Certifications et conformité

Exigences en matière de sécurité de l'informatique en nuage pour le ministère de la défense des États-Unis pour les niveaux d'impact 2 et 4

Le ministère américain de la défense (DoD) a des exigences uniques en matière de protection de l'information qui vont au-delà de l'ensemble des exigences communes établies par le programme FedRAMP (Federal Risk and Authorization Management Program). En se basant sur les exigences du FedRAMP, le DoD a défini des exigences supplémentaires en matière de sécurité et de conformité de l'informatique en nuage dans son guide des exigences de sécurité de l'informatique en nuage (DoD Cloud Computing Security Requirements Guide - SRG). Les fournisseurs de services en nuage (CSP) qui soutiennent les clients du DoD américain sont tenus de se conformer à ces exigences.

Skyhigh Security s'est vu accorder une autorisation provisoire (AP) de niveau d'impact 2 (IL2) du DoD par l'Agence des systèmes d'information de la défense (DISA) en s'appuyant sur l'ATO modérée FedRAMP de Skyhigh Security. L'IL2 du DoD concerne les informations non contrôlées et non classifiées (non-CUI), qui comprennent toutes les données autorisées à être rendues publiques, ainsi que certaines informations privées non classifiées du DoD qui ne sont pas désignées comme CUI ou des données de mission critiques qui nécessitent un niveau minimal de contrôle d'accès.

Skyhigh Security s'efforce activement d'atteindre le niveau 4 de l'impact DoD avec de nombreux clients.

DoD IL4 concerne les informations non classifiées contrôlées (CUI) qui comprennent la protection des données contre la divulgation non autorisée établie par l'ordre exécutif 13556 (novembre 2010) ; éducation, formation, PII, PHI, SSN, informations sur les cartes de crédit, contrôles à l'exportation, FOUO et matériel et courrier électronique sensibles pour l'application de la loi.

Programme du gouvernement américain fournissant une approche standard de la sécurité, de l'autorisation et de la surveillance.

Le Federal Risk and Authorization Management Program (FedRAMP) est un programme du gouvernement fédéral américain qui fournit une approche standardisée de l'évaluation de la sécurité, de l'autorisation et de la surveillance continue pour les fournisseurs de services en nuage (CSP). Le programme FedRAMP a permis d'accélérer l'adoption de solutions cloud sécurisées, grâce à la réutilisation des évaluations et des autorisations par d'autres agences gouvernementales. FedRAMP s'appuie sur un ensemble normalisé d'exigences établies conformément à la loi fédérale sur la gestion de la sécurité de l'information (FISMA) et sur le cadre d'évaluation de la sécurité (SAF) et le cadre de gestion des risques du NIST (RMF) pour surveiller en permanence et améliorer la confiance et la maturité des processus avec les différents contrôles de sécurité de base mis en œuvre par les fournisseurs de services d'informatique en nuage (Cloud Service Providers). Afin de soutenir les opérations en cours avec les clients du gouvernement américain pour traiter, stocker ou transmettre des données du gouvernement américain, ils sont tenus de se conformer aux exigences établies par le programme FedRAMP.

Le GDPR est un règlement de l'Union européenne (UE) conçu pour permettre aux individus de mieux contrôler leurs données personnelles.

Entré en vigueur le 25 mai 2018, le Règlement général sur la protection des données (RGPD) est un règlement de l'Union européenne qui offre aux individus davantage de contrôle sur leurs données personnelles. Le GDPR a été conçu pour harmoniser les règles de protection des données dans l'ensemble de l'Union européenne. Il prévoit des règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et des règles relatives à la libre circulation des données à caractère personnel des personnes concernées dans l'Union européenne. Le GDPR exige des entreprises qu'elles mettent en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles.

Pour plus d'informations, consultez le site :
Règlement général sur la protection des données (RGPD) Formulaire de demande de données individuelles

Développé par l'American Institute of CPAs (AICPA), le SOC 2 définit des critères de gestion des données clients basés sur cinq "principes de service de confiance" - sécurité, disponibilité, intégrité du traitement, confidentialité et respect de la vie privée.

Le rapport SOC 2 de type II est une attestation de la direction de l'organisation Skyhigh Security selon laquelle certains contrôles sont en place pour répondre aux critères SOC 2 Trust Services Criteria (TSC) de l'AICPA.

Le rapport contient un avis d'un cabinet d'experts-comptables qui indique s'il est d'accord avec l'affirmation de la direction. L'avis indique que les contrôles appropriés sont en place pour traiter les CST sélectionnés et que les contrôles sont conçus (rapport de type I) ou conçus et fonctionnent efficacement (rapport de type II).

La norme internationale pour la sécurité de l'information

Elle définit les spécifications d'un système de gestion de la sécurité de l'information (SGSI). L'approche des meilleures pratiques de l'ISO 27001 aide les organisations à gérer leur sécurité de l'information en tenant compte des personnes, des processus et de la technologie.

Skyhigh Security a été la première Cloud Access Security Broker à obtenir la certification ISO 27001.

La certification reflète également la maturité des contrôles et des pratiques mis en place par Skyhigh Security .

Le PARI recommande des personnes des secteurs privé et public pour fournir des services d'évaluation de la sécurité.

L'Information Security Registered Assessor Program (IRAP) est un cadre de conformité à la sécurité qui comprend des processus d'évaluation de la sécurité et un programme d'évaluation de la sécurité. Il a été développé par l'Australia Signals Directorate (ASD) et l'Australian Cyber Security Centre (ACSC), au sein du gouvernement australien. L'IRAP aide les entités gouvernementales du Commonwealth australien à maintenir leur assurance sécurité et leur gestion des risques, ainsi qu'à évaluer les fournisseurs de services en nuage et les contrôles de sécurité de leurs services en nuage par rapport aux politiques et aux lignes directrices du gouvernement australien en matière de sécurité.

Skyhigh Security Service Edge (SSE) a fait l'objet d'une évaluation IRAP au niveau de classification de sécurité PROTECTED en 2023, et Skyhigh Cloud Access Security Broker (CASB) a été évalué au niveau IRAP PROTECTED en 2020. L'évaluation IRAP garantit aux organisations du secteur public que la puissante suite de technologies de sécurité en nuage de Skyhigh Securitya mis en place des contrôles de sécurité appropriés et efficaces pour gérer des données et des infrastructures hautement sensibles pour les agences gouvernementales australiennes.

Pour plus d'informations, visitez le site :
https://www.cyber.gov.au/acsc/view-all-content/programs/irap