IBM Cloud for Financial Services

Event Streams is IBM Cloud® for 금융 서비스 certified. 금융 서비스 보고서의 IBM Cloud 요청에 대한 정보는 IBM Cloud 산업 준수 프로그램 을 참조하십시오.

엔터프라이즈 계획은 IBM Cloud® 금융 서비스가 인증했습니다.

일반 데이터 보호 법률(General Data Protection Regulation)

GDPR은 유럽연합(EU) 전체에 적용되는 일관된 데이터 보호 법의 제정을 추진하고 있습니다. 이 법안은 시민들에게 개인 데이터에 대한 통제권을 되돌려 주는 것을 목표로 하고 있으며, 전 세계 어디에서든 데이터를 호스팅하고 "처리"하는 사람들에게 엄격한 규칙을 부과합니다. 이 규정은 또한 EU 내/외부로부터의 자유로운 개인정보 이동과 관련된 규칙을 도입합니다.

일반 데이터 보호 규정(GDPR)에 따라, Event Streams 고객들은 Event Streams 팀의 이해와 새로운 데이터 개인 정보 보호 표준 및 법률의 준수를 신뢰할 수 있습니다. IBM 의 폭넓은 역량을 바탕으로 모든 규모의 기업들이 내부 데이터 거버넌스 요구사항을 충족할 수 있도록 지원하는 포괄적인 솔루션 제품군을 제공할 수 있습니다.

엔터프라이즈와 스탠다드 플랜은 GDPR 인증을 받았습니다.

HIPAA(Health Insurance Portability and Accountability Act)

Event Streams는 1996년 HIPAA(Health Insurance Portability and Accountability Act)의 보안 및 개인정보 보호 규칙 요구사항에 따른 필수 IBM 제어를 충족합니다. 이러한 요구사항에는 45 CFR 파트 160 및 파트 164의 하위 파트 A 및 C에서 BA(Business Associates)에 요구되는 적절한 관리, 물리적, 기술적 안전 장치가 포함됩니다. HIPAA는 프로비저닝 시점에 요청되어야 하며 담당자가 IBM과의 BAA(Business Associate Addendum) 계약에 서명해야 합니다.

엔터프라이즈 계획은 HIPAA 요구사항을 충족합니다.

ISO 27001/27017/27018 및 ISO 27701

Event Streams 는 ISO 27001, 27017, 27018및 ISO 27701인증입니다. ISO 27001 (International Organisation for Standardisation) 은 정보 보안을 위한 국제 표준이다. ISO 27017/27018은 클라우드 서비스 공급자를 위한 정보 보안 프레임워크이다. ISO 27701은 사생활 보호 기능을 추가하며, PIMS (개인정보 관리 시스템) 를 개발하고 관리해야 합니다.

인증서 및 인증된 클라우드 제품 목록은 IBM Cloud 규제 준수 프로그램 - 글로벌 섹션의 IBM Trust Center에 있습니다.

엔터프라이즈와 스탠다드 플랜은 ISO 27001, 27017, 27018, ISO 27701 인증을 받았습니다.

정보 시스템 보안 관리 및 평가 프로그램 (ISMAP)

Event Streams 표준 및 Enteprise 계획은 공용 클라우드 서비스의 보안을 평가하기 위한 일본 정부 프로그램인 ISMAP (Information System Security Management and Assessment Program) 에 의해 인증되었습니다.

엔터프라이즈 및 표준 계획은 ISMAP 인증입니다.

클라우드 컴퓨팅 준수 제어 카탈로그 (C5)

Event Streams Standard및 Enterprise 계획은 C5 (클라우드 컴퓨팅 준수 제어 카탈로그) 로 인증되어 클라우드 보안 및 독일 정부 기관이 공용 클라우드 솔루션을 채택하기 위한 요구사항을 충족합니다.

엔터프라이즈 및 표준 계획은 C5 인증입니다.

