Os relatórios de Controle da Organização de Serviços (SOC) são relatórios independentes, emitidos por terceiros, por avaliadores certificados pelo American Institute of Certified Public Accountants (Instituto Americano de Contadores Públicos Certificados) (AICPA), que abordam o risco associado a um serviço terceirizado. O AICPA estabeleceu os Critérios de Serviços de Confiança (TSC) para segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade, que servem de base para a avaliação das organizações de serviços.
Um relatório SOC 2 avalia os controles internos que uma organização implementou para proteger os dados de propriedade do cliente e apresenta detalhes sobre a natureza desses controles internos.
Entre em contato com um representante da IBM para solicitar relatórios SOC 2.
Um relatório SOC 2 pode ser fornecido para serviços da IBM que implementaram controles de acordo com os Princípios de Serviço de Confiança selecionados. O relatório SOC 2 demonstra que a IBM projetou controles para os Princípios de Serviço de Confiança selecionados corretamente e que os controles operaram efetivamente durante o período do relatório.
Os serviços listados abaixo têm relatório SOC 2 Tipo 2 disponível, representando um período durante o qual os controles foram avaliados. Como esses relatórios representam um período de avaliação no passado, uma carta-ponte pode acompanhar um relatório SOC 2 Tipo 2, no qual a IBM atesta o desempenho contínuo do controle de serviço desde o término do último período de relatório.
As Descrições de Serviço IBM (SDs) indicam se uma determinada oferta mantém o status de conformidade SOC 2 Tipo 2. Os serviços abaixo emitem relatórios SOC 2 Tipo 2 pelo menos uma vez por ano.
Consulte a descrição do sistema de infraestrutura da IBM Cloud
Acelere sua conformidade com os serviços do IBM Cloud
A versão mais recente do PCI DSS (v4.0) foi lançada em março de 2022. As organizações devem implementar esses 12 requisitos até 31 de março de 2025 para atender à conformidade.
O IBM Cloud oferece o seguinte conjunto de serviços que ajudarão você a atender aos requisitos específicos do PCI DSS e acelerar sua jornada de conformidade.
|
1. Avaliação de risco |
|---|
IBM Security and Compliance Center
O IBM Security and Compliance Center é um pacote integrado de soluções para definir políticas como código, implementar controles para implementações seguras de dados e cargas de trabalho, e avaliar a postura de segurança e conformidade em ambientes de multinuvem híbrida.
IBM Security and Compliance Center - Proteção contra carga de trabalho
Em arquiteturas focadas em contêineres e microsserviços, você pode usar o IBM Cloud Security and Compliance Center Workload Protection para encontrar e priorizar vulnerabilidades de software, detectar e responder a ameaças e gerenciar configurações, permissões e conformidade da origem à execução.
IBM Cloud Security Solutions – Threat Management – IBM Security QRadar Suite
O IBM Security QRadar Suite é uma solução modernizada de detecção e resposta a ameaças, projetada para unificar a experiência do analista de segurança e acelerar sua velocidade em todo o ciclo de vida do incidente. O portfólio é embutido com IA e automação de nível empresarial para aumentar drasticamente a produtividade do analista, ajudando equipes de segurança com recursos limitados a trabalhar de forma mais eficaz em tecnologias centrais.
Com uma interface de usuário comum, insights compartilhados e fluxos de trabalho conectados, oferece produtos integrados para: segurança de endpoint (EDR, XDR, MDR), gerenciamento de log, SIEM, SOAR
IBM Security Guardium
O IBM® Security Guardium é uma linha de softwares de segurança de dados do portfólio IBM Security que descobre vulnerabilidades e protege dados confidenciais no local e na nuvem.
Serviços do IBM Cloud Database
Os serviços do IBM Cloud Database como serviço (DBaaS) liberam desenvolvedores e TI de tarefas complexas e demoradas, incluindo implementação de infraestrutura e software de banco de dados, operações de infraestrutura, atualizações de software de banco de dados e backup. As SMEs do IBM Cloud Database entregam e mantêm instâncias de banco de dados prontas para uso e altamente disponíveis, liberando tempo para os desenvolvedores e as equipes de TI se concentrarem em outras prioridades.
