IBM Cloud Docs
Informationen zur Konformität für Event Streams

Informationen zur Konformität für Event Streams

IBM® Event Streams for IBM Cloud® ist ein sicherer und hoch verfügbarer Nachrichtenbus, der mit Apache Kafkaerstellt wird. Der Service basiert auf den folgenden besten Branchenstandards.

IBM Cloud for Financial Services

Event Streams ist IBM Cloud® für Financial Services zertifiziert. Informationen zum Anfordern eines IBM Cloud for Financial Services-Berichts finden Sie unter IBM Cloud branchenspezifische Konformitätsprogramme.

Der Enterprise-Plan ist IBM Cloud® Financial Services zertifiziert.

Datenschutz-Grundverordnung (DSGVO)

Mit der DSGVO soll ein harmonisierter datenschutzrechtlicher Rahmen in der gesamten EU geschaffen werden. Es zielt darauf ab, den Bürgern die Kontrolle über ihre personenbezogenen Daten zurückzugeben, während es denjenigen, die diese Daten hosten und "verarbeiten", strenge Regeln auferlegt, und zwar überall auf der Welt. Die Verordnung führt zudem Regeln in Bezug auf den freien Datenverkehr innerhalb und außerhalb der EU ein.

Mit der Datenschutz-Grundverordnung können sich Kunden von Event Streams darauf verlassen, dass das Team von Event Streams die neuen Datenschutzstandards und -gesetze versteht und einhält. Kunden können sich auch auf die umfassendere Fähigkeit von IBM verlassen, eine umfassende Palette von Lösungen bereitzustellen, um Unternehmen jeder Größe bei ihren eigenen internen Anforderungen an die Datenverwaltung zu unterstützen.

Die Enterprise- und Standard-Pläne sind DSGVO-zertifiziert.

Health Insurance Portability and Accountability Act (HIPAA)

Event Streams erfüllt die erforderlichen IBM Kontrollmechanismen, die mit den Sicherheits- und Datenschutzregeln des Health Insurance Portability and Accountability Act von 1996 (HIPAA) einhergehen. Diese Anforderungen umfassen geeignete administrative, physische und technische Sicherheitsmaßnahmen, die von Geschäftspartnern eingehalten werden müssen (45 CFR Teil 160 und Abschnitte A und C von Teil 164). HIPAA muss zum Zeitpunkt der Bereitstellung angefordert werden und erfordert die Unterzeichnung der ergänzenden Vereinbarung 'Business Associate Addendum' mit IBM durch einen Bevollmächtigten.

Der Enterprise-Plan erfüllt die HIPAA-Anforderungen.

ISO 27001, ISO 27017, ISO 27018 und ISO 27701

Event Streams ist ISO 27001, 27017, 27018 und ISO 27701 zertifiziert. ISO 27001 (Internationale Organisation für Normung) ist eine internationale Norm für Informationssicherheit. ISO 27017/27018 ist ein Informationssicherheitsframework für Cloud-Service-Provider. ISO 27701 ist ein Add-on für den Datenschutz und erfordert die Entwicklung und Verwaltung eines Managementsystems für Datenschutzinformationen (PIMS).

Die Zertifikate und die Liste der zertifizierten Cloud-Produkte finden Sie im IBM Trust Center im Abschnitt IBM Cloud Compliance Programs - Global.

Die Enterprise- und Standard-Pläne sind nach ISO 27001, 27017, 27018 und ISO 27701 zertifiziert.

ISMAP (Information System Security Management and Assessment Program)

Event Streams Standard-und Enterprise-Pläne werden von ISMAP (Information System Security Management and Assessment Program), dem japanischen Regierungsprogramm zur Bewertung der Sicherheit von Public-Cloud-Services, zertifiziert.

Die Enterprise-und Standard-Pläne sind ISMAP-zertifiziert.

Cloud Computing Compliance Controls Catalogue (C5)

Event Streams Standard-und Enterprise-Pläne sind nach C5 (Cloud Computing Compliance Controls Catalogue) zertifiziert und erfüllen die Anforderungen an die Cloud-Sicherheit und die Einführung von Public-Cloud-Lösungen durch deutsche Regierungsbehörden.

Die Enterprise-und Standard-Pläne sind C5 zertifiziert.

