RisolvoPC Servizi Server Cloud qualificati
Servizi Pubblica Amministrazione tel. 351 96.59.839 - 346 80.28.367 - 334 29.00.740

Livello CSA STAR e
requisiti dello schema
TMTABILE DEI CONTENUTI
Introduzione di STAR ....................................... .................................................. ........................
Panoramica dei livelli 3 STAR ...................... .................................................. ................................... 4
Livello 1 ............ .................................................. .................................................. .................... 5
STELLE Autovalutazione ......................... .................................................. .................. 6
Autovalutazione CoC GDPR (Privacy) ....................... .............................................. 6
Livello 2................................................ .................................................. .................................. 6
Attestazione CSA STAR ............ .................................................. ................................. 6
Certificazione CSA STAR ............. .................................................. .............................. 7
Valutazione CSA C-STAR .............. .................................................. .......................... 8
Certificazione CdC GDPR (Privacy) ................. .................................................. ......... 9
Livello 3 ...................................... .................................................. .......................................... 10
CSA STAR-Continuo .............................................. .............................................. 10
Copyright © 2019 Cloud Security Alliance
2SECURITY, TRUST, ASSURANCE AND RISK
(STAR ​​TM)
CSA Security Trust, Assurance and Risk (STAR ​​TM) è il programma più potente del settore per la garanzia
della sicurezza nel cloud. STAR TM comprende i principi chiave di trasparenza, controllo rigoroso e
armonizzazione degli standard. Il programma STAR TM offre molteplici vantaggi, comprese le indicazioni delle
migliori pratiche e la convalida dello stato di sicurezza delle offerte cloud.
STAR TM si basa sui seguenti strumenti di base:
•    
•    
•    
CSA Cloud Controls Matrix (CCM)
Il Consensus Assessments Initiative Questionnaire (CAIQ)
Il codice di condotta CSA per la conformità al GDPR
Il CCM è l'unico meta-framework di controlli di sicurezza specifici per il cloud, mappato ai principali standard,
best practice e normative. CCM fornisce alle organizzazioni la struttura, i dettagli e la chiarezza necessari
relativi alla sicurezza delle informazioni su misura per il cloud computing. CCM è attualmente considerato uno
standard de facto per la garanzia e la conformità della sicurezza del cloud.
Il CAIQ si basa sul CCM e fornisce una serie di domande Sì / No che un consumatore e un
revisore del cloud potrebbero voler chiedere a un fornitore di servizi cloud per accertare la loro conformità alla Matrice dei controlli cloud.
Il Codice di condotta CSA per la conformità al GDPR è uno strumento creato in collaborazione con esperti del settore
e rappresentanti delle autorità nazionali per la protezione dei dati dell'UE per assistere le organizzazioni nell'adesione
al Regolamento generale europeo sulla protezione dei dati. Il codice CSA include tutti i
requisiti necessari che un fornitore di servizi cloud deve soddisfare per conformarsi al GDPR dell'UE.
Una delle caratteristiche più essenziali del programma STAR TM è il suo registro che documenta i
controlli di sicurezza e privacy forniti dalle popolari offerte di cloud computing. Questo registro accessibile pubblicamente è
progettato per consentire agli utenti di servizi cloud di valutare i propri fornitori di servizi cloud, fornitori di sicurezza e servizi di consulenza e
società di servizi di valutazione al fine di prendere le migliori decisioni di approvvigionamento.
Copyright © 2019 Cloud Security Alliance
3STAR TM LEVELS PANORAMICA
Framework di certificazione aperto
FREQUENZA DI AUDIT Sicurezza
STAR Livello 3 Auditing continuo
STAR Livello 2
Continuo Livello 2 + Autovalutazione continua
STAR Livello 2 Certificazione di terze parti
STAR Livello 1
Continuo Continuo Autovalutazione
STAR Livello 1 Self -Valutazione
Privacy
Certificazione CdC
GDPR Autovalutazione CdC GDPR
L'immagine sopra mostra tre livelli nell'Open Certification Framework che STAR TM utilizza. Ciascuno dei
3 livelli offre un diverso livello di garanzia:
•    
•    
•    
Livello uno: autovalutazione
Livello due: certificazione di terze parti
Livello tre: monitoraggio continuo
Livello uno: autovalutazione
Esistono diverse opzioni per completare ciascun livello di garanzia. Per il livello uno le organizzazioni possono
scegliere di completare una o entrambe le autovalutazioni sulla sicurezza e sulla privacy.
Livello due: le
organizzazioni di certificazione di terze parti che cercano una certificazione di terze parti possono scegliere tra una o più delle opzioni di cui sopra.
In alcuni casi un'organizzazione può scegliere di perseguire tutte le certificazioni a questo livello, in altri casi ne
sarà sufficiente una. L'ubicazione di un'organizzazione, insieme alle normative e agli standard a cui è soggetta
hanno il fattore più importante nel determinare quali sono appropriati da perseguire.
Livello 3: monitoraggio continuo Il monitoraggio continuo
CSA STAR TM consente l'automazione delle attuali pratiche di sicurezza dei
fornitori di cloud . I fornitori pubblicano le loro pratiche di sicurezza in base alla formattazione e alle specifiche CSA, mentre i
clienti e i fornitori di strumenti possono recuperare e presentare queste informazioni in una varietà di contesti.
