CSA STAR è uno schema di certificazione della sicurezza dei servizi cloud che consente alle aziende di ottenere una certificazione internazionale sull’affidabilità, sicurezza e trasparenza dei servizi cloud offerti. Lo schema di certificazione si integra nel sistema di gestione ISO27001 attraverso l’utilizzo della Cloud Control Matrix (CCM) con cui vengono aggiunti dei controlli specifici sulla sicurezza cloud (197 controlli suddivisi in 17 Domini). Lo schema di certificazione è conforme alle norme ISO 17021, ISO 27006, ISO 19011. CSA STAR è il primo e ad oggi ancora unico schema di certificazione che misura la «maturità» dei controlli di sicurezza implementati (livelli: Bronze, Silver, Gold). +2000 aziende certificate nel mondo (tra cui Google, AWS, Microsoft, IBM, …) di cui +300 in Italia.
Il programma CSA STAR si suddivide in due livelli:
- Livello #1 (Autovalutazione): è sufficiente compilare il questionario CAIQ e pubblicarlo nello STAR Registry di CSA
- Livello #2 (Audit di Terza Parte): effettuato da una società di certificazione di sistema qualificata CSA STAR Auditor
ACN, Agenzia per la Cybersicurezza Nazionale, ha inserito la certificazione CSA STAR tra i requisiti di sicurezza dei servizi cloud per la PA italiana.
Qualificazione CSA STAR Auditor per Aziende
La qualificazione ha valore ed applicabilità internazionale, indipendentemente dallo stato di appartenenza della legal entity che sottoscrive la membership con CSA.
Requisiti:
- Associarsi a CSA
- Sottoscrivere il documento CSA STAR Certification Audit Services Agreement
- Offrire servizi di certificazione di sistema ISO27001 accreditati da un ente di accreditamento nazionale appartenente all’associazione IAF (ACCREDIA per l’Italia)
- Utilizzare Auditor certificati CSA STAR Lead Auditor
Il programma di qualificazione Trusted Cloud Consultant (TCC) consente alle aziende che offrono servizi di consulenza di qualificare le competenze in ambito cloud security e, in particolare, le linee guida e standard sviluppati da CSA.
I requisiti per ottenere la qualificazione sono:
- Associarsi a CSA
- Sottoscrivere il programma Trusted Cloud Consultant
- Formare i propri consulenti con i corsi CSA Certificate of Cloud Security Knowledge (CCSK) e/o Certificate of Cloud Auditing Knowledge (CCAK)
- Partecipare alle attivita’ dell’associazione (CSA Research Working Group, CSA Chapters, CSA Circle Activity) per almeno 5 ore (aggregate) al mese
Il programma di qualificazione Trusted Cloud Provider è rivolto ai fornitori di servizi cloud e consente di dimostrare l’impegno nell’utilizzo delle migliori buone pratiche di sicurezza per la protezione dei dati dei clienti.
I requisiti per aderire al programma sono:
- Associarsi a CSA
- Certificare almeno un servizio cloud con il programma CSA STAR
- Partecipare alle attivita’ dell’associazione (CSA Research Working Group, CSA Chapters, CSA Circle Activity) per almeno 20 ore/anno.