IBM Cloud Docs
Sicherheit und Compliance

Sicherheit und Compliance

Schutz vor unbefugtem Zugriff

IBM Cloud® Databases for Elasticsearch verwendet die folgenden Methoden, um Daten bei der Übertragung oder im Speicher zu schützen.

  • Alle Databases for Elasticsearch-Verbindungen verwenden bei der Übertragung von Daten die TLS/SSL-Verschlüsselung. Die aktuelle unterstützte Version dieser Verschlüsselung ist TLS 1.2.
  • Der Zugriff auf das Konto, die Benutzeroberfläche der Verwaltungskonsole und die API wird durch Identity and Access Management(IAM ) gesichert.
  • Der Zugriff auf die Datenbank ist durch die von der Datenbank zur Verfügung gestellten standardmäßigen Mechanismen für die Zugriffssteuerung geschützt. Diese Zugriffssteuerungsmechanismen sind so konfiguriert, dass sie gültige Berechtigungsnachweise auf Datenbankebene erfordern, die nur durch den vorherigen Zugriff auf die Datenbank oder über die UI oder API der Managementkonsole erhältlich sind.
  • Der gesamte Databases for Elasticsearch-Speicher wird in einem Speicher bereitgestellt, der unter Verwendung von AES-256 mit LUKS verschlüsselt ist. Die Standardschlüssel werden durch Key Protect verwaltet. Durch die Integration von Key Protect besteht auch die Möglichkeit zur BYOK-Verschlüsselung (Bring-Your-Own-Key).
  • IP-Zulassungsliste - Alle Bereitstellungen unterstützen Zulassungslisten für IP-Adressen, um den Zugriff auf den Service zu beschränken.
  • Öffentliche und private Netze - Databases for Elasticsearch ist in Serviceendpunkte integriert. Sie können auswählen, ob Verbindungen über das öffentliche Netz, das interne Netz von IBM Cloud oder über beide Netze verwendet werden sollen.
  • Dedizierte Kerne - Da Ihrer Bereitstellung dedizierte Kerne zugeordnet sind, ist für Ihre Datenbankinstanz jetzt eine Isolation auf Hypervisorebene möglich. Dabei werden isolierte virtuelle Maschinen verwendet, um sicherzustellen, dass Ihre Datenverarbeitung von anderen Kunden getrennt bleibt. Es stellt auch eine Mindestanzahl von CPUs für Ihren Einsatz bereit. Bereitstellungen mit dedizierten Kernen in derselben Ressourcengruppe und IBM Cloud Region können sich eine virtuelle Maschine teilen.

Datenausfallsicherheit

  • Sicherungen sind im Service enthalten. Databases for Elasticsearch-Sicherungen befinden sich in IBM Cloud Object Storage und sind auch verschlüsselt.
  • Databases for Elasticsearch-Bereitstellungen werden mit einer Replikation konfiguriert. Bereitstellungen enthalten einen Cluster mit drei Knoten, bei denen es sich um Datenknoten handelt, die jeder der Primärknoten sein können. Sie können auch Knoten hinzufügen, um bei einem Ausfall mehrerer Knoten mehr Stabilität zu gewährleisten, da Sie mehr Knoten verlieren und ein Quorum aufrechterhalten können.
  • Wenn die Bereitstellung in einer IBM Cloud-Einzelzonenregion (SZR) erfolgt, befindet sich jeder Datenbankknoten auf einem anderen Host im Rechenzentrum.
  • Wenn die Bereitstellung in einer IBM Cloud-Mehrzonenregion (MZR) erfolgt, werden die Knoten auf die Standorte der Verfügbarkeitszonen der Region verteilt.

SOC 2 Type 2-Zertifizierung

IBM stellt einen SOC 2-Bericht (SOC, Service Organization Controls) des Typs 2 für Databases for Elasticsearch bereit. In diesem Bericht werden die Betriebssteuerungen von IBM im Hinblick auf die von den American Institute of Certified Public Accountants (AICPA) Trust Services Principles festgelegten Kriterien ausgewertet. Diese Kriterien und Prinzipien definieren adäquate Steuerungssysteme und etablieren Industriestandards für Service-Provider wie IBM Cloud, um Daten und sensible Informationen der jeweiligen Kunden zu schützen.

