Panoramica
Poiché i sistemi complessi sono connessi tramite integrazioni cloud-to-cloud, è importante disporre di un modo standard per proteggere i dati e la privacy dei consumatori. Nel corso dell'ultimo decennio, la sicurezza dell'infrastruttura cloud è migliorata notevolmente. Tuttavia, rimangono sfide di sicurezza significative nel livello applicazione.
CASA si basa sugli standard riconosciuti dal settore provenienti dall'Application Security Verification Standard (ASVS) di OWASP per fornire un insieme di base di controlli di sicurezza da implementare nelle applicazioni cloud. Inoltre, CASA fornisce un modo uniforme per eseguire valutazioni di questi controlli quando tali valutazioni sono necessarie per consentire alle applicazioni di accedere ai dati utente di Google. CASA ha aggiunto un metodo di valutazione multilivello per affrontare il potenziale cambiamento del rischio in base a utente, ambito e altri elementi specifici dell'applicazione. Sebbene consigliamo vivamente le valutazioni di terze parti, forniamo a tutte le aziende un mezzo per iniziare a migliorare la propria sicurezza attraverso un programma di autovalutazione. Se soddisfi i requisiti di idoneità per questo programma, Google ti contatterà direttamente per avviare i passaggi successivi.
Vantaggi
Vogliamo spingere il settore a offrire agli utenti la trasparenza e il controllo che si aspettano in termini di sicurezza e privacy dei dati per le app che utilizzano. L'esecuzione di valutazioni della sicurezza delle applicazioni cloud e dei servizi di backend ridurrà notevolmente le vulnerabilità comuni, aumentando al contempo la fiducia dei consumatori nei prodotti e servizi finali.
Come funziona
Il framework CASA fornisce una base per testare i controlli di sicurezza tecnici delle applicazioni web in base allo standard OWASP Application Security Verification Standard (ASVS).
Il framework CASA fornisce linee guida per i test per la valutazione delle app web in quattordici categorie dello standard di verifica della sicurezza delle applicazioni 4.0
Livelli di valutazione della sicurezza:
CASA riconosce tre livelli di valutazione per le applicazioni cloud
Le valutazioni devono soddisfare i requisiti di base di CASA dello standard di sicurezza OWASP ASVS 4.0. I test hanno lo scopo di eseguire audit funzionali a tempo limitato delle interfacce accessibili esternamente e non includono l'infrastruttura cloud o le comunicazioni interne del server. Ti consigliamo di eseguire valutazioni della sicurezza durante l'intero processo di sviluppo. Tuttavia, CASA richiede solo aggiornamenti annuali al report di valutazione della sicurezza.
È consigliabile che gli sviluppatori esaminino e implementino tutti i controlli nelle specifiche ASVS di livello 1 e 2, tuttavia, l'ADA richiede solo un sottoinsieme dei requisiti ASVS completi.
Partner di laboratorio autorizzati:|
Valutatore |
|---|
| GDS Ltd-An Aon Group |
| Bishop Fox |
| KPMG |
| Leviathan Security |
| NCC Group |
| NST Cyber |
| Orange Cyberdefense South Africa (Pty) Ltd |
| Prescient Security LLC |
| TAC Security |
| DEKRA |