FedRAMP

FedRAMP (Federal Risk and Authorization Management Program) ist ein US-Programm, das eine standardisierte Vorgehensweise für die Sicherheitsbewertung, Autorisierung und das kontinuierliche Monitoring von Cloud-Produkten und -Services vorsieht.

Weitere Informationen über das FedRAMP-Programm

FedRAMP autorisiert Cloud-Systeme mit einem dreistufigen Prozess, bestehend aus Sicherheitsbewertung, Nutzung und Autorisierung sowie laufender Bewertung und Autorisierung. Die IBM Cloud-Infrastruktur bietet Rechenzentren, die im Rahmen des FedRAMP-Programms akkreditiert sind. Unsere Federal Cloud ist von der US-Regierung autorisiert, den US-Bundesbehörden Services bereitzustellen. Die Autorisierung ist unter FedRAMP (Federal Risk and Authorization Management Program) zu finden.

FedRAMP

FISMA

Der Federal Information Security Management Act (FISMA) von 2002 stellt den Schutz von Daten der US-Regierung sicher.

Weitere Informationen über FISMA-Berichte

Das Gesetz fordert von Programmverantwortlichen und Behördenleitern die jährliche Durchführung von Informationssicherheitsprogrammen, um Risiken auf kostenwirksame, zeitnahe und effiziente Weise auf akzeptablem Niveau zu halten. Alle IBM Cloud-Rechenzentren entsprechen den FISMA-Standards.

Sicherheit

FFIEC

Um neue Sicherheitsbedrohungen zu bekämpfen, schreibt das FFIEC (Federal Financial Institutions Examination Council) Finanzunternehmen vor, kontinuierliche Risikobewertungen durchzuführen, Kontrollmechanismen soweit nötig anzupassen und einen mehrstufigen Ansatz für die Sicherheit zu verfolgen. Gemäß den Vorgaben des FFIEC identifiziert IBM Cloud wichtige Kontrollen, die erforderlich sind, um die FFIEC-Richtlinien einzuhalten, neue Sicherheitsbedrohungen zu erkennen, ihre Auswirkungen zu mindern und mehrstufige Sicherheitsmaßnahmen anzuwenden, um Betrug an Kunden zu verhindern.

Sicherheit

SOC-Berichte

Sie können sich die SOC 1- und SOC 2-Berichte für die IBM Cloud-Infrastruktur im Kundenportal herunterladen oder bei unserem Vertriebsteam anfordern. Der SOC 3-Bericht ist zur allgemeinen Verwendung hier verfügbar: SOC 3-Bericht für die IBM Cloud-Infrastruktur

Weitere Informationen über SOC-Berichte

Die SOC 1-, SOC 2- und SOC 3-Berichte für die IBM Cloud-Infrastruktur beurteilen die Betriebskontrollen von IBM Cloud IaaS im Hinblick auf die Kriterien der Trust Services Principles des American Institute of Certified Public Accountants (AICPA). Mit diesen Grundsätzen werden geeignete Kontrollsysteme definiert und Branchenstandards für Service-Provider wie IBM Cloud IaaS festgelegt, die dem Schutz der Daten und Informationen ihrer Kunden dienen.

Sicherheit

ISO 27001

ISO 27001 ist ein allgemein anerkannter globaler Sicherheitsstandard, der die Anforderungen an Systeme für das Management der Informationssicherheit beschreibt und einen systematischen Ansatz zum Management von Unternehmens- und Kundendaten auf der Basis regelmäßiger Risikobewertungen bereitstellt. Sie können sich die ISO 27001-Zertifikate hier herunterladen.

ISO 27001-Zertifikat für die IBM Cloud-Infrastruktur
ISO 27001-Zertifikat für die IBM Cloud-Plattform
ISO 27001-Zertifikat für IBM Cloud-Software

Weitere Informationen über ISO 27001

Um eine Zertifizierung nach ISO 27001:2013 zu erhalten, muss ein Unternehmen nachweisen, dass es einen systematischen und fortlaufenden Ansatz für das Management von Risiken für die Informationssicherheit verfolgt, die sich auf die Vertraulichkeit, Integrität und Verfügbarkeit von Unternehmens- und Kundendaten auswirken. Dieser Standard betont die Messung und Bewertung der Leistung des Systems für das Management der Informationssicherheit (Information Security Management System, ISMS) eines Unternehmens und enthält außerdem ein Kontrollsystem für die Informationssicherheit sowie weitere Anforderungen.

Die IBM Cloud-Infrastrukturplattform wird von einem externen Sicherheitsunternehmen überprüft und erfüllt alle Anforderungen von ISO 27001 in jedem überprüften Rechenzentrum:

Sicherheit

ISO 27017

Die IBM Cloud-Infrastrukturplattform wird von einem externen Sicherheitsunternehmen überprüft und erfüllt alle Anforderungen von ISO 27017 in jedem überprüften Rechenzentrum: ISO 27017:2015-Registrierungszertifikat für die IBM Cloud-Infrastruktur.

