Sécurité et conformité
IBM Cloud® Hyper Protect Crypto Services vous offre des stratégies de sécurité des données pour répondre à vos besoins de conformité et de sécurité et assurer la protection de vos données dans le cloud.
Préparation en matière de sécurité
Hyper Protect Crypto Services assure la sécurité en appliquant des règles de sécurité respectant les meilleurs pratiques d'IBM en matière de systèmes, de réseau et d'ingénierie sécurisée.
Pour plus d'informations sur les contrôles de sécurité dans IBM Cloud, voir Comment savoir si mes données sont protégées ?.
Chiffrement des données
Hyper Protect Crypto Services offre un module de sécurité matérielle(HSM)A physical appliance that provides on-demand encryption, key management, and key storage as a managed service. dédié pour générer des informations de clé que vous gérez et effectuez des opérations de chiffrement d'enveloppe. Hyper Protect Crypto Services prend également en charge la gestion de vos propres clés principalesAn encryption key that is used to protect a crypto unit. The master key provides full control of the hardware security module and ownership of the root of trust that encrypts the chain keys, including the root key and standard key.HSM. Conçu sur des modules HSM certifiés FIPS 140-2 Level 4, Hyper Protect Crypto Services offre le niveau de sécurité le plus élevé pour les modules HSM en cloud et stocke les informations de clé de chiffrement sans exposer les clés en dehors d'une limite de chiffrement.
L'accès au service se fait via HTTPS, et la communication interne de Hyper Protect Crypto Services utilise le protocole Transport Layer Security (TLS) 1.2 pour chiffrer les données en transit.
Suppression des données
Lorsque vous supprimez une clé de Hyper Protect Crypto Services, le service marque la clé comme supprimée et la clé passe à l'état Détruit. Les clés dans cet état ne peuvent plus déchiffrer les données associées à la clé. Par conséquent, avant de supprimer une clé, vérifiez les données associées à la clé et assurez-vous que vous n'avez plus besoin d'y accéder. Ne supprimez pas une clé qui protège activement des données dans vos environnements de production.
Dans les 30 jours suivant la suppression d'une clé, vous pouvez restaurer la clé pour annuler la suppression. Pour plus d'informations, voir Restauration de clés.
Notez que même si la clé n'est pas restaurée, vos données restent dans ces services sous la forme chiffrée. Les métadonnées associées à une clé, comme le nom et l'historique des transitions de la clé, sont conservées dans la base de données de Hyper Protect Crypto Services.
Pour vous aider à déterminer quelles données sont protégées par une clé, vous pouvez utiliser l'interface de programmation de service de gestion de clés pourafficher les associations entre une clé et vos ressources de cloud.
Préparation en matière de conformité
Hyper Protect Crypto Services satisfait les contrôles en matière de normes de conformité globale, régionale et de l'industrie. Le module HSM est conforme à Common Criteria EAL 4 et il est certifié FIPS 140 Level 4. Le service est certifié RGPD, HIPAA et ISO.
Pour obtenir la liste complète des certifications de conformité IBM Cloud, voir Compliance on IBM Cloud.
Certifié Common Criteria EAL4
Le module de sécurité matérielle (HSM) utilisé par Hyper Protect Crypto Services est IBM PCIe Cryptographic Coprocessor Version 3 (PCIeCC3) ou Version 4 (PCIeCC4). La version PCIeCC3 est également appelée carte de chiffrement IBM 4768 ou Crypto Express 6S (CEX6S). La version PCIeCC4 est également appelée carte de chiffrement IBM 4769 ou Crypto Express 7S (CEX7S). CEX6S et CEX7S sont certifiés comme respectant les critères communs EAL4 afin de répondre aux exigences de sécurité définies par les critères communs d'évaluation de la sécurité des technologies de l'information.
Common Criteria est une norme internationale (ISO/IEC 15408) permettant d'évaluer la sécurité de produits de sécurité informatique. Common Criteria permet de garantir que le processus de spécification, d'implémentation et d'évaluation d'un produit de sécurité informatique est conforme aux normes et aux exigences définies.
