Data encryption

Hyper Protect Crypto Services bietet ein dediziertes Hardwaresicherheitsmodul(HSM)A physical appliance that provides on-demand encryption, key management, and key storage as a managed service. zum Generieren von Schlüsselinformationen, die Sie verwalten und Envelope-Verschlüsselungsoperationen ausführen. Hyper Protect Crypto Services unterstützt auch die Verwaltung eigener HSM- MasterschlüsselAn encryption key that is used to protect a crypto unit. The master key provides full control of the hardware security module and ownership of the root of trust that encrypts the chain keys, including the root key and standard key.. Auf Basis von FIPS 140-2 Stufe 4-zertifizierten HSMs bietet Hyper Protect Crypto Services die höchste Sicherheitsstufe für cloudbasierte HSMs und speichert Verschlüsselungsschlüsselinformationen, ohne die Schlüssel außerhalb der Verschlüsselungsgrenze zugänglich zu machen.

Der Zugriff auf den Service erfolgt über HTTPS und die interne Hyper Protect Crypto Services-Kommunikation verwendet das Protokoll Transport Layer Security (TLS) 1.2, um Daten während der Übertragung zu verschlüsseln.

Datenlöschung

Wenn Sie einen Schlüssel aus Hyper Protect Crypto Serviceslöschen, markiert der Service den Schlüssel als gelöscht und der Schlüssel wird in den Status 'Gelöscht' versetzt. Schlüssel in diesem Status können keine Daten mehr entschlüsseln, die dem Schlüssel zugeordnet sind. Überprüfen Sie daher vor dem Löschen eines Schlüssels die mit dem Schlüssel verknüpften Daten und stellen Sie sicher, dass Sie keinen Zugriff mehr auf diese Daten benötigen. Löschen Sie keinen Schlüssel, der momentan aktiv zum Schutz von Daten in Ihren Produktionsumgebungen verwendet wird.

Innerhalb von 30 Tagen, nachdem Sie einen Schlüssel gelöscht haben, können Sie den Schlüssel wiederherstellen und damit den Löschvorgang rückgängig zu machen. Weitere Informationen finden Sie im Abschnitt zum Wiederherstellen von Schlüsseln.

Beachten Sie, dass Ihre Daten auch dann, wenn der Schlüssel nicht wiederhergestellt wird, in der verschlüsselten Form in diesen Services verbleiben. Die Metadaten eines Schlüssels (z. B. das Übergangsprotokoll und der Name des Schlüssels) werden in der Hyper Protect Crypto Services-Datenbank gespeichert.

Um zu ermitteln, welche Daten durch einen Schlüssel geschützt werden, können Sie die API des Schlüsselverwaltungsservice für Zuordnungen zwischen einem Schlüssel und Ihren Cloudressourcen anzeigen verwenden.

Common Criteria EAL4-Zertifizierung

Das von Hyper Protect Crypto Services verwendete Hardwaresicherheitsmodul (HSM) entspricht IBM PCIe Cryptographic Coprocessor Version 3 (PCIeCC3) oder Version 4 (PCIeCC4). PCIeCC3 wird auch als IBM 4768-Verschlüsselungskarte oder als Crypto Express 6S (CEX6S) bezeichnet. PCIeCC4 wird auch als IBM 4769-Verschlüsselungskarte oder Crypto Express 7S (CEX7S) bezeichnet. Sowohl CEX6S als auch CEX7S sind gemäß Common Criteria EAL4 zertifiziert, um die Sicherheitsanforderungen zu erfüllen, die durch die Common Criteria for Information Technology Security Evaluation definiert sind.

Bei Common Criteria handelt es sich um einen internationalen Standard (ISO/IEC 15408) zur Bewertung der Sicherheit von Sicherheitsprodukten für Computer. Durch Common Criteria wird zugesichert, dass der Prozess der Spezifikation, Implementierung und Bewertung eines Computersicherheitsprodukts den definierten Standards und Anforderungen entspricht.

FIPS 140-2 Stufe 4

Die Veröffentlichung "Federal Information Processing Standard (FIPS) Publication 140-2" ist eine US-Norm zur IT-Sicherheit, die für die Genehmigung von Verschlüsselungsmodulen verwendet wird.

