Certificações e conformidade

Requisitos de segurança da computação em nuvem para o Departamento de Defesa dos EUA para o nível de impacto 2 e o nível de impacto 4

O Departamento de Defesa dos EUA (DoD) tem requisitos exclusivos de proteção de informações que vão além do conjunto comum de requisitos estabelecidos pelo programa Federal Risk and Authorization Management Program (FedRAMP). Usando os requisitos do FedRAMP como base, o DoD dos EUA definiu especificamente requisitos adicionais de segurança e conformidade de computação em nuvem no Guia de Requisitos de Segurança de Computação em Nuvem do DoD (SRG). Os provedores de serviços em nuvem (CSPs) que oferecem suporte aos clientes do DoD dos EUA devem cumprir esses requisitos.

Skyhigh Security recebeu uma Autorização Provisória (PA) de Nível de Impacto 2 (IL2) do DoD da Agência de Sistemas de Informação de Defesa (DISA), aproveitando a ATO Moderada FedRAMP do Skyhigh Security. A IL2 do DoD destina-se a informações não classificadas não controladas (non-CUI), que incluem todos os dados autorizados para divulgação pública, bem como algumas informações privadas não classificadas do DoD não designadas como CUI ou dados de missão crítica que requerem um nível mínimo de controlo de acesso.

Skyhigh Security está a procurar ativamente atingir o nível de impacto 4 do DoD com vários clientes.

O IL4 do DoD destina-se a informações não classificadas controladas (CUI), que incluem a proteção de dados contra a divulgação não autorizada estabelecida pela Ordem Executiva 13556 (novembro de 2010); educação, formação, PII, PHI, SSN, informações sobre cartões de crédito, controlos de exportação, FOUO e material sensível para aplicação da lei e correio eletrónico.

Programa do governo dos EUA que fornece uma abordagem normalizada à segurança, autorização e monitorização

O Federal Risk and Authorization Management Program (FedRAMP) é um programa do governo federal dos EUA que fornece uma abordagem padronizada para avaliação de segurança, autorização e monitoramento contínuo para provedores de serviços em nuvem (CSP). O programa FedRAMP ajudou a acelerar a adoção de soluções de nuvem seguras, por meio da reutilização de avaliações e autorizações em outras agências governamentais. O FedRAMP aproveita um conjunto padronizado de requisitos estabelecidos de acordo com a Lei Federal de Gestão da Segurança da Informação (FISMA) e utiliza a Estrutura de Avaliação de Segurança (SAF) e a Estrutura de Gestão de Riscos (RMF) do NIST para monitorizar continuamente e melhorar a confiança e a maturidade do processo com as várias linhas de base dos controlos de segurança implementados pelos fornecedores de serviços na nuvem. Para apoiar as operações em curso com clientes do Governo dos EUA para processar, armazenar ou transmitir dados do Governo dos EUA, estes são responsáveis pelo cumprimento dos requisitos estabelecidos pelo Programa FedRAMP.

O RGPD é um regulamento da União Europeia (UE) concebido para proporcionar às pessoas um maior controlo sobre os seus dados pessoais

O Regulamento Geral sobre a Proteção de Dados (RGPD) entrou em vigor a 25 de maio de 2018 e é um regulamento da UE que proporciona aos indivíduos um maior controlo sobre os seus dados pessoais. O RGPD foi concebido para harmonizar as regras de proteção de dados em toda a União Europeia. Prevê regras relativas à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e regras relativas à livre circulação de dados pessoais dos titulares de dados na União Europeia. O GDPR exige que as empresas implementem medidas técnicas e organizacionais adequadas para proteger os dados pessoais.

Para mais informações, visite:
Formulário de pedido de dados individuais do Regulamento Geral sobre a Proteção de Dados (RGPD)

Desenvolvido pelo American Institute of CPAs (AICPA), o SOC 2 define critérios para a gestão de dados de clientes com base em cinco "princípios de serviço de confiança" - segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade

O relatório SOC 2 Tipo II é um atestado para a gestão da Skyhigh Security organização que afirma que determinados controlos estão em vigor para cumprir os critérios SOC 2 Trust Services (TSC) da AICPA.

O relatório contém um parecer de uma sociedade de revisores oficiais de contas que indica se a sociedade de revisores oficiais de contas concorda com a afirmação da direção. O parecer indica que existem os controlos adequados para tratar os CET seleccionados e que os controlos foram concebidos (relatório de tipo I) ou concebidos e funcionam eficazmente (relatório de tipo II).

A norma internacional para a segurança da informação

Estabelece as especificações para um sistema de gestão da segurança da informação (ISMS). A abordagem de melhores práticas da ISO 27001 ajuda as organizações a gerir a sua segurança da informação, abordando pessoas, processos e tecnologia.

Skyhigh Security foi o primeiro Cloud Access Security Broker a obter a certificação ISO 27001.

A certificação também reflecte a maturidade dos controlos e práticas implementados pelo Skyhigh Security .

O IRAP aprova indivíduos dos sectores público e privado para prestarem serviços de avaliação da segurança.

O Information Security Registered Assessor Program (IRAP) é um quadro de conformidade de segurança composto por processos de avaliação de segurança e um programa de avaliação de segurança. Foi desenvolvido pelo Australia Signals Directorate (ASD) e pelo Australian Cyber Security Centre (ACSC), no âmbito do governo australiano. O IRAP apoia as entidades governamentais da Commonwealth australiana na manutenção da sua garantia de segurança e gestão de riscos, bem como na avaliação dos controlos de segurança dos fornecedores de serviços na nuvem e dos seus serviços na nuvem em relação às políticas e directrizes de segurança do governo australiano.

A Skyhigh Security Service Edge (SSE) concluiu uma avaliação IRAP no nível de classificação de segurança PROTECTED em 2023, e a Skyhigh Cloud Access Security Broker (CASB) foi avaliada no nível IRAP PROTECTED em 2020. A avaliação IRAP garante às organizações do sector público que o poderoso conjunto de tecnologia de segurança na nuvem com reconhecimento de dados da Skyhigh Securitypossui controlos de segurança adequados e eficazes para gerir dados e infra-estruturas altamente sensíveis para as agências governamentais australianas.

Para mais informações, visite:
https://www.cyber.gov.au/acsc/view-all-content/programs/irap