Visão geral
À medida que sistemas complexos são conectados por integrações de nuvem para nuvem, é importante ter uma maneira padrão de proteger os dados e a privacidade do consumidor. Na última década, houve uma grande melhoria na segurança da infraestrutura em nuvem. No entanto, ainda há desafios significativos de segurança na camada de aplicação.
A CASA se baseou nos padrões do setor reconhecidos pelo ASVS (Application Security Verification Standard) da OWASP para fornecer um conjunto básico de controles de segurança que devem ser implementados em aplicativos na nuvem. Além disso, a CASA oferece uma maneira uniforme de realizar avaliações desses controles quando elas são necessárias para que os aplicativos acessem os dados do usuário do Google. A CASA adicionou um método de avaliação multinível para lidar com a possível mudança no risco com base no usuário, no escopo e em outros itens específicos do aplicativo. Embora recomendemos muito as avaliações de terceiros, oferecemos um meio para que todas as empresas comecem a melhorar a segurança com um programa de autoavaliação. Se você se qualificar para esse programa, o Google vai entrar em contato diretamente para iniciar as próximas etapas.
Vantagens
Queremos incentivar o setor a oferecer aos usuários a transparência e o controle que eles esperam em relação à segurança e à privacidade dos dados dos apps que usam. Realizar avaliações de segurança dos aplicativos de nuvem e serviços de back-end reduz muito as vulnerabilidades comuns e aumenta a confiança do consumidor nos produtos e serviços finais.
Como funciona
O framework CASA oferece uma base para testar controles técnicos de segurança de aplicativos da Web com base no OWASP Application Security Verification Standard (ASVS) (em inglês).
O framework CASA oferece diretrizes de teste para avaliar apps da Web em 14 categorias do padrão de verificação de segurança de aplicativos 4.0.
Níveis de avaliação de segurança:
A CASA reconhece três níveis de avaliação para aplicativos na nuvem:
As avaliações precisam atender aos requisitos básicos da CASA do padrão de segurança OWASP ASVS 4.0. As avaliações são auditorias funcionais com limite de tempo das interfaces acessíveis externamente e não incluem infraestrutura de nuvem ou comunicações internas do servidor. Recomendamos que os desenvolvedores façam avaliações de segurança durante todo o processo de desenvolvimento. No entanto, a CASA exige apenas atualizações anuais do relatório de avaliação de segurança.
Recomendamos que os desenvolvedores analisem e implementem todos os controles na especificação ASVS de nível 1 e 2. No entanto, a ADA exige apenas um subconjunto dos requisitos completos do ASVS.
Parceiros de laboratórios autorizados:|
Avaliador |
|---|
| GDS Ltd: um grupo da Aon |
| Bishop Fox (em inglês) |
| KPMG |
| Leviathan Security (em inglês) |
| NCC Group (em inglês) |
| NST Cyber (em inglês) |
| Orange Cyberdefense South Africa (Pty) Ltd |
| Prescient Security LLC (em inglês) |
| Segurança da TAC |
| DEKRA |