SOC 1유형 2, SOC 2유형 2및 SOC 3 인증

IBM® 은 Event Streams에 대한 서비스 조직 제어 (SOC) 보고서를 제공합니다. 이 보고서는 미국 공인회계사협회(AICPA)의 신탁 서비스 원칙에 따라 IBM 의 운영 통제를 평가합니다. 신뢰 서비스 원칙(Trust Services Principles)은 적절한 관리 시스템을 정의하며, IBM Cloud와 같이 고객의 데이터 및 정보를 안전하게 보호하는 서비스 제공자에 대한 산업 표준을 확립합니다.

고객 포털에서 SOC 보고서를 요청하거나 영업 담당자에게 문의할 수 있습니다. 또는 IBM Cloud 지원팀에 지원 티켓을 제출할 수 있습니다.

엔터프라이즈 및 표준 계획은 SOC 인증입니다.

PCI DSS(Payment Card Industry Data Security Standard)

Event Streams 은 지불 카드 산업 데이터 보안 표준(PCI DSS)을 준수합니다. IBM Cloud 는 승인된 QSA(Qualified Security Assessor)를 통해 매년 PCI DSS 평가를 완료하며, 그 결과로 나온 AOC(Attestations of Compliance)와 SRM(Service Responsibility Matrix) 가이드를 고객이 요청하면 제공합니다. 감사자는 서비스 제공자 레벨 1의 PCI DSS 버전 3.2.1에 따라 규제가 준수되었는지 Event Streams를 검토했습니다.

중요한 정보를 IBM Cloudant 데이터베이스에 저장하려면 클라이언트 측 암호화를 사용하여 데이터를 IBM Cloudant 연산자가 읽을 수 없도록 렌더링해야 합니다. 예를 들어, PCI DSS 컴플라이언스의 경우, 데이터베이스에 포함된 문서를 보내기 전에 PAN (Primary Account Number) 을 암호화해야 한다.

고객은 카드 소유자 데이터를 저장하고, 처리하고, 전송할 책임이 있으며 Event Streams를 사용하여 카드 소지자 데이터를 저장하거나 전송하거나 처리할 수 있는 카드 소유자 데이터 환경(CDE)을 작성할 수 있습니다. 고객은 고유 PCI DSS 인증을 찾을 때 IBM Cloud AOC 및 SRM 가이드를 요청하여 사용할 수 있습니다. PCI DSS 호환 방식으로 IBM Cloud Platform 서비스를 사용하여 빌드되는 CDE 및 애플리케이션을 문서화하고 운영하는 것은 고객의 책임입니다.

Event Streams 서비스 보안 및 데이터 삭제에 관한 문서는 PCI 요건에 따라 환경 내에서 카드 소지자 데이터를 관리하는 방법을 다룹니다. 이러한 프로세스에 익숙해지고 고객의 정책에 따라 서비스에서 데이터 제거 및 보존을 관리하는 것은 고객의 책임입니다. 이 프로세스를 용이하게 하기 위해, 카드 소유자 데이터를 Event Streams 문서 ID에 사용할 수 없습니다. PAN 데이터가 Event Streams에 저장될 경우, Event Streams 서비스에 전송하기 전에 (PCI 요구사항 3.4에 따라) 읽을 수 없는 데이터를 렌더링해야 합니다.

PCI DSS 준수 IBM Cloud Platform 서비스의 전체 목록과 PCI DSS AOC 및 SRM 가이드를 요청하는 옵션은 IBM Cloud 규제 준수 페이지에서 찾을 수 있습니다.

엔터프라이즈 및 표준 계획은 PCI DSS 인증입니다.

정보 보안 (InfoSec) 등록된 평가자 프로그램 (IRAP)

정보 보안 (InfoSec) 등록된 평가자 프로그램 (IRAP) 은 호주 정부의 정보 보안 매뉴얼 (ISM) 에 대한 Event Streams 및 IBM Cloud®의 보안 제어의 구현 및 효율성을 평가하기 위한 프레임워크를 설명합니다. IBM® Event Streams for IBM Cloud® 엔터프라이즈 계획은 IRAP 보호를 준수하는 것으로 평가되었습니다. 보고서, 문서 및 IBM Cloud® IRAP Protected 오퍼링에 대한 자세한 내용은 IBM Cloud 준수: IRAP(호주) 를 참조하십시오.

엔터프라이즈 계획은 보호되는 IRAP입니다.