Einen SOC 2-Bericht des Typs 2 können Sie über das Kundenportal anfordern oder sich zu diesem Zweck an Ihren Vertriebsbeauftragten wenden. Alternativ können Sie mit dem IBM Cloud-Support Sie ein Support-Ticket öffnen.

ISO 27017, ISO 27018

{Das Databases for Elasticsearch entspricht den Richtlinien für Informationssicherheitskontrollen für die Bereitstellung und Nutzung von Cloud-Diensten, die in ISO 27017 und ISO 27018 definiert sind.

Datenschutz-Grundverordnung (DSGVO)

Wenn Sie über ein Konto bei IBM Cloud verfügen, werden Ihre personenbezogenen Daten von IBM Cloud gespeichert. Der IBM Datenverarbeitungszusatz (Addendum) gilt für die Verarbeitung personenbezogener Daten des Kunden durch IBM im Auftrag des Kunden zur Erbringung von IBM Standarddienstleistungen.
IBM EB-AV

Databases for Elasticsearch verarbeitet im Zuge der Ausführung des Service und der Optimierung der Benutzererfahrung eingeschränkte persönliche Informationen (PI) für den Kunden.

{Als Datenverarbeiter stellt das Unternehmen ein Data Sheet Addendum(DSA Databases for Elasticsearch mit seinen Richtlinien zu Inhalt und Datenschutz zur Verfügung.

HIPAA (Health Insurance Portability and Accountability Act)

Databases for Elasticsearch erfüllt die erforderlichen IBM Kontrollmechanismen, die mit den Sicherheits- und Datenschutzanforderungen des Health Insurance Portability and Accountability Act von 1996 (HIPAA) einhergehen. Diese Anforderungen umfassen geeignete administrative, physische und technische Sicherheitsmaßnahmen, die von Geschäftspartnern eingehalten werden müssen (45 CFR Teil 160 und Abschnitte A und C von Teil 164). HIPAA muss zum Zeitpunkt der Bereitstellung angefordert werden und erfordert die Unterzeichnung der ergänzenden Vereinbarung 'Business Associate Addendum' mit IBM durch einen Bevollmächtigten.

PCI DSS

Databases for Elasticsearch entsprechen dem Payment Card Industry Data Security Standard (PCI DSS). IBM Cloud führt jährliche PCI-DSS-Bewertungen mithilfe eines zugelassenen qualifizierten Sicherheitsbewerters (Qualified Security Assessor, QSA) durch. Die daraus resultierenden AOCs (Attestations of Compliance) und SRM-Anleitungen (Service Responsibility Matrix) sind auf Kundenanforderung verfügbar. Databases for Elasticsearch wurde von Auditoren nach PCI-DSS Version 3.2.1 Level 1 für Service-Provider auf Compliance überprüft.

Für die Speicherung, Verarbeitung und Übertragung ihrer Karteninhaberdaten sind die Kunden verantwortlich. Sie können Karteninhaberdatenumgebungen (CDEs) erstellen, in denen Karteninhaberdaten unter Verwendung von Databases for Elasticsearch gespeichert, übertragen und verarbeitet werden können. Kunden können die IBM Cloud-AOCs und SRM-Leitfäden anfordern und verwenden, wenn sie eigene PCI-DSS-Zertifizierungen anstreben. Es liegt in der Verantwortung des Kunden, Karteninhaberdatenumgebungen und Anwendungen zu dokumentieren und zu betreiben, die unter Verwendung von IBM Cloud-Plattformservices auf PCI DSS-konforme Weise erstellt wurden.

Kunden müssen sich mit diesen Prozessen vertraut machen und die Datenaufbewahrung und -entfernung für den Service gemäß den eigenen Richtlinien verwalten.

Eine vollständige Liste der IBM Cloud-Plattformservices, die die PCI-DSS-Anforderungen erfüllen, und der Optionen, die Ihnen in Bezug auf das Anfordern eines PCI-DSS-AOC oder SRM-Leitfadens zur Verfügung stehen, finden Sie auf der IBM Cloud-Seite zu Compliance.

Bedingungen