Copyright © 2019 Cloud Security Alliance
4All Levels: Continuous Auditing
Ogni livello di STAR TM ha anche un'opzione di controllo continuo che ti consente di aumentare la tua
trasparenza. È possibile ottenere STAR TM Continuous basandosi sull'attuale livello STAR TM del CSP. Autovalutazione di
LIVELLO 1
STAR TM
L'autovalutazione CSA STAR TM è gratuita e aperta a tutti i fornitori di servizi cloud e consente loro di inviare
rapporti di autovalutazione che documentano la conformità alle best practice pubblicate da CSA.
Dal lancio iniziale alla fine del 2011, CSA ha registrato un'enorme crescita
nell'autovalutazione di STAR TM, con i principali attori del cloud tra cui Amazon Web Services, Box.com, HP, Microsoft, Ping Identity, Red
Hat, Skyhigh Networks, Symantec, Terremark e molte altre immissioni nel registro. Questi
fornitori di servizi cloud hanno riconosciuto la necessità di fornire trasparenza e garanzia dei loro servizi cloud alle
aziende e agli utenti finali, che richiedono sempre più visibilità sui controlli di sicurezza forniti
da varie offerte di cloud computing. L'autovalutazione CSA STAR TM è aperta a tutti i fornitori di cloud.
I fornitori di servizi cloud possono inviare due diversi tipi di report per indicare la loro conformità alle best
practice CSA :
•    
•    
Il Consensus Assessments Initiative Questionnaire (CAIQ), che fornisce
metodi accettati dal settore per documentare quali controlli di sicurezza esistono nelle offerte IaaS, PaaS e SaaS. Il
questionario (CAIQ) fornisce una serie di 295 domande che un consumatore e un revisore del cloud
potrebbero voler porre a un fornitore di servizi cloud. I fornitori possono scegliere di inviare un
questionario sull'iniziativa di valutazione del consenso compilato .
Il Cloud Controls Matrix (CCM), che fornisce un framework di controlli che fornisce una dettagliata
comprensione dei concetti e dei principi di sicurezza che sono allineati alla
guida di Cloud Security Alliance in 13 domini. Come struttura, il CSA CCM fornisce alle organizzazioni
la struttura, i dettagli e la chiarezza necessari relativi alla sicurezza delle informazioni su misura per il
settore del cloud . I fornitori possono scegliere di inviare un report che documenta la conformità con Cloud
Controls Matrix.
CSA incoraggia vivamente tutti i fornitori di IaaS, SaaS e PaaS, grandi e piccoli, a completare un'autovalutazione
per la pubblicazione. In tal modo, affronteranno alcune delle domande di sicurezza più urgenti e importanti che gli
acquirenti si pongono e possono accelerare notevolmente il processo di acquisto dei loro servizi.
Oltre alle autovalutazioni del fornitore di servizi cloud, CSA STAR TM fornirà anche elenchi ai fornitori di soluzioni
che hanno integrato CAIQ, CCM e altri componenti GRC Stack nei loro
strumenti di gestione della conformità . Ciò aiuterà i clienti a estendere il monitoraggio e il reporting GRC a tutta l'azienda e di
concerto con i rapporti con più fornitori di servizi cloud.
Copyright © 2019 Cloud Security Alliance
5GDPR CoC Autovalutazione (Privacy)
L'autovalutazione del codice consiste nella pubblicazione volontaria sul registro STAR TM di due documenti:
•    
•    
Dichiarazione di adesione al codice di condotta e
risultati di autovalutazione basati sul Modello di codice di condotta (CoP) PLA - Allegato 1
L'autovalutazione del codice copre la conformità al GDPR dei servizi offerti da un CSP. Una società
dopo la pubblicazione del relativo documento nel Registro riceverà un Marchio di Conformità valido per
1 anno. L'Autovalutazione deve essere rivista ogni volta che si verifica un cambiamento nelle politiche o
pratiche aziendali relative al servizio in esame.
LIVELLO 2
Attestazione CSA STAR TM
L' attestazione STAR TM è posizionata come certificazione STAR TM al livello 2 dell'Open Certification
Framework e la certificazione STAR TM è una rigorosa valutazione indipendente di terze parti della sicurezza di
un provider di servizi cloud.
