概要
CASA 保証ティアは、アプリが CASA 要件に準拠しているという保証レベルに基づいて、アプリのセキュリティを分類する方法です。保証レベルが高いほど、アプリケーションが CASA の必須コントロールを実装しているという信頼性が高くなります。
すべての要件はすべての階層で満たされる必要があります。各階層の違いは、適用される評価方法のみです。CASA 保証ティアは、アプリケーションのセキュリティを客観的に評価する方法を提供します。保証レベルが高いほど、アプリケーションが CASA コントロールを実装しているという信頼性が高くなります。
階層
| 階層 | 名前 | ラボの推定所要時間 | 説明 |
|
3
|
ラボテスト済み - ラボ検証済み | 60 | この評価方法では、認定ラボがすべての CASA 要件をテストし、検証します。これは、アプリケーション、アプリケーションのデプロイ インフラストラクチャ、ユーザーデータ ストレージの場所をテストして、CASA のすべての要件(該当する場合)に準拠しているかどうかを包括的に評価するものです。 |
|
2
|
ラボテスト済み - ラボ検証済み | 4 | Tier 2 には、ラボでテストおよび検証済みの保証レベルがあります。デベロッパーは、Tier 2 の評価を完了するために、認定ラボのいずれかに連絡することを選択できます。以下の評価プロセスをご覧ください。 |
| デベロッパー テスト済み - ラボ検証済み | 1 | この評価では、アプリケーション デベロッパーが CASA 推奨のスキャンツールを使用してアプリケーションをスキャンし、ADA にスキャン結果を提供して検証を受けます。 | |
|
1
|
デベロッパー テスト済み - デベロッパー確認済み | 0 | 自己評価の階層は検証されていないため、保証レベルではありません。この階層は、デベロッパーが CASA 評価に対するアプリの準備状況を把握できるようにするために使用されます。 |
保証
| 階層 | アプリケーション | デプロイ インフラストラクチャ | データ ストレージ | 検証 |
| Tier 2(デベロッパー テスト済み - ラボ検証済み) | デベロッパー テスト済み | デベロッパーの証明書 | デベロッパーの証明書 | Authorized Lab Verified |
| Tier 2(ラボテスト済み - ラボ検証済み) | 認定ラボでテスト済み | デベロッパーの証明書 | デベロッパーの証明書 | Authorized Lab Verified |
| Tier 3(ラボテスト済み - ラボ検証済み) | 認定ラボでテスト済み | 認定ラボでテスト済み | 認定ラボでテスト済み | Authorized Lab Verified |
ティアの計算
ティアの計算と決定は、アプリケーション デベロッパーではなく、フレームワーク ユーザー(Google など)が行います。CASA は、アプリケーションに必要な保証レベルを計算するために、次のパラメータを推奨しています。
-
アプリケーションがアクセスするデータの機密性。各データ型にリスク ウェイトが割り当てられ、階層の計算に影響する場合があります。
-
アクセスされたデータの種類ごとのユーザー数。
-
会社のリスク許容度。
-
外部および内部のリスク指標。
再検証の要件
すべての申請は毎年再確認する必要があります。アプリケーション Tier は上位の Tier にアップグレードできます。
