סקירה כללית
רמות הביטחון של CASA הן דרך לסווג את האבטחה של אפליקציה על סמך רמת הביטחון שהאפליקציה עומדת בדרישות של CASA. ככל שרמת ההבטחה גבוהה יותר, כך גדל הסיכוי שהאפליקציה הטמיעה את אמצעי הבקרה הנדרשים של CASA.
כל הדרישות חלות על כל הרמות, וההבדל היחיד בין הרמות הוא שיטת ההערכה. רמות הביטחון של CASA מספקות דרך להערכה אובייקטיבית של אבטחת האפליקציה. ככל שרמת הביטחון גבוהה יותר, כך גדל הסיכוי שהאפליקציה הטמיעה את אמצעי הבקרה של CASA.
רמות
| שכבה | שם | מספר משוער של שעות Lab | תיאור |
|
3
|
נבדק במעבדה – אומת במעבדה | 60 | במהלך ההערכה הזו, המעבדה המוסמכת תבדוק ותאמת את כל הדרישות של CASA. זהו תהליך הערכה מקיף שבו נבדקת האפליקציה, תשתית הפריסה של האפליקציה וכל מיקום אחסון של נתוני משתמשים, כדי לוודא שהם עומדים בכל הדרישות של CASA (כשהדבר רלוונטי) |
|
2
|
נבדק במעבדה – אומת במעבדה | 4 | ברמה 2 יש רמת אבטחה שנבדקה ואומתה במעבדה, ומפתחים יכולים להצטרף אליה כדי ליצור קשר עם אחת מהמעבדות המורשות ולהשלים הערכה ברמה 2. תהליך ההערכה מפורט בהמשך. |
| נבדק על ידי מפתחים – אומת במעבדה | 1 | במהלך ההערכה הזו, מפתח האפליקציה סורק את האפליקציה שלו באמצעות כלי סריקה מומלצים של CASA ומספק את תוצאת הסריקה ל-ADA לצורך אימות. | |
|
1
|
נבדק על ידי המפתח – אומת על ידי המפתח | 0 | השכבה של ההערכה העצמית היא לא רמת אבטחה, כי היא לא מאומתת. הסיווג הזה מאפשר למפתחים להבין את מוכנות האפליקציה שלהם להערכת CASA. |
הבטחה
| שכבה | אפליקציה | תשתית פריסה | אחסון נתונים | אימות |
| רמה 2 (נבדק על ידי מפתחים – אומת במעבדה) | נבדק על ידי המפתח | אישור מפתח | אישור מפתח | Authorized Lab Verified |
| רמה 2 (נבדק במעבדה – אומת במעבדה) | נבדק במעבדה מורשית | אישור מפתח | אישור מפתח | Authorized Lab Verified |
| קבוצה 3 (נבדק במעבדה – אומת על ידי מעבדה) | נבדק במעבדה מורשית | נבדק במעבדה מורשית | נבדק במעבדה מורשית | Authorized Lab Verified |
חישוב רמות
המשתמשים ב-framework (Google וכו') ולא מפתח האפליקציה מחשבים וקובעים את הרמות. CASA ממליצה על הפרמטרים הבאים לחישוב רמת הביטחון הנדרשת של האפליקציה:
-
רמת הרגישות של הנתונים שהאפליקציה ניגשת אליהם. לכל סוג נתונים יכול להיות משקל סיכון שמשפיע על חישוב הרמה.
-
מספר המשתמשים לפי סוג הנתונים שאליהם הייתה גישה.
-
רמת הסיכון שהחברה מוכנה לקחת.
-
אינדיקטורים לסיכונים חיצוניים ופנימיים.
דרישות לאימות מחדש
כל הבקשות צריכות לעבור אימות מחדש מדי שנה. רמת האפליקציה יכולה לעלות לרמה גבוהה יותר.
