Descripción general
Los niveles de certeza de CASA son una forma de clasificar la seguridad de una aplicación según el nivel de certeza de que la aplicación cumple con los requisitos de CASA. Cuanto más alto sea el nivel de garantía, mayor será la confianza de que la aplicación implementó los controles de la CASA requeridos.
Se deben cumplir todos los requisitos para cada nivel. La única diferencia entre los niveles es el método de evaluación que se aplica. Los niveles de garantía de CASA proporcionan una forma de evaluar objetivamente la seguridad de una aplicación. Cuanto más alto sea el nivel de garantía, mayor será la confianza de que la aplicación implementó los controles de CASA.
Niveles
| Nivel | Nombre | Horas de lab estimadas | Descripción |
|
3
|
Lab Tested - Lab Verified | 60 | Durante esta evaluación, el laboratorio autorizado probará y validará todos los requisitos de la CASA. Esta es una evaluación integral que prueba la aplicación, la infraestructura de implementación de la aplicación y cualquier ubicación de almacenamiento de datos del usuario para verificar el cumplimiento de todos los requisitos de la CASA (cuando corresponda). |
|
2
|
Lab Tested - Lab Verified | 4 | El nivel 2 tiene un nivel de garantía validado y probado en laboratorio en el que los desarrolladores pueden habilitar la opción para comunicarse con uno de los laboratorios autorizados y completar una evaluación de nivel 2. Consulta el proceso de evaluación a continuación. |
| Probado por el desarrollador y verificado por el lab | 1 | Durante esta evaluación, el desarrollador de la aplicación la analiza con las herramientas de análisis recomendadas por CASA y proporciona el resultado del análisis a la ADA para su validación. | |
|
1
|
Probado por el desarrollador y verificado por el desarrollador | 0 | El nivel de autoevaluación no es un nivel de garantía, ya que no se valida. Este nivel se usa para permitir que el desarrollador comprenda la preparación de su aplicación para la evaluación de CASA. |
Aseguramiento
| Nivel | Aplicación | Infraestructura de implementación | Almacenamiento de datos | Validación |
| Nivel 2 (probado por el desarrollador y verificado en el lab) | Probado por desarrolladores | Constancia del desarrollador | Constancia del desarrollador | Laboratorio autorizado verificado |
| Nivel 2 (probado y verificado por el laboratorio) | Prueba de laboratorio autorizada | Constancia del desarrollador | Constancia del desarrollador | Laboratorio autorizado verificado |
| Nivel 3 (probado y verificado en el laboratorio) | Prueba de laboratorio autorizada | Prueba de laboratorio autorizada | Prueba de laboratorio autorizada | Laboratorio autorizado verificado |
Cálculo de niveles
Los usuarios del framework (Google, etc.) y no el desarrollador de la aplicación calculan y determinan los niveles. La CASA recomienda los siguientes parámetros para calcular el nivel de garantía requerido de la aplicación:
-
Es la sensibilidad de los datos a los que accede la aplicación. A cada tipo de datos se le puede asignar un factor de riesgo para afectar el cálculo del nivel.
-
Cantidad de usuarios por tipo de datos a los que se accedió
-
Es el nivel de tolerancia al riesgo de la empresa.
-
Indicadores de riesgo internos y externos
Requisitos de revalidación
Todas las solicitudes deben revalidarse cada año. El nivel de la aplicación puede aumentar a un nivel superior.
