Cifrado de datos

Key Protect utiliza módulos de seguridad de hardware(HSM)de IBM Cloud para generar material de claves gestionado por el proveedor y realizar operaciones de cifrado de sobres. Los HSM son dispositivos de hardware que no permite manipulaciones y que almacenan y utilizan material de claves de cifrado sin exponer las claves fuera de un límite de cifrado.

El acceso a Key Protect se realiza sobre HTTPS y utiliza TLS (Transport Layer Security) para cifrar datos en tránsito.

Tenga en cuenta que sólo se admiten los cifrados TLS 1.2 y TLS 1.3 siguientes:

• TLS 1.2:
  • ECDHE-ECDSA-AES128-GCM-SHA256
  • ECDHE-ECDSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-ECDSA-AES128-SHA256
  • ECDHE-ECDSA-AES256-SHA384
  • ECDHE-RSA-AES128-SHA256
  • ECDHE-RSA-AES256-SHA384
• TLS 1.3:
  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256
  • TLS_CHACHA20_POLY1305_SHA256

Si intenta utilizar un cifrado que no está en esta lista, puede experimentar problemas de conectividad. Actualice el cliente para que utilice uno de los cifrados soportados. Si utiliza openssl, puede utilizar el mandato openssl ciphers -v en la línea de mandatos (o, para algunas instalaciones de openssl, utilice las opciones -s -v ) para mostrar una lista detallada de los cifrados a los que da soporte el cliente.

Supresión de datos

Cuando se suprime una clave, el servicio marca la clave como suprimida y la clave pasa a estado Destruido. Las claves con este estado ya no pueden descifrar los datos asociados a la clave. Por lo tanto, antes de suprimir una clave, revise los datos asociados a la clave y asegúrese de que ya no necesita acceder a la clave. No suprima una clave que esté protegiendo activamente datos en los entornos de producción.

Si se suprime una clave en el error, es posible restaurar la clave dentro de los 30 días posteriores a la eliminación de la clave. Después de 30 días, la clave ya no se puede restaurar. Para obtener más información, consulte Restauración de claves.

Tenga en cuenta que incluso si la clave no se restaura, sus datos permanecen en esos servicios en su forma cifrada. Los metadatos asociados con la clave como, por ejemplo, el nombre y el historial de transiciones de la clave, se mantienen en la base de datos de Key Protect.

Para ayudarle a determinar qué datos se protegen mediante una clave, puede utilizar las API de Key Protect para ver las asociaciones entre una clave y sus recursos en la nube.

Cancelación de cuenta y supresión de datos

Aunque las instancias que tienen claves no suprimidas no se pueden suprimir, es posible cerrar una cuenta deIBM Cloud sin suprimir primero todas las instancias de Key Protect. Si una cuenta está cerrada y las instancias y claves que pertenecen a ella todavía existen, las instancias y claves se suprimen de forma permanente.

Para obtener más información sobre el cierre de una cuenta, consulte Cierre de una cuenta.

Soporte en la UE

Key Protect aplica controles adicionales para proteger los recursos de Key Protect en la Unión Europea (UE).

Si utiliza recursos de Key Protect en la región de Frankfurt, Alemania, para procesar datos personales para ciudadanos europeos, puede habilitar el valor Soporte en la UE para su cuenta de IBM Cloud cuenta. Para obtener más información, consulte Activar la compatibilidad de su cuenta con la UE.

Reglamento general de protección de datos (GDPR)

El GDPR busca crear un marco de ley de protección de datos unificado en la Unión Europea. Esta normativa trata de devolver a los ciudadanos el control de sus datos personales, y de imponer reglas estrictas a cualquier entidad que aloje y procese esos datos.

IBM se compromete a proporcionar a los clientes y Business Partners de IBM soluciones innovadoras de privacidad, seguridad y gobierno para ayudarles en su proceso de implantación del RGPD.

Para garantizar la conformidad con el RGPD de sus Key Protect recursos, active la configuración compatible con la UE para su cuenta IBM Cloud. Puede obtener más información sobre cómo Key Protect procesa y protege los datos personales consultando los siguientes apéndices.

• IBM Key Protect for IBM Cloud Anexo de hoja de datos(DSA)
• IBM Anexo de proceso de datos(DPA)

Soporte de HIPAA

Key Protect no procesa, ni almacena, ni transmite, ni interacciona de ningún otro modo con información sanitaria personal (PHI). Por lo tanto, el servicio se puede integrar con cualquier oferta de HIPAA sin ningún impacto en su conformidad con HIPAA. Como tal, puede utilizar Key Protect para generar y gestionar claves para aplicaciones preparadas para HIPAA. Estas claves están protegidas por el ancla de confianza de Key Protect, que está respaldada por un módulo de seguridad de hardware (HSM) que es a prueba de manipulaciones y validado por FIPS-140-2 nivel 3.

Si usted o su empresa es una entidad cubierta definida por HIPAA, puede habilitar el valor de Soportado por HIPAA para su cuenta de IBM Cloud. Para obtener más información, consulte Activación del ajuste Compatible con HIPAA.

ISO 27001, 27017, 27018

Key Protect dispone de los certificados ISO 27001, 27017, 27018. Puede consultar las certificaciones de conformidad visitando Compliance en IBM Cloud.

Service Organization Controls (SOC)

Key Protect cumple el Service Organization Control (SOC) para los siguientes tipos:

• SOC 1 Tipo 2
• SOC 2 Tipo 1
• SOC 2 Tipo 2
• SOC 3

Para obtener información sobre cómo solicitar un informe SOC a IBM Cloud, consulte Cumplimiento en IBM Cloud.

PCI DSS

Key Protect cumple los controles de los estándares de seguridad de datos de Payment Card Industry (PCI) para proteger los datos de los titulares de tarjetas de pago. Para obtener información sobre cómo solicitar una certificación de conformidad, consulte Conformidad de IBM Cloud o póngase en contacto con un representante de IBM.