Sobre os programas de conformidade regional do IBM Cloud

Os líderes de empresas internacionais lidam com um cenário crescente de padrões de conformidade específicos de cada região à medida que movem suas infraestruturas de TI para a cloud. Os serviços da plataforma IBM Cloud™ podem ajudá-lo a atender aos padrões de conformidade regional.

Ásia-Pacífico

FISC (Japão)

O Centro de Sistemas de Informações do Mercado Financeiro (FISC) foi criado pelo Ministério das Finanças do Japão para realizar pesquisas sobre tópicos relacionados aos sistemas de informações financeiras no Japão. O FISC criou diretrizes para promover a segurança dos sistemas de informações nos setores bancário e financeiro. Essas diretrizes do FISC, embora não definidas por lei, são reconhecidas e utilizadas pela maioria das instituições financeiras japonesas na concepção e na manutenção de seus sistemas de informações.

IRAP (Austrália)

O Programa de Assessores Registrados de Segurança de Informações (IRAP) é uma iniciativa criada pela Australian Signals Directorate (ASD) para fornecer informações de alta qualidade e serviços de tecnologia de comunicações ao governo em suporte à segurança da Austrália. O IRAP fornece o modelo para apoiar que os indivíduos dos setores privado e público forneçam serviços de avaliação de segurança cibernética ao governo australiano.

K-ISMS (Coreia do Sul)

O Sistema de Gerenciamento de Segurança de Informações da Coreia (K-ISMOS) é uma certificação apoiada pelo governo coreano e patrocinada pela Agência de Internet e Segurança da Coreia (KISA). O K-ISMS é um sistema de certificação projetado para avaliar se o sistema de gerenciamento de segurança de informações da empresa está devidamente estabelecido e é devidamente gerenciado e operado. Conquistar essa certificação significa que os clientes da infraestrutura IBM Cloud na Coreia do Sul podem demonstrar mais facilmente a adesão aos requisitos jurídicos locais para a proteção de ativos de informações digitais importantes e atender aos padrões de conformidade do KISA.

Veja o certificado K-ISMOS dos serviços da infraestrutura IBM Cloud em inglês (PDF, 317 KB)

Veja o certificado K-ISMOS dos serviços da infraestrutura IBM Cloud em coreano (PDF, 280 KB)

Logotipo do ISMS

MTCS (Singapura)

A Segurança em Cloud Multicamada (MTCS), também conhecida como Singapore Standard SS 584, é um padrão de segurança com multicamadas para provedores de serviços em cloud que operam em Singapura.

Para solicitar o certificado da infraestrutura IBM Cloud:Visite o portal do cliente (link externo à IBM)

My Number Act (Japão)

O Sistema de Seguridade Social e Número de Tributo (My Number Act) entrou em vigor no Japão em janeiro de 2016. Com essa lei, um número único é designado a cada residente do Japão, seja japonês ou estrangeiro, para fins principalmente fiscais e de seguridade social. A Comissão de Proteção de Informações Pessoais (PPC) criou diretrizes para garantir que as empresas manuseiem e protejam adequadamente as informações da My Number.

Logotipo da Lei My Number

Europa e Reino Unido

BaFin (Alemanha)

A BaFin, formalmente conhecido como a Autoridade Federal de Supervisão Financeira da Alemanha, fiscaliza todas as empresas de serviços financeiros na Alemanha. A BaFin publicou uma especificação para o modelo regulamentar dos serviços de computação em cloud prestados às empresas de serviços financeiros.

C5 (Alemanha)

O Catálogo de Controles de Conformidade da Computação em Cloud (C5), introduzido pelo Departamento Federal Alemão de Segurança de Informações (BSI), é um esquema de comprovação específico de cloud. Esse esquema descreve os requisitos que os provedores de serviços em cloud devem atender a fim de garantir um nível mínimo de segurança em seus serviços em cloud. O C5 eleva as demandas sobre os provedores de cloud, combinando os padrões de segurança existentes, como o ISO 27001, com requisitos adicionais a fim de fornecer maior transparência no processamento de dados.

Para solicitar o atestado C5 da infraestrutura IBM Cloud, faça uma das ações a seguir:Visite o portal do cliente (link externo à IBM)
Entre em contato com um representante IBM

Autoridade Europeia do Setor Bancário - EBA (UE)

Como parte de sua missão de estabelecer práticas de supervisão consistentes, eficientes e eficazes em toda a UE e garantir a aplicação uniforme do direito da União, a Autoridade Europeia do Setor Bancário (EBA) emite orientações e recomendações regulamentares em seus domínios de competência.

Saiba como a plataforma IBM Cloud suporta as recomendações da EBA (PDF, 1.5 MB)

ENISA IAF (UE)

A Agência da União Europeia para Segurança de Informações e Redes (ENISA) emitiu o Modelo de Garantia de Informações (IAF), um conjunto de critérios de garantia desenvolvido para avaliar o risco da adoção de serviços em cloud, comparando diferentes ofertas de provedores, obtendo a garantia dos provedores selecionados e reduzindo o ônus de garantia.

