Seguridad de IBM SaaS

/ Aplicaciones de negocio SaaS / Seguridad de SaaS

Seleccione otro país:

Seguridad de IBM SaaS

Volver al principio

Certificaciones de productos destacadas

FedRAMP

Desde start-ups a empresas globales, el número de negocios que adopta SaaS sigue creciendo. Una sólida seguridad y privacidad es uno de los principales criterios que guían a los responsables de la toma de decisiones a la hora de seleccionar a los proveedores de cloud. Igual de importante resulta la capacidad de escalar y adaptarse rápidamente a las cambiantes necesidades sin comprometer la seguridad, la privacidad o los niveles de riesgo. IBM se ha ganado la confianza de empresas de todo el mundo gracias a nuestra atención permanente en la seguridad y la privacidad.

Pestaña Contactos
 

Ocultar [x]

Preguntas más frecuentes acerca de la seguridad de IBM SaaS


más inteligentes

¿El modelo de oferta de IBM SaaS utiliza clouds públicos, privados o híbridos?

Todas las ofertas de IBM SaaS son modelos de servicio público a los que se accede a través de Internet o una conexión de red privada virtual (VPN). IBM también respalda algunas de las ofertas de SaaS en modelos de servicio privados e híbridos.

Si es un servicio público, ¿es único o de multitenencia?

Las ofertas de IBM SaaS son una combinación de modelos de despliegue de un solo cliente y multitenencia.

¿Las ofertas de IBM SaaS están diseñadas para manejar información personal?

Sí, las ofertas de IBM SaaS están diseñadas para procesar datos en cumplimiento con los estándares de privacidad del sector para Información personal (PI) e información personal sensible (SPI).

Muchas ofertas de SaaS están certificadas por el acuerdo Safe Harbor entre EE.UU. y la UE, y alineadas con otras normativas relativas al procesamiento de información personal (PI) e información personal sensible (SPI).

¿Qué estándares de información regulada adicionales se aplican a las ofertas de IBM SaaS?

La mayoría de las ofertas de IBM SaaS están diseñadas para procesar datos en consonancia con los siguientes estándares de información: ISO27000, SSAE16, y estándares NIST específicos, tales como FIPS 140-2. Algunas ofertas de SaaS también admiten PCI, FFIEC y FISMA/FedRAMP.

¿Dónde está ubicado el personal con acceso al servicio y a sus datos asociados?

El personal de soporte con acceso al servicio incluye operaciones de TI, DevOps, soporte de SaaS y ofertas de SaaS como la personalización y la incorporación.

¿Cuándo se almacena la información privada o regulada, dónde están ubicados los servidores?

Las ofertas de IBM SaaS pueden almacenar información en servidores ubicados en Norteamérica, Europa, Oriente Medio y África (EMEA), así como en determinadas instancias en Japón, Hong Kong, Singapur y Australia. Además, IBM dispone de operaciones de SaaS limitadas en China que ofrecen servicio a clientes chinos, y cumplen con los requisitos normativos locales.

¿La información privada o regulada será accesible a subcontratistas?

IBM no utiliza empresas subcontratadas para aumentar el personal. Si el servicio da soporte a datos privados o regulados, los subcontratistas podrían tener acceso a la información.

Seguridad

¿Las ofertas de IBM SaaS cuentan con una política de seguridad de la información?

Sí. IBM aplica políticas de seguridad que se alinean con, o son más restrictivas que los estándares de privacidad de SSAE e ISO. El cumplimiento con múltiples estándares permite una política más estricta

¿Existe una política para la gestión de claves de cifrado y el cifrado de contenido?

Sí. La gestión de claves y cifrado forma parte de la política de seguridad de IBM. En la mayoría de los casos, los atributos de cifrado se pueden negociar para cada acuerdo.

¿Se ha realizado una certificación de seguridad de terceros? ¿Hay algún informe disponible?

Muchos de los servicios han realizado, o tienen planificadas, certificaciones de terceros con un informe disponible bajo solicitud para los clientes que utilizan el servicio.

¿Qué certificaciones estándar internacionales están ya en vigor o forman parte de la hoja de ruta?

Al menos SAS70 / SSAE16 e ISO27000.

¿Hay en marcha algún proceso de gestión de incidentes de seguridad de la información? ¿Incluye la notificación al cliente?

