Sécurité et conformité

Protection contre les accès non autorisés

IBM Cloud® Databases for PostgreSQL utilise les méthodes décrites ci-après pour protéger les données en transit ou en mémoire.

Toutes les connexions Databases for PostgreSQL utilisent le chiffrement TLS/SSL pour les données en transit. La version actuelle prise en charge de ce chiffrement est TLS 1.2.
L'accès au compte, à l'interface utilisateur de console de gestion et l'API est sécurisé via Identity and Access Management (IAM).
L'accès à la base de données est sécurisé via les contrôles d'accès standard fournis par la base de données. Ces contrôles d'accès sont configurés pour exiger des données d'identification de niveau base de données valides qui ne peuvent être obtenues que via l'accès préalable à la base de données ou via notre interface utilisateur de console de gestion ou notre API.
L'ensemble du stockage Databases for PostgreSQL est lié à un stockage chiffré avec LUKS à l'aide d'AES-256. Les clés par défaut sont gérées par Key Protect. La fonction BYOK (bring-your-own-key) pour le chiffrement est également disponible via l'intégration de Key Protect.
CBR (Context-based restriction)- Protégez votre ressource Cloud Databases avec la restriction basée sur le contexte(CBR)
IP allowlisting (déprecié)- Tous les déploiements prennent en charge allowlisting IP addresses pour restreindre l'accès au service.
Réseaux publics et privés - Databases for PostgreSQL est intégré aux noeuds finaux de service. Vous pouvez choisir d'utiliser des connexions sur le réseau public ou sur le réseau interne IBM Cloud ou sur les deux.

Résilience des données

Les sauvegardes sont incluses dans le service. Les sauvegardes Databases for PostgreSQL résident dans IBM Cloud Object Storage et sont également Chiffrées.
Les déploiements Databases for PostgreSQL sont configurés avec de la réplication. Ils contiennent un cluster doté de deux membres de données. Les deux membres contiennent une copie de vos données au moyen de la réplication asynchrone, avec un mécanisme de consensus distribué visant à maintenir l'état du cluster et à gérer les basculements.
Si vous déployez vers une IBM Cloud région à zone unique (SZR), chaque membre de la base de données réside sur un hôte différent dans le centre de données.
Si vous effectuez le déploiement sur une région multizone (MZR) IBM Cloud, les membres sont répartis sur les emplacements de zone de disponibilité de la région.

certification SOC 2 type 2

IBM fournit un rapport Service Organization Controls (SOC) 2 Type 2 pour Databases for PostgreSQL. Ces rapports évaluent les contrôles opérationnels d'IBM selon des critères définis par les principes Trust Services Principles de l'AICPA (American Institute of Certified Public Accountants). Ces derniers définissent les systèmes de contrôle adéquats et établissent les normes de l'industrie pour les fournisseurs de service, tels qu'IBM Cloud, afin de protéger les données et les informations de leurs clients.

Vous pouvez demander un rapport SOC 2 Type 2 à partir du rapport client ou contacter votre commercial. Vous pouvez également ouvrir un ticket de demande de service auprès du support IBM Cloud

ISO 27017, ISO 27018

Databases for PostgreSQL est conforme aux lignes directrices relatives aux contrôles de la sécurité de l'information applicables à la fourniture et à l'utilisation de services en nuage, telles que définies dans ISO 27017 et ISO 27018.

Loi HIPAA

Databases for PostgreSQL respecte les contrôles IBM requis qui sont en accord avec les exigences de la loi sur la sécurité et la confidentialité HIPAA (Health Insurance Portability and Accountability Act) de 1996. Ces exigences incluent les protections administratives, physiques et techniques appropriées requises pour les partenaires accrédités (45 CFR, chapitre 160 et sous-chapitres A et C du chapitre 164). Le composant HIPAA doit être demandé au moment de sa mise à disposition et nécessite qu'un accord Business Associate Addendum (BAA) soit signé entre un partenaire accrédité et IBM.

PCI DSS

Databases for PostgreSQL est conforme à la norme PCI DSS (Payment Card Industry Data Security Standard). IBM Cloud effectue des évaluations PCI DSS annuelles à l'aide d'un évaluateur de sécurité qualifié (QSA) approuvé, et les guides de conformité (SP) et de matrice de responsabilité de service (MRS) qui en résultent sont disponibles sur demande du client. Les auditeurs ont passé en revue Databases for PostgreSQL pour vérifier sa conformité à la norme PCI DSS version 3.2.1 applicable aux fournisseurs de service de niveau 1.

Les clients sont responsables du stockage, du traitement et de la transmission de leurs données de titulaire de carte. Ils peuvent créer des environnements CDE (Cardholder Data Environment) acceptant le stockage, la transmission ou le traitement des données de titulaire de carte avec Databases for PostgreSQL. Les clients peuvent solliciter et utiliser les guides d'attestations de conformité et des matrices de responsabilité de service IBM Cloud lorsqu'ils recherchent leurs propres certifications PCI DSS. Il incombe au client de documenter et d'exploiter en conformité avec la norme PCI DSS les environnements CDE et les applications générés à l'aide des services de plateforme IBM Cloud.

Il incombe au client de se familiariser avec ces processus et de gérer la conservation et le retrait des données du service conformément à ses stratégies.

Une liste complète des services de la plateforme IBM Cloud prêts pour PCI DSS, ainsi que des options permettant de demander un guide d'attestations de conformité (AOC) et de matrices de responsabilité de service (SRM) sont disponibles sur la page de conformité d'IBM Cloud.