IBM Cloud Docs
安全性和合规性

安全性和合规性

防止未经授权的访问

IBM Cloud® Databases for MongoDB 使用以下方法来保护传输中或存储中的数据。

  • 所有 Databases for MongoDB 连接都将 TLS/SSL 加密用于传输中的数据。 此加密的当前受支持版本为 TLS 1.2。
  • 通过 Identity and Access Management(IAM) 来保护对帐户,管理控制台 UI 和 API 的访问权。
  • 通过数据库提供的标准访问控制来保护对数据库的访问。 这些访问控制配置为需要有效的数据库级别凭证,这些凭证只能通过先前对数据库的访问或通过我们的管理控制台 UI 或 API 获取。
  • 所有 Databases for MongoDB 存储器都在使用 AES-256通过 LUKS 加密的存储器上提供。 缺省密钥由 Key Protect 管理。 还可通过 Key Protect Integration 获取用于加密的自带密钥 (BYOK)。
  • 基于上下文的限制- 基于上下文的限制为账户所有者和管理员提供了根据访问请求的上下文为其资源定义和执行访问限制的能力。
  • 隔离计算 - 隔离计算是一种安全的单租户产品,适用于复杂、高性能的企业工作负载。 Cloud Databases隔离计算将您的部署和所有相关的用户数据管理代理放在一台隔离的机器上,从而提供专用计算资源、专用存储带宽和管理程序级隔离。
  • 公用和专用网络- Databases for MongoDB 与 服务端点 集成。 您可以选择是通过公用网络还是 IBM Cloud 内部网络使用连接。
  • 专用核心-将专用核心分配给您的部署会将系统管理程序级别的隔离引入到数据库实例中,使用隔离的虚拟机来确保数据处理与其他客户保持分离。 它还为您的部署提供了保证的最小 CPU 数量。 具有相同资源组和 IBM Cloud 区域中的专用核心的部署可以共享虚拟机。
  • IP 允许列表(已废弃)- 所有部署都支持 允许列表 IP 地址,以限制对服务的访问。

数据弹性

  • 备份 包含在服务中。Databases for MongoDB 备份位于 IBM Cloud Object Storage 中,并且还 已加密
  • Databases for MongoDB 部署由 三个数据节点 组成,其中一个是主节点,另一个是辅助节点。 它们被配置为没有分片的复制集,因此除了主数据集外,它们始终提供数据集的两个完整副本。 如果主项不可用,那么副本集将选择辅助项作为主项并继续正常操作。 旧主项在可用时重新加入集合。
  • 如果部署到 IBM Cloud 单专区区域 (SZR),那么每个数据库节点都位于数据中心的不同主机上。
  • 如果部署到 IBM Cloud 多专区区域 (MZR),那么节点将分布在该区域的可用性专区位置上。

合规性认证

SOC 2 类型 2 证书

IBM 为 Databases for MongoDB 提供了服务组织控制 (SOC) 2 类型 2 报告。 这些报告依据美国注册会计师协会 (AICPA) 信托服务原则所设置的标准来评估 IBM 的运营控制。 信托服务原则为 IBM Cloud 之类的服务供应商定义了充分的控制体系并建立了行业标准,以保护其客户的数据和信息。

您可以从客户门户网站请求 SOC 2 类型 2 报告或联系您的销售代表。 或者,您也可以向 IBM Cloud支持 申请支持票据。

ISO 27017 和 ISO 27018

Databases for MongoDB 符合适用于 ISO 27017ISO 27018 中定义的云服务的供应和使用的信息安全控制准则。

通用数据保护条例 (GDPR)

如果您具有 IBM Cloud帐户,那么您的个人数据由 IBM Cloud持有。 这IBM数据处理附录 (DPA) 适用于以下机构处理客户的个人数据: IBM代表客户提供IBM标准服务。
IBM DPA

Databases for MongoDB 在运行服务和优化用户体验的过程中处理有限的客户机个人信息 (PI)。

Databases for MongoDB 提供 数据表附录(DSA) 及其作为数据处理程序的内容和数据保护策略。

HIPAA

Databases for MongoDB 符合所需的 IBM 控制措施,这些控制措施与《1996 年健康保险可携性和责任法案》(HIPAA)的安全和隐私规则要求相符。 包括在 45 CFR 第 160 部分以及第 164 部分的子部分 A 和 C 中规定的对“业务伙伴”进行相应管理、物理和技术保护的要求。 必须在供应时请求 HIPAA,并要求代表与 IBM签署业务关联附录 (BAA) 协议。

PCI DSS

Databases for MongoDB 符合支付卡行业数据安全标准 (PCI DSS)。IBM Cloud 通过使用核准的合格安全评估程序 (QSA) 完成年度 PCI DSS 评估,并且根据客户请求提供生成的合规性认证 (AOC) 和服务责任矩阵 (SRM) 指南。 审计员在服务提供者级别 1 上查看了 Databases for MongoDB PCI DSS 版本 3.2.1 下的合规性。

客户负责其持卡人数据的存储,处理和传输,并且可以创建持卡人数据环境 (CDEs),通过使用 Databases for MongoDB来存储,传输或处理持卡人数据。 客户在寻求自己的 PCI DSS 认证时,可以请求并使用 IBM Cloud AOC 和 SRM 指南。 客户负责以符合 PCI DSS 的方式记录和操作通过使用 IBM Cloud Platform 服务构建的 CDEs 和应用程序。

客户负责熟悉这些流程,并根据客户的策略管理数据保留和从服务中移除。

可在 IBM Cloud 合规性页面 上找到 PCI DSS 就绪 IBM Cloud Platform 服务的完整列表以及用于请求 PCI DSS AOC 和 SRM 指南的选项。

FIPS 加密

Databases for MongoDB Enterprise Edition 随 OpenSSL的 FIPS 140-2 认证库一起部署。 有关 MongoDB Enterprise 和 FIPS 加密的更多信息,请查看 此处的文档

条款