IBM Cloud Docs
合规性

合规性

IBM® Cloudant® for IBM Cloud® 提供了可靠、安全的云数据库系统。 该服务基于业内最佳标准(包括 ISO 27001:2013)进行构建。

1 层物理系统

IBM CloudantDBaaS物理托管于 Tier-1 云基础设施提供商,如 IBM Cloud® 上。 因此,数据受到这些提供者所采用的网络和物理安全措施的保护。

通用数据保护条例 (GDPR)

GDPR 力图在整个欧盟范围内创建一个统一的数据保护法律框架。 它还旨在让公民恢复对其个人数据的控制,同时对那些在世界任何地方托管和“处理”这些数据的实体实施严格的规则。 该条例还引入了与欧盟境内和境外个人数据自由流通相关的规则。 有关更多信息,请参阅 IBM 隐私声明

HIPAA

IBM Cloudant 符合所需的 IBM 控制措施,与 1996 年《健康保险可携性和责任法案》(HIPAA)安全和隐私规则要求相称。 包括在 45 CFR 第 160 部分以及第 164 部分的子部分 A 和 C 中规定的对“业务伙伴”进行相应管理、物理和技术保护的要求。 HIPAA 必须在供应时请求,并且适用于 IBM Cloudant Enterprise 套餐。 IBM Cloudant on IBM Cloud Dedicated plan,and IBM Cloudant Dedicated Hardware Plan on IBM Cloud。 联系您的销售代表以与 IBM 签署 Business Associate Addendum (BAA) 协议。

国际标准化组织 (ISO)

IBM Cloudant 和 IBM Cloudant 专用集群由第三方安全公司进行审计,并满足 ISO 27001、ISO 27017 以及 ISO 27018 的要求。 有关详细信息,请参阅 IBM Cloudant 合规性页面,获取证书链接。 IBM Cloudant 合规性页面上的以下描述涵盖 IBM Cloudant 服务和相应的证书:

  • IBM Cloud Services (PaaS and SaaS) 认证的云产品列表
  • IBM Cloud Services (PaaS and SaaS) 证书 - ISO 27001
  • IBM Cloud Services (PaaS and SaaS) 证书 - ISO 27017
  • IBM Cloud Services (PaaS and SaaS) 证书 - ISO 27018

PCI

以下 IBM Cloudant 套餐符合支付卡行业数据安全标准 (PCI DSS):

  • 多租户轻量。
  • 标准。
  • 在专用硬件套餐环境中部署的标准套餐实例。

IBM Cloud 使用核准的合格安全评估程序 (QSA) 完成年度 PCI DSS 评估,根据客户请求提供生成的合规性 (AOC) 和服务责任矩阵指南。 审计员在服务提供者级别 1 上查看了 IBM Cloudant PCI DSS 版本 3.2.1 下的合规性。

如果您打算将敏感信息存储在 IBM Cloudant 数据库中,那么必须使用客户机端加密来使数据对 IBM Cloudant 操作程序不可读。 例如,为了实现 PCI DSS 合规性,必须在将包含主帐号 (PAN) 的文档发送到数据库之前对其进行加密。

客户负责其持卡人数据的存储,处理和传输,并且可以创建持卡人数据环境 (CDEs),可以使用 IBM Cloudant来存储,传输或处理持卡人数据。 客户在寻求自己的 PCI DSS 认证时,可以使用 IBM Cloud AOC 和 SRM 指南。 客户负责以符合 PCI DSS 的方式记录和操作通过使用 IBM Cloud Platform 服务构建的 CDEs 和应用程序。

有关 服务安全性数据删除 的 IBM Cloudant 文档涵盖根据 PCI 要求管理环境中持卡人数据的方法。 客户负责熟悉这些流程,并根据客户的策略管理数据保留和从服务中移除。 为了简化此过程,不能在 IBM Cloudant 文档标识中使用持卡人数据。 如果要将 PAN 数据存储在 IBM Cloudant中,那么在传输到 IBM Cloudant 服务之前,必须使这些数据不可读 (根据 PCI 需求 3.5)。

支持 PCI DSS 的 IBM Cloud 平台服务和选项的完整列表,用于请求在 IBM Cloud 合规性页面中找到 PCI DSS AOC 和 SRM 指南。

SOC 1 类型 2、SOC 2 类型 2 和 SOC 3 认证

IBM provides a Service Organization Controls (SOC) report for IBM Cloudant. 这些报告依据美国注册会计师协会 (AICPA) 信托服务原则所设置的标准来评估 IBM 的运营控制。 The Trust Services Principles define adequate control systems and establish industry standards for service providers such as IBM Cloud to safeguard their customers' data and information.

您可以从客户门户网站申请 SOC 报告 或联系您的销售代表。 或者,您可以使用 IBM Cloud 支持 提交支持凭单。