FIPS 140-2 Level 4
La norme FIPS (Federal Information Processing Standard) Publication 140-2 est une norme informatique américaine qui est utilisée pour approuver les modules de chiffrement.
FIPS 140-2 définit quatre niveaux de sécurité, c'est à dire FIPS 140-2, niveau 1, 2, 3 et 4. Le niveau 4 FIPS 140-2 est le niveau de sécurité le plus élevé. A ce niveau de sécurité, ce sont des mécanismes physiques qui interviennent pour offrir une enveloppe de protection complète autour du module de chiffrement, l'objectif étant de détecter toutes les tentatives d'accès physique non autorisé et d'y répondre. La pénétration du boîtier de module de chiffrement depuis un endroit quelconque a une forte probabilité d'être détectée, avec pour conséquence immédiate la mise à zéro de tous les paramètres CSP (Critical Security Parameter) stockés en clair dans le module.
Hyper Protect Crypto Services utilise la carte de chiffrement IBM 4768 ou IBM 4769, certifiée conforme à la norme FIPS 140-2 de niveau 4, le niveau de certification le plus élevé possible pour les unités de chiffrement commerciales. Hyper Protect Crypto Services est le seul cloud HSM sur le marché du cloud public construit sur un HSM conçu pour répondre aux exigences de certification FIPS 140-2 de niveau 4. Vous pouvez consulter les certificats sur les sites suivants :
Règlement général sur la protection des données (RGPD)
Le RGPD vise à créer un cadre légal de protection des données harmonisé à travers l'Union européenne et à restituer aux citoyens le contrôle de leurs données personnelles. Le RGPD impose également des règles strictes sur les entreprises hébergeant et traitant ces données, où que ce soit dans le monde.
IBM s'est engagée à vous fournir des solutions de confidentialité des données, de sécurité et de gouvernance innovantes pour vous aider à vous conformer à la réglementation RGPD.
Pour garantir la conformité au RGPD de vos ressources Hyper Protect Crypto Services, activez le paramètre Support dans l'Union européenne pour votre compte IBM Cloud. Pour plus d'informations sur la façon dont Hyper Protect Crypto Services traite et protège les données à caractère personnel, consultez les addenda suivants.
Prise en charge de la loi HIPAA (Health Insurance Portability and Accountability Act)
Hyper Protect Crypto Services satisfait aux contrôles de la loi américaine Health Insurance Portability Accountability Act (HIPAA) pour garantir la protection des renseignements médicaux protégés.
Si vous ou votre société êtes une entité couverte telle que définie par la loi HIPAA, vous pouvez activer le paramètre HIPAA pris en charge pour votre compte IBM Cloud. Pour plus d'informations, voir Activation du paramètre de prise en charge HIPAA.
IBM Cloud for Financial Services
Hyper Protect Crypto Services est certifié IBM Cloud pour les services financiers. Pour plus d'informations sur la demande d'un rapport IBM Cloud for Financial Services, voir Programmes de conformité du secteur d'activitéIBM Cloud.
Support IRAP
Hyper Protect Crypto Services satisfait aux exigences du programme IRAP (Information Security Registered Assessors Program) pour fournir au gouvernement des services technologiques de haute qualité en matière d'informations et de communications en appui à la sécurité de l'Australie.
Pour plus d'informations, voir Programmes de conformité régionauxIBM Cloud.
ISO 27001, 27017, 27018
Hyper Protect Crypto Services est certifié ISO 27001, 27017, 27018. Vous pouvez afficher les certifications de conformité en visitant le site IBM Cloud global compliance programs.
sphère de contrôle (SOC) 2 Type 1
Hyper Protect Crypto Services est certifié SOC 2 Type 1. Pour plus d'informations sur la demande d'un rapport IBM Cloud SOC 2, voir Programmes de conformité globaleIBM Cloud.