IBM Cloud Docs
Sécurité et conformité

Sécurité et conformité

Protection contre les accès non autorisés

IBM Cloud® Databases for MongoDB utilise les méthodes décrites ci-après pour protéger les données en transit ou en mémoire.

  • Toutes les connexions Databases for MongoDB utilisent le chiffrement TLS/SSL pour les données en transit. La version actuelle prise en charge de ce chiffrement est TLS 1.2.
  • L'accès au compte, à l'interface utilisateur de console de gestion et l'API est sécurisé via Identity and Access Management (IAM).
  • L'accès à la base de données est sécurisé via les contrôles d'accès standard fournis par la base de données. Ces contrôles d'accès sont configurés pour exiger des données d'identification de niveau base de données valides qui ne peuvent être obtenues que via l'accès préalable à la base de données ou via notre interface utilisateur de console de gestion ou notre API.
  • L'ensemble du stockage Databases for MongoDB est lié à un stockage chiffré avec LUKS à l'aide d'AES-256. Les clés par défaut sont gérées par Key Protect. La fonction BYOK (bring-your-own-key) pour le chiffrement est également disponible via l'intégration de Key Protect.
  • Restrictions basées sur le contexte- Les restrictions basées sur le contexte permettent aux propriétaires de comptes et aux administrateurs de définir et d'appliquer des restrictions d'accès à leurs ressources en fonction du contexte des demandes d'accès.
  • Isolated Compute - Isolated Compute est une offre sécurisée à locataire unique pour les charges de travail complexes et hautement performantes des entreprises. En plaçant votre déploiement et tous les agents de gestion des données utilisateur associés sur une machine isolée, Cloud Databases Isolated Compute fournit des ressources informatiques dédiées, une bande passante de stockage dédiée et une isolation au niveau de l'hyperviseur.
  • Réseaux publics et privés - Databases for MongoDB est intégré aux noeuds finaux de service. Vous pouvez choisir d'utiliser des connexions sur le réseau public ou sur le réseau interne IBM Cloud.
  • Coeurs dédiés - L'affectation de coeurs dédiés à votre déploiement introduit un isolement de niveau hyperviseur sur votre instance de base de données, en utilisant des machines virtuelles isolées qui garantissent un traitement de vos données séparé de celui des autres clients. Cela permet également de garantir une quantité minimale d'UC pour votre déploiement. Les déploiements dotés de coeurs dédiés situés dans le même groupe de ressources et la même région IBM Cloud peuvent partager une machine virtuelle.
  • IP allowlisting (deprecated)- Tous les déploiements prennent en charge allowlisting IP addresses pour restreindre l'accès au service.

Résilience des données

  • Des sauvegardes sont incluses dans le service. Les sauvegardes Databases for MongoDB résident dans IBM Cloud Object Storage et sont également chiffrées.
  • Un déploiement Databases for MongoDB consiste en trois nœuds de données, l'un étant un nœud primaire et les deux autres des nœuds secondaires. Ils sont configurés en tant que jeu de réplication sans fragmentation, par conséquent, ils fournissent deux copies complètes de l'ensemble de données à tout instant en plus de l'ensemble de données sur le noeud principal. Si le noeud principal est indisponible, le jeu de répliques élit un noeud secondaire destiné à devenir le noeud principal et continue de fonctionner normalement. L'ancien noeud principal rejoint l'ensemble lorsqu'il est disponible.
  • Si vous effectuez le déploiement sur une région à zone unique (SZR) IBM Cloud, chaque noeud de base de données réside sur un hôte différent dans le centre de données.
  • Si vous effectuez le déploiement sur une région multizone (MZR) IBM Cloud, les noeuds sont répartis sur les emplacements de zone de disponibilité de la région.

Certifications de conformité

certification SOC 2 type 2

IBM fournit un rapport Service Organization Controls (SOC) 2 Type 2 pour Databases for MongoDB. Ces rapports évaluent les contrôles opérationnels d'IBM selon des critères définis par les principes Trust Services Principles de l'AICPA (American Institute of Certified Public Accountants). Ces derniers définissent les systèmes de contrôle adéquats et établissent les normes de l'industrie pour les fournisseurs de service, tels qu'IBM Cloud, afin de protéger les données et les informations de leurs clients.

Vous pouvez demander un rapport SOC 2 Type 2 à partir du rapport client ou contacter votre commercial. Vous pouvez également ouvrir un ticket d'assistance avec IBM Cloud support.

ISO 27017, ISO 27018

Databases for MongoDB est conforme aux lignes directrices relatives aux contrôles de la sécurité de l'information applicables à la fourniture et à l'utilisation de services en nuage définis dans ISO 27017 et ISO 27018.

Règlement général sur la protection des données (RGPD)

Si vous disposez d'un compte IBM Cloud, vos données personnelles sont détenues par IBM Cloud. Le IBM Data Processing Addendum (DPA) s'applique au traitement des données personnelles du client par IBM pour le compte du client afin de fournir IBM des services standard.
IBM DPA

Databases for MongoDB traite une quantité limitée d'informations personnelles client au cours de l'exécution du service et de l'optimisation de l'acquis utilisateur.

Databases for MongoDB fournit un Data Sheet Addendum(DSA) avec ses politiques en tant que processeur de données concernant le contenu et la protection des données.

Loi HIPAA

Databases for MongoDB respecte les contrôles IBM requis qui sont en accord avec les exigences de la loi sur la sécurité et la confidentialité HIPAA (Health Insurance Portability and Accountability Act) de 1996. Ces exigences incluent les protections administratives, physiques et techniques appropriées requises pour les partenaires accrédités (45 CFR, chapitre 160 et sous-chapitres A et C du chapitre 164). Le composant HIPAA doit être demandé au moment de sa mise à disposition et nécessite qu'un accord Business Associate Addendum (BAA) soit signé entre un partenaire accrédité et IBM.

PCI DSS

Databases for MongoDB est conforme à la norme PCI DSS (Payment Card Industry Data Security Standard). IBM Cloud effectue des évaluations PCI DSS annuelles à l'aide d'un évaluateur de sécurité qualifié (QSA) approuvé, et les guides d'attestation de conformité et les matrices de responsabilité de service qui en résultent sont disponibles sur demande du client. Les auditeurs ont passé en revue Databases for MongoDB pour vérifier sa conformité à la norme PCI DSS version 3.2.1 applicable aux fournisseurs de service de niveau 1.

Les clients sont responsables du stockage, du traitement et de la transmission de leurs données de titulaire de carte. Ils peuvent créer des environnements CDE (Cardholder Data Environment) acceptant le stockage, la transmission ou le traitement des données de titulaire de carte avec Databases for MongoDB. Les clients peuvent solliciter et utiliser les guides d'attestations de conformité et des matrices de responsabilité de service IBM Cloud lorsqu'ils recherchent leurs propres certifications PCI DSS. Il incombe au client de documenter et d'exploiter en conformité avec la norme PCI DSS les environnements CDE et les applications générés à l'aide des services de plateforme IBM Cloud.

Il incombe au client de se familiariser avec ces processus et de gérer la conservation et le retrait des données du service conformément à ses stratégies.

Une liste complète des services de plateforme prêts pour PCI DSS et des options pour demander un guide PCI DSS AOC et SRM sont disponibles sur la page de conformité IBM Cloud.

Chiffrement FIPS

Databases for MongoDB Enterprise Edition est déployé avec une bibliothèque certifiée FIPS 140-2 pour OpenSSL. Pour plus d'informations sur MongoDB Enterprise et le cryptage FIPS, consultez la documentation ici.

Dispositions