General Este estándar describe las prácticas y controles de seguridad de la computación en la nube relevantes para los usuarios de la nube pública, los proveedores de servicios de la nube pública, los auditores y los certificadores. Este estándar cubre los requisitos mínimos para cada nivel que deben cumplir los CSP. Los requisitos adicionales específicos de la organización no están dentro del alcance de esta norma. Este estándar proporciona orientación adicional para los usuarios de la nube y los proveedores de servicios en la nube en el Anexo B y el Anexo C respectivamente. Exclusiones Esta norma no requiere: a) que se apliquen controles a todas las organizaciones, sino que se pueden aplicar controles a ofertas de servicios específicas y a la infraestructura de soporte; b) tener prioridad sobre cualesquiera leyes y reglamentos, tanto existentes como futuros; c) tener poder legal alguno sobre los Acuerdos de Nivel de Servicio incluidos en contratos negociados entre organizaciones y Proveedores de Servicios en la Nube; d) abordar los requisitos, legales o de otro tipo, que rigen las operaciones comerciales normales que deben cumplir los proveedores de servicios en la nube. Ejemplos de tales requisitos incluyen regulaciones detalladas que cubren la seguridad en edificios y contra incendios, la salud y seguridad ocupacional, las regulaciones de derechos de autor y las prácticas vigentes en materia de recursos humanos; y e) especificar controles específicos del proveedor. Los lectores deberán consultar la literatura del proveedor y otras referencias técnicas, según sea necesario. Audiencia La audiencia objetivo incluye: a) Proveedores de servicios en la nube que brindan IaaS, PaaS y SaaS como parte de sus servicios; b) proveedores de servicios externos contratados por Proveedores de Servicios en la Nube para respaldar el entorno de la nube; c) usuarios de computación en la nube pública; d) auditores que realizan auditorías de la nube; y e) certificadores que realizan evaluaciones de seguridad en la nube y brindan certificaciones de computación en la nube. Certificación Los proveedores de servicios en la nube deben certificarse según el marco multinivel, que comprende diferentes niveles de requisitos de seguridad, como se especifica en este estándar para cada oferta de servicio distinta.
SS 584-2015 Historia
2015SS 584-2015 Especificación para la seguridad informática en la nube de varios niveles