FIPS 140-2 definiert vier Sicherheitsstufen, einschließlich FIPS 140-2 Level 1, 2, 3 und 4. FIPS 140-2 Level 4 ist die höchste Sicherheitsstufe. Auf dieser Sicherheitsstufe stellen die physischen Sicherheitsmechanismen eine vollständige Schutzhülle (sog. Envelope) für das Verschlüsselungsmodul bereit, mit der alle unbefugten Versuche des physischen Zugriffs erkannt und auf diese mit entsprechenden Maßnahmen reagiert wird. Der unbefugte Zugriff auf diese Umhüllung des Verschlüsselungsmoduls aus beliebiger Richtung wird mit hoher Wahrscheinlichkeit erkannt und führt zur sofortigen Auffüllung aller kritischen Sicherheitsparameter (CSPs - Critical Security Parameters) mit Nullen.

Hyper Protect Crypto Services verwendet die Verschlüsselungskarte IBM 4768 oder IBM 4769, die mit FIPS 140-2 Level 4 zertifiziert ist. Dies ist die höchste Zertifizierungsstufe, die für kommerzielle Verschlüsselungseinheiten erreicht werden kann. Hyper Protect Crypto Services ist das einzige Cloud-HSM auf dem Public-Cloud-Markt, das auf einem HSM basiert, das zur Erfüllung der FIPS 140-2 Level 4-Zertifizierungsanforderungen entwickelt wurde. Sie können die Zertifikate auf den folgenden Sites überprüfen:

• IBM 4769-001 Cryptographic Coprocessor Security Module
• IBM 4768 Cryptographic Coprocessor Security Module

Datenschutz-Grundverordnung

Mit der DSGVO (Datenschutz-Grundverordnung) soll in der gesamten Europäischen Union ein harmonisierter Rechtsrahmen für den Datenschutz geschaffen werden, in dem Bürger wieder die Kontrolle über ihre personenbezogenen Daten übernehmen. Die DSGVO schreibt weltweit strenge Regeln für Unternehmen vor, die Daten hosten und verarbeiten.

IBM ist bestrebt, Ihnen innovative Datenschutz-, Sicherheits-und Governance-Lösungen zur Verfügung zu stellen, die Sie bei der Umsetzung der DSGVO unterstützen.

Um die DSGVO-Konformität für Ihre Hyper Protect Crypto Services-Ressourcen sicherzustellen, aktivieren Sie die Einstellung 'Unterstützung in der EU' für Ihr IBM Cloud-Konto. Weitere Informationen dazu, wie Hyper Protect Crypto Services personenbezogene Daten verarbeitet und schützt, finden Sie in den folgenden Addenda.

• IBM Hyper Protect Crypto Services Datenblattaddendum(DSA)
• IBM Ergänzenden Bedingungen zur Auftragsverarbeitung(EB-AV)

HIPAA-Unterstützung

Von Hyper Protect Crypto Services werden Kontrollmechanismen für den US Health Insurance Portability and Accountability Act (HIPAA) umgesetzt, um die Vertraulichkeit geschützter Gesundheitsdaten zu gewährleisten.

Falls es sich bei Ihnen oder Ihrem Unternehmen gemäß der HIPAA-Definition um Rechtsträger im Gesundheitswesen ('Covered Entity') handelt, können Sie die Einstellung für die HIPPA-Unterstützung ('HIPPA Supported') für Ihr IBM Cloud-Konto aktivieren. Weitere Informationen dazu finden Sie unter Einstellung für HIPAA-Unterstützung aktivieren.

IBM Cloud for Financial Services

Hyper Protect Crypto Services ist IBM Cloud für Financial Services zertifiziert. Informationen zum Anfordern eines IBM Cloud for Financial Services-Berichts finden Sie unter IBM Cloud Industry Compliance Programs.

IRAP-Unterstützung

Von Hyper Protect Crypto Services werden die Anforderungen des Information Security Registered Assessors Program (IRAP) erfüllt, um qualitativ hochwertige Informations- und Kommunikationstechnologieservices für Regierungsbehörden zur Unterstützung der Sicherheit Australiens bereitzustellen.

Weitere Informationen finden Sie unter IBM Cloud regionale Konformitätsprogramme.

ISO 27001, 27017, 27018

Hyper Protect Crypto Services ist gemäß ISO 27001, 27017 und 27018 zertifiziert. Sie können Konformitätszertifizierungen anzeigen, indem Sie IBM Cloud Global Compliance Programsbesuchen.

SOC 2 Typ 1

Hyper Protect Crypto Services sind für SOC 2 Type 1 zertifiziert. Weitere Informationen zur Anforderung eines SOC 2-Berichts für IBM Cloud finden Sie unter IBM Cloud Global Compliance-Programme.