L'attestato STAR TM si basa sugli attestati SOC di tipo 1 o 2 integrati dai criteri in
Matrice dei controlli cloud (CCM). Questa valutazione:
•    
•    
•    
•    
Si basa su uno standard di attestazione maturo
Consente l'adozione immediata del CCM come criteri aggiuntivi e la flessibilità di aggiornare i
criteri al variare dei requisiti della tecnologia e del mercato
Non richiede l'uso di criteri che non sono stati progettati per , o prontamente accettato dai
fornitori di servizi cloud
Fornisce report affidabili sulla descrizione del proprio sistema da parte del
fornitore di servizi e sui controlli del fornitore di servizi, inclusa una descrizione dei test dei controlli del revisore del servizio in un
formato molto simile al formato di reporting SAS 70 ormai obsoleto e attuale SSAE 16 (SOC 1)
reporting, facilitando in tal modo l'accettazione da parte del mercato L'
attestato STAR TM si basa sui punti di forza chiave di SOC 2 (AT 101):
•    
•    
•    
•    
È uno standard di attestato maturo (funge da standard per i report SOC 2 e SOC 3)
Fornisce rapporti affidabili su la descrizione del fornitore di servizi del proprio sistema e
dei controlli del fornitore di servizi, inclusa una descrizione dei test dei controlli del revisore del servizio in un
formato molto simile al formato di reporting SAS 70 ormai obsoleto e all'attuale reporting SSAE 18 (SOC 1)
, facilitando così il mercato Accettazione
Valutazione su un periodo di tempo piuttosto che su un punto nel tempo
Riconoscimento con un Logo AICPA
Copyright © 2019 Cloud Security Alliance
Certificazione 6CSA STAR TM
La certificazione CSA STAR TM è una rigorosa valutazione indipendente di terze parti della sicurezza di un
fornitore di servizi cloud . La certificazione neutrale dal punto di vista tecnologico sfrutta i requisiti dello
standard del sistema di gestione ISO / IEC 27001 insieme alla matrice dei controlli cloud CSA, un insieme specifico di criteri
che misura i livelli di capacità del servizio cloud.
Le organizzazioni che esternalizzano i servizi a fornitori di servizi cloud hanno una serie di preoccupazioni sulla
sicurezza dei propri dati e informazioni. Ottenendo la certificazione STAR TM, i fornitori di cloud di ogni dimensione
saranno in grado di offrire ai potenziali clienti una maggiore comprensione dei loro livelli di controlli di sicurezza.
La certificazione STAR TM si basa sul raggiungimento della ISO / IEC 27001 e del set di criteri specificato delineato
nella matrice dei controlli cloud.
La valutazione indipendente da parte di un ente di certificazione CSA accreditato assegnerà un
punteggio di "capacità di gestione " a ciascuno dei domini di sicurezza CCM. A ogni dominio verrà assegnato un punteggio in base a una scadenza specifica
e verrà misurato in base a cinque principi di gestione.
Il report interno mostrerà alle organizzazioni quanto sono maturi i loro processi e quali aree devono
considerare di migliorare per raggiungere un livello ottimale di maturità. Questi livelli saranno designati come
premi "No", "Bronzo", "Argento" o "Oro". Le organizzazioni certificate saranno elencate nel registro CSA STAR TM
come "STAR Certified".
La CERTIFICAZIONE STAR TM valuta l'efficienza dell'SGSI di un'organizzazione e garantisce che l'ambito, i
processi e gli obiettivi siano "adatti allo scopo" e aiuta le organizzazioni a stabilire le priorità delle aree di miglioramento
e guidarle verso l'eccellenza aziendale.
Consente inoltre un confronto efficace tra altre organizzazioni nel settore applicabile e si concentra
sui vantaggi aziendali strategici e operativi, nonché su relazioni di partnership efficaci.
La certificazione CSA STAR TM consente all'auditor di valutare le prestazioni di un'azienda, sulla
sostenibilità e sui rischi a lungo termine , oltre a garantire che siano guidati da SLA, consentendo all'alta direzione di
quantificare e misurare il miglioramento anno dopo anno.
Per essere coerente con gli standard internazionali, lo schema di certificazione STAR TM è progettato per essere conforme a:
•    
•    
•    
ISO / IEC 17021: 2011, Valutazione della conformità - Requisiti per gli organismi che forniscono audit e
certificazione dei sistemi di gestione
ISO / IEC 27006: 2011, Tecnologia dell'informazione - Tecniche di sicurezza - Requisiti per gli organismi che
forniscono audit e certificazione dei sistemi di gestione della sicurezza delle informazioni
ISO 19011, Linee guida per l'auditing dei sistemi di gestione
NOTA IMPORTANTE: le valutazioni della certificazione CSA STAR TM si basano su CCM v1.4 e ISO / IEC
27001: 2005 o CCM v3 e ISO / IEC 27001: 2013.
A partire da marzo 2015, tutte le valutazioni della certificazione CSA STAR TM si basano su CCM v3.xe ISO / IEC 27001: 2013.
Copyright © 2019 Cloud Security Alliance 7
Perché certificare?
Che tu utilizzi servizi cloud, fornisci servizi cloud, controlli / certifichi servizi cloud o
servizi cloud sicuri , hai un interesse acquisito a saperne di più sulla sicurezza cloud da una
fonte oggettiva di terze parti. Hai bisogno degli strumenti giusti per assicurarti di fare la tua parte nella protezione
dell'ecosistema cloud supportando gli standard del settore.
