Glossary term
BSI C5
Also: Cloud Computing Compliance Criteria Catalogue, C5-Testat
Prüfkatalog des BSI für Cloud-Dienste, der eine Mindest-Sicherheitsbasis und Transparenzpflichten definiert. Wird über ein C5-Testat durch unabhängige Wirtschaftsprüfer nachgewiesen. De-facto-Standard für Cloud-Beschaffung im deutschen Markt.
C5 ist kein Zertifikat, sondern ein Testat nach ISAE 3000. Es bestätigt, dass ein Cloud-Anbieter zu einem Stichtag (Typ 1) oder über einen Zeitraum (Typ 2) die C5-Kriterien einhält. Aktuelle Version: C5:2020.
Inhaltlich orientiert sich C5 an ISO 27001/27017/27018 plus Cloud-spezifischen Anforderungen: Mandantentrennung, Transparenz über Datenstandorte, Mitarbeiter-Hintergrundprüfung, Subdienstleister-Management, Auditfähigkeit. Bei der Cloud-Beschaffung in regulierten Sektoren (Banken unter BAIT, Versicherer unter VAIT) wird C5 Typ 2 häufig als Mindestnachweis gefordert.
Praxis: Microsoft Azure, AWS, Google Cloud und SAP halten C5-Testate. Kleinere SaaS-Anbieter ohne C5 sind im Banken- und Versicherungseinkauf oft nicht durchsetzbar.
Related terms
ISO 27001
Internationaler Standard für Informationssicherheits-Management-Systeme. Aktuelle Fassung ISO/IEC 27…
Sovereign cloud
A cloud deployment model that guarantees operational, legal and technical control of data and worklo…
SOC 2 Type 2
Prüfbericht eines US-Wirtschaftsprüfers nach AICPA-Standard SSAE 18, der die Wirksamkeit der Kontrol…
BaFin DORA-Aufsichtsmitteilung
Veröffentlichungen der BaFin zur Auslegung und Erwartung der DORA-Anwendung in Deutschland. Stand 20…
BAIT
Rundschreiben der BaFin, das die Anforderungen an die IT-Aufstellung von Kreditinstituten konkretisi…
BCM
Disziplin zur Aufrechterhaltung kritischer Geschäftsprozesse bei Störungen. Standards: ISO 22301, BS…
BYOK / HYOK (Bring/Hold Your Own Key)
Schlüssel-Management-Modelle in Cloud-Umgebungen: BYOK bedeutet, der Kunde bringt seinen eigenen Sch…
AI Act Konformitätsbewertung
Verfahren zur Feststellung, dass ein Hochrisiko-KI-System die Anforderungen des EU AI Act erfüllt, b…