IBM Cloud Docs
コンプライアンス

コンプライアンス

IBM® Cloudant® for IBM Cloud® は、信頼できるセキュアなクラウド・データベース・システムを提供します。 このサービスは、ISO 27001:2013 などの業界最高の規格を基盤としています。

Tier-1 の物理システム

IBM Cloudant DBaaS物理的にホストされているTier-1クラウドインフラプロバイダーIBM Cloud®。 したがって、お客様のデータは、これらのプロバイダーで採用されているネットワーク・セキュリティー対策および物理的セキュリティー対策によって保護されます。

一般データ保護規則 (GDPR)

GDPR は、EU 全域における統一されたデータ保護の法的枠組みを作成しようというものです。 これはまた、個人データの管理権限を市民の手に取り戻すことを目的とし、世界のどこであろうと個人データを管理および「処理」する主体者に対して厳格な規則を課しています。 この規則により、 EU 内外での個人データの自由な移動に関連する規則も導入されます。 詳細については、IBMプライバシーに関する声明

HIPAA

IBM Cloudant は、1996 年の医療保険の積算と責任に関する法律 (HIPAA) のセキュリティー・ルールおよびプライバシー・ルールの条件に見合った、必要な IBM のコントロールを満たしています。 これらの要件には、連邦規則集第 45 巻パート 160、およびパート 164 のサブパート A および C で事業提携者に対して要求されている、適切な管理的、物理的、および技術的な安全防護策が含まれます。 HIPAA はプロビジョニング時に要求する必要があり、 IBM Cloudant エンタープライズ・プランに適用されます。 IBM Cloudant on IBM Cloud 専用プラン、および IBM Cloud上の IBM Cloudant 専用ハードウェア・プラン。 IBM との Business Associate Addendum (BAA) 契約の署名については、営業担当員にお問い合わせください。

国際標準化機構 (ISO)

IBM Cloudant および IBM Cloudant Dedicated クラスターは、サード・パーティーのセキュリティー会社によって監査されており ISO 27001、ISO 27017、および ISO 27018 の要件を満たしています。 詳細については、IBM Cloudantコンプライアンスページ証明書へのリンク。 「IBM Cloudant のコンプライアンス対応」ページの以下の説明には IBM Cloudant サービスとそれぞれの認証について記載されています。

  • IBM Cloud サービス (PaaS および SaaS) 認証クラウド製品リスト
  • IBM Cloud サービス (PaaS および SaaS) 証明書 - ISO 27001
  • IBM Cloud サービス (PaaS および SaaS) 証明書 - ISO 27017
  • IBM Cloud サービス (PaaS および SaaS) 証明書 - ISO 27018

PCI

IBM Cloudant の以下のプランは、Payment Card Industry Data Security Standard (PCI DSS) に準拠しています。

  • マルチテナントのライト。
  • 標準。
  • 専用ハードウェア・プランの環境にデプロイされた標準プランのインスタンス。

IBM Cloud は、承認された認定セキュリティー評価機関 (QSA) を使用して、毎年 PCI DSS アセスメントを行っており、結果の Attestations of Compliance (AOC) と Service Responsibility Matrix のガイドは、お客様の要求により入手可能です。 監査員は、PCI DSS バージョン 3.2.1、サービス・プロバイダー・レベル 1 で、IBM Cloudant の準拠をレビューしています。

機密情報を IBM Cloudant データベースに保管する場合は、クライアント・サイド暗号化を使用して、 IBM Cloudant オペレーターが読めないデータをレンダリングする必要があります。 例えば、PCI DSS コンプライアンスの場合、1 次アカウント番号 (PAN) を含む文書をデータベースに送信する前に、PAN を暗号化する必要があります。

カード所有者データの保管、処理、および送信を行う責任は、お客様にあります。カード所有者データを保管、送信、および処理できるカード所有者データ環境 (CDE) は、IBM Cloudant を使用して作成できます。 お客様は、独自の PCI DSS 認定を取得する際に、IBM Cloud AOC および SRM ガイドを使用できます。 PCI DSS に準拠した方法で IBM Cloud プラットフォーム・サービスを使用して構築された CDE およびアプリケーションを文書化し、運用することは、お客様の責任で行う必要があります。

サービス・セキュリティーおよびデータの削除に関する IBM Cloudant 資料には、PCI 要件に従って環境内のカード所有者データを管理する方法が記載されています。 これらのプロセスを熟知し、お客様のポリシーに従ってサービスのデータ保存と削除を管理することは、お客様の責任で行う必要があります。 このプロセスを容易にするために、IBM Cloudant 文書 ID ではカード所有者データを使用することはできません。 PANデータをIBM Cloudant読み取り不可能にする必要があります(PCI要件に従って) 3.5)を送信する前にIBM Cloudantサービス。

PCI DSS対応製品の完全なリストIBM Cloud PCI DSS AOCおよびSRMガイドをリクエストするためのプラットフォームサービスとオプションについては、IBM Cloudコンプライアンスページ

SOC 1 タイプ 2、SOC 2 タイプ 2、および SOC 3 認定

IBMサービス組織管理(SOC)レポートを提供しますIBM Cloudant 。 このレポートは、米国公認会計士協会 (AICPA) Trust サービスの原則により設定されている基準に従って IBM の運用管理を評価します。 Trust サービスの原則は、IBM Cloud などのサービス・プロバイダーがその顧客のデータと情報を保護するために、適切な制御システムを定義するものであり、業界標準を確立しています。

顧客ポータルから SOC レポートをリクエストするか、営業担当者にお問い合わせください。 あるいは、 IBM Cloud サポートでサポート・チケットをオープンすることもできます。