Certifications de conformité

ISO 27001

Les services gérés IBM Aspera on Cloud mis à disposition sur IBM® Cloud, sont certifiés conformes aux normes ISO 27001 et 27002, qui définissent les meilleures pratiques pour les processus de gestion de la sécurité de l'information. La norme ISO 27001:2013 spécifie les exigences relatives à l'établissement, la mise en œuvre et la documentation des contrôles ISMS (Information Security Management Systems). Le programme IBM a structuré l'ISMS en fonction de ces directives, en utilisant des contrôles de l'ensemble de contrôles NIST SP 800-53. Les services gérés par Aspera on Cloud sont audités par une société de sécurité tierce et répondent à toutes les exigences de certification ISO 27001:2013.

ISO 27017

La norme ISO 27017 établit les lignes directrices des contrôles de sécurité de l'information s'appliquant à l'approvisionnement et à l'utilisation des services cloud. Elle fournit également des conseils de mise en œuvre à l'attention des fournisseurs de services cloud et des clients utilisant ces services.

ISO 27018

La norme ISO 27018 établit des objectifs, des contrôles et des directives de contrôle communément acceptés pour la mise en œuvre de mesures de protection des informations identifiant la personne, conformément aux principes de protection de la vie privée énoncés dans la norme ISO 29100 pour l'environnement de cloud computing public.

Réglementations internationales

Clauses types de l'Union européenne

Les clauses types de l'UE sont mises à la disposition des contrôleurs et des processeurs des informations identifiant la personne des citoyens de l'UE. Ces clauses obligent les entreprises non membres de l'UE à suivre les lois et les pratiques sous mandat de l'UE pour tous les sites mondiaux. Elles prévoient des droits d'application. En outre, elles garantissent que les entreprises qui détiennent des informations identifiant la personne de l'UE que les fournisseurs hors UE traiteront ces données uniquement selon leurs instructions et conformément aux lois européennes.

RGPD

Le RGPD (Règlement général sur la protection des données) vise à créer un cadre législatif harmonisé sur la protection des données dans l'ensemble de l'UE et à redonner aux citoyens le contrôle de leurs données personnelles, tout en imposant des règles strictes à ceux qui hébergent et traitent ces données, partout dans le monde. IBM s'engage à fournir à chaque client et partenaire commercial IBM® des solutions innovantes en matière de confidentialité des données, de sécurité et de gouvernance pour les aider dans leur parcours RGPD.

HIPAA

IBM Aspera on Cloud satisfait aux contrôles IBM requis qui sont à la dimension des exigences des règles de sécurité et de confidentialité de l'HIPAA (Health Insurance Portability and Accountability Act) de 1996. Ces exigences incluent les mesures de protection administratives, physiques et techniques appropriées requises par Business Associates dans 45 CFR, partie 160 et sous-parties A et C de la partie 164.

Contactez votre représentant commercial pour signer l'accord BAA (IBM Business Associate Addendum).

FDA 21 CFR - partie 11

Le titre 21 CFR partie 11 est la partie du titre 21 du Code of Federal Regulations qui établit la réglementation de la Food and Drug Administration (FDA) des États-Unis sur les dossiers et les signatures électroniques (ERES).

Alignements et cadres

CSA

La Cloud Security Alliance (CSA) est une organisation à but non lucratif dont la mission est de promouvoir l'utilisation de meilleures pratiques pour assurer la sécurité au sein du cloud computing. L'un des mécanismes utilisés par la CSA pour remplir sa mission est le registre de sécurité, de confiance et d'assurance (STAR), registre gratuit et accessible au public, et qui documente les contrôles de sécurité fournis par diverses offres de cloud computing.

Bouclier de protection des données UE - États-Unis (Privacy Shield)

Les cadres de protection de la vie privée UE - États-Unis et Suisse - États-Unis ont été conçus par le département américain du commerce, la Commission européenne et l'administration suisse pour fournir aux entreprises des deux côtés de l'Atlantique un mécanisme qui leur permette de se conformer à la protection des données.

MPAA

Le MPAA (Motion Picture Association of America) a créé une directive sur les modèles de sécurité pour les fournisseurs tiers engagés par ses membres pour comprendre les attentes générales en matière de contenu et les meilleures pratiques actuelles de l'industrie. Cette directive identifie les contrôles dans les domaines de la gestion de la sécurité et des systèmes physiques et numériques, qui sont mappés sur les contrôles ISO et NIST.