IBM Cloud for Financial Services

Event Streams est certifié IBM Cloud® pour Financial Services. Pour plus d'informations sur la demande d'un rapport IBM Cloud for Financial Services, voir Programmes de conformité du secteur d'activitéIBM Cloud.

Le plan Enterprise est certifié IBM Cloud® Financial Services.

Règlement général sur la protection des données (RGPD)

Le règlement général sur la protection des données (RGPD) cherche à créer un cadre juridique harmonisé pour la protection des données dans l'Union européenne. Elle vise à redonner aux citoyens le contrôle de leurs données personnelles, tout en imposant des règles strictes à ceux qui hébergent et « traitent » ces données, partout dans le monde. Ce règlement introduit également des règles relatives à la libre circulation des données à caractère personnel à l'intérieur et à l'extérieur de l'UE.

Avec le Règlement général sur la protection des données, les clients d' Event Streams peuvent compter sur la compréhension et le respect par l'équipe d' Event Streams, des normes et de la législation émergentes en matière de confidentialité des données. Les clients peuvent également compter sur la capacité plus large d' IBM à fournir une suite complète de solutions pour aider les entreprises de toutes tailles à répondre à leurs propres exigences internes en matière de gouvernance des données.

Les plans Enterprise et Standard sont certifiés RGPD.

Health Insurance Portability and Accountability Act (HIPAA)

Event Streams satisfait les contrôles IBM requis qui sont équivalents à la loi Health Insurance Portability and Accountability Act (HIPAA) de 1996 ainsi que les exigences Security and Privacy Rule. Ces exigences incluent les protections administratives, physiques et techniques appropriées requises pour les partenaires accrédités (45 CFR, chapitre 160 et sous-chapitres A et C du chapitre 164). Le composant HIPAA doit être demandé au moment de la mise à disposition et nécessite qu'un accord Business Associate Addendum (BAA) soit signé entre un partenaire accrédité et IBM.

Le plan Enterprise répond aux exigences de la loi HIPAA.

ISO 27001/27017/27018 et ISO 27701

Event Streams est certifié ISO 27001, 27017, 27018 et ISO 27701. La norme ISO 27001 (Organisation internationale de normalisation) est une norme internationale pour la sécurité de l'information. La norme ISO 27017/27018 est une infrastructure de sécurité de l'information pour les fournisseurs de services Cloud. La norme ISO 27701 est un ajout à la protection de la vie privée et nécessite le développement et la gestion d'un système de gestion de l'information sur la protection de la vie privée (PIMS).

Vous trouverez la liste des certificats et produits cloud certifiés sur le site IBM Trust Center à la section IBM Cloud Compliance Programs - Global.

Les offres Enterprise et Standard sont certifiées ISO 27001, 27017, 27018 et ISO 27701.

Programme de gestion et d'évaluation de la sécurité des systèmes d'information (ISMAP)

Event Streams Les plans Standard et Enteprise sont certifiés par ISMAP (Information System Security Management and Assessment Program), le programme gouvernemental japonais d'évaluation de la sécurité des services de cloud public.

Les plans Enterprise et Standard sont certifiés ISMAP.

Catalogue des contrôles de conformité Cloud Computing (C5)

Les plans Event Streams Standard et Enterprise sont certifiés C5 (Cloud Computing Compliance Controls Catalogue) et répondent aux exigences en matière de sécurité du cloud et d'adoption de solutions de cloud public par les agences gouvernementales allemandes.

Les plans Enterprise et Standard sont certifiés C5.

Certification SOC 1 Type 2, SOC 2 Type 2 et SOC 3

IBM® fournit un rapport SOC (Service Organization Controls) pour Event Streams. Les rapports évaluent les contrôles opérationnels d' IBM, conformément aux critères établis par les principes de services fiduciaires de l'American Institute of Certified Public Accountants (AICPA). Ces derniers définissent les systèmes de contrôle adéquats et établissent les normes de l'industrie pour les fournisseurs de service, tels qu'IBM Cloud, afin de protéger les données et les informations de leurs clients.

Vous pouvez demander un rapport SOC sur le portail client ou contacter votre représentant commercial. Vous pouvez également ouvrir un ticket d'assistance auprès du support d' IBM Cloud.

Les plans Enterprise et Standard sont certifiés SOC.

Payment Card Industry Data Security Standard (PCI DSS)

Event Streams est conforme à la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). IBM Cloud réalise des évaluations annuelles PCI DSS en faisant appel à un évaluateur de sécurité qualifié (QSA) agréé, et les attestations de conformité (AOC) et les guides de matrice de responsabilité de service (SRM) qui en résultent sont disponibles sur demande du client. Les auditeurs ont passé en revue Event Streams pour vérifier sa conformité à la norme PCI DSS version 3.2.1 applicable aux fournisseurs de service de niveau 1.

Si vous prévoyez de stocker des informations sensibles dans une base de données IBM Cloudant, vous devez utiliser le chiffrement côté client pour rendre les données illisibles pour les opérateurs IBM Cloudant. Par exemple, pour la conformité PCI DSS, vous devez chiffrer le numéro de compte principal (PAN) avant d'envoyer un document qui le contient à la base de données.

Les clients sont responsables du stockage, du traitement et de la transmission de leurs données de titulaire de carte. Ils peuvent créer des environnements CDE (Cardholder Data Environment) acceptant le stockage, la transmission ou le traitement des données de titulaire de carte avec Event Streams. Les clients peuvent solliciter et utiliser les guides d'attestations de conformité et des matrices de responsabilité de service IBM Cloud lorsqu'ils recherchent leurs propres certifications PCI DSS. Il incombe au client de documenter et d'exploiter en conformité avec la norme PCI DSS les environnements CDE et les applications générés à l'aide des services de plateforme IBM Cloud.

Event Streams la documentation sur la sécurité des services et la suppression des données couvre les méthodes de gestion des données des titulaires de carte au sein de l'environnement conformément aux exigences PCI. Il incombe au client de se familiariser avec ces processus et de gérer la conservation et le retrait des données du service conformément à ses stratégies. Pour faciliter le traitement, aucune donnée de titulaire de carte ne peut être utilisée dans un ID de document Event Streams. Si des données PAN (numéro de compte primaire) doivent être stockées dans Event Streams, elles doivent être rendues illisibles (conformément à l'exigence 3.4 de la norme PCI) avant d'être transmises au service Event Streams.

Une liste complète des services de la plateforme IBM Cloud prêts pour PCI DSS, ainsi que des options permettant de demander un guide d'attestations de conformité (AOC) et de matrices de responsabilité de service (SRM) sont disponibles sur la page de conformité d'IBM Cloud.

Les plans Enterprise et Standard sont certifiés PCI DSS.

Information Security (InfoSec) Programme des évaluateurs enregistrés (IRAP)

Le programme Information Security (InfoSec) Registered Assessors Program (IRAP) décrit une infrastructure permettant d'évaluer l'implémentation et l'efficacité des contrôles de sécurité de Event Streams et de IBM Cloud®par rapport au manuel ISM (Information Security Manual) du gouvernement australien. Le plan IBM® Event Streams for IBM Cloud® Enterprise a été évalué comme étant conforme à IRAP Protected. Pour obtenir des rapports, de la documentation et des détails supplémentaires sur les offres protégées IRAP d' IBM Cloud®, voir IBM Cloud compliance: IRAP(Australia).

Le plan d'entreprise est protégé par le PARI.