IBM Cloud Monitoring
Monitoramento e solução de problemas em nuvem para infraestrutura, serviços de nuvem e aplicações
|
2. Atividades de controle |
|---|
IBM Cloud Identity and Access Management (IAM)
O serviço IBM Cloud Identity and Access Management (IAM) autentica com segurança os usuários e controla o acesso a todos os recursos de forma consistente na plataforma IBM Cloud.
Serviços do IBM Cloud Database
Os serviços do IBM Cloud Database como serviço (DBaaS) liberam desenvolvedores e TI de tarefas complexas e demoradas, incluindo implementação de infraestrutura e software de banco de dados, operações de infraestrutura, atualizações de software de banco de dados e backup. As SMEs do IBM Cloud Database entregam e mantêm instâncias de banco de dados prontas para uso e altamente disponíveis, liberando tempo para os desenvolvedores e as equipes de TI se concentrarem em outras prioridades.
Entrega contínua
Adote DevOps pronto para empresas. Crie cadeias de ferramentas seguras que suportam as tarefas de entrega do aplicativo. Automatize compilações, testes, implementações e muito mais.
IBM Cloud Logs
Obtenha observabilidade de logs com o IBM Cloud Logs para ajudar a melhorar o desempenho da infraestrutura e das aplicações
|
3. Controles de acesso lógico e físico |
|---|
IBM Cloud Internet Services (CIS)
O IBM Cloud Internet Services traz segurança e desempenho líderes de mercado para seu conteúdo da web externo e aplicações da internet antes que eles cheguem à nuvem.
IBM Cloud Direct Link
A solução IBM Cloud Direct Link foi criada para conectar seus recursos locais a seus recursos de nuvem sem dificuldades. A velocidade e a confiabilidade do IBM Cloud Direct Link ajudam a estender a rede do data center de sua organização e fornecem conectividade consistente e com maior taxa de transferência, sem contato com a internet pública.
Dispositivos IBM Cloud Gateway
Os dispositivos de gateway são dispositivos que oferecem controle aprimorado sobre o tráfego de rede, permitem acelerar o desempenho da rede e dar à rede um impulso de segurança. Gerencie suas redes físicas e virtuais para rotear várias VLANs, para firewalls, VPN, modelagem de tráfego e muito mais.
IBM Cloud Transit Gateway
O IBM Cloud Transit Gateway ajuda você a conectar e gerenciar suas redes IBM Cloud Virtual Private Cloud (VPC).
Dispositivo de segurança Fortigate
O FortiGate Security Appliance (FSA) de 10 Gbps é um firewall de hardware que pode ser configurado para proteger o tráfego em várias VLANs para redes públicas e privadas.
Firewall de hardware
O firewall de hardware oferece aos clientes uma camada essencial de segurança que é provisionada sob demanda, sem interrupções de serviço. Ele impede que o tráfego indesejado atinja seus servidores, reduzindo a superfície de ataque e permitindo que os recursos do servidor sejam dedicados ao uso pretendido.
IBM Key Protect for IBM Cloud
O serviço IBM Key Protect for IBM Cloud ajuda você a provisionar e armazenar chaves criptografadas para aplicativos nos serviços IBM Cloud, para que você possa ver e gerenciar a criptografia de dados e todo o ciclo de vida da chave em um único lugar.
IBM Cloud App ID
O IBM Cloud App ID permite que você adicione facilmente a autenticação aos aplicativos da web e móveis. Você não precisa mais se preocupar em configurar a infraestrutura para identidade, garantir a disponibilidade geográfica e confirmar as normas de conformidade. Em vez disso, você pode aprimorar seus aplicativos com recursos avançados de segurança, como autenticação multifator e logon único.
