IBM Cloud Docs
瞭解 Event Streams 的相符性

瞭解 Event Streams 的相符性

IBM® Event Streams for IBM Cloud® 是使用 Apache Kafka建置的安全且高可用性訊息匯流排。 服務以下列最佳業界標準為建置基礎。

IBM Cloud for Financial Services

Event Streams 已經過 IBM Cloud® for Financial Services 認證。 如需要求 IBM Cloud for Financial Services 報告的相關資訊,請參閱 IBM Cloud 產業規範程式

企業方案已經過 IBM Cloud® Financial Services 認證。

一般資料保護規範 (GDPR)

GDPR 尋求在整個歐盟建立統一的資料保護法架構。 它旨在讓公民恢復對其個人資料的控制,同時對在世界任何地方管理和「處理」這些資料的人實行嚴格的規則。 此「規範」也會建立與在歐盟內外部自由移動個人資料有關的規則。

使用 一般資料保護法規,Event Streams 客戶可以依賴 Event Streams 團隊對新興資料隱私權標準和法規的瞭解及相符性。 客戶也可以依賴 IBM更廣泛的能力來提供綜合性的解決方案套組,以協助各種規模的企業滿足自己的內部資料控管需求。

企業和標準計劃已通過 GDPR 認證。

醫療保險轉移和責任法 (HIPAA)

Event Streams 符合必要的 IBM 控制措施,這些措施與 1996 年頒佈的醫療保險轉移和責任法 (HIPAA) 中的安全和隱私權規則要求相一致。 這些需求包括「事業夥伴 (Business Associates)」在 45 CFR 第 160 篇以及第 164 篇 A 及 C 子篇中所要求的適當管理、實體及技術防護措施。 在佈建時必須要求 HIPAA,並要求代表與 IBM簽署「事業夥伴附錄 (BAA)」合約。

企業方案符合 HIPAA 需求。

ISO 27001/27017/27018 和 ISO 27701

Event Streams 已通過 ISO 27001、27017、27018 和 ISO 27701 認證。 ISO 27001 (國際標準化組織) 是資訊保安的國際標準。 ISO 27017/27018 是雲端服務供應商的資訊安全架構。 ISO 27701 是隱私權附加程式,需要開發及管理隱私權資訊管理系統 (PIMS)。

憑證及認證雲端產品清單可在 IBM Trust CenterIBM Cloud Compliance Programs-Global 一節中找到。

企業和標準計劃已通過 ISO 27001、27017、27018 和 ISO 27701 認證。

資訊系統安全管理和評估方案 (ISMAP)

Event Streams Standard 和 Enteprise 計劃由 ISMAP (資訊系統安全管理和評估計劃) 認證,ISMAP 是日本政府評估公有雲服務安全的計劃。

「企業」和「標準」方案已獲得 ISMAP 認證。

雲端運算合規控制型錄 (C5)

Event Streams 標準和企業方案已認證為 C5 (雲端運算相符性控制型錄),並符合德國政府機構對雲端安全及採用公有雲解決方案的需求。

「企業」及「標準」方案經過 C5 認證。

SOC 1 類型 2、SOC 2 類型 2 及 SOC 3 憑證

IBM® 提供 Event Streams的「服務組織控制 (SOC)」報告。 這些報告根據美國註冊會計師協會 (American Institute of Certified Public Accountants, AICPA) 信託服務原則 (Trust Services Principles) 設定的標準,評估 IBM 的營運控制。 信託服務原則界定了適當的控制系統,並為 IBM Cloud 等服務供應商建立了保障客戶資料和資訊的業界標準。

您可以從客戶入口網站索取 SOC 報告,或聯絡您的銷售代表。 或者,您可以向 IBM Cloud 支援 開立支援憑證。

「企業」和「標準」方案已獲得 SOC 認證。

支付卡產業資料安全標準 (Payment Card Industry Data Security Standard, PCI DSS)

Event Streams 符合「支付卡產業資料安全標準 (PCI DSS)」。IBM Cloud 會使用已核准的「合格安全評量者 (QSA)」來完成年度 PCI DSS 評量,並在客戶要求時提供產生的「合規證明 (AOC)」及「服務責任矩陣 (SRM)」手冊。 審核員已檢閱 Event Streams 是否符合 PCI DSS 版本 3.2.1 (服務提供者層次 1)。

如果您想要將機密性資訊儲存在 IBM Cloudant 資料庫中,則必須使用用戶端加密,讓 IBM Cloudant 操作員無法讀取資料。 例如,為了符合 PCI DSS 標準,您必須先加密「主要帳號 (PAN)」,然後再將包含它的文件傳送至資料庫。

客戶負責儲存、處理及傳輸其持卡人資料,並且可以建立持卡人資料環境 (CDEs),以使用 Event Streams來儲存、傳輸或處理持卡人資料。 客戶在尋求自己的 PCI DSS 憑證時,可以要求並使用 IBM Cloud AOC 和 SRM 手冊。 客戶負責以符合 PCI DSS 標準的方式記載及操作使用 IBM Cloud Platform 服務建置的 CDEs 和應用程式。

關於服務安全及資料刪除的 Event Streams 文件涵蓋根據 PCI 需求在環境內管理持卡人資料的方法。 客戶有責任熟悉這些處理程序,並根據客戶的原則管理資料保留及從服務移除。 為了協助此處理程序,Event Streams 文件 ID 中無法使用持卡人資料。 如果 PAN 資料要儲存在 Event Streams中,在傳輸至 Event Streams 服務之前,必須將它們呈現為無法讀取 (根據 PCI 需求 3.4)。

PCI DSS 備妥 IBM Cloud Platform 服務的完整清單,以及要求 PCI DSS AOC 和 SRM 手冊的選項,可在 IBM Cloud 相符性頁面 找到。

「企業」和「標準」方案已獲得 PCI DSS 認證。

資訊安全 (InfoSec) 已登錄評量程式 (IRAP)

「資訊安全」(InfoSec)「已登錄評量程式 (IRAP)」概述一個架構,用來評量 Event Streams 及 IBM Cloud®的安全控制對澳洲政府的「資訊安全手冊 (ISM)」的實作及有效性。 IBM® Event Streams for IBM Cloud® 企業方案已評量為符合 IRAP 受保護的標準。 如需 IBM Cloud® IRAP 受保護供應項目的報告、文件及進一步詳細資料,請參閱 IBM Cloud 法規遵循 :IRAP(澳洲)

「企業計劃」受 IRAP 保護。