数据加密

Hyper Protect Crypto Services 提供了专用 硬件安全模块(HSM)A physical appliance that provides on-demand encryption, key management, and key storage as a managed service.，用于生成您管理和执行 包络加密 操作的密钥资料。Hyper Protect Crypto Services 还支持管理您自己的 HSM 主密钥An encryption key that is used to protect a crypto unit. The master key provides full control of the hardware security module and ownership of the root of trust that encrypts the chain keys, including the root key and standard key.。 Hyper Protect Crypto Services 基于 FIPS 140-2 级别 4 认证的 HSM 构建，为基于云的 HSM 提供最高安全级别，并存储密钥资料，而不会在加密边界之外公开密钥。

对服务的访问是通过 HTTPS 来实现的，并且内部 Hyper Protect Crypto Services 通信使用传输层安全性 (TLS) 1.2 协议来加密正在传输的数据。

数据删除

从 Hyper Protect Crypto Services中删除密钥时，服务会将该密钥标记为已删除，并且该密钥将进入“已销毁”状态。 处于此状态的密钥无法再解密与该密钥相关联的数据。 因此，在删除密钥之前，请查看与该密钥关联的数据，并确保不再需要对其进行访问。 请勿删除积极保护生产环境中数据的密钥。

在删除密钥后的 30 天内，可以复原密钥以进行反向删除。 有关更多信息，请参阅 复原密钥。

请注意，即使未复原密钥，您的数据也会以加密形式保留在这些服务中。 与密钥关联的元数据（例如，密钥的转换历史记录和名称）会保存在 Hyper Protect Crypto Services 数据库中。

为了帮助您确定受密钥保护的数据，可以使用密钥管理服务 API 来 查看密钥与云资源之间的关联。

公共条件 EAL4 认证

Hyper Protect Crypto Services 使用的硬件安全模块 (HSM) 是 IBM PCIe 加密协处理器版本 3 (PCIeCC3) 或版本 4 (PCIeCC4)。 PCIeCC3 也称为 IBM 4768 加密卡或 Crypto Express 6S (CEX6S)。 PCIeCC4 也称为 IBM 4769 加密卡或 Crypto Express 7S (CEX7S)。 CEX6S 和 CEX7S 都已通过公共标准 EAL4 认证，以满足“信息技术安全性评估公共标准”定义的安全性要求。

通用标准是评估计算机安全产品安全性的国际标准 (ISO/IEC 15408)。 “通用标准”保证计算机安全产品的规范，实施和评估过程符合所定义的标准和要求。

FIPS 140-$tag1 级别 4

联邦信息处理标准 (FIPS) 出版物 140-2 是美国政府用于批准加密模块的计算机安全标准。

FIPS 140-2 定义了四个级别的安全性，包括 FIPS 140-2 级别 1，2，3 和 4。 FIPS 140-2 Level 4 是最高级别的安全性。 在此安全级别，物理安全性机制围绕加密模块提供完整的保护边界，旨在检测所有未授权的物理访问尝试并对其做出响应。 从任何方向穿透加密模块机柜都有很高的概率被检测到，从而导致所有明文关键安全参数 (CSP) 立即归零。

Hyper Protect Crypto Services 使用 IBM 4768 或 IBM 4769 加密卡，该加密卡通过 FIPS 140-2 级别 4 认证，这是商业加密设备可实现的最高认证级别。Hyper Protect Crypto Services 是公共云市场中唯一基于 HSM (旨在满足 FIPS 140-2 级别 4 认证需求) 构建的云 HSM。 您可以在以下站点检查证书:

• IBM 4769-001 加密协处理器安全模块
• IBM 4768 加密协处理器安全模块

一般数据保护条例

The General Data Protection Regulation (GDPR) seeks to create a harmonized data protection law framework across the European Union and aims to give citizens back the control of their personal data. GDPR 还对在世界任何地方托管和处理数据的企业实施严格的规则。

IBM 致力于为您提供创新的数据隐私，安全和监管解决方案，以帮助您完成 GDPR 就绪之旅。

要确保 Hyper Protect Crypto Services 资源的 GDPR 合规性，请为 IBM Cloud 帐户 启用欧盟支持的设置。 您可以通过查看以下附录了解有关 Hyper Protect Crypto Services 如何处理和保护个人数据的更多信息。

• IBM Hyper Protect Crypto Services 数据表附录(DSA)
• IBM 数据处理附录(DPA)

支持 HIPAA

Hyper Protect Crypto Services 满足《美国健康保险可移植性和责任法案》(HIPAA) 的控制以确保受保护健康信息 (PHI) 的安全。

如果您或您的公司是由 HIPAA 定义的覆盖实体，那么可以为 IBM Cloud 帐户启用“支持 HIPAA”设置。 要查找更多信息，请参阅启用 HIPAA 支持设置。

IBM Cloud for Financial Services

Hyper Protect Crypto Services 是针对 Financial Services 认证的 IBM Cloud。 有关请求 IBM Cloud for Financial Services 报告的信息，请参阅 IBM Cloud 行业合规性程序。

IRAP 支持

Hyper Protect Crypto Services 满足信息安全注册评估人计划 (IRAP) 的要求，为政府提供高质量的信息和通信技术服务，以支持澳大利亚的安全。

有关更多信息，请参阅 IBM Cloud 区域合规性程序。

ISO 27001、27017 和 27018

Hyper Protect Crypto Services 通过了 ISO 27001、27017 和 27018 认证。 您可以通过访问 IBM Cloud 全局合规性程序来查看合规性认证。

SOC 2 第 1 类

Hyper Protect Crypto Services 已通过 SOC 2 第 1 类认证。 有关请求 IBM Cloud SOC 2 报告的更多信息，请参阅 IBM Cloud 全局合规性程序。