SOC 1 Typ 2, SOC 2 Typ 2 und SOC 3 Zertifizierung

IBM® stellt einen SOC-Bericht (Service Organization Controls) für Event Streamsbereit. In den Berichten werden die operativen Kontrollen von IBM anhand der Kriterien bewertet, die in den Trust Services Principles des American Institute of Certified Public Accountants (AICPA) festgelegt sind. Die Trust Services Principles definieren adäquate Steuersysteme und legen Branchenstandards für Service-Provider wie IBM Cloud fest, um die Daten und Informationen ihrer Kunden zu sichern.

Sie können einen SOC-Bericht über das Kundenportal anfordern oder sich an Ihren Vertriebsmitarbeiter wenden. Alternativ können Sie ein Support-Ticket an IBM Cloud support senden.

Die Enterprise-und Standard-Pläne sind SOC-zertifiziert.

Payment Card Industry Data Security Standard (PCI DSS)

Event Streams ist konform mit dem Payment Card Industry Data Security Standard (PCI DSS). IBM Cloud führt jährliche PCI-DSS-Bewertungen unter Verwendung eines zugelassenen Qualified Security Assessor (QSA) durch. Die daraus resultierenden Attestations of Compliance (AOCs) und Service Responsibility Matrix (SRM)-Leitfäden sind auf Kundenanfrage erhältlich. Prüfer haben Event Streams auf Konformität unter PCI DSS Version 3.2.1 auf Service Provider Level 1 überprüft.

Wenn Sie sensible Informationen in einer Cloudant-Datenbank von IBM speichern möchten, müssen Sie die clientseitige Verschlüsselung verwenden, um Daten für IBM Cloudant-Operatoren unlesbar zu machen. Für PCI-DSS-Konformität müssen Sie beispielsweise die primäre Kontonummer (Primary Account Number, PAN) verschlüsseln, bevor Sie ein Dokument, das sie enthält, an die Datenbank senden.

Kunden sind für die Speicherung, Verarbeitung und Übertragung ihrer Karteninhaberdaten verantwortlich und können Karteninhaberdatenumgebungen erstellen, in denen Karteninhaberdaten mithilfe von Event Streams gespeichert, übertragen oder verarbeitet werden können. Kunden können die IBM Cloud-AOCs und SRM-Leitfäden anfordern und verwenden, wenn sie eigene PCI-DSS-Zertifizierungen anstreben. Es liegt in der Verantwortung des Kunden, Karteninhaberdatenumgebungen und Anwendungen zu dokumentieren und zu betreiben, die unter Verwendung von IBM Cloud-Plattformservices auf PCI DSS-konforme Weise erstellt wurden.

Event Streams die Dokumentation zur Sicherheit von Dienstleistungen und zur Löschung von Daten umfasst Methoden zur Verwaltung von Karteninhaberdaten innerhalb der Umgebung gemäß den PCI-Anforderungen. Kunden müssen sich mit diesen Prozessen vertraut machen und die Datenaufbewahrung und -entfernung für den Service gemäß den eigenen Richtlinien verwalten. Um diesen Prozess zu vereinfachen, können keine Karteninhaberdaten in einer Event Streams-Dokument-ID verwendet werden. Müssen PAN-Daten in Event Streams gespeichert werden, sollten sie vor der Übertragung an den Event Streams-Service (in Übereinstimmung mit der PCI-Anforderung 3.4) unleserlich gemacht werden.

Eine vollständige Liste der IBM Cloud-Plattformservices, die die PCI-DSS-Anforderungen erfüllen, und der Optionen, die Ihnen in Bezug auf das Anfordern eines PCI-DSS-AOC oder SRM-Leitfadens zur Verfügung stehen, finden Sie auf der IBM Cloud-Seite zu Compliance.

Die Enterprise-und Standard-Pläne sind PCI DSS-zertifiziert.

Information Security (InfoSec) Registered Assessors Program (IRAP)

Das Information Security (InfoSec) Registered Assessors Program (IRAP) stellt ein Framework für die Bewertung der Implementierung und Effektivität von Event Streams und IBM Cloud®Sicherheitskontrollen gegenüber dem Information Security Manual (ISM) der australischen Regierung dar. Der Enterprise-Plan IBM® Event Streams for IBM Cloud® wurde als mit IRAP Protected konform bewertet. Berichte, Dokumentation und weitere Details zu den geschützten IRAP-Angeboten für IBM Cloud® finden Sie unter IBM Cloud compliance: IRAP(Australien).

Der Unternehmensplan ist IRAP geschützt.