了解 Event Streams 的合规性
IBM® Event Streams for IBM Cloud® 是使用 Apache Kafka构建的安全且高度可用的消息总线。 该服务建立在以下最佳行业标准之上。
IBM Cloud for Financial Services
Event Streams 是 Financial Services 认证的 IBM Cloud®。 有关请求 IBM Cloud for Financial Services 报告的信息,请参阅 IBM Cloud 行业合规性程序。
企业套餐已通过 IBM Cloud® Financial Services 认证。
通用数据保护条例 (GDPR)
GDPR 力图在整个欧盟范围内建立一个统一的数据保护法律框架。 它旨在让公民恢复对其个人数据的控制,同时对在世界任何地方托管和“处理”这些数据的人施加严格的规则。 该条例还引入了与欧盟境内和境外个人数据自由流通相关的规则。
通过 一般数据保护条例,Event Streams 客户可以依赖于 Event Streams 团队对新兴数据隐私标准和立法的理解和合规性。 客户还可以依靠 IBM更广泛的能力提供全面的解决方案套件,帮助各种规模的企业满足自己的内部数据监管需求。
企业版和标准版计划均通过GDPR认证。
健康保险可移植性和责任法案 (HIPAA)
Event Streams 满足必需的 IBM 控制措施,这些措施与 1996 年颁布的健康保险可移植性和责任法案 (HIPAA) 中的安全和隐私规则要求相一致。 包括在 45 CFR 第 160 部分以及第 164 部分的子部分 A 和 C 中规定的对“业务伙伴”进行相应管理、物理和技术保护的要求。 在供应时必须请求 HIPAA,并要求代表与 IBM签署业务关联附录 (BAA) 协议。
企业套餐满足 HIPAA 要求。
ISO 27001/27017/27018 和 ISO 27701
Event Streams 已通过 ISO 27001,27017,27018 和 ISO 27701 认证。 ISO 27001 (国际标准化组织) 是信息安全的国际标准。 ISO 27017/27018 是面向云服务提供商的信息安全框架。 ISO 27701 是隐私附加组件,需要开发和管理隐私信息管理系统 (PIMS)。
可以在 IBM 信任中心 的 IBM Cloud 合规性程序-全局 部分中找到证书和经过认证的云产品列表。
企业版和标准版已通过ISO 27001、27017、27018和ISO 27701认证。
信息系统安全管理和评估方案 (ISMAP)
Event Streams Standard 和 Enteprise 套餐通过 ISMAP (信息系统安全管理和评估计划) 认证,这是用于评估公共云服务安全性的日本政府计划。
企业和标准套餐已通过 ISMAP 认证。
云计算合规性控制目录 (C5)
Event Streams 标准和企业套餐已通过 C5 (云计算合规性控制目录) 认证,并满足德国政府机构对云安全性和采用公共云解决方案的要求。
企业套餐和标准套餐已通过 C5 认证。
SOC 1 类型 2,SOC 2 类型 2 和 SOC 3 认证
IBM® 提供 Event Streams的“服务组织控制”(SOC) 报告。 这些报告根据美国注册会计师协会(AICPA)信托服务原则设定的标准对 IBM 的运营控制进行了评估。 信托服务原则为服务提供商(如 IBM Cloud )定义了适当的控制系统并建立了行业标准,以保护其客户的数据和信息。
您可以通过客户门户网站或联系您的销售代表索取SOC报告。 或者,您也可以发送支持请求 至 IBM Cloud。
企业套餐和标准套餐通过 SOC 认证。
支付卡行业数据安全标准 (PCI DSS)
Event Streams 符合支付卡行业数据安全标准 (PCI DSS)。IBM Cloud 通过使用核准的合格安全评估程序 (QSA) 完成年度 PCI DSS 评估,并且根据客户请求提供生成的合规性认证 (AOC) 和服务责任矩阵 (SRM) 指南。 审计员在服务提供者级别 1 查看了 Event Streams 以了解 PCI DSS 版本 3.2.1 下的合规性。
如果您打算将敏感信息存储在 IBM Cloudant 数据库中,那么必须使用客户机端加密来使 IBM Cloudant 操作程序无法读取数据。 例如,为了实现 PCI DSS 合规性,必须在将包含主帐号 (PAN) 的文档发送到数据库之前对其进行加密。
客户负责其持卡人数据的存储,处理和传输,并且可以创建持卡人数据环境 (CDEs),这些环境可以使用 Event Streams来存储,传输或处理持卡人数据。 客户在寻求自己的 PCI DSS 认证时,可以请求并使用 IBM Cloud AOC 和 SRM 指南。 客户负责以符合 PCI DSS 的方式记录和操作通过使用 IBM Cloud Platform 服务构建的 CDEs 和应用程序。
有关服务安全性和数据删除的 Event Streams 文档涵盖根据 PCI 要求在环境中管理持卡人数据的方法。 客户负责熟悉这些流程,并根据客户的策略管理数据保留和从服务中移除。 为了简化此过程,不能在 Event Streams 文档标识中使用持卡人数据。 如果要将 PAN 数据存储在 Event Streams中,那么在传输到 Event Streams 服务之前,必须使这些数据不可读 (根据 PCI 需求 3.4)。
可在 IBM Cloud 合规性页面 上找到支持 PCI DSS 的 IBM Cloud Platform 服务的完整列表以及用于请求 PCI DSS AOC 和 SRM 指南的选项。
企业套餐和标准套餐已通过 PCI DSS 认证。
信息安全 (InfoSec) 注册评估人计划 (IRAP)
信息安全 (InfoSec) 注册评估人计划 (IRAP) 概述了一个框架,用于评估 Event Streams 和 IBM Cloud®针对澳大利亚政府信息安全手册 (ISM) 的安全控制的实现和有效性。 IBM® Event Streams for IBM Cloud® 企业套餐已评估为符合受保护的 IRAP。 有关 IBM Cloud® IRAP 受保护产品的报告,文档和进一步详细信息,请参阅 IBM Cloud 合规性 :IRAP(Australia)。
企业计划受 IRAP 保护。