Przegląd
W miarę jak złożone systemy są łączone za pomocą integracji typu chmura-chmura, ważne jest, aby mieć standardowy sposób zabezpieczania danych konsumentów i ich prywatności. W ciągu ostatniej dekady znacznie poprawiło się bezpieczeństwo infrastruktury chmury. W warstwie aplikacji nadal jednak występują poważne problemy z bezpieczeństwem.
CASA opiera się na uznanych w branży standardach OWASP Application Security Verification Standard (ASVS), aby zapewnić podstawowy zestaw kontroli bezpieczeństwa, które powinny być wdrożone w aplikacjach w chmurze. Dodatkowo CASA zapewnia jednolity sposób przeprowadzania ocen tych mechanizmów kontroli, gdy takie oceny są wymagane w przypadku aplikacji uzyskujących dostęp do danych użytkowników Google. CASA wprowadziła wielopoziomową metodę oceny, aby uwzględnić potencjalną zmianę ryzyka w zależności od użytkownika, zakresu i innych elementów specyficznych dla aplikacji. Chociaż bardzo zalecamy oceny zewnętrzne, udostępniamy wszystkim firmom możliwość rozpoczęcia poprawy bezpieczeństwa za pomocą programu samooceny. Jeśli kwalifikujesz się do tego programu, skontaktujemy się z Tobą bezpośrednio, aby poinformować Cię o dalszych krokach.
Zalety
Chcemy, aby branża zapewniała użytkownikom przejrzystość i kontrolę w zakresie bezpieczeństwa danych i prywatności w aplikacjach, z których korzystają. Przeprowadzanie ocen bezpieczeństwa aplikacji w chmurze i usług backendowych znacznie zmniejszy liczbę typowych luk w zabezpieczeniach, a jednocześnie zwiększy zaufanie konsumentów do produktów i usług.
Jak to działa
Zasady CASA stanowią podstawę do testowania technicznych mechanizmów kontroli zabezpieczeń aplikacji internetowych na podstawie standardu OWASP Application Security Verification Standard (ASVS).
Zasady CASA zawierają wytyczne dotyczące testów, które umożliwiają ocenę aplikacji internetowych w 14 kategoriach standardu Application Security Verification Standard 4.0.
Poziomy oceny zabezpieczeń:
CASA wyróżnia 3 poziomy oceny aplikacji w chmurze:
Oceny muszą spełniać podstawowe wymagania CASA określone w standardzie bezpieczeństwa OWASP ASVS 4.0. Oceny mają być ograniczonymi czasowo audytami funkcjonalnymi interfejsów dostępnych z zewnątrz i nie obejmują infrastruktury chmury ani komunikacji serwerów wewnętrznych. Zalecamy, aby deweloperzy przeprowadzali oceny bezpieczeństwa w trakcie całego procesu tworzenia aplikacji. CASA wymaga jednak tylko corocznych aktualizacji raportu z oceny bezpieczeństwa.
Zalecamy, aby programiści sprawdzili i wdrożyli wszystkie ustawienia w specyfikacji ASVS na poziomie 1 i 2, jednak ADA wymaga tylko podzbioru pełnych wymagań ASVS.
Autoryzowani partnerzy w zakresie laboratoriów:|
Osoba oceniająca |
|---|
| GDS Ltd-An Aon Group |
| Bishop Fox |
| KPMG |
| Leviathan Security |
| NCC Group |
| NST Cyber |
| Orange Cyberdefense South Africa (Pty) Ltd |
| Prescient Security LLC |
| TAC Security |
| DEKRA |