ENS (Espanha)

O Modelo de Segurança Nacional da Espanha (ENS) é um decreto jurídico que desenvolve disposições sobre segurança para aplicá-las a todas as administrações públicas na Espanha. O ENS estabelece a política de segurança para os serviços governamentais eletrônico. Ele estabelece os princípios básicos e os requisitos mínimos para permitir a proteção adequada das informações a serem seguidas por todas as administrações públicas.

Veja o certificado ENS High da infraestrutura IBM Cloud (PDF, 704 KB)

Os serviços da plataforma IBM Cloud com um certificado ENS High incluem:

IBM Cloud Bare Metal
IBM Cloud Block Storage
IBM Cloud Direct Link
IBM Cloud File Storage
IBM Cloud Hardware Security Module
IBM Cloud Object Storage (IaaS)
Servidor virtuais do IBM Cloud

Certificado ENS da Espanha

Cláusulas do Modelo da UE

As Cláusulas do Modelo da UE estão disponíveis para controladores e processadores de Informações Pessoalmente Identificáveis (PII) de cidadãos da UE. Essas cláusulas obrigam as empresas que estão fora da UE a seguirem as leis e práticas definidas pela Diretiva de Proteção de Dados da UE em todas as localidades globais. As cláusulas fornecem garantia e direitos de aplicação às empresas que detêm PII da UE de que os fornecedores localizados fora da UE processarão dados somente de acordo com as instruções fornecidas e em conformidade com as leis da UE. Em maio de 2018, a Diretiva de Proteção de Dados da UE foi substituída pelo Regulamento Geral sobre a Proteção de Dados (GDPR).

Escudo de Privacidade entre a UE e os EUA

Os Modelos de Blindagem de Privacidade entre a UE e os EUA e entre a Suíça e os EUA foram projetados pelo Departamento de Comércio dos Estados Unidos, pela Comissão Europeia e pela Administração Suíça. Esses modelos fornecem às empresas de ambos os lados do Atlântico um mecanismo para cumprir com os requisitos de proteção de dados ao transferir dados pessoais da União Europeia e da Suíça aos Estados Unidos em suporte do comércio transatlântico.

Veja a política IBM e a lista de serviços do IBM Cloud certificados com a blindagem de privacidade

GDPR (UE)

Como parte do Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia, a IBM está aprimorando seu compromisso contínuo e fundamental com a privacidade. A IBM está trabalhando para integrar princípios de proteção de dados ainda mais profundamente em seus processos de negócios. Esse trabalho também fortalece os controles existentes que limitam o acesso a dados pessoais, incluindo aplicativos móveis que dependem de configurações padrão para evitar o compartilhamento de dados pessoais.

Saiba mais sobre o Modelo do GDPR da IBM

G-Cloud (Reino Unido)

O governo do Reino Unido criou o modelo G-Cloud para permitir um processo mais rápido e menos custoso para as empresas governamentais do Reino Unido que celebram contratos de compras com provedores de cloud. Os serviços G-Cloud são divididos em três categorias: hospedagem em cloud, software em cloud e suporte em cloud.

Hébergeurs de Données de Santé - HDS; hospedagem de dados de saúde (França)

O Hébergeurs de Données de Santé (HDS) foi projetado para descrever as condições sob as quais os dados pessoais de saúde inicialmente recolhidos na França devem ser protegidos. A hospedagem de dados deve incluir controles de segurança proporcionais à natureza crítica dos dados.

Qualquer pessoa física ou jurídica que hospeda dados pessoais de saúde coletados na França deve ser aprovada ou certificada para esse fim.

Veja o certificado HDS dos serviços da infraestrutura IBM Cloud (PDF, 448 KB)

IT-Grundschutz (Alemanha)

O objetivo a IT-Grundschutz é atingir um nível de segurança adequado para todos os tipos de informação em uma empresa. A IT-Grundschutz utiliza uma abordagem abrangente para esse processo e fornece orientação para a aplicação de proteções técnicas, corporativas, pessoais e de infraestrutura.

Diretiva NIS (UE)

A Diretiva de Sistemas de Informações e Rede (NIS) (UE 2016/1148) é a primeira lei de segurança cibernética a ser aplicada em toda a União Europeia e visa aumentar o nível geral de segurança cibernética de infraestruturas críticas na UE.

A IBM mantém medidas padrão, tanto técnicas quanto corporativas, que são adequadas e proporcionais para gerenciar os riscos à segurança dos sistemas de informações e rede. Isso inclui um programa de monitoramento de segurança e um processo global de resposta a incidentes a fim de responder a ameaças e ataques de segurança cibernética. Além disso, a IBM utiliza uma combinação de treinamento on-line, ferramentas educacionais, vídeos e outras iniciativas de conscientização para fomentar uma cultura de conscientização de segurança e responsabilidade entre seus colaboradores. Informações adicionais sobre essas medidas técnicas e corporativas estão disponíveis nas certificações e nos relatórios de auditoria da IBM, como o ISO 27001 e o SOC 2.

 

Estados Unidos

FERPA

A segurança é essencial para a conformidade com o Family Educational Rights and Privacy Act (FERPA), que requer a proteção das informações dos estudantes contra divulgações não autorizadas. As instituições educacionais que usam computação em cloud precisam de garantias contratuais de que um fornecedor de tecnologia gerenciará adequadamente dados confidenciais dos estudantes.