Présentation
Les systèmes complexes étant connectés via le cloud à des intégrations cloud, il est important de disposer d'une méthode standard pour sécuriser les données et la confidentialité des consommateurs. Au cours des 10 dernières années, la sécurité de l'infrastructure cloud s'est considérablement améliorée. Cependant, la couche d'application présente des problèmes de sécurité importants.
CASA s'appuie sur les normes reconnues dans le secteur provenant de la norme ASVS (Application Security Verification Standard) de l'OWASP pour fournir un ensemble de référence de contrôles de sécurité à mettre en œuvre dans les applications cloud. En outre, le CASA fournit un moyen uniforme d'évaluer ces contrôles lorsque de telles évaluations sont nécessaires pour que les Applications accèdent aux Données d'utilisateur Google. CASA a ajouté une méthode d'évaluation à plusieurs niveaux pour répondre à l'évolution potentielle des risques en fonction de l'utilisateur, du champ d'application et d'autres éléments spécifiques à l'application. Bien que nous recommandions vivement des évaluations tierces, nous offrons à toutes les entreprises la possibilité d'améliorer leur sécurité par le biais d'un programme d'auto-évaluation. Si vous êtes éligible à ce programme, Google vous contactera directement pour initier les étapes suivantes.
Avantages
Nous voulons encourager le secteur à offrir aux utilisateurs la transparence et le contrôle qu'ils attendent en termes de sécurité et de confidentialité des données pour les applications qu'ils utilisent. Évaluer la sécurité des applications cloud et des services backend permet de réduire considérablement les failles courantes, tout en renforçant la confiance des consommateurs envers les produits et services finaux.
Comment ça marche ?
Le framework CASA sert de base pour tester les contrôles de sécurité techniques des applications Web, sur la base de la norme ASVS (Security Security Standard) de l'OWASP.
Le framework CASA fournit des consignes de test pour l'évaluation des applications Web dans 14 catégories de la norme de vérification de la sécurité des applications 4.0.
Niveaux d'évaluation de la sécurité:
CASA reconnaît trois niveaux d'évaluation pour les applications cloud
Les évaluations doivent répondre aux exigences de référence de la CASA de la norme de sécurité OWASP ASVS 4.0. Les évaluations sont destinées à être des audits fonctionnels à durée limitée des interfaces accessibles en externe. Elles n'incluent pas d'infrastructures cloud ni de communications avec des serveurs internes. Il est recommandé aux développeurs d'effectuer des évaluations de sécurité tout au long du processus de développement. Toutefois, le CASA ne nécessite que des mises à jour annuelles du rapport d'évaluation de la sécurité.
Il est recommandé aux développeurs d'examiner et de mettre en œuvre tous les contrôles des spécifications ASVS de niveau 1 et 2. Toutefois, la loi ADA ne requiert qu'un sous-ensemble des exigences ASVS complètes.
Partenaires autorisés pour l'atelier :|
Évaluation |
|---|
| GDS Ltd-An Aon Group |
| Bishop Fox |
| GPM |
| Leviathan Security |
| NCC Group |
| NST Cyber |
| Orange Cyberdéfense South Africa (Pty) Ltd |
| Prescient Security LLC |
| Sécurité TAC |
| DEKRA |