Seguridad y conformidad

Protección frente a accesos no autorizados

IBM Cloud® Messages for RabbitMQ utiliza los métodos siguientes para proteger los datos en tránsito o en almacenamiento.

Todas las conexiones de Messages for RabbitMQ utilizan cifrado TLS/SSL para los datos en tránsito. La versión actual soportada de este cifrado es TLS 1.2.
El acceso a la cuenta, a la IU de la consola de gestión y a la API se protege mediante Identity and Access Management (IAM).
El acceso a la base de datos se protege mediante los controles de acceso estándar que proporciona la base de datos. Estos controles de acceso están configurados para requerir credenciales válidas a nivel de base de datos que solo se pueden obtener mediante el acceso previo a la base de datos o a través de la interfaz de usuario o la API de la consola de gestión.
Todo el disco de Messages for RabbitMQ se proporciona en almacenamiento cifrado con LUKS mediante AES-256. Las claves predeterminadas están gestionadas por Key Protect. También dispone de la opción de Traer su propia clave (BYOK) para el cifrado mediante la integración de Key Protect.
Lista de IP permitidas: todos los despliegues admiten una lista de direcciones IP permitidas para restringir el acceso al servicio.
Redes públicas y privadas: Messages for RabbitMQ está integrado en Puntos finales de servicio. Puede seleccionar si desea utilizar conexiones a través de la red pública, la red interna de IBM Cloud o ambas.
Núcleos dedicados: la asignación de núcleos dedicados a su despliegue introduce el aislamiento a nivel de hipervisor en la instancia de base de datos, utilizando máquinas virtuales aisladas para garantizar que el proceso de sus datos permanece separado del de otros clientes. También proporciona un número mínimo de CPU garantizado para el despliegue. Los despliegues con núcleos dedicados en el mismo grupo de recursos y región IBM Cloud pueden compartir una máquina virtual.

Resiliencia de datos

En el servicio, se incluyen copias de seguridad. Las copias de seguridad de Messages for RabbitMQ residen en IBM Cloud Object Storage y también están cifradas.
Las copias de seguridad de RabbitMQ sólo contienen definiciones, topología y metadatos. Los mensajes no se almacenan en las copias de seguridad.
Todos los despliegues de Messages for RabbitMQ están configurados con replicación. Los despliegues contienen un clúster con tres nodos donde los tres nodos son iguales. Las colas se replican en los tres nodos.
Si despliega en una región de una sola zona (SZR) de IBM Cloud, cada nodo de base de datos reside en un host distinto en el centro de datos.
Si se despliega en una región multizona (MZR) de IBM Cloud, los nodos se dispersan en las ubicaciones de zona de disponibilidad de la región.

Certificación SOC 2 de tipo 2

IBM proporciona un informe de Control de organización de servicios (SOC) 2 de tipo 2 para Messages for RabbitMQ. Los informes evalúan los controles operativos de IBM de acuerdo con los criterios establecidos por los llamados Trust Services Principles del American Institute of Certified Public Accountants (AICPA). Los Trust Services Principles definen unos sistemas de control adecuados y establecen estándares del sector para que los proveedores de servicios como IBM Cloud custodien los datos y la información de sus clientes.

Puede solicitar un informe SOC 2 de tipo 2 desde el portal de clientes o poniéndose en contacto con el representante de ventas. De forma alternativa, puede abrir una incidencia de soporte con el soporte de IBM Cloud

ISO 27017, ISO 27018

Messages for RabbitMQ se ajusta a las directrices para los controles de seguridad de la información aplicables al suministro y uso de servicios de nube definidos en ISO 27017 y ISO 27018.

HIPAA

Messages for RabbitMQ cumple los controles requeridos por IBM, que son acordes con los requisitos de las reglas de seguridad y privacidad de la ley Health Insurance Portability and Accountability Act de 1996 (HIPAA). Estos requisitos incluyen las protecciones administrativas, físicas y técnicas apropiadas necesarias para los socios empresariales en 45 CFR Parte 160 y las Subpartes A y C de la Parte 164. HIPAA se debe solicitar en el momento del suministro y requiere que un representante firme un acuerdo denominado Business Associate Addendum (BAA) con IBM.

PCI DSS

{{site.data.keyword.databases-for-rabbitmq}} cumple el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS). IBM Cloud realiza evaluaciones anuales de PCI DSS utilizando un Qualified Security Assessor (QSA) aprobado, y las guías Attestations of Compliance (AOC) y de Service Responsability Matrix (SRM) resultantes están disponibles a petición del cliente. Los auditores han revisado la conformidad de {{site.data.keyword.databases-for-rabbitmq}} según PCI DSS versión 3.2.1 en el nivel 1 de proveedor de servicios.

Los clientes son responsables del almacenamiento, el proceso y la transmisión de sus datos de titular de tarjeta, y pueden crear entornos de datos de titular de tarjeta (CDE) que pueden almacenar, transmitir o procesar datos de titular de tarjeta utilizando {{site.data.keyword.databases-for-rabbitmq}}. Los clientes pueden solicitar y utilizar las guías AOC y SRM de IBM Cloud cuando buscan sus propias certificaciones de PCI DSS. Es responsabilidad del cliente documentar y gestionar los CDE y las aplicaciones creadas mediante los servicios de IBM Cloud Platform en conformidad con PCI DSS.

Es responsabilidad del cliente familiarizarse con estos procesos y gestionar la retención y la eliminación de los datos del servicio de acuerdo con las políticas del cliente.

Encontrará una lista completa de los servicios de plataforma IBM Cloud preparados para PCI DSS y las opciones para solicitar una guía de AOC y SRM de PCI DSS en la página de conformidad deIBM Cloud.