Weitere Informationen über ISO 27017

ISO/IEC 27017:2015 bietet Richtlinien für Kontrollen für die Informationssicherheit, die für die Bereitstellung und Nutzung von Cloud-Services gelten, sowie eine Anleitung zur Umsetzung dieser Kontrollen für Cloud-Service-Provider und -Kunden. ISO 27017 bietet eine Anleitung zur Umsetzung relevanter Kontrollen, die in ISO/IEC 27002 spezifiziert sind, sowie zusätzliche Kontrollen und Anleitungen, die sich speziell auf Cloud-Services beziehen.

Die Einhaltung von ISO 27017:2015 durch IBM Cloud IaaS ist Beweis für unser hochentwickeltes System Cloud-spezifischer Kontrollen und für unseren fortlaufenden Anspruch, die beste Infrastruktur bereitzustellen.

Sicherheit

ISO 27018

Die IBM Cloud-Infrastrukturplattform wird von einem externen Sicherheitsunternehmen überprüft und erfüllt alle Anforderungen von ISO 27018: ISO 27018:2014-Registrierungszertifikat für die IBM Cloud-Infrastruktur.

Weitere Informationen über ISO 27018

ISO 27018:2014 legt allgemein anerkannte Kontrollziele, Kontrollen und Richtlinien für die Umsetzung von Maßnahmen zum Schutz von personenbezogenen Daten gemäß den Datenschutzgrundsätzen in ISO 29100 für die Public-Cloud-Umgebung fest.

Insbesondere spezifiziert ISO 27018:2014 Richtlinien auf der Basis von ISO 27002, die gesetzliche Bestimmungen für den Schutz personenbezogener Daten berücksichtigen, die möglicherweise im Kontext der Umgebung(en) für das Management von Informationssicherheitsrisiken eines Anbieters von Public-Cloud-Services gelten.

Sicherheit

ISO 22301

Die IBM Cloud-Infrastruktur wird von einem externen Sicherheitsunternehmen überprüft und erfüllt alle Anforderungen von ISO 22301: ISO 22301:2012-Zertifikat für die IBM Cloud-Infrastruktur.

Weitere Informationen über ISO 22301

ISO 22301:2012 bietet Anforderungen für die Planung, die Einrichtung, die Implementierung, den Betrieb, die Überwachung, die Überprüfung und die Wartung von Business Continuity Management-Systemen (BCMS) in einem Unternehmen. Die BCMS unterstützen Unternehmen bei der Vorbereitung auf Störfälle, dem Schutz vor Störfällen und der Wiederherstellung nach Störfällen.

Die IBM Cloud-Infrastruktur hat diese Zertifizierung erreicht, um nachzuweisen, dass das Unternehmen bewährte Verfahren im Bereich Business Continuity Management einhält.

Sicherheit

ISO 31000

Die IBM Cloud-Infrastruktur wird von einem externen Sicherheitsunternehmen überprüft und erfüllt alle Anforderungen von ISO 31000: ISO 31000:2009-Zertifikat für SoftLayer.

Weitere Informationen über ISO 31000

ISO 31000:2009 bietet Grundsätze, eine Struktur und ein Verfahren für das Risikomanagement. Das ISO 31000-Handbuch soll die Experten eines Unternehmens dabei unterstützen, ihre Risikomanagementverfahren mit dem international anerkannten Benchmark zu vergleichen und diese auf den internationalen Standard abzustimmen.

Sicherheit

Cloud Security Alliance – STAR-Registrierung

Lesen Sie den Fragebogen der STAR Consensus Assessment Initiative für die IBM Cloud-Infrastruktur.

Weitere Informationen über die Cloud Security Alliance

Die Cloud Security Alliance ist eine gemeinnützige Organisation mit dem Ziel, beim Cloud-Computing die Beachtung bewährter Sicherheitsverfahren zu fördern. Ein Verfahren, das von der Cloud Security Alliance bei der Umsetzung ihres Ziels verwendet wird, ist STAR (Security, Trust and Assurance Registry). Das ist ein kostenloses, allgemein zugängliches Register, in dem die von verschiedenen Cloud-Computing-Angeboten verwendeten Sicherheitskontrollen dokumentiert werden.

Sicherheit

PCI-Compliance

Weitere Informationen darüber, wie Sie die PCI-Compliance für Ihre IBM Cloud-Umgebung erreichen, zertifizieren und aufrechterhalten können, erhalten Sie bei unserem Vertriebsteam.

