17 Kategorien mit insgesamt 121 Basiskriterien umfasst der Cloud Computing Compliance Criteria Catalogue C5 des Bundesamts für Sicherheit in der Informationstechnik. Über mehrere Wochen hinweg prüfte die Wirtschaftsprüfungsgesellschaft FIDES die Anwendung der Kriterien bei der Uptime Cloud und sah sich dazu zahlreiche Dokumente als Nachweise an. Verfahrensanweisungen, Prozesse, Schulungsunterlagen, Log-Dateien, Rechte und Rollen und vieles mehr wurden analysiert und daraufhin beurteilt, dass sie die anspruchsvollen Anforderungen des BSI angemessen erfüllen. Das C5-Testat wird bei zahlreichen Gesundheitsanwendungen oder für Hostingaufträge des Öffentlichen Sektors benötigt.
Der C5-Katalog umfasst die Prüfbereiche
- Organisation der Informationssicherheit (OIS)
- Sicherheitsrichtlinien und Arbeitsanweisungen (SP)
- Personal (HR)
- Asset Management (AM)
- Physische Sicherheit (PS)
- Regelbetrieb (OPS)
- Identitäts- und Berechtigungsmanagement (IDM)
- Kryptographie und Schlüsselmanagement (CRY)
- Kommunikationssicherheit (COS)
- Portabilität und Interoperabilität (PI)
- Beschaffung, Entwicklung und Änderung von Informationssystemen (DEV)
- Steuerung und Überwachung von Dienstleistern und Lieferanten (SSO)
- Umgang mit Sicherheitsvorfällen (SIM)
- Kontinuität des Geschäftsbetriebs und Notfallmanagement (BCM)
- Compliance (COM)
- Umgang mit Ermittlungsanfragen staatlicher Stellen (INQ)
- Produktsicherheit (PSS)
Die Prüfung wurde Mitte Dezember 2024 abgeschlossen, womit die Angemessenheit der Maßnahmen bestätigt ist.