HITRUST

Le HITRUST CSF® est un cadre d'évaluation et de gestion des menaces de cybersécurité et de protection des données sensibles telles que les informations de santé protégées (PHI). Power Virtual Server est conforme au HITRUST CSF®. Contactez un représentant d' IBM pour demander les lettres de certification HITRUST pour l' Power Virtual Server, avec des descriptions plus détaillées de la portée des services d'infrastructure d' IBM Cloud.

Pour plus d'informations, voir Qu'est-ce que HITRUST?.

Services financiers validés

IBM désigne les services IBM Cloud comme IBM Cloud for Financial Services Validated lorsque les services sont déterminés à implémenter de manière significative l'infrastructure IBM Cloud pour les exigences de contrôle des services financiers.

Pour plus d'informations et la liste des services IBM Cloud validés, voir IBM Cloud® for Financial Services ®.

sphère de contrôle

Le cadre SOC (System and Organization Controls), développé par l'American Institute of Certified Public Accountants (AICPA), est une norme pour les contrôles qui protègent les informations stockées dans le nuage. Les comptables publics certifiés (CPA) vérifient les fournisseurs de services cloud (CSP), ce qui donne lieu à des rapports de contrôle interne sur les services fournis par une organisation de services. Les rapports SOC peuvent aider les utilisateurs à évaluer et à gérer les risques associés à un service externalisé.

Le SOC 1 est un audit des contrôles internes d'une organisation de services qui est mis en oeuvre pour protéger les données détenues par le client impliquées dans les rapports financiers du client. Les audits et rapports de la section SOC 1 sont basés sur la déclaration sur les normes relatives aux engagements (SSAE 18) et sur les normes internationales relatives aux engagements d'assurance (ISAE 3402).

Contactez un IBM pour demander les rapports SOC IBM Public Cloud (infrastructure, VPC et PaaS).

Les rapports SOC suivants sont disponibles pour Power Virtual Server:

• SOC 1 Type II
• SOC 2 Type II

ISO 27017:2015

L'Organisation internationale de normalisation (ISO) est une organisation non gouvernementale indépendante qui compte 164 organismes nationaux de normalisation. L'ISO élabore des normes internationales qui sont volontaires, consensuelles et pertinentes pour le marché. L'objectif est de s'assurer que les produits et services sont sûrs, fiables et de bonne qualité.

Power Virtual Server fournit des services fournis à partir de centres de données mondiaux qui sont un composant de la certification ISO IBM Cloud™ IaaS. La certification ISO couvre une famille de 4 normes comme suit:

• ISO/IEC 27001:2013
• ISO/IEC 27017:2015
• ISO/IEC 27018:2019
• ISO/IEC 27701:2019

Pour plus d'informations, voir IBM Cloud® compliance : ISO 27017 et Produits relevant du système de gestion de la sécurité de l'information(SGSI)des services IBM..

PCI-DSS

Pour garantir des normes cohérentes aux commerçants, le Conseil des normes de sécurité de l'industrie des cartes de paiement a établi les normes de sécurité des données de l'industrie des cartes de paiement (PCI). Celles-ci incorporent les meilleures pratiques de protection des données sur les titulaires de carte et requièrent souvent la validation d'un évaluateur de sécurité qualifié (QSA) tiers. IBM est un fournisseur de services de niveau 1 pour PCI DSS.

Vous êtes responsable du stockage, du traitement et de la transmission des données relatives aux titulaires de cartes et pouvez créer des environnements de données relatives aux titulaires de cartes (CDE) qui peuvent stocker, transmettre ou traiter des données relatives aux titulaires de cartes en utilisant les services de la plateforme IBM Cloud. Vous pouvez utiliser l'attestation de conformité (AOC) IBM Cloud lorsque vous recherchez vos propres certifications PCI DSS. Il est de votre responsabilité de documenter et d'exploiter les CDE et les applications qui sont construits en utilisant les services de la plate-forme IBM Cloud d'une manière conforme à la norme PCI DSS.

Contactez un IBM pour demander une attestation de conformité PCI DSS (AOC) ou un guide SRM (Service Responsibility Matrix) pour Power Virtual Server.

Vous pouvez générer des environnements et des applications compatibles PCI-DSS à l'aide d' IBM Cloud. Pour plus d'informations, voir IBM Cloud PCI DSS Guidance.

Loi HIPAA

La loi américaine HIPAA (Health Insurance Portability and Accountability Act) et la loi HITECH (Health Information Technology for Economic and Clinical Health) définissent des normes pour le traitement des transactions et des informations électroniques relatives aux soins de santé. Power Virtual Server sur IBM Cloud est prêt pour HIPAA. Vous pouvez générer des environnements et des applications compatibles HIPAA à l'aide de Power Virtual Server. Pour plus d'informations, voir IBM Cloud® compliance: HIPAA.

Si votre entreprise est une entité couverte au sens de la loi HIPAA, vous devez activer le paramètre HIPAA Supported si vous exécutez des charges de travail sensibles réglementées par la loi HIPAA et la loi HITECH. En utilisant ce paramètre, vous pouvez filtrer les services compatibles HIPAA dans le catalogue, indiquer à IBM que votre compte stocke des informations de santé protégées (PHI) et accepter numériquement le Business Associate Addendum de IBM pour les entités couvertes. Pour plus d'informations, voir Activation de la prise en charge de HIPAA pour votre compte.