Weitere Informationen über PCI-Compliance

Beim Speichern oder Verarbeiten von Kreditkartendaten sind PCI-Compliance und Netzsicherheit für Ihr Unternehmen von größter Bedeutung. Zur Gewährleistung konsistenter Standards für Händler führte der Payment Card Industry Security Standards Council Datensicherheitsstandards für die PCI (Payment Card Industry) ein. Diese Standards beinhalten bewährte Verfahren für den Schutz von Karteninhaberdaten und erfordern in vielen Fällen eine Validierung durch einen qualifizierten externen Gutachter (Qualified Service Assessor, kurz QSA). Wir helfen unseren Kunden, ihre PCI-Compliance-Anforderungen zu erfüllen, indem wir ihnen eine Compliance-Bescheinigung (Attestation of Compliance) von einem unabhängigen QSA bereitstellen. Diese Compliance-Bescheinigung kann in Verbindung mit unserem SOC 2-Bericht und der ISO 27001-Zertifizierung verwendet werden, um nachzuweisen, dass die Infrastruktur den PCI-Vorgaben entspricht. Kunden und ihre Prüfer können unsere Berichte verwenden, um zu verifizieren, dass die PCI-Kontrollen, für die IBM Cloud verantwortlich ist, eingehalten werden.

Sicherheit

HIPAA-Compliance

Die IBM Cloud-Infrastruktur ist für die Compliance mit HIPAA und für die Konformität mit den vom Kunden für seine Umgebung gewählten Sicherheitseinstellungen konzipiert.

Weitere Informationen über HIPAA-Compliance

HIPAA (Health Insurance Portability and Accountability Act) ist ein US-Gesetz, in dem das Speichern und die Verarbeitung geschützter Gesundheitsdaten – sogenannter Protected Health Information (PHI) und electronic Protected Health Information (e-PHI) – geregelt sind. Unternehmen und Einzelpersonen, die zur Einhaltung von HIPAA verpflichtet sind, müssen verschiedene technische, administrative und physische Kontrollen implementieren, die für den Schutz dieser geschützten Gesundheitsdaten bestimmt sind.

Die HIPAA-konforme IBM Cloud-Infrastrukturplattform steht betroffenen Unternehmen und Geschäftspartnern zur Unterstützung ihrer HIPAA-Workloads zur Verfügung. Kunden sollten außerdem wissen, dass die IBM Cloud-Infrastruktur in regelmäßigen Abständen die HIPAA-konformen Kontrollen überprüft, die für die IBM Cloud-Infrastruktur gelten, um ihre Wirksamkeit zu testen. Gemäß HIPAA bietet die IBM Cloud-Infrastruktur Kunden, die HIPAA-Workloads in der IBM Cloud-Infrastruktur verarbeiten wollen, ein standardisiertes Business Associate Agreement* an.

* Bitte beachten Sie, dass Managed Services oder virtuelle Hosting-Services in einer Public Cloud (Multi-Tenant-Modell) der IBM Cloud-Infrastruktur nicht HIPAA-konform sind und daher nicht zum Speichern geschützter Gesundheitsdaten geeignet sind.

Sicherheit

HITRUST CSF-Zertifizierung

Die IBM Cloud-Infrastruktur verfügt jetzt über die HITRUST CSF-Zertifizierung. Health Information Trust Alliance (HITRUST) ist eine Organisation, der Repräsentanten aus dem Gesundheitswesen vorstehen. HITRUST erstellte und unterhält das sogenannte Common Security Framework (CSF), ein Zertifizierungsframework, um Gesundheitsorganisationen und deren Anbieter dabei zu unterstützen, ihre Sicherheit und Compliance einheitlich und optimiert nachzuweisen. HITRUST CSF ist das am weitesten verbreitete Sicherheitsframework des US-Gesundheitswesens geworden.

HITRUST

GSMA (DAL09, PAR01)

Security Accreditation Scheme for Subscription Management (SAS-SM) von GSMA stellt das Vertrauen der Branche in die Sicherheit der fernen Bereitstellung für eingebettete SIMs sicher.

Die folgenden Standorte haben eine SAS-SM-Zertifizierung für Rechenzentrumsprozesse und -management erhalten und können daher Subscription-Management-Service-Providern Cloud-Hosting bereitstellen:

Rechenzentrum Dallas DAL09
Rechenzentrum Paris PAR01

GSMA

CJIS-Standards

Weitere Informationen zur Nutzung der IBM Cloud-Infrastruktur für CJI-Workloads (Criminal Justice Information) finden Sie in unserem Handbuch zur Nutzung der IBM Cloud für CJIS-Workloads, das Sie sich hier herunterladen können.

Weitere Informationen über CJIS-Standards

Die Criminal Justice Information Systems (CJIS) Division ist eine Abteilung des United States Department of Justice Federal Bureau of Investigation. Die CJIS-Abteilung erstellte und veröffentlichte die Security Policy (CJISD-ITS-DOC-08140-5.4), die die Mindestanforderungen, Richtlinien und Vereinbarungen bezüglich der Informationssicherheit enthält. Sie widerspiegelt die Absicht der Strafjustizbehörden, die Quellen, die Übertragung, Speicherung und Erzeugung von Criminal Justice Information (CJI) zu schützen.

Sicherheit

EU-Standardklauseln

Mit Rechenzentren auf fünf Kontinenten bietet IBM Cloud seinen Kunden die Möglichkeit, den genauen Standort zum Speichern ihrer Daten auszuwählen. Weitere Informationen zu den EU-Standardklauseln für Ihre IBM Cloud-Umgebung erhalten Sie bei unserem Vertriebsteam.

Weitere Informationen über die EU-Standardklauseln

Kunden, die Daten aus dem Europäischen Wirtschaftsraum (EWR) in ein Land außerhalb des EWR übertragen möchten, bietet IBM Cloud EU-Standardklauseln in der von der Europäischen Kommission und den Datenschutzbehörden der Europäischen Union genehmigten Form. Die EU-Standardklauseln garantieren europäischen Kunden, dass IBM Cloud die erforderlichen Datenschutzmaßnahmen an jedem Standort weltweit unterstützt.

Sicherheit

Privacy Shield

IBM Cloud ist ein anerkanntes Mitglied des Privacy Shield Framework zwischen der EU und den USA. Lesen Sie die IBM Privacy Shield-Datenschutzrichtlinie für zertifizierte IBM Cloud-Services, um weitere Informationen zu erhalten.

Sicherheit

FISC

Das Center for Financial Industry Information Systems wurde im Jahr 1984 vom japanischen Finanzministerium ins Leben gerufen, um Forschungen zu den verschiedensten Themen, wie z. B. Technologie, Nutzung, Kontrolle und Abwehr von Sicherheitsbedrohungen, in Bezug auf Finanzdatensysteme in Japan durchzuführen.

Zusammen mit seinen Mitgliedsorganisationen erstellte das FISC Richtlinien zur Verbesserung der Sicherheit von Informationssystemen in Bankwesen und Finanzwirtschaft. Diese Sicherheitsrichtlinien des FISC werden, obwohl sie nicht gesetzlich vorgeschrieben sind, von den meisten japanischen Finanzinstituten bei der Gestaltung und Wartung ihrer Informationssysteme anerkannt und verwendet.

Sicherheit

My Number Act

Das Social Security and Tax Number System (My Number) trat in Japan im Januar 2016 in Kraft. Im Rahmen dieses Gesetzes wird jedem Einwohner Japans, unabhängig davon, ob er Japaner oder Ausländer ist, eine eindeutige Nummer zugeordnet, die in erster Linie für die Steuer und Sozialversicherung verwendet wird.

Die Personal Information Protection Commission (PPC) hat Richtlinien erstellt, um sicherzustellen, dass Unternehmen die My Number-Daten ordnungsgemäß verarbeiten und schützen. Obwohl unsere Kunden die Verantwortung für die in ihren Betriebssystemen gespeicherten personenbezogenen Daten übernehmen und diese verwalten, hat die IBM Cloud-Infrastruktur technische und organisatorische Maßnahmen implementiert, um Kunden dabei zu unterstützen, den Schutz personenbezogener Daten sicherzustellen.

Sicherheit

IRAP

Das Information Security Registered Assessors Program (IRAP) ist eine Initiative des Australian Signals Directorate (ASD) zur Bereitstellung qualitativ hochwertiger Informations- und Kommunikationstechnologieservices für die öffentliche Hand, um die Sicherheit in Australien zu unterstützen.

IRAP bietet die Struktur, um Einzelpersonen aus dem privaten und dem öffentlichen Sektor dabei zu unterstützen, der öffentlichen Hand in Australien Services für die Bewertung der Cybersicherheit bereitzustellen. Ein unabhängiger IRAP-Gutachter prüfte die IBM Cloud-Kontrollmechanismen, um sicherzustellen, dass sie den Anforderungen des ASD Information Security Manual (ISM) gerecht werden. IBM Cloud erreichte eine formale Zertifizierung des ASD und wurde in die ASD Certified Cloud Services List aufgenommen.

Sicherheit

ISO-Zertifizierungen für IBM Managementsysteme

IBM kann unternehmensweite Zertifizierungen für ISO 9001, ISO 14001, ISO 50001 und OHSAS 1800 vorweisen. Sehen Sie sich die Zertifizierungen für IBM Managementsysteme an.

Sicherheit