Valutazione CSA C-STAR TM
La valutazione CSA C-STAR TM è una solida valutazione indipendente di terze parti della sicurezza di un cloud
fornitore di servizi per il mercato della Grande Cina che armonizza le migliori pratiche CSA con gli
standard nazionali cinesi . La valutazione neutrale dal punto di vista tecnologico sfrutta i requisiti dello
standard del sistema di gestione GB / T 22080-2008 insieme alla matrice dei controlli cloud CSA, un insieme specifico di criteri
che misura i livelli di capacità del servizio cloud, oltre a 29 controlli correlati selezionati dal sistema
nazionale cinese standard GB / T 22239-2008 (Tecnologia di sicurezza delle informazioni - Baseline per la protezione classificata
del sistema informativo) e GB / Z 28828-2012 (Tecnologia di sicurezza delle informazioni - Linee guida per la
protezione delle informazioni personali all'interno del sistema informativo per i servizi pubblici e commerciali).
C-STAR
GB / T 22080-2008
(GB / T 22080-2008
Information technology
- Tecniche di
sicurezza
- Sistemi di gestione della sicurezza delle informazioni -
Requisiti
(Cloud Controls
Matrix, CCM) V3.0
16 Aree di controllo, 136
Control Objectivews, Controlli di gestione
Systematic Cloud
Security
.
GB / T 22239-2008 GB / Z 28828-2012
(GB / T 22239-2008
Tecnologia di sicurezza delle informazioni - Linea di
base per le
protezioni classificate del
sistema di informazione) (GB / Z 28828-2012
Tecnologia di sicurezza delle informazioni
- Linee guida
per la
protezione delle informazioni personali
all'interno del
sistema informativo per servizio pubblico e
commerciale)
Figura 1 Framework di valutazione C-STAR Le
organizzazioni che esternalizzano i servizi a fornitori di servizi cloud hanno una serie di preoccupazioni sulla
sicurezza dei propri dati e informazioni. Superando la valutazione C-STAR TM, i fornitori di cloud, indipendentemente
dalle dimensioni delle loro operazioni, saranno in grado di fornire ai potenziali clienti una maggiore comprensione del loro
stato di gestione della sicurezza.
La valutazione C-STAR TM si basa su GB / T 22080-2008 e sul set di criteri specificato nella
matrice dei controlli cloud, oltre ai requisiti correlati di GB / T 22239-2008 e GB / Z 28828-2012.
La valutazione indipendente da parte di un ente di certificazione CSA accreditato, come la Certificazione CEPREI
Body (http://www.ceprei.org/), assegnerà un punteggio di "capacità di gestione" a ciascuno dei domini di sicurezza CCM
Copyright © 2019 Cloud Security Alliance
8domains (inclusi i requisiti selezionati da GB / T 22239-2008 e GB / Z 28828-2012). Ogni dominio
verrà valutato in base a una scadenza specifica e sarà misurato rispetto alla griglia dei valutatori.
Il rapporto di valutazione mostrerà alle organizzazioni quanto sono maturi i loro processi e quali aree
devono considerare di migliorare per raggiungere un livello ottimale di maturità. Le organizzazioni certificate saranno
elencate nel registro CSA STAR TM come "C-STAR Assessed".
La valutazione C-STAR TM consente un confronto efficace tra altre organizzazioni in un settore applicabile
e si concentra sui vantaggi aziendali strategici e operativi, nonché su relazioni efficaci con i partner.
La valutazione C-STAR TM consente al valutatore di valutare le prestazioni di un'azienda in termini di
sostenibilità a lungo termine e gestione dei rischi, oltre a garantire che l'azienda sia basata su SLA, consentendo
all'alta direzione di quantificare e misurare il miglioramento anno dopo anno.
Per essere coerente con i requisiti nazionali della Cina, lo schema di valutazione C-STAR TM è
progettato per essere conforme a:
•    
•    
•    
•    
CNAS CC01: 2011 IDT ISO / IEC 17021: 2011, Requisiti per gli organismi che forniscono audit e
certificazione dei sistemi di gestione
CNAS CC17: 2012 IDT ISO / IEC 27006: 2011, Requisiti per l'
ente di certificazione del sistema di gestione della sicurezza delle informazioni
CNAS SC18: 2012, Schema di accreditamento per gli organismi di certificazione ISMS
GB / T 19011: 2013 IDT ISO19011: 2011 Guida
all'audit del sistema di gestione GDPR Certificazione CoC (Privacy )
La certificazione di terze parti CdC viene ottenuta tramite la convalida da parte di un partner di audit CdC qualificato e
fornisce maggiori garanzie in merito all'auto Dichiarazione di aderenza rilasciata da un'organizzazione
ai requisiti PLA CoP. Il processo di convalida mira a verificare quanto segue:
•    
•    
il corretto utilizzo del CoC (ad esempio, il titolare / responsabile del trattamento dei dati ha completato tutte le sezioni
il PLA CoP? Il contenuto incluso in ogni sezione fornisce le informazioni necessarie sul
trattamento e il trattamento dei dati?);
l'accuratezza delle informazioni incluse nel Codice (ad esempio, le informazioni incluse nella
presentazione sono veritiere? Le dichiarazioni sono supportate da prove?).
Verrà rilasciato un marchio di certificazione di terze parti CoC che avrà una validità di 12 mesi dal giorno della sua
emissione e sarà rinnovato dopo tale periodo.