Secrets Manager
Com o IBM Cloud Secrets Manager, você pode criar segredos dinamicamente e alugá-los aos aplicativos enquanto controla o acesso a partir de um único local. Construído no HashiCorp Vault de código aberto, o Secrets Manager ajuda você a obter o isolamento de dados de um ambiente dedicado com os benefícios de uma nuvem pública.
IBM Security and Compliance Center - Data Security Broker - Manager
Proteja seus dados na nuvem com o IBM Cloud Data Security Broker, que é uma solução completa de criptografia de dados que protege dados sigilosos em bancos de dados empresariais, integrando-se com gerenciamento de chaves e bancos de dados para fornecer criptografia em nível de aplicação.
IBM Cloud Hyper Protect Virtual Servers
O Hyper Protect Virtual Servers for Virtual Private Cloud (VPC) é um tempo de execução de contêiner confidencial totalmente gerenciado que permite a implementação de cargas de trabalho conteinerizadas sensíveis em um ambiente altamente isolado com garantia técnica.
IBM Cloud Hardware Security Module
O IBM Cloud Hardware Security Module (HSM) 7.0 da Gemalto protege infraestruturas criptográficas ao gerenciar, processar e armazenar com mais segurança as chaves criptográficas dentro de um dispositivo de hardware inviolável. Ele ajuda a resolver desafios complexos de segurança, conformidade, soberania de dados e controle, migrando e executando cargas de trabalho na nuvem.
IBM Cloud Identity and Access Management (IAM)
O serviço IBM Cloud Identity and Access Management (IAM) autentica com segurança os usuários e controla o acesso a todos os recursos de forma consistente na plataforma IBM Cloud.
Serviços de armazenamento do IBM Cloud
Nossos serviços de armazenamento em nuvem oferecem um local escalável, repleto de recursos de segurança e econômico para seus dados, além de ser compatível com cargas de trabalho tradicionais e nativas da nuvem. Provisione e implemente serviços como armazenamento de objetos de acesso, blocos e arquivos. Ajuste a capacidade e otimize o desempenho à medida que os requisitos mudam. Pague somente pelo armazenamento em nuvem de que você precisa.
Serviços do IBM Cloud Database
Os serviços do IBM Cloud Database como serviço (DBaaS) liberam desenvolvedores e TI de tarefas complexas e demoradas, incluindo implementação de infraestrutura e software de banco de dados, operações de infraestrutura, atualizações de software de banco de dados e backup. As SMEs do IBM Cloud Database entregam e mantêm instâncias de banco de dados prontas para uso e altamente disponíveis, liberando tempo para os desenvolvedores e as equipes de TI se concentrarem em outras prioridades.
Gerenciamento de dispositivos móveis (MDM)
IBM Security MaaS360 é um produto UEM abrangente que o ajuda a gerenciar os dispositivos móveis de sua organização. Ele oferece:
- Gerenciamento de iOS, Android e iPadOS
- Segurança móvel
- Identidade como serviço (IDaaS)
- Autenticação de diversos fatores (MFA)
- Inteligência artificial (IA) e análise em tempo real da qualidade de dados
- Controle remoto, gerenciamento de aplicativos e integração com aplicativos de terceiros estão disponíveis
VPN IPsec
A VPN viabiliza a conectividade da sua rede segura com a rede privada da plataforma de IaaS da IBM. Uma conexão VPN da sua localização com a rede privada permite o gerenciamento fora de banda e o resgate de servidores por meio de um túnel de VPN criptografado. A comunicação usando a rede privada é inerentemente mais segura e dá aos usuários a flexibilidade de limitar o acesso público, enquanto ainda conseguem acessar seus servidores. Qualquer usuário da sua conta pode receber acesso via VPN, que está disponível como SSL e PPTP. Além disso, o IBM Bluemix também permite estabelecer uma conexão usando IPSec.
