ACSC — Cloud Computing Security for Cloud Service Providers (bezpieczeństwo przetwarzania w chmurze dla dostawców usług chmurowych)

Niniejszy dokument ma na celu pomoc audytorom w sprawdzaniu stanu zabezpieczeń usługi chmurowej na potrzeby dostarczania organizacjom niezależnej oceny deklaracji bezpieczeństwa składanych przez dostawców usług chmurowych (CSP). Dokument ten może również ułatwić dostawcom CSP świadczenie bezpiecznych usług chmurowych.

Zespół ds. cyberbezpieczeństwa organizacji, architekci chmury i przedstawiciele biznesowi powinno sięgnąć do powiązanego dokumentu Cloud Computing Security for Tenants (bezpieczeństwo przetwarzania w chmurze dla dzierżawców).

Przetwarzanie w chmurze w rozumieniu National Institute of Standards and Technology w Stanach Zjednoczonych oferuje organizacjom potencjalne korzyści, takie jak poprawa wyników biznesowych. Odpowiedzialność za niwelowanie ryzyka związanego z korzystanie z usług chmurowych spoczywa wspólnie na organizacji (nazywanej „dzierżawcą”) oraz dostawcy usług chmurowych i jego podwykonawcach (zwanych „CSP”). Jednak w ostatecznym rozrachunku to organizacje odpowiadają za ochronę swoich danych oraz zapewnienie ich poufności, integralności i dostępności.

Przed wdrożeniem usług chmurowych organizacje muszą przeprowadzić ocenę ryzyka i wdrożyć powiązane środki jego ograniczania. Rodzaje ryzyka będą się różnić w zależności od takich czynników, jak wrażliwość i krytyczność przechowywanych lub przetwarzanych danych, sposób wdrożenia usługi chmurowej i zarządzania taką usługą, sposób, w jaki organizacja planuje wykorzystać usługę chmurową, a także trudności związane z szybkim wykrywaniem i reagowaniem na incydenty przez organizację. Organizacje muszą porównać te rodzaje ryzyka z obiektywną oceną ryzyka, jakie niesie ze sobą korzystanie z lokalnych systemów komputerowych, które mogą być słabo zabezpieczone, nie zapewniać właściwej dostępności lub nie spełniać wymagań stawianych przez nowoczesny model biznesu.

Zakres tego dokumentu obejmuje kwestie infrastruktury jako usługi (IaaS), platformy jako usługi (PaaS) oraz oprogramowania jako usługi (SaaS), które CSP udostępnia w ramach chmury publicznej, chmury społecznościowej, a w mniejszym stopniu także chmury hybrydowej lub zleconej na zewnątrz chmury prywatnej.