Leggi il codice di condotta qui: https://gdpr.cloudsecurityalliance.org/wp-content/uploads/
sites / 2/2018/08 / CSA-Code-of-Conduct-for-GDPR-Compliance-Aug14-18.pdf
Copyright © 2019 Cloud Security Alliance
9LEVEL 3
CSA STAR TM -Continuous
STAR TM Continuous è un programma di valutazione della conformità continua per i servizi cloud e parte integrante
del programma CSA STAR TM. Il programma offre ai CSP l'opportunità di allineare le loro
capacità di convalida della sicurezza con la conformità e la certificazione della sicurezza cloud su base continuativa. STAR TM
Continuous specifica le attività e le condizioni necessarie per l'audit continuo del
servizio cloud su un insieme definito di requisiti di sicurezza, coprendo aspetti dalla governance all'infrastruttura
e richiedendo al servizio cloud di definire i processi necessari che verranno eseguiti durante la convalida
dei controlli nell'ambito della valutazione. Il programma promuove la fiducia garantendo che un cloud
le attività e le condizioni necessarie del servizio sono costantemente soddisfatte da controlli continui, ad esempio
attraverso l'operatività dei requisiti di sicurezza e privacy.
•    
•    
•    
Uno STAR TM di livello 1 un CSP che utilizza un CAIQ per ottenere l'autovalutazione, una valutazione point-in-time
, può utilizzare un'autovalutazione continua per dimostrare l'efficacia dei controlli
per un periodo di tempo, per ottenere STAR TM Livello 1 continuo;
Uno STAR TM Livello 2 un CSP, che detiene una certificazione di terze parti, può ottenere STAR TM Livello 2
Continuo aggiungendo un'Autovalutazione Continua, che consente loro di informare rapidamente i
clienti delle modifiche ai loro programmi di sicurezza, invece di comunicarli fino a quando il
periodo di audit successivo nel normale STAR TM Livello 2.
Uno STAR TM Livello 3 un CSP è il più trasparente attraverso un processo continuo e automatizzato che
garantisce che i controlli di sicurezza siano monitorati e convalidati in ogni momento.
Vantaggi di CSA STAR TM Continuous
STAR TM Continuous migliora la tradizionale certificazione point-in-time sia in termini di fiducia che di trasparenza.
Una certificazione di sicurezza cloud viene concessa a un servizio cloud basandosi sulla fiducia che
venga mantenuta la posizione di sicurezza tra i controlli. Tuttavia, gli audit point-in-time spesso contengono un considerevole intervallo di tempo
tra gli audit e, adottando un audit continuo con una maggiore frequenza di audit, le possibilità di
la deviazione della posizione di sicurezza diventa inferiore. Ciò consente ai fornitori di servizi cloud di fare
dichiarazioni precise sullo stato di conformità dei loro servizi cloud coperti dal processo di audit continuo,
ottenendo uno stato di conformità "sempre aggiornato".
Implementazione di CSA STAR TM Continuous
STAR TM Continuous introduce livelli aggiuntivi di garanzia e trasparenza dei
processi del sistema di gestione della sicurezza del cloud attraverso test più frequenti. Ciò fornisce ai CSP un
modo conveniente per comunicare meglio l'efficacia del loro programma di sicurezza e migliorare la trasparenza per i
clienti.
Ulteriori informazioni su CSA STAR TM Continuous
Per ulteriori informazioni su STAR TM Continuous, scaricare la Guida tecnica continua STAR.
Copyright © 2019 Cloud Security Alliance
10

 

CSA STAR Level and
Scheme Requirements
TMTABLE OF CONTENTS
STAR Introduction.................................................................................................................3
STAR Levels Overview...........................................................................................................4
Level 1....................................................................................................................................5
STAR Self-Assessment.............................................................................................6
GDPR CoC Self-Assessment (Privacy).....................................................................6
Level 2....................................................................................................................................6
CSA STAR Attestation...............................................................................................6
CSA STAR Certification.............................................................................................7
CSA C-STAR Assessment..........................................................................................8
GDPR CoC Certification (Privacy)............................................................................9
Level 3..................................................................................................................................10
CSA STAR-Continuous............................................................................................10
Copyright © 2019 Cloud Security Alliance
2SECURITY, TRUST, ASSURANCE AND RISK
(STAR TM )
CSA Security Trust, Assurance and Risk (STAR TM ) is the industry’s most powerful program for security
assurance in the cloud. STAR TM encompasses key principles of transparency, rigorous auditing, and
harmonization of standards. The STAR TM program provides multiple benefits, including indications of
best practices and validation of security posture of cloud offerings.
STAR TM is based on the following foundation tools:
•    
•    
•    
The CSA Cloud Controls Matrix (CCM)
The Consensus Assessments Initiative Questionnaire (CAIQ)
The CSA Code of Conduct for GDPR Compliance
The CCM is the only meta-framework of cloud-specific security controls, mapped to leading standards,
best practices and regulations. CCM provides organizations with the needed structure, detail and clarity
relating to information security tailored to cloud computing. CCM is currently considered a de-facto
standard for cloud security assurance and compliance.
The CAIQ is based upon the CCM and provides a set of Yes/No questions a cloud consumer and cloud
auditor may wish to ask of a cloud provider to ascertain their compliance to the Cloud Controls Matrix.
