HITRUST

HITRUST CSF®は、サイバーセキュリティの脅威を評価・管理し、保護された医療情報（PHI）などの機密データを保護するためのフレームワークです。 Power Virtual Server はHITRUST CSF®に準拠しています。 IBM の担当者に連絡し、 Power Virtual Server のHITRUST認証レターを依頼してください。 IBM Cloud のインフラストラクチャサービスの詳細なスコープ説明を記載してください。

詳しくは 、「HITRUSTとは？」 をご覧ください。

金融サービス ® 検証済み

IBM は、金融サービス制御要件のために IBM Cloud フレームワークを実質的に実装すると決定された IBM Cloud サービスを IBM Cloud for Financial Services Validated として指定します。

検証済みの IBM Cloud サービスの詳細およびリストについては、 IBM Cloud® for Financial Services ®を参照してください。

SOC

米国公認会計士協会（AICPA）が開発したSOC（System and Organization Controls）フレームワークは、クラウドに保存される情報を保護するための管理基準である。 公認会計士 (CPA) がクラウド・サービス・プロバイダー (CSP) を監査し、サービス組織が提供するサービスに関する内部統制報告書を作成します。 SOC レポートは、ユーザーがアウトソーシングされたサービスに関連するリスクを評価し、対処するのに役立ちます。

SOC 1 は、お客様の財務報告書に含まれるお客様所有のデータを保護するために実装されたサービス組織の内部統制の監査です。 SOC 1 の監査とレポートは、Statement on Standards for Attestation Engagements (SSAE 18) および International Standards for Assurance Engagements No. 3402 (ISAE 3402) に基づいています。

IBM 担当員 に連絡して、 IBM パブリック・クラウド (インフラストラクチャー、VPC、および PaaS) SOC レポートを要求してください。

Power Virtual Server 以下の SOC レポートが利用可能です：

• SOC 1 タイプ II
• SOC 2 タイプ II

ISO 27017:2015

国際標準化機構 (ISO) は、164 の国家標準化団体のメンバーシップを有する、独立した非政府組織です。 ISO は、自発的、コンセンサス・ベース、および市場に関連する国際標準を策定します。 目標は、製品とサービスの安全性、信頼性、品質を確保することです。

Power Virtual Server は、 IBM Cloud™ IaaS ISO 認証のコンポーネントであるグローバル・データ・センターから提供されるサービスを提供します。 ISO 認証は、以下の 4 つの標準のファミリーを対象としています。

• ISO/IEC 27001:2013
• ISO/IEC 27017:2015
• ISO/IEC 27018:2019
• ISO/IEC 27701:2019

詳細については、 IBM Cloud® コンプライアンスをご覧ください：ISO 27017 および IBM サービス情報セキュリティマネジメントシステム（ISMS）の範囲内の製品。

PCI-DSS

加盟店に一貫した基準を保証するため、Payment Card Industry Security Standards Council（PCIセキュリティ基準評議会）はPayment Card Industry（PCI）データセキュリティ基準を制定しました。 これらの基準には、カード所有者のデータを保護するためのベスト・プラク ティスが取り込まれており、第三者の認定サービス評価機関 (QSA: Qualified Service Assessor) による検証を必要とする場合が多々あります。 IBM は、PCI DSS のレベル 1 サービス・プロバイダーです。

お客様は、カード会員データの保存、処理、および送信に責任を負い、 IBM Cloud Platformサービスを使用して、カード会員データを保存、送信、または処理できるカード会員データ環境（CDE）を作成する場合があります。 独自の PCI DSS 認証を求める場合は、 IBM Cloud Attestation of Compliance (AOC) を使用できます。 IBM Cloud プラットフォームサービスを使用して構築された CDE およびアプリケーションを、PCI DSS に準拠した方法で文書化し、運用することはお客様の責任です。

IBM 担当員 に連絡して、 Power Virtual Serverの PCI DSS Attestation of Compliance (AOC) または Service Responsibility Matrix (SRM) ガイドを要求してください。

PCI-DSS に準拠した環境とアプリケーションは、 IBM Cloudを使用して構築できます。 詳しくは、 IBM Cloud PCI DSS ガイダンスを参照してください。

HIPAA

米国医療保険の 相互運用性と説明責任に関する法律（HIPAA）と経済的および臨床的健康のための医療情報技術法（HITECH法）は、電子医療取引と情報を取り扱うための基準を定めています。 Power Virtual Server on IBM Cloud はHIPAAに対応しています。 Power Virtual Serverを使用して、HIPAA 対応の環境およびアプリケーションを作成できます。 詳しくは、 IBM Cloud® compliance: HIPAAを参照してください。

御社がHIPAAで定義された対象事業体である場合、HIPAAおよびHITECH法で規制される機密性の高いワークロードを実行する場合は、HIPAA Supported設定を有効にする必要があります。 この設定を使用することで、カタログのHIPAA Enabledサービスをフィルタリングし、 IBM、アカウントに保護された医療情報（PHI）が保存されていることを示し、 IBM 「Business Associate Addendum for covered entities」をデジタルで承認することができます。 詳しくは、アカウントでの HIPAA サポートの有効化を参照してください。