Criptografia de dados

Key Protect usa módulos de segurança de hardware(HSMs)IBM Cloud para gerar material de chave gerenciado pelo provedor e realizar operações de criptografia de envelope. Os HSMs são dispositivos de hardware resistentes à violação que armazenam e usam material de chave criptográfica sem expor chaves fora de um limite criptográfico.

O acesso ao Key Protect se dá por meio de HTTP e usa a Segurança da camada de transporte (TLS) para criptografar os dados em trânsito.

Observe que são suportadas apenas as cifras de TLS 1.2 e TLS 1.3 mostradas a seguir:

• TLS 1.2:
  • ECDHE-ECDSA-AES128-GCM-SHA256
  • ECDHE-ECDSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-ECDSA-AES128-SHA256
  • ECDHE-ECDSA-AES256-SHA384
  • ECDHE-RSA-AES128-SHA256
  • ECDHE-RSA-AES256-SHA384
• TLS 1.3:
  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256
  • TLS_CHACHA20_POLY1305_SHA256

Ao tentar usar uma cifra não contida nessa lista, é possível que haja problemas de conectividade. Atualize seu cliente para usar uma das cifras suportadas. Se você estiver usando openssl, você pode usar o comando openssl ciphers -v na linha de comando (ou, para algumas instalações de openssl, use as opções -s -v ) para mostrar uma lista de verbose de quais cifras o seu cliente suporta.

Exclusão de dados

Quando uma chave é excluída, o serviço a marca como excluída e ela passa para o estado Destroyed. As chaves neste estado não podem mais decriptografar dados que estão associados à chave. Portanto, antes de excluir uma chave, revise os dados que estão associados a essa chave e certifique-se de que não precisará mais de acesso a ela. Não exclua uma chave que esteja ativamente protegendo dados em seus ambientes de produção.

Se uma chave for excluída por engano, será possível restaurá-la dentro de 30 dias após sua exclusão. Depois 30 dias, a chave não pode mais ser restaurada. Para obter mais informações, confira Restaurando chaves.

Observe que mesmo que a chave não seja restaurada, seus dados permanecem nesses serviços em sua forma criptografada. Metadados que estão associados a uma chave, como o nome e o histórico de transição da chave, são mantidos no banco de dados do Key Protect.

Para ajudá-lo a determinar quais dados são protegidos por uma chave, é possível usar as APIs do Key Protect para visualizar associações entre uma chave e seus recursos em nuvem.

Cancelamento de conta e exclusão de dados

Embora as instâncias que têm chaves não excluídas nelas não possam ser excluídas, é possível fechar um IBM Cloud conta sem primeiro excluir todas as instâncias Key Protect. Se uma conta for fechada e as instâncias e chaves pertencentes a ela ainda existirem, as instâncias e as chaves serão excluídas permanentemente.

Para obter mais informações sobre o fechamento de uma conta, consulte Fechando uma conta

Suporte da UE

O Key Protect tem controles adicionais no local para proteger os seus recursos do Key Protect na União Europeia (UE).

Ao utilizar recursos de Key Protect na região de Frankfurt, na Alemanha, para processar dados pessoais de cidadãos europeus, é possível ativar a configuração suportada na UE para a conta do IBM Cloud conta. Para obter mais informações, consulte Ativar o suporte da UE para sua conta.

Regulamento Geral sobre a Proteção de Dados (GDPR)

O GDPR procura criar uma estrutura de lei de proteção de dados harmonizada em toda a UE. A regulamentação visa retornar aos cidadãos o controle de seus dados pessoais e impor regras rígidas sobre qualquer entidade que hospede e processe esses dados.

A IBM se compromete a fornecer aos clientes e Parceiros de Negócios IBM soluções inovadoras nos quesitos de privacidade, segurança e controle de dados, que podem ajudar durante a preparação para GDPR.

Para assegurar a conformidade de GDPR para seus Key Protect recursos, ative a configuração compatível com a UE para sua conta IBM Cloud. Para saber mais sobre como o Key Protect processa e protege os dados pessoais, revise os anexos a seguir.

• IBM Key Protect for IBM Cloud Folha De Dados Addendum(DSA)
• IBM Addendum de Processamento de Dados(DPA)

Suporte a HIPAA

O Key Protect não processa, armazena, transmite ou de outra forma interage com informações pessoais de saúde (PHI). Portanto, o serviço pode ser integrado a qualquer oferta HIPAA sem impacto em sua prontidão HIPAA. Assim, é possível usar o Key Protect para gerar e gerenciar chaves para aplicativos habilitados para HIPAA. Essas chaves são protegidas pela âncora de segurança do Key Protect, que se baseia em um módulo de segurança de hardware (HSM) inviolável e certificado pelo FIPS-140-2 de nível 3.

Se você ou sua empresa for uma entidade coberta conforme definido pelo HIPAA, será possível ativar a configuração Suportada do HIPAA para sua conta do IBM Cloud. Para saber mais, consulte Como ativar a configuração HIPAA Supported.

ISO 27001, 27017, 27018

O Key Protect é certificado pelo ISO 27001, 27017, 27018. Você pode visualizar as certificações de conformidade visitando Conformidade no site IBM Cloud.

Service Organization Controls (SOC)

O Key Protect atende à conformidade do Service Organization Control (SOC) para os tipos a seguir:

• SOC 1 Tipo 2
• SOC 2 Tipo 1
• SOC 2 Tipo 2
• SOC 3

Para obter informações sobre como solicitar um relatório IBM Cloud SOC, consulte Conformidade no site IBM Cloud.

PCI DSS

O Key Protect atende a controles para os padrões de segurança de dados da Payment Card Industry (PCI) para proteger os dados do titular do cartão. Para obter informações sobre como solicitar um atestado de conformidade, consulte Conformidade no IBM Cloud ou entre em contato com um representante do IBM.