上周，CSA在德國舉行的2012年安全云會議上宣布了其開放式的認證框架（Open Certification Framework）。該框架旨在使云供應商實施的安全控制認證符合CSA的指導。CSA執行總監Jim Reavis在接受電話采訪中說道，該項目與標準制定機構（比如ISO）合作，既可以為云服務提供商提供認證，又可以提供獨立的認證。

例如，該框架將提供劃定范圍的文件，使提供商能夠獲得包含了CSA云控制矩陣（CSA Cloud Controls Matrix）的ISO27001認證，他說道。 它還將提供針對集成了CCM（SSAE 16取代了SAS 70）的SSAE 16認證的指導。以上各情況下產生的認證都能夠得到CSA的認同。

Reavis表示，為供應商提供的CSA云安全認證越來越專用，涉及到現有安全、信任和保證注冊（Security、Trust and Assurance Registry ，STAR），并考慮到一級自我評估，類似于PCI數據結構的安全標準。CSA在去年發布的STAR是讓云服務提供商安全控制在線注冊。目前為止，STAR有一些參與者，包括微軟和Solutionary。

Reavis表示，非營利機構CSA尚未決定是否用自己的第三方認證評估。他說道，雖然美國通過FedRAMP已經開發出一個云提供商安全框架，但CSA正在與其他國家合作，基于CSA GRC堆棧和STAR開發他們自己的框架。

“看上去不會由一個認證來控制一切，”Reavis表示，“很明顯，在我們跟不同的政府談話中，一些想要向國際標準看齊，但又有一些想要自己掌控的標準。我們很樂意為他們提供需要的，幫他們建立自己的框架。”

提倡開放認證框架有好的一面也有壞的一面，他補充道。從積極的一面來看，CSA已收到越來越多來自政府機構和私營部門針對云供應商認證的請求。“他們說，‘我們喜歡你所做的工作，并想推廣STAR，但我們需要更多細節，需要看到更為具體的認證。’”

消極的一見面是，CSA受到越來越多的關注，如果等待時間過長，一些地區組織和一些營利性實體將很快為提供商宣布云安全認證，而不遵循適當的最佳實踐。他說，“我們不想因此成為最簡單的方法，導致認證缺乏完整性。”

CSA計劃在9月的CSA歐洲大會上發布一個詳細的開放認證框架規劃圖。該規劃中將包含一個連續控制監測計劃，Reavis說這是必不可少的。他預計可在明年第二季度發布第一個供應商認證。