El estándar de seguridad alemán para servicios cloud.
El Cloud Computing Compliance Criteria Catalogue del BSI define los requisitos mínimos de seguridad de la información en la cloud. Le acompañamos desde el análisis de brechas hasta el atestado de Tipo 2 — conforme al estándar, auditable y orientado a la práctica.
- 2016publicado por primera vez, revisado a fondo en 2020
- 121criterios de prueba en criterios base y adicionales
- 17áreas de requisitos desde OIS hasta PCS
- § 393SGB V — vinculante en sanidad desde julio de 2025
- ISAE3000 / IDW PS 860 — auditoría por auditores económicos
¿Qué es el Kriterienkatalog C5?
El estándar alemán de prueba y atestado para servicios cloud — desarrollado por la Oficina Federal de Seguridad en Tecnologías de la Información (BSI) para hacer demostrable un nivel de seguridad generalmente aceptado.
El estándar
El C5 traduce frameworks establecidos como ISO/IEC 27001, ISO/IEC 27017 y los AICPA Trust Services Criteria a un catálogo de criterios verificable y específico de cloud — y es el benchmark para Cloud Security en la región DACH.
El principio
El BSI define qué debe cumplirse — no cómo. La implementación concreta queda en manos del proveedor cloud, la auditoría independiente la realizan auditores económicos según ISAE 3000 (revised) o IDW PS 860.
La obligación
Las autoridades federales exigen C5 según EVB-IT Cloud. Desde el 1 de julio de 2025, el § 393 SGB V (DigiG) exige a los servicios cloud en sanidad un atestado C5 de Tipo 2 o una evidencia equivalente.
Las 17 áreas de requisitos del C5.
Cada área contiene criterios base concretos y verificables, así como criterios adicionales opcionales para mayores niveles de protección. Los códigos siguen la nomenclatura BSI y forman la base de su matriz de control.
Organización de la seguridad de la información
Roles, responsabilidades, compromiso de la dirección
Políticas e instrucciones de seguridad
Políticas documentadas, aprobación y revisión
Personal
Contratación, concienciación, procesos de salida
Asset Management
Inventariado, clasificación, manejo
Seguridad física
Centros de datos, acceso, protección del entorno
Operación regular
Capacidad, registro, gestión de vulnerabilidades
Gestión de identidad y autorización
IAM, accesos privilegiados, MFA
Criptografía y gestión de claves
Algoritmos, claves, ciclo de vida
Seguridad de las comunicaciones
Segmentación de red, TLS, transmisión
Portabilidad e interoperabilidad
Exportación, estándares, devolución de datos
Adquisición, desarrollo y cambio
Secure SDLC, gestión del cambio
Proveedores y subcontratistas
Subcontratistas, dirección, supervisión
Gestión de incidentes de seguridad
Detección, respuesta, post-tratamiento
Continuidad del negocio y BCM
BIA, recuperación, pruebas
Conformidad
Requisitos legales, regulatorios y contractuales
Solicitudes de investigación de autoridades
Legalidad, transparencia, procesos
Seguridad de producto
Prestación y operación seguras del servicio cloud
Requisitos de transparencia
Divulgación de subcontratistas, ubicaciones de almacenamiento de datos, sistemas jurídicos
¿Tipo 1 o Tipo 2 — qué encaja cuándo?
El C5 conoce dos tipos de informe. El BSI recomienda el informe de Tipo 2, ya que solo la prueba de eficacia ofrece una evaluación significativa sobre un periodo.
Prueba de adecuación
Evalúa en una fecha de corte si el sistema interno de control relacionado con el servicio es adecuado para cumplir los criterios C5. Sensato como primera prueba al iniciar el estándar — según el BSI no está pensado para reporting repetido.
Prueba de eficacia
Evalúa durante un periodo definido (normalmente 6–12 meses) si los controles no solo están adecuadamente diseñados, sino también implementados eficazmente. Es la evidencia esperada por el mercado — y desde la DigiG, también por el legislador.
En cinco pasos a la evidencia C5.
Le acompañamos como partner de GRC y seguridad de la información de forma estructurada por todas las fases — desde el primer análisis de brechas hasta el atestado del auditor económico.
¿Para quién es relevante el C5?
C5 afecta tanto a proveedores cloud, que deben acreditar un atestado, como a usuarios cloud de sectores regulados, que exigen un atestado a sus proveedores.
Proveedores de servicios cloud
Proveedores SaaS, PaaS e IaaS que quieren acreditar su madurez de seguridad ante clientes, auditores y reguladores.
Sanidad
Clínicas, mutuas y prestadores según § 393 SGB V — desde julio de 2025 con obligación legal de acreditación para sus proveedores cloud.
Sector público
Autoridades federales, estatales y municipales que adquieren servicios cloud externos según EVB-IT Cloud y BSI-Mindeststandard.
Sectores regulados
Servicios financieros, suministradores de energía y empresas KRITIS que establecen C5 como complemento a ISO 27001, DORA o NIS2.
BSI C5 — Grabación del webinar
Visión profunda de los requisitos BSI C5, tipos de atestado e implementación práctica — como grabación de webinar en vivo.
Preguntas frecuentes sobre el C5.
¿Es el C5 una certificación?
No. El C5 es un estándar de atestación. Un auditor económico independiente audita según ISAE 3000 (revised) o IDW PS 860 y emite un informe de auditoría con atestado. El BSI mismo no realiza auditorías y no concede certificados.
¿Cómo se relaciona el C5 con ISO 27001?
Una certificación ISO/IEC 27001 existente forma una base muy buena. Muchos criterios C5 referencian directamente a controles del Anexo A. El BSI proporciona tablas de referencia cruzada con las que se pueden identificar eficientemente brechas entre un ISMS y los requisitos C5 específicos de cloud.
¿Cuál es la diferencia entre criterios base y criterios adicionales?
Para un atestado C5 deben cumplirse plenamente todos los criterios base aplicables — forman el nivel mínimo. Los criterios adicionales son opcionales y abordan necesidades de protección elevadas. Clientes con cargas de trabajo especialmente sensibles los exigen frecuentemente de forma explícita.
¿Cuánto dura el camino al primer atestado de Tipo 2?
Realista 9 a 18 meses, según el grado de madurez del ISMS existente. De ellos, típicamente 3–6 meses para análisis de brechas e implementación, 6–12 meses para el periodo de prueba de eficacia, más la propia auditoría y elaboración del informe.
¿Qué cambia con C5:2026?
El sucesor C5:2026 se construye sobre el C5:2020 y complementa los criterios entre otros con referencias a NIS2, CEN/TS 18026 y AICPA Trust Services Criteria actualizados. Los servicios cloud ya atestados conservan su estado — para nuevos periodos de prueba rigen los nuevos criterios según los plazos transitorios del BSI.
¿Aplica el C5 también si utilizamos subcontratistas?
Sí — y aborda este caso explícitamente. Los controles que caen en el ámbito de responsabilidad de subcontratistas (p. ej. proveedores IaaS en servicios SaaS) se incorporan a la descripción del sistema como Complementary Subservice Organization Controls. Los detalles los regula la sección 3.4.5 del C5:2020.
«C5 no es una marca de verificación en una lista — es la prueba de confianza que los clientes regulados esperan hoy de los proveedores cloud. Construimos el sistema interno de control de modo que sostenga en la auditoría — no que solo apruebe formalmente.»
¿Listo para el estándar C5?
30 minutos con Valeri Milke: aclaramos su punto de partida, evaluamos su arquitectura cloud y mostramos el camino realista al atestado de Tipo 2 — incluyendo estimación de esfuerzo y timeline.
Reservar cita