Sistemas físicos da camada 1

IBM Cloudant DBaaS está fisicamente hospedado em Tier-1 provedores de infraestrutura em nuvem, como IBM Cloud®. Portanto, seus dados são protegidos pelas medidas de segurança física e de rede utilizadas por esses provedores.

Regulamento Geral sobre a Proteção de Dados (GDPR)

O GDPR procura criar uma estrutura de lei de proteção de dados harmonizada em toda a UE. Ele também tem como objetivo devolver aos cidadãos o controle de seus dados pessoais, enquanto impõe regras rígidas a essas entidades que hospedam e "processam" esses dados, em qualquer lugar do mundo. O regulamento também introduz regras que se relacionam com a livre circulação de dados pessoais dentro e fora da UE. Para obter mais informações, consulte o IBM declaração de privacidade.

HIPAA

O IBM Cloudant atende aos controles requeridos da IBM que estão de acordo com os requisitos da Regra de segurança e privacidade da Lei de portabilidade e responsabilidade de seguros de saúde de 1996 (HIPAA). Esses requisitos incluem proteções administrativas, físicas e técnicas apropriadas, requeridas pelas Associações de Negócios na 45 CFR Parte 160 e Subpartes A e C da Parte 164. O HIPAA deve ser solicitado no momento do fornecimento e aplica-se ao plano Enterprise do IBM Cloudant, IBM Cloudant no plano Dedicated do IBM Cloud e plano Dedicated Hardware do IBM Cloudant em IBM Cloud. Entre em contato com seu representante de vendas para assinar um contrato de associação de negócios (BAA) com a IBM.

Organização internacional para normatização (ISO)

O IBM Cloudant e o IBM Cloudant Dedicated Cluster são auditados por uma empresa de segurança de terceiro e atendem os requisitos do ISO 27001, ISO 27017 e ISO 27018. Para obter mais informações, consulte o IBM Cloudant Página de conformidade para links para os certificados. As descrições a seguir na página de Conformidade do IBM Cloudant abrangem o serviço do IBM Cloudant e as respectivas certificações:

• Listagem de produtos de nuvem certificados de Serviços IBM Cloud (PaaS e SaaS)
• Certificado de Serviços IBM Cloud (PaaS e SaaS) - ISO 27001
• Certificado deIBM CloudServiços (PaaS e SaaS)-ISO 27017
• Certificado de Serviços IBM Cloud (PaaS e SaaS) - ISO 27018

PCI

Os planos do IBM Cloudant a seguir estão em conformidade com o Padrão de Segurança de Dados do Setor de Cartão de Pagamento (PCI DSS):

• Multi-tenant Lite.
• Padrão.
• Instâncias do plano Standard que são implantadas em ambientes do plano Dedicated Hardware.

A IBM Cloud concluir avaliações anuais do PCI DSS usando um avaliador de segurança qualificado (QSA) aprovado e os guias de Atestados de conformidade (AOCs) e Matriz de responsabilidade de serviço resultantes estão disponíveis mediante solicitação do cliente. Auditores revisaram o IBM Cloudant quanto à conformidade com o PCI DSS versão 3.2.1 no Provedor de Serviços Nível 1.

Se você pretende armazenar informações confidenciais em um banco de dados IBM Cloudant, deve-se usar a criptografia do lado do cliente para renderizar dados ilegíveis para IBM Cloudant operadores. Por exemplo, para conformidade com PCI DSS, você deve criptografar o Primary Account Number (PAN) antes de enviar um documento que o contém para o banco de dados.

Os clientes são responsáveis pelo armazenamento, processamento e transmissão de seus dados do dono do cartão e podem criar ambientes de dados do dono do cartão (CDEs) que podem armazenar, transmitir ou processar dados do dono do cartão usando o IBM Cloudant. Os clientes podem usar os guias AOCs e SRM da IBM Cloud quando buscam suas próprias certificações do PCI DSS. É de responsabilidade do cliente documentar e operar CDEs e aplicativos que são construídos usando os serviços da IBM Cloud Platform de uma maneira compatível com o PCI DSS.

A documentação do IBM Cloudant sobre segurança de serviço e exclusão de dados cobre métodos para gerenciar dados do dono do cartão dentro do ambiente de acordo com os requisitos de PCI. É de responsabilidade do cliente familiarizar-se com esses processos e gerenciar a retenção de dados e a remoção do serviço de acordo com as políticas do cliente. Para facilitar esse processo, nenhum dado do dono do cartão pode ser usado em um ID do documento do IBM Cloudant. Se os dados PAN forem armazenados em IBM Cloudant, eles devem ser tornados ilegíveis (de acordo com o requisito PCI 3.5) antes da transmissão para o IBM Cloudant serviço.

Uma lista completa de dispositivos compatíveis com PCI DSS IBM Cloud Os serviços da plataforma e as opções para solicitar um guia PCI DSS AOC e SRM podem ser encontrados no site IBM Cloud página de conformidade.

Certificação SOC 1 Tipo 2, SOC 2 Tipo 2 e SOC 3

IBM fornece um relatório de controles de organização de serviços (SOC) para IBM Cloudant. Os relatórios avaliam os controles operacionais da IBM de acordo com os critérios configurados pelos Princípios de Serviços de Confiança do American Institute of Certified Public Accountants (AICPA). Os Princípios de Serviços de Confiança definem sistemas de controle adequados e estabelecem padrões de mercado para provedores de serviços, como IBM Cloud, para proteger os dados e informações de seus clientes.

Você pode solicitar um relatório SOC no portal do cliente ou entrar em contato com seu representante de vendas. Alternativamente, é possível abrir um chamado de suporte com o Suporte do IBM Cloud.