The CSA Code of Conduct for GDPR Compliance is a tool created in collaboration with industry experts
and representatives from EU national data protection authorities to assist organizations in adhering
to the European General Data Protection Regulation. The CSA’s Code include all the necessary
requirements a Cloud Service Provider has to satisfy in order to comply with the EU GDPR.
One of most essential features of the STAR TM program is its registry that documents the security and
privacy controls provided by popular cloud computing offerings. This publicly accessible registry is
designed for users of cloud services to assess their cloud providers, security providers and advisory and
assessment services firms in order to make the best procurement decisions.
Copyright © 2019 Cloud Security Alliance
3STAR TM LEVELS OVERVIEW
Open Certification Framework
AUDIT FREQUENCY Security
STAR Level 3 Continuous Auditing
STAR Level 2
Continuous Level 2 + Continuous Self-Assessment
STAR Level 2 3rd Party Certification
STAR Level 1
Continuous Continuous Self-Assessment
STAR Level 1 Self-Assessment
Privacy
GDPR CoC Certification
GDPR CoC Self-Assessment
The above image depicts three levels in the Open Certification Framework that STAR TM uses. Each of the
3 levels offers a different level of assurance:
•    
•    
•    
Level One: Self Assessment
Level Two: Third-Party Certification
Level Three: Continuous Monitoring
Level One: Self-Assessment
There are different options for completing each level of assurance. For level one organizations can
choose to complete one or both of the security and privacy self-assessments.
Level Two: Third-Party Certification
Organizations looking for a third-party certification can choose from one or more of the options above.
In some cases an organization may choose to pursue all of the certifications at this level, in other cases
one will suffice. An organization’s location, along with the regulations and standards it is subject to will
have the greatest factor in determining which ones are appropriate to pursue.
Level 3: Continuous Monitoring
CSA STAR TM Continuous Monitoring enables automation of the current security practices of cloud
providers. Providers publish their security practices according to CSA formatting and specifications, and
customers and tool vendors can retrieve and present this information in a variety of contexts.
Copyright © 2019 Cloud Security Alliance
4All Levels: Continuous Auditing
Each level of STAR TM has also has a continuous auditing option that allows you to increase your
transparency. STAR TM Continuous can be attained by building upon the CSP’s current STAR TM level.
LEVEL 1
STAR TM Self-Assessment
CSA STAR TM Self Assessment is free and open to all cloud providers and allows them to submit self
assessment reports that document compliance to CSA-published best practices.
Since the initial launch at the end of 2011, CSA has seen tremendous growth in STAR TM Self Assessment,
with major cloud players including Amazon Web Services, Box.com, HP, Microsoft, Ping Identity, Red
Hat, Skyhigh Networks, Symantec, Terremark and many other submitting entries into the registry. These
cloud providers recognized the need to provide transparency and assurance of their cloud services to
corporations and end users, who are increasingly requesting visibility into the security controls provided
by various cloud computing offerings. The CSA STAR TM Self Assessment is open to all cloud providers.
Cloud providers can submit two different types of reports to indicate their compliance with CSA best
practices:
•    
•    
The Consensus Assessments Initiative Questionnaire (CAIQ), which provides industry-
accepted ways to document what security controls exist in IaaS, PaaS and SaaS offerings. The
questionnaire (CAIQ) provides a set of 295 questions a cloud consumer and cloud auditor
may wish to ask of a cloud provider. Providers may opt to submit a completed Consensus
Assessments Initiative Questionnaire.
The Cloud Controls Matrix (CCM), which provides a controls framework that gives a detailed
understanding of security concepts and principles that are aligned to the Cloud Security
Alliance guidance in 13 domains. As a framework, the CSA CCM provides organizations with
the needed structure, detail and clarity relating to information security tailored to the cloud
industry. Providers may choose to submit a report documenting compliance with Cloud
Controls Matrix.
CSA strongly encourages all IaaS, SaaS and PaaS providers, large and small, to complete a self-assessment
for publication. In doing so, they will address some of the most urgent and important security questions
buyers are asking and can dramatically speed up the purchasing process for their services.
In addition to cloud provider self assessments, CSA STAR TM will also provide listings to solution providers
who have integrated CAIQ, CCM and other GRC Stack components into their compliance management
tools. This will help customers extend their GRC monitoring and reporting across their enterprise and in
concert with multiple cloud provider relationships.
Copyright © 2019 Cloud Security Alliance
5GDPR CoC Self-Assessment (Privacy)
The Code Self-Assessment consist in the voluntary publication on the STAR TM Registry of two documents:
•    
•    
Code of Conduct Statement of Adherence, and
Self-assessment results based on the PLA Code of Practice (CoP) Template - Annex 1
The Code Self-Assessment covers the compliance to GDPR of the service(s) offered by a CSP. A company
after the publication of the relevant document on the Registry will receive a Compliance Mark valid for
1 year. The Self-Assessment shall be revised every time there’s a change to the company policies or
practices related to the service under assessment.
LEVEL 2
CSA STAR TM Attestation
The STAR TM Attestation is positioned as STAR TM Certification at Level 2 of the Open Certification
Framework and STAR TM Certification is a rigorous third party independent assessment of the security of
a cloud service provider.
