Event Streams のコンプライアンスについて

IBM Cloud for Financial Services

Event Streams は、 金融サービス 認定の IBM Cloud® です。 Financial Services レポートの IBM Cloud の要求については、 IBM Cloud 業界コンプライアンス・プログラム を参照してください。

エンタープライズ・プランは IBM Cloud® Financial Services 認定です。

一般データ保護規則 (GDPR)

GDPR は、EU 全域における統一されたデータ保護の法的枠組みを作成しようというものです。 この法律は、市民に個人データの管理権を再び与えることを目的としており、一方で、世界中のどこであろうと、このデータをホストし「処理」する者に対しては厳格な規則を課しています。 この規則により、 EU 内外での個人データの自由な移動に関連する規則も導入されます。

一般データ保護規則（GDPR） により、 Event Streams のお客様は、 Event Streams チームが最新のデータプライバシー基準と法律を理解し、遵守していることを信頼することができます。 また、 IBM は、あらゆる規模の企業が社内データガバナンス要件に対応できるよう、包括的なソリューション一式を提供できる幅広い能力も備えています。

エンタープライズプランとスタンダードプランは、GDPR認証済みです。

医療保険の相互運用性と説明責任に関する法令 (HIPAA)

Event Streams は、1996 年の医療保険の積算と責任に関する法律 (HIPAA) のセキュリティー・ルールおよびプライバシー・ルールの条件に見合った、必要な IBM のコントロールを満たしています。 これらの要件には、連邦規則集第 45 巻パート 160、およびパート 164 のサブパート A および C で事業提携者に対して要求されている、適切な管理的、物理的、および技術的な安全防護策が含まれます。 HIPAA の要求はプロビジョニング時に行い、代表者が IBM との Business Associate Addendum (BAA) 契約に署名する必要があります。

エンタープライズ・プランは HIPAA 要件を満たしています。

ISO 27001/27017/27018 および ISO 27701

Event Streams は、ISO 27001、27017、27018、および ISO 27701 の認定を受けています。 ISO 27001 (国際標準化機構) は、情報セキュリティーのための国際標準です。 ISO 27017/27018 は、クラウド・サービス・プロバイダー用の情報セキュリティー・フレームワークです。 ISO 27701 はプライバシー・アドオンであり、プライバシー情報管理システム (PIMS) の開発と管理を必要とします。

証明書および認定されたクラウド製品のリストについては、IBM Trust Center の IBM Cloud Compliance Programs - Global セクションを参照してください。

エンタープライズプランとスタンダードプランは、ISO 27001、27017、27018、およびISO 27701の認証を受けています。

情報システム・セキュリティー管理およびアセスメント・プログラム (ISMAP)

Event Streams Standard および Enteprise 計画は、パブリック・クラウド・サービスのセキュリティーを評価するための日本政府プログラムである ISMAP (Information System Security Management and Assessment Program) によって認定されています。

エンタープライズ・プランと標準プランは ISMAP 認定を受けています。

クラウド・コンピューティング・コンプライアンス制御カタログ (C5)

Event Streams 標準プランとエンタープライズ・プランは、 C5 (Cloud Computing Compliance Controls Catalogue) に認定されており、クラウド・セキュリティーの要件と、ドイツ政府機関によるパブリック・クラウド・ソリューションの採用に対応しています。

エンタープライズ・プランと標準プランは C5 認定を受けています。

SOC 1 タイプ 2、SOC 2 タイプ 2、SOC 3 認定

IBM® は、 Event Streamsの Service Organization Controls (SOC) レポートを提供します。 これらの報告書は、米国公認会計士協会（AICPA）のトラストサービス原則が定める基準に従って、 IBM の業務管理を評価しています。 Trust サービスの原則は、IBM Cloud などのサービス・プロバイダーがその顧客のデータと情報を保護するために、適切な制御システムを定義するものであり、業界標準を確立しています。

SOCレポートは、カスタマーポータルからリクエストするか、営業担当者にご連絡ください。 または、 IBM Cloud サポートに サポートチケットを開くこともできます。

エンタープライズ・プランと標準プランは SOC 認定を受けています。

クレジット・カード業界のデータ・セキュリティー基準 (PCI DSS)

Event Streams は、ペイメントカード業界データセキュリティ基準（PCI DSS）に準拠しています。 は、認定された認定セキュリティ評価機関（QSA）を使用して、年1回のPCI DSS評価を実施しています。その結果、コンプライアンス証明書（AOC）とサービス責任マトリックス（SRM）ガイドが作成され、顧客の要求に応じて提供されます。 IBM Cloud 監査員は、PCI DSS バージョン 3.2.1、サービス・プロバイダー・レベル 1 で、Event Streams の準拠をレビューしています。

IBM Cloudant データベースに機密情報を保管する場合は、クライアント・サイド暗号化を使用して、 IBM Cloudant オペレーターがデータを読み取れないようにする必要があります。 例えば、PCI DSS コンプライアンスの場合、1 次アカウント番号 (PAN) を含む文書をデータベースに送信する前に、PAN を暗号化する必要があります。

カード所有者データの保管、処理、および送信を行う責任は、お客様にあります。カード所有者データを保管、送信、および処理できるカード所有者データ環境 (CDE) は、Event Streams を使用して作成できます。 お客様は、独自の PCI DSS 認定を取得する際に、IBM Cloud AOC および SRM ガイドを要求して使用できます。 PCI DSS に準拠した方法で IBM Cloud プラットフォーム・サービスを使用して構築された CDE およびアプリケーションを文書化し、運用することは、お客様の責任で行う必要があります。

Event Streams サービスセキュリティおよびデータ削除に関する文書は、PCI要件に従って環境内でカード会員データを管理する方法をカバーしています。 これらのプロセスを熟知し、お客様のポリシーに従ってサービスのデータ保存と削除を管理することは、お客様の責任で行う必要があります。 このプロセスを容易にするために、Event Streams 文書 ID ではカード所有者データを使用することはできません。 PAN データを Event Streams に保管する場合は、Event Streams サービスに伝送する前に (PCI 要件 3.4 に従って) そのデータを読み取れないようにする必要があります。

PCI DSS 対応の IBM Cloud プラットフォーム・サービスの全リストと、PCI DSS の AOC および SRM のガイドを要求するためのオプションについては、IBM Cloud コンプライアンスのページを参照してください。

エンタープライズ・プランと標準プランは PCI DSS 認定です。

情報セキュリティー (InfoSec) Registered Assessors Program (IRAP)

情報セキュリティー (InfoSec) Registered Assessors Program (IRAP) は、オーストラリア政府の情報セキュリティー・マニュアル (ISM) に対する Event Streams および IBM Cloud®のセキュリティー管理の実装と有効性を評価するためのフレームワークの概要を示しています。 IBM® Event Streams for IBM Cloud® エンタープライズ・プランは、IRAP 保護に準拠していると評価されました。 IBM Cloud® IRAP Protected Offerings に関するレポート、資料、および詳細については、 IBM Cloud compliance: IRAP(オーストラリア) を参照してください。

エンタープライズ・プランは IRAP 保護されています。