SSL VPN
O acesso via VPN permite que você gerencie todos os servidores e serviços associados à sua conta, remotamente, por meio da rede privada da IBM Cloud. Uma conexão VPN da sua localização com a rede privada permite o gerenciamento fora de banda e o resgate de servidores por meio de um túnel de VPN criptografado.
A comunicação usando a rede privada é inerentemente mais segura. Ela oferece a flexibilidade de limitar o acesso público enquanto ainda consegue gerenciar seus servidores. Qualquer usuário da sua conta pode receber acesso à VPN, que está disponível como SSL. As interações da VPN por meio do console da IBM Cloud permitem a personalização do acesso à VPN no nível do usuário.
|
4. Operações do sistema |
|---|
IBM Cloud Direct Link
A velocidade e a confiabilidade do IBM Cloud Direct Link ajudam a estender a rede do data center da sua organização sem contato com a internet pública.
IBM cloud transit gateway
O IBM Cloud Transit Gateway ajuda você a conectar e gerenciar suas redes IBM Cloud Virtual Private Cloud (VPC).
IBM Key Protect for IBM Cloud
O serviço IBM Key Protect for IBM Cloud ajuda você a provisionar e armazenar chaves criptografadas para aplicativos nos serviços IBM Cloud, para que você possa ver e gerenciar a criptografia de dados e todo o ciclo de vida da chave em um único lugar.
|
5. Proteja todos os sistemas e redes contra software malicioso |
|---|
IBM Cloud Internet Services (CIS)
O IBM Cloud Internet Services traz segurança e desempenho líderes de mercado para seu conteúdo da web externo e aplicações da internet antes que eles cheguem à nuvem.
IBM Cloud Direct Link
A velocidade e a confiabilidade do IBM Cloud Direct Link ajudam a estender a rede do data center da sua organização sem contato com a internet pública.
Dispositivo de segurança Fortigate
Implemente um par de dispositivos virtuais FortiGate em seu ambiente, o que pode ajudá-lo a reduzir o risco implementando controles de segurança críticos em sua infraestrutura virtual.
Suíte IBM QRadar
A IBM Security QRadar Suite é uma solução modernizada de detecção e resposta a ameaças projetada para unificar a experiência do analista de segurança e acelerar sua velocidade em todo o ciclo de vida do incidente.
IBM Security Guardium
Software de segurança de dados no portfólio IBM Security que descobre vulnerabilidades e protege dados confidenciais no local e na nuvem.
|
6. Desenvolva e mantenha sistemas e software seguros |
|---|
IBM Cloud Internet Services (CIS)
O IBM Cloud Internet Services traz segurança e desempenho líderes de mercado para seu conteúdo da web externo e aplicações da internet antes que eles cheguem à nuvem.
IBM Security and Compliance Center - Proteção contra carga de trabalho
Encontre e priorize vulnerabilidades de software, detecte e responda a ameaças e gerencie configurações, permissões e conformidade da origem à execução.
IBM Security Guardium
Software de segurança de dados no portfólio IBM Security que descobre vulnerabilidades e protege dados confidenciais no local e na nuvem.
IBM Cloud Container Registry
Armazene e distribua imagens de contêineres em um registro privado totalmente gerenciado. Envie imagens privadas para executar convenientemente no IBM Cloud Kubernetes Service e em outros ambientes de tempo de execução.
IBM Cloud Continuous Delivery
Adote DevOps pronto para empresas. Crie cadeias de ferramentas seguras que suportam as tarefas de entrega do aplicativo. Automatize compilações, testes, implementações e muito mais.
IBM Cloud Kubernetes Service
Implemente clusters seguros e de alta disponibilidade em uma experiência nativa do Kubernetes.
|
7. Restrinja o acesso a componentes de sistemas e dados de titulares de cartão por necessidade comercial |
|---|
IBM Cloud App ID
Adicione autenticação a aplicativos móveis e da web com facilidade. Aprimore seus aplicativos com recursos avançados de segurança, como autenticação multifator e logon único.
