IBM Cloud Docs
数据安全性与合规性

数据安全性与合规性

IBM® Key Protect for IBM Cloud® 拥有数据安全战略 数据安全战略,以满足您的合规需求,并确保您的数据在云中始终安全可靠、受到保护。保护。

私钥管理

部署所需的机密使用 HashiCorp Vault 进行自动化管理,不会存储在图表、GitHub, 或部署脚本中。

安全性就绪性

Key Protect 通过遵循针对系统、联网和安全工程的 IBM 最佳实践来确保安全性就绪性。

要了解有关跨 IBM Cloud 的安全控制的更多信息、请参阅 我如何知道我的数据是安全的?

数据加密

Key Protect 使用 IBM Cloud 硬件安全模块(HSM) 来生成提供者管理的密钥资料并执行 包络加密 操作。 HSM 是防篡改的硬件设备,用于存储并使用密钥资料,而不会将密钥公开到加密边界之外。

通过 HTTPS 访问 Key Protect,并使用传输层安全(TLS)对传输中的数据进行加密。

请注意,仅支持以下 TLS 1.2 和 TLS 1.3 密码:

  • TLS 1.2
    • ECDHE-ECDSA-AES128-GCM-SHA256
    • ECDHE-ECDSA-AES256-GCM-SHA384
    • ECDHE-RSA-AES128-GCM-SHA256
    • ECDHE-RSA-AES256-GCM-SHA384
    • ECDHE-ECDSA-AES128-SHA256
    • ECDHE-ECDSA-AES256-SHA384
    • ECDHE-RSA-AES128-SHA256
    • ECDHE-RSA-AES256-SHA384
  • TLS 1.3
    • TLS_AES_256_GCM_SHA384
    • TLS_AES_128_GCM_SHA256
    • TLS_CHACHA20_POLY1305_SHA256

如果尝试使用不在此列表中的密码,那么可能会迂到连接问题。 更新客户机以使用其中一个受支持的密码。 如果您正在使用 openssl,那么可以在命令行上使用命令 openssl ciphers -v (对于 openssl 的某些安装,请使用 -s -v 选项) 来显示客户机支持的密码的详细列表。

数据删除

删除密钥时,服务会将密钥标记为已删除,密钥会过渡到_已销毁_状态。 处于此状态的密钥无法再解密与该密钥相关联的数据。 因此,在删除密钥之前,请检查与密钥相关的数据,确保不再需要访问这些数据。 请勿删除积极保护生产环境中数据的密钥。

如果在错误中删除密钥,那么可以在删除密钥后 30 天内复原密钥。 30 天后,无法再恢复密钥。 有关更多信息,请查看 复原密钥

请注意,即使未复原密钥,您的数据仍以加密形式保留在这些服务中。 与密钥关联的元数据(例如,密钥的转换历史记录和名称)会保存在 Key Protect 数据库中。

为了帮助您确定受密钥保护的数据,可以使用 Key Protect API 来 查看密钥与云资源之间的关联

帐户取消和数据删除

虽然无法删除其中包含未删除密钥的实例,但可以关闭 IBM Cloud 帐户,而不首先删除所有 Key Protect 实例。 如果帐户已关闭,并且属于该帐户的实例和密钥仍存在,那么将永久硬删除这些实例和密钥。

有关关闭帐户的更多信息,请查看 关闭帐户

合规性就绪性

Key Protect 满足全球、行业和区域合规性标准的控制,包括 GDPR、HIPAA 和 ISO 27001/27017/27018 及其他。

有关 IBM Cloud 合规性认证的完整列表 认证的完整列表,请参见 IBM Cloud 上的合规性

欧盟支持

Key Protect 实施额外控制以保护您在欧盟 (EU) 的 Key Protect 资源。

如果您使用 Key Protect 资源在 德国法兰克福地区的资源来处理欧洲公民的个人数据,您可以启用 可以为您的 IBM Cloud 帐户。 要了解更多信息,请参阅 为您的帐户启用欧盟支持

通用数据保护条例 (GDPR)

GDPR 力图在整个欧盟范围内创建一个统一的数据保护法律框架。 该法规旨在让公民恢复对其个人数据的控制,并对任何托管和处理该数据的实体实施严格的规则。

IBM 致力于提供客户机和 IBM 具有创新数据隐私,安全和监管解决方案的业务合作伙伴,帮助他们完成 GDPR 就绪之旅。

确保您的 GDPR 合规性 Key Protect 资源, 为 IBM Cloud 帐户启用欧盟支持的设置。 您可以了解更多有关如何 Key Protect 通过查看以下附加组件来处理和保护个人数据。

支持 HIPAA

Key Protect 不会处理,存储,传输或以其他方式与个人健康信息 (PHI) 进行交互。 因此,该服务可以与任何 HIPAA 产品集成,而不会影响其 HIPAA 就绪性。 因此,您可以使用 Key Protect,用于生成和管理 HIPAA 就绪应用程序的密钥。 这些密钥受保护 Key Protect 信任锚,由经过防篡改和 FIPS-140-2 级别 3 认证的硬件安全模块 (HSM) 支持。

如果您或您的公司是 HIPAA 规定的受保实体,您可以启用 IBM Cloud 账户的 HIPAA 支持设置。 要了解更多信息,请参阅 启用 HIPAA 支持设置

ISO 27001、27017 和 27018

Key Protect 通过了 ISO 27001、27017 和 27018 认证。 您可以访问 IBM Cloud 上的合规性

服务组织控制 (SOC)

Key Protect 满足以下类型的服务组织控制 (SOC) 合规性:

  • SOC 1 类型 2
  • SOC 2 第 1 类
  • SOC 2 第 2 类
  • SOC 3

有关请求 IBM Cloud SOC 报告的信息, 见 IBM Cloud上的合规性。

PCI DSS

Key Protect 满足支付卡行业 (PCI) 数据安全标准的控制,以保护持卡人数据。 有关请求合规性证明的信息,请参阅 IBM Cloud 或联系 IBM 代表。