概览
CASA 保证层级是根据应用符合 CASA 要求的保证等级来对应用的安全性进行分类。保证等级越高,应用实现所需 CASA 控件的置信度越高。
每个层级都必须满足所有要求,每个层级之间的唯一区别是适用的评估方法。CASA 保证层级提供了一种客观地评估应用安全性的方法。保证等级越高,应用实现 CASA 控制措施的置信度就越高。
层级
层级 | 名称 | 估计的实验小时数 | 说明 |
3
|
实验已经过测试 - 实验室已验证 | 60 | 在评估期间,授权实验室将测试和验证所有 CASA 要求。这是一项全面的评估,旨在测试应用、应用部署基础架构以及任何用户数据存储位置是否符合所有 CASA 要求(如适用) |
2
|
实验已经过测试 - 实验室已验证 | 4 | 第 2 级客服人员通过了一项经过测试和验证的保证级别,可供开发者选择联系其中某个已获授权的实验室来完成第 2 级评估。请参阅下面的评估流程。 |
开发者已经过测试 - 实验室验证 | 1 | 在评估期间,应用开发者使用 CASA 推荐的扫描工具扫描其应用,并将扫描结果提供给 ADA 进行验证。 | |
1
|
已经过开发者测试 - 开发者已验证 | 0 | 自我评估层不是保证等级,因为它未经验证。此层级让开发者能够了解其对 CASA 评估的准备情况 |
安全保证
层级 | 应用 | 部署基础架构 | 数据存储 | 验证 |
第 2 级(开发者已经过测试 - 实验室验证) | 开发者测试 | 开发者证明 | 开发者证明 | 经过授权的实验室验证 |
第 2 级(实验室测试 - 实验室验证) | 经过授权的实验室测试 | 开发者证明 | 开发者证明 | 经过授权的实验室验证 |
第 3 级(实验室测试 - 实验室验证) | 经过授权的实验室测试 | 经过授权的实验室测试 | 经过授权的实验室测试 | 经过授权的实验室验证 |
层级计算
框架用户 (Google.etc) 而非应用开发者计算和确定层级。CASA 推荐以下参数来计算应用所需的保证层级:
-
应用访问的数据的敏感度。每种数据类型都可能存在风险权重,以影响层级计算。
-
每种类型数据访问的用户数。
-
公司风险容忍级别。
-
外部和内部风险指标。
重新验证要求
必须每年重新验证所有申请。应用层级可以提高到更高层级。