IBM Cloud Identity and Access Management (IAM)
O serviço IBM Cloud Identity and Access Management autentica com segurança os usuários e controla o acesso a todos os recursos de forma consistente no IBM Cloud Platform.
|
8. Identifique usuários e autentique o acesso aos componentes do sistema |
|---|
IBM Cloud App ID
Adicione autenticação a aplicativos móveis e da web com facilidade. Aprimore seus aplicativos com recursos avançados de segurança, como autenticação multifator e logon único.
IBM Cloud Secrets Manager
Crie segredos de forma dinâmica e alugue-os aos aplicativos enquanto controla o acesso a partir de um único local. Construído em código aberto HashiCorp Vault.
IBM Cloud Identity and Access Management (IAM)
O serviço IBM Cloud Identity and Access Management autentica com segurança os usuários e controla o acesso a todos os recursos de forma consistente no IBM Cloud Platform.
|
9. Restrinja o acesso físico aos dados do titular do cartão |
|---|
A IBM Cloud adota várias medidas para aumentar a segurança física:
- Segurança física do perímetro do data center
- Controles de acesso de entrada e saída e registro
- Proteja escritórios, salas e instalações
- Proteção contra ameaças externas e ambientais
- Redundância de energia e equipamentos de rede
- Descarte seguro de equipamentos durante o desprovisionamento
- Política de negócios de RH corporativo e segurança para integração, treinamento e desligamento
|
10. Registre e monitore todo o acesso aos componentes do sistema e aos dados do titular do cartão |
|---|
IBM Cloud Flow Logs for VPC
Permitir a coleta, o armazenamento e a apresentação de informações sobre o tráfego do Protocolo de Internet (IP) de ida e de volta das interfaces de rede em sua nuvem privada virtual (VPC).
Suíte IBM QRadar
A IBM Security QRadar Suite é uma solução modernizada de detecção e resposta a ameaças projetada para unificar a experiência do analista de segurança e acelerar sua velocidade em todo o ciclo de vida do incidente.
IBM Cloud Identity and Access Management (IAM)
O serviço IBM Cloud Identity and Access Management autentica com segurança os usuários e controla o acesso a todos os recursos de forma consistente no IBM Cloud Platform.
IBM Security Guardium
Software de segurança de dados no portfólio IBM Security que descobre vulnerabilidades e protege dados confidenciais no local e na nuvem.
IBM Cloud Logs
Tenha observabilidade de logs com o IBM Cloud Logs para ajudar a melhorar a infraestrutura e o desempenho do aplicativo
IBM Cloud Monitoring
Monitoramento e solução de problemas em nuvem para infraestrutura, serviços e aplicações em nuvem.
|
11. Teste a segurança de sistemas e redes regularmente |
|---|
IBM Security and Compliance Center - Proteção contra carga de trabalho
Encontre e priorize vulnerabilidades de software, detecte e responda a ameaças e gerencie configurações, permissões e conformidade da origem à execução.
Suíte IBM QRadar
A IBM Security QRadar Suite é uma solução modernizada de detecção e resposta a ameaças projetada para unificar a experiência do analista de segurança e acelerar sua velocidade em todo o ciclo de vida do incidente.
IBM Security Guardium
Software de segurança de dados no portfólio IBM Security que descobre vulnerabilidades e protege dados confidenciais no local e na nuvem.
|
12. Apoie a segurança da informação com políticas e programas organizacionais |
|---|
IBM Security and Compliance Center - Proteção contra carga de trabalho
Encontre e priorize vulnerabilidades de software, detecte e responda a ameaças e gerencie configurações, permissões e conformidade da origem à execução.
IBM Cloud Logs
Tenha observabilidade de logs com o IBM Cloud Logs para ajudar a melhorar a infraestrutura e o desempenho do aplicativo
IBM Cloud Monitoring
Monitoramento e solução de problemas em nuvem para infraestrutura, serviços e aplicações em nuvem.