STAR TM Attestation is based on type 1 or type 2 SOC attestations supplemented by the criteria in the
Cloud Controls Matrix (CCM). This assessment:
•    
•    
•    
•    
Is based on a mature attest standard
Allows for immediate adoption of the CCM as additional criteria and the flexibility to update the
criteria as technology and market requirements change
Does not require the use of any criteria that were not designed for, or readily accepted by
cloud providers
Provides for robust reporting on the service provider’s description of its system and on the
service provider’s controls, including a description of the service auditor’s tests of controls in a
format very similar to the now obsolete SAS 70 reporting format and current SSAE 16 (SOC 1)
reporting, thereby facilitating market acceptance
STAR TM Attestation builds on the key strengths of SOC 2 (AT 101):
•    
•    
•    
•    
Is a mature attest standard (it serves as the standard for SOC 2 and SOC 3 reporting )
Provides for robust reporting on the service provider’s description of its system and on the
service provider’s controls, including a description of the service auditor’s tests of controls in a
format very similar to the now obsolete SAS 70 reporting format and current SSAE 18 (SOC 1)
reporting, thereby facilitating market acceptance
Evaluation over a period of time rather than a point in time
Recognition with an AICPA Logo
Copyright © 2019 Cloud Security Alliance
6CSA STAR TM Certification
The CSA STAR TM Certification is a rigorous third party independent assessment of the security of a cloud
service provider. The technology-neutral certification leverages the requirements of the ISO/IEC 27001
management system standard together with the CSA Cloud Controls Matrix, a specified set of criteria
that measures the capability levels of the cloud service.
Organizations that outsource services to cloud service providers have a number of concerns about the
security of their data and information. By achieving the STAR TM Certification, cloud providers of every size
will be able to give prospective customers a greater understanding of their levels of security controls.
The STAR TM Certification is based upon achieving ISO/IEC 27001 and the specified set of criteria outlined
in the Cloud Controls Matrix.
The independent assessment by an accredited CSA certification body will assign a ‘Management
Capability’ score to each of the CCM security domains. Each domain will be scored on a specific maturity
and will be measured against five management principles.
The internal report will show organizations how mature their processes are and what areas they need to
consider improving on to reach an optimum level of maturity. These levels will be designated as either
“No”, “Bronze”, “Silver” or “Gold” awards. Certified organizations will be listed on the CSA STAR TM Registry
as “STAR Certified”.
STAR TM CERTIFICATION evaluates the efficiency of an organization’s ISMS and ensures the scope,
processes and objectives are “Fit for Purpose” and helps organizations prioritize areas for improvement
and lead them towards business excellence.
It also enables effective comparison across other organizations in the applicable sector and it is focused
on the strategic and operational business benefits as well as effective partnership relationships.
CSA STAR TM Certification enables the auditor to assess a company’s performance, on long-term
sustainability and risks, in addition to ensuring they are SLA driven, allowing senior management to
quantify and measure improvement year on year.
To be consistent with international standards, the STAR TM certification scheme is designed to comply with:
•    
•    
•    
ISO/IEC 17021:2011, Conformity assessment – Requirements for bodies providing audit and
certification of management systems
ISO/IEC 27006:2011, Information technology – Security techniques – Requirements for bodies
providing audit and certification of information security management systems
ISO 19011, Guidelines for auditing management systems
IMPORTANT NOTE: CSA STAR TM Certification assessments are based on either CCM v1.4 and ISO/IEC
27001:2005 or CCM v3 and ISO/IEC 27001:2013.
As of March 2015, all CSA STAR TM Certification assessments are based on CCM v3.x and ISO/IEC 27001:2013.
Copyright © 2019 Cloud Security Alliance
7Why Certify?
Whether you use cloud services, provide cloud services, audit/certify cloud services, or secure cloud
services, you have a vested interest in knowing more about cloud security from an objective, third-
party source. You need the right tools to ensure that you are playing your part in securing the cloud
ecosystem while supporting industry standards.
CSA C-STAR TM Assessment
The CSA C-STAR TM Assessment is a robust third party independent assessment of the security of a cloud
service provider for the Greater China market that harmonizes CSA best practices with Chinese national
standards. The technology-neutral assessment leverages the requirements of the GB/T 22080-2008
management system standard together with the CSA Cloud Controls Matrix, a specified set of criteria
that measures the capability levels of the cloud service, plus 29 related controls selected from China’s
national standard GB/T 22239-2008(Information security technology — Baseline for classified protection
of information system) and GB/Z 28828-2012(Information security technology – Guideline for personal
information protection within information system for public and commercial services).
C-STAR
GB/T 22080–2008
(GB/T 22080–2008
Information technology
- Security techniques
- Information security
management systems -
Requirements
(Cloud Controls
Matrix, CCM) V3.0
16 Control Areas, 136
Control Objectivews,
Systematic Cloud
Security management
Controls.
GB/T 22239-2008 GB/Z 28828-2012
(GB/T 22239-2008
Information secuirty
technology-Baseline for
classified protections of
information system) (GB/Z 28828-2012
Information security
technology - Guideline
for personal
information protection
within information
system for public and
commercial service)
Figure 1 C-STAR Assessment Framework
Organizations that outsource services to cloud service providers have a number of concerns about the
security of their data and information. By passing the C-STAR TM Assessment, cloud providers, regardless
of the size of their operation, will be able to give prospective customers a greater understanding of their
security management status.
