cumplimento del proveedor de servicios cloud.

Tabla de criterios INTECO para el sello Confianza Online
Criterios
Criterios

La matriz de controles cloud cubre las áreas de cumplimiento, gobernanza de datos, seguridad de las instalaciones, recursos humanos, seguridad de la información, legal, gestión de operaciones, gestión de riesgos, gestión de versiones, resiliencia y arquitectura de seguridad.

Los proveedores que envían el cuestionario o se certifican se mostrarán en un registro público (complimentary registry) en el que se pueden consultar los datos de certificación y cumplimiento con los controles de cada uno.

Códigos éticos o de conducta a los que está adherido

CSA Star no se encuentra adherido a ningún código ético o de conducta.

Qué han de cumplir las empresas para obtener su sello

Dependiendo del nivel de evaluación:

  • Nivel 1 Self- assesment o auto-evaluación de la conformidad. Los proveedores de servicios en la nube deben bien rellenar el cuestionario o documentar el cumplimiento de la matriz de controles. Esta información será publicada en el registro para promover la transparencia y la visibilidad de sus prácticas de seguridad. Este servicio es gratuito.
  • Nivel 2 o evaluación independiente por terceros con tres modalidades dependiendo de las normas complementarias utilizadas:
  • Nivel 3 o CSA STAR Continuous monitoring (previsto para 2015) estará basado en la auditoría continua. Incluirá un protocolo de confianza y permitirá la automatización de las prácticas de seguridad de los proveedores cloud.

Pasos para su obtención

Para darse de alta en el registro (nivel 1) el proveedor de servicios cloud tiene que enviar los documentos de auto-evaluación a través de la plataforma y estar de acuerdo con los términos y condiciones del servicio. CSA comprueba la autenticidad de los documentos y los publica en el registro. El proveedor debe revisarlos en un plazo no superior a un año, en caso contrario se despublicarán. Esta publicación no indica que CSA verifique el cumplimiento de los controles de cada proveedor. Una vez aceptada por CSA, el proveedor puede mencionarlo en su página web con un enlace a CSA.

Si se opta por la CSA Star Certification (nivel 2 en asociación con ISO/IEC 27001/2005 y a partir de marzo de 2015 con la ISO/IEC 27001/2013) el auditor certificado independiente dará una puntuación de madurez a cada uno de los controles, asignando un nivel de reconocimiento (No, Bronze, Silver o Gold) y enviando al proveedor un informe interno sobre la madurez de sus procesos y las áreas de mejora para alcanzar un nivel óptimo de madurez.

Renovación

La entrada en el registro se despublicará si transcurre más de un año sin que sea revisada por el proveedor. Si esto ocurriera, el proveedor debe eliminar de su página web cualquier referencia.

CSA también despublicará cualquier entrada en el registro si considera que se violan los términos y condiciones del servicio.

Si el proveedor opta por el nivel 2 (evaluación independiente) se ha de pagar una cuota para la emisión del certificado de CSA que tiene una validez de 3 años. Si la certificación de la empresa auditora fuera de un plazo inferior se prorratearía al siguiente mes completo.