IBM Cloud Docs
セキュリティーおよびコンプライアンス

セキュリティーおよびコンプライアンス

無許可アクセスからの保護

IBM Cloud® Databases for PostgreSQL では、次の方法を使用して、転送中のデータまたはストレージ内のデータを保護します。

  • すべての Databases for PostgreSQL 接続で、転送中のデータに対して TLS/SSL 暗号化が使用されます。 この暗号化の現在サポートされているバージョンは、TLS 1.2 です。
  • アカウント、管理コンソール UI、API へのアクセスは、ID およびアクセス管理 (IAM) によって保護されます。
  • データベースへのアクセスは、データベースで提供される標準的なアクセス制御によって保護されます。 このアクセス制御は、データベースへの事前アクセス、あるいは管理コンソール UI または API によってのみ取得できるデータベース・レベルの有効な資格情報を必要とするように構成されています。
  • Databases for PostgreSQL ストレージはすべて、AES-256 を使用する LUKS で暗号化されたストレージ上で提供されます。 デフォルトの鍵は Key Protect によって管理されます。 暗号化のための Bring Your Own Key (BYOK) も、Key Protect 統合によって利用できます。
  • CBR (コンテキスト ベースの制限)- コンテキスト ベースの制限(CBR) で Cloud Databases リソースを保護します
  • IP allowlisting (deprected)- すべてのデプロイメントで、サービスへのアクセスを制限するために allowlisting IP addresses をサポートしています。
  • パブリック・ネットワークとプライベート・ネットワーク - Databases for PostgreSQL は、サービス・エンドポイントと統合されています。 パブリック・ネットワークを介した接続を使用するか、IBM Cloud 内部ネットワークを介した接続を使用するか、あるいはその両方を介した接続を使用するかを選択できます。

データ・レジリエンス

  • バックアップはサービスに含まれています。Databases for PostgreSQL バックアップは IBM Cloud Object Storage にあり、暗号化もされています。
  • Databases for PostgreSQL のデプロイメントにはレプリケーションが構成されています。 デプロイメントには、データ・メンバー 2 台のクラスターが 1 つ含まれています。 両方のメンバーに、非同期レプリケーションによるデータのコピーが入れられます。また、クラスターの状態を維持してフェイルオーバーを処理するために分散型コンセンサス・メカニズムが備えられています。
  • IBM Cloud Single-Zone Region (SZR) にデプロイする場合、各データベース メンバはデータ センター内の異なるホストに存在します。
  • IBM Cloud マルチゾーン・リージョン (MZR) にデプロイすると、メンバーはリージョンのアベイラビリティー・ゾーンのロケーションに分散されます。

SOC 2 タイプ 2 認定

IBM は、Databases for PostgreSQL の Service Organization Controls (SOC) 2 タイプ 2 レポートを提供します。 このレポートは、米国公認会計士協会 (AICPA) Trust サービスの原則により設定されている基準に従って IBM の運用管理を評価します。 Trust サービスの原則は、IBM Cloud などのサービス・プロバイダーがその顧客のデータと情報を保護するために、適切な制御システムを定義するものであり、業界標準を確立しています。

SOC 2 タイプ 2 レポートは、カスタマー・ポータルから要求するか、営業担当員にお問い合わせください。 あるいは、IBM Cloud サポート でサポート・チケットをオープンすることもできます

ISO 27017、ISO 27018

Databases for PostgreSQLは、ISO 27017ISO 27018で定義されている、クラウドサービスの提供と使用に適用される情報セキュリティ管理のガイドラインに準拠しています。

一般データ保護規則 (GDPR)

IBM Cloud にアカウントがある場合、お客様の個人データは IBM Cloud によって保持されます。 The IBM Data Processing Addendum (DPA) applies to the processing of client's personal data by IBM on behalf of client to provide IBM standard services.
IBM DPA

Databases for PostgreSQL は、サービスを実行し、ユーザー・エクスペリエンスを最適化する際に、限定的なお客様の個人情報 (PI) を処理します。

Databases for PostgreSQLは、データシート補遺(Data Sheet Addendum(DSA))として、コンテンツとデータ保護に関するデータ処理者としてのポリシーを提供しています。

HIPAA

Databases for PostgreSQL は、1996 年の医療保険の積算と責任に関する法律 (HIPAA) のセキュリティー・ルールおよびプライバシー・ルールの要件と同等の、必要な IBM のコントロールを満たしています。 これらの要件には、連邦規則集第 45 巻パート 160、およびパート 164 のサブパート A および C で事業提携者に対して要求されている、適切な管理的、物理的、および技術的な安全防護策が含まれます。 HIPAA はプロビジョニング時に要求され、代表者が IBM との Business Associate Addendum (BAA) 契約に署名する必要があります。

PCI DSS

Databases for PostgreSQL は、Payment Card Industry Data Security Standard (PCI DSS) に準拠しています。IBM Cloud は、承認された認定セキュリティー評価機関 (QSA) を使用して PCI DSS 評価を毎年実行します。結果として得られる「Attestations of Compliance (AOC)」および「Service Responsibility Matrix (SRM)」のガイドは、お客様の要求に応じて提供されます。 監査員は、PCI DSS バージョン 3.2.1 に基づいて、Databases for PostgreSQL が Service Provider Level 1 に準拠していることを確認しています。

お客様は、カード所有者データの保管、処理、および伝送に責任を持ちます。また、Databases for PostgreSQL を使用してカード所有者データの保管、伝送、処理を行うことのできるカード所有者データ環境 (CDE) を作成できます。 お客様は、独自の PCI DSS 認定を取得する際に、IBM Cloud AOC および SRM ガイドを要求して使用できます。 PCI DSS に準拠した方法で IBM Cloud プラットフォーム・サービスを使用して構築された CDE およびアプリケーションを文書化し、運用することは、お客様の責任で行う必要があります。

これらのプロセスを熟知し、お客様のポリシーに従ってサービスのデータ保存と削除を管理することは、お客様の責任で行う必要があります。

PCI DSS 対応の IBM Cloud プラットフォーム・サービスの全リストと、PCI DSS の AOC および SRM のガイドを要求するためのオプションについては、IBM Cloud コンプライアンスのページを参照してください。

用語