The C-STAR TM Assessment is based on GB/T 22080-2008 and the specified set of criteria outlined in the
Cloud Controls Matrix, plus related requirements of GB/T 22239-2008 and GB/Z 28828-2012.
The independent assessment by an accredited CSA certification body, such as CEPREI Certification
Body (http://www.ceprei.org/), will assign a ‘Management Capability’ score to each of the CCM security
Copyright © 2019 Cloud Security Alliance
8domains (including requirements selected from GB/T 22239-2008 and GB/Z 28828-2012). Each domain
will be scored on a specific maturity and will be measured against the assessors’ grid.
The assessment report will show organizations how mature their processes are and what areas they
need to consider improving on to reach an optimum level of maturity. Certified organizations will be
listed on the CSA STAR TM Registry as “C-STAR Assessed”.
C-STAR TM Assessment enables effective comparison across other organizations in an applicable sector
and it is focused on strategic and operational business benefits as well as effective partner relationships.
C-STAR TM Assessment enables the assessor to assess a company’s performance in long-term
sustainability and risks management, in addition to ensuring that the company is SLA-driven, allowing
senior management to quantify and measure improvement year on year.
To be consistent with China national requirements, the C-STAR TM Assessment scheme is
designed to comply with:
•    
•    
•    
•    
CNAS CC01:2011 IDT ISO/IEC 17021:2011, Requirements for bodies providing audit and
certification of management systems
CNAS CC17:2012 IDT ISO/IEC 27006:2011, Requirements for Information Security Management
System Certification Body
CNAS SC18:2012, Accreditation Scheme for ISMS Certification Bodies
GB/T 19011:2013 IDT ISO19011:2011 Management System Audit Guidance
GDPR CoC Certification (Privacy)
The CoC third-party certification is obtained via the validation by a qualified CoC auditing partner and
provides increased assurance in regards to the self Statement of Adherence issued by an organization
to the PLA CoP requirements. The validation process aims to verify the following:
•    
•    
the correct use of the CoC (e.g., did the data controller/data processor complete all sections in
the PLA CoP? Does the content included in every section provide the necessary information on
data handling and processing?);
the accuracy of information included in the Code (e.g., is the information included in the
submission truthful? Are statements supported by evidence?).
A CoC third-party certification mark will be issued and will have a validity of 12 months from the day of its
issuance and it will be renewed after this period.
Read the Code of Conduct here: https://gdpr.cloudsecurityalliance.org/wp-content/uploads/
sites/2/2018/08/CSA-Code-of-Conduct-for-GDPR-Compliance-Aug14-18.pdf
Copyright © 2019 Cloud Security Alliance
9LEVEL 3
CSA STAR TM -Continuous
STAR TM Continuous is a continuous compliance assessment program for cloud services and an integral
component of the CSA STAR TM Program. The program gives CSPs the opportunity to align their security
validation capabilities with cloud security compliance and certification on an ongoing basis. STAR TM
Continuous specifies the necessary activities and conditions for the continuous auditing of the cloud
service over a defined set of security requirements, covering aspects from governance to infrastructure,
and requiring the cloud service to define necessary processes that will be executed during the validation
of controls within the scope of assessment. The program promotes trust by ensuring that a cloud
service’s necessary activities and conditions are continuously met by continuous auditing, such as
through the operationalization of security and privacy requirements.
•    
•    
•    
A STAR TM Level 1 a CSP that uses a CAIQ to achieve Self-Assessment, a point-in-time
assessment, can use a Continuous Self-Assessment to demonstrate effectiveness of controls
over a period of time, to achieve STAR TM Continuous Level 1;
A STAR TM Level 2 a CSP, who holds a third-party certification, can achieve STAR TM Level 2
Continuous by adding a Continuous Self-Assessment, which allows them to quickly inform
customers of changes to their security programs, instead of communicating those until the
next audit period in normal STAR TM Level 2.
A STAR TM Level 3 a CSP is the most transparent through a continuous, automated process that
ensures that security controls are monitored and validated at all times.
Benefits of CSA STAR TM Continuous
STAR TM Continuous improves on the traditional point-in-time certification in both trust and transparency.
A cloud security certification is granted to a cloud service relying on trust that the security posture
between audits is maintained. However, point-in-time audits often contain a considerable time gap
between audits, and by adopting continuous auditing with an increased audit frequency, chances of
deviation of the security posture becomes less. This empowers cloud service providers to make precise
statements on compliance status of their cloud services covered by the continuous audit process,
achieving an “always up-to-date” compliance status.
Implementation of CSA STAR TM Continuous
STAR TM Continuous introduces additional levels of assurance and transparency of the cloud security
management system processes through more frequent testing. This provides CSPs a cost-effective
way to better communicate the effectiveness of their security program and improve transparency to
customers.
Learn more about CSA STAR TM Continuous
To learn more about STAR TM continuous download the STAR Continuous Technical Guidance.
Copyright © 2019 Cloud Security Alliance
10

Torna su