IBM SaaS 安全性

/SaaS 业务应用/SaaS 安全性

IBM SaaS 安全性

回到页首

Select a different country:

采用 SaaS 的企业数量在不断增加,这当中既包括初创型企业,也包括大型跨国公司。强大的安全和隐私功能是企业决策者选择云供应商的最主要标准。当然,根据不断变化的需求快速调整而不危及安全和隐私的适应能力也同样重要。IBM 一直都非常重视安全和隐私,因此赢得了全球企业的信任。


有关 IBM SaaS 安全性的常见问题及解答


运营

IBM SaaS 产品采用公共云、私有云还是混合云模式?

所有 IBM SaaS 产品都是通过互联网或虚拟专用网 (VPN) 连接访问的公共服务模式。IBM 也支持某些采用私有服务和混合模式的 SaaS 产品。

如果采用公共模式,那么是单租户还是多租户?

IBM SaaS 产品采用多租户和单租户混合部署模式。

IBM SaaS 产品是否能够处理个人信息?

是的,IBM SaaS 产品能够依据业界隐私标准处理个人信息 (PI) 和敏感个人信息 (SPI) 数据。

许多 SaaS 产品都通过了欧盟/美国之间的“安全港协议”认证,并且遵守其他有关个人信息 (PI) 和敏感个人信息 (SPI) 处理的法规。

IBM SaaS 产品还遵守其他哪些监管信息标准?

大多数 IBM SaaS 产品在处理数据时都遵守以下信息标准:ISO27000、SSAE16 和某些 NIST 标准,比如 FIPS 140-2。某些 SaaS 产品还支持 PCI、FFIEC 和 FISMA/FedRAMP。

哪些部门的人员可以访问服务及其关联的数据?

可以访问服务的支持人员来自 IT 运营、DevOps、SaaS 支持和 SaaS 产品部门(比如定制和加入)。

存储隐私信息或监管信息的服务器位于哪些地点?

IBM SaaS 产品可以在北美 (NA)、欧洲、中东和非洲 (EMEA) 的服务器上存储信息,在某些情况下,还可以在日本、中国香港特别行政区、新加坡和澳大利亚的服务器中存储信息。IBM 还在中国提供有限的 SaaS 运营,为中国客户提供服务,所有这些服务都遵守当地的法规要求。

第三方分包商是否可访问隐私或监管信息?

IBM 会使用第三方分包商来弥补人员不足问题。如果服务支持隐私或监管数据,那么第三方分包商可能会访问这些信息。

信息安全管理

IBM SaaS 产品是否具有信息安全策略?

是的。 IBM 实施了安全策略,这些策略符合 SSAE 和 ISO 的隐私标准,甚至更为严格。策略包含多项标准,从而在整体上更严格

是否存在内容加密和加密密钥管理策略?

是的。 IBM 安全策略中包含加密和密钥管理。大多数情况下,每笔交易都要协商加密属性。

是否已完成第三方安全认证?是否可提供认证报告?

许多服务都已完成或计划完成第三方认证,如果使用服务的客户提出请求,我们可以提供报告。

已实施或计划实施哪些标准国际认证?

至少包含 SAS70/SSAE16 和 ISO27000。

是否实施了信息安全事件管理流程?是否包含客户通知?

是的,我们实施了安全事件管理体系,这包括通知 IBM 客户。该流程由 IBM 首席信息官办公室管理。

是否实施策略来管理用户访问和密码(具有成文且可审计的过程)?

是的,我们实施了这种策略,并且由 IBM 和外部第三方审计 IBM 系统管理员访问。策略和审计包括授予和撤销访问权、验证业务需求等方面的流程。IBM 将相同的密码管理与合规性策略应用于 SaaS 业务,用于保护内部业务系统、源代码和知识产权网络。应用级别的用户访问权管理由客户负责,包括任何应用级别的客户系统管理员权限和密码管理。

在服务结束时如何处理客户数据?

客户数据可归还给客户或者安全地销毁。

是否实施了保密策略,以便第三方分包商能够访问客户数据?是否有流程向客户告知分包商的名称?

并非所有服务都使用第三方分包商来弥补人员不足问题。如果 IBM 使用分包商帮助提供服务,那么分包商具有与 IBM 正式员工相同的安全策略要求。向 IBM 提供分包商员工的公司都经历严格的筛选和资质认定流程,为 IBM 提供的每个分包商都必须签署保密协议。向 IBM 提供分包商员工的公司必须满足当地、地区和国家的聘用资质审核,然后才能向 IBM 提供员工。聘用 IBM 分包商的工作由 IBM 人力资源部和 IBM 采购部管理。

完整性

日志文件/审计跟踪是否可供客户用于监视访问其信息的人员?

IBM 会监控和管理日志文件和审计跟踪,以便发现对环境和数据服务器的未经授权访问。我们不会向客户提供访问日志或审计跟踪。

是否实施了策略和过程来保护个人信息远离移动和远程访问风险?

是的。 IBM 安全策略对移动和远程访问作了相关规定。在出于调试目的而需要远程访问时,IBM 员工必须通过加密的专用 VPN 访问服务,这符合业界标准,包括 NIST。

IBM SaaS 产品是否允许客户以原始提交格式检索个人数据的副本?或者以其他格式检索?

这种能力在每个 SaaS 产品的使用条款中具体规定。个人数据只能使用安全的传输协议或客户指定的其他安全传输方式进行传输,并且必须遵守有关跨境传输个人信息的法规。

是否实施了流程以帮助 IBM 客户支持其顾客(例如,最终消费者)访问、纠正或删除其信息?

IBM 按照客户的指示处理 SaaS 产品中的个人信息,客户是数据控制者并且负责向数据当事人提供通知以及获取必要的同意。IBM 不控制此类数据,但是当客户请求时,会与客户一起处理变更。

是否实施了任何措施,以便在生产、维护和灾难恢复期间排除或限制 IBM 个人的访问?

无论是进入相关场所还是逻辑访问,都依据 IBM 安全策略进行控制。这些控制措施包括分级别的门禁卡控制、摄像头监控、访客登记、服务逻辑日志记录、雇用连续性检查等

可用性

是否实施了信息备份流程?是否实施了在发生灾难时从备份恢复个人信息的过程?

是的,所有 IBM SaaS 产品均具备业务连续性和灾备计划,包括备份和恢复策略。根据服务的不同,通过加密磁带或加密脱机磁盘定期备份敏感个人信息 (SPI) 和受监管的数据。

是否有专门定义的维护计划?

每个 SaaS 产品都安排了维护计划,可能在产品的“使用条款”中描述,或者在产品的“客户成功支持”门户网站中发布。

是否专门定义了服务级别?

每个 SaaS 产品的“使用条款”中都定义了服务级别。

法律/合规性

是否通过美国/欧盟和美国/瑞士之间的“安全港协议”认证?

至少以下 IBM SaaS 云产品已通过“安全港协议”认证:

产品支持服务:

联系 IBM 扫码关注“IBM 云计算”
扫码关注“IBM 云计算” 隐藏 [x]