Sí, está activo un sistema de gestión de incidencias de seguridad, que incluye la notificación a los clientes de IBM. Este proceso está gestionado por la oficina de CIO de IBM.

¿Existe una política para gestionar el acceso de usuario y contraseñas con procedimientos documentados y auditables?

Sí, se aplica una política auditada por IBM y terceros externos para el acceso de administración de sistemas de IBM. La política y la auditoría incluyen los procesos para otorgar y revocar el acceso, validar la necesidad de negocio, etc. IBM aplica las mismas políticas de conformidad y gestión de contraseñas a su negocio SaaS que aplica a la protección de sus sistemas de negocio internos, código fuente y redes de propiedad intelectual. La gestión del acceso de usuario a nivel de aplicación es la responsabilidad del cliente, incluyendo cualquier gestión de contraseñas y autoridades de administración de sistemas de cliente a nivel de aplicación.

¿Qué pasa con los datos del cliente cuando el servicio finaliza?

Los datos del cliente se pueden devolver al cliente, o bien se pueden destruir de manera segura.

¿Se aplica una política de no divulgación para que las empresas subcontratadas obtengan acceso a datos del cliente? ¿Hay un proceso para notificar a los clientes los nombres de los subcontratistas?

No todos los servicios utilizan empresas subcontratadas para aumentar el personal. Si IBM fuera a utilizar subcontratistas para ayudar en la prestación del servicio, estos estarían sujetos a los mismos requisitos de política de seguridad que los empleados regulares de IBM. Las empresas que proporcionan empleados de subcontrato a IBM pasan por un riguroso proceso de filtrado y cualificación, y deben firmar un acuerdo de confidencialidad. Las empresas que proporcionan empleados de subcontrato a IBM deben cumplir las verificaciones de empleo locales, regionales y nacionales antes de proporcionar empleados a IBM. La organización IBM Human Resources e IBM Procurement de IBM gestionan la contratación de empresas subcontratadas para IBM.

Integridad

¿Hay archivos de registro o seguimientos de auditoría a disposición de los clientes para que puedan controlar quién accede a su información?

IBM supervisa y gestiona archivos de registro y seguimientos de auditoría para identificar accesos no autorizados a los entornos y al servidor de datos actual. No proporcionamos los registros de acceso ni seguimientos de auditorías a los clientes.

¿Se aplican políticas y procedimientos para proteger la información personal ante riesgos generados por el acceso móvil y remoto?

Sí. El acceso móvil y remoto se recoge en la política de IBM Security. Si se necesita acceso remoto para realizar acciones de depuración, los empleados de IBM deben acceder al servicio a través de VPN privado y cifrado, que cumple los estándares del sector, incluyendo NIST.

¿Las ofertas de IBM SaaS incluyen la capacidad para los clientes de recuperar una copia de los datos personales en el formato enviado originalmente? ¿En otros formatos?

Esta capacidad sería un atributo de servicio, descrito en las condiciones de uso para cada oferta de SaaS. La transmisión de datos personales solo se realizaría mediante protocolos de transmisión protegidos u otros medios de transmisión seguros, especificados por el cliente, y en cumplimiento con las normativas relativas a la transmisión de información personal entre fronteras.

¿Existe algún proceso para dar soporte a los clientes de IBM, a fin de que ayuden a sus clientes (consumidores finales) a acceder, corregir o suprimir su información?

IBM procesa la información personal en las ofertas de SaaS de acuerdo con su cliente, que es el controlador de datos, y el responsable de proporcionar avisos y obtener los consentimientos necesarios de los sujetos de datos. IBM no controla estos datos, pero trabajará con los clientes para procesar los cambios si así lo solicitan.

¿Qué medidas se aplican para excluir o limitar el acceso al personal de IBM durante la producción, el mantenimiento, la recuperación tras desastre, etc.?

El acceso, ya sea físico o lógico, se controla en consonancia con la política de IBM Security. Estos controles incluyen niveles de control de identificador, cámaras, registro/inicio de sesión físico, registro lógico en el servicio, comprobaciones de continuidad de empleo, etc.

Disponibilidad

¿Hay en marcha algún proceso de copia de seguridad de la información? ¿Se aplican procedimientos para restaurar información personal de las copias de seguridad en caso de desastre?

Sí, todas las ofertas IBM SaaS cuentan con planes de continuidad de negocio, incluyