Panoramica
Dato che i sistemi complessi sono connessi tramite integrazioni dal cloud al cloud, è importante disporre di un modo standard per proteggere i dati dei consumatori e la privacy. Negli ultimi dieci anni, la sicurezza dell'infrastruttura cloud è stata migliorata notevolmente. Tuttavia, il livello dell'applicazione presenta sfide significative per la sicurezza.
CASA si è basata sugli standard riconosciuti dal settore provenienti dall'Application Security Verification Standard (ASVS) di OWASP per fornire un set di base di controlli di sicurezza che devono essere implementati nelle applicazioni cloud. Inoltre, CASA fornisce un modo uniforme per eseguire valutazioni di questi controlli quando tali valutazioni sono necessarie per consentire alle applicazioni di accedere ai dati utente di Google. CASA ha aggiunto un metodo di valutazione a più livelli per affrontare la potenziale modifica del rischio in base all'utente, all'ambito e ad altri elementi specifici dell'applicazione. Sebbene consigliamo vivamente di valutare terze parti, forniamo a tutti i fornitori un mezzo per iniziare a migliorare la sicurezza degli utenti attraverso un programma di autovalutazione. Se soddisfi i criteri di idoneità per questo programma, Google ti contatterà direttamente per avviare i passaggi successivi.
Vantaggi
Vogliamo incentivare il settore a offrire agli utenti trasparenza e controllo sulla loro sicurezza e privacy dei dati per le app che utilizzano. L'esecuzione di valutazioni della sicurezza delle applicazioni cloud e dei servizi di backend ridurrà notevolmente le vulnerabilità comuni, aumentando al contempo la fiducia dei consumatori nei prodotti e servizi finali.
Come funziona
Il framework CASA fornisce una base per testare i controlli di sicurezza tecnici delle applicazioni web basati sull'SVS (Application Security Verification Standard) OWASP.
Il framework CASA fornisce linee guida di test per valutare le app web in quattordici categorie di Application Security Verification Standard 4.0
Livelli di valutazione della sicurezza:
CASA riconosce tre livelli di valutazione per le applicazioni cloud
Le valutazioni devono soddisfare i requisiti di base di CASA dello standard di sicurezza OWASP ASVS 4.0. Le valutazioni sono intese come controlli funzionali a tempo limitato delle interfacce accessibili esternamente e non includono infrastruttura cloud o comunicazioni interne dei server. È consigliabile che gli sviluppatori eseguano valutazioni della sicurezza durante l'intero processo di sviluppo. Tuttavia, CASA richiede solo aggiornamenti annuali del report di valutazione della sicurezza.
Consigliamo agli sviluppatori di esaminare e implementare tutti i controlli nelle specifiche ASVS di livello 1 e 2, tuttavia, ADA richiede solo un sottoinsieme dei requisiti ASVS completi.
Partner del lab autorizzati:|
Approvatore |
|---|
| Gruppo GDS Ltd-An Aon |
| Vecchio volpe |
| KPMG |
| Sicurezza Leviathan |
| Gruppo NCC |
| NST Cyber |
| Orange Cyberdefense South Africa (Pty) Ltd |
| Prescient Security LLC |
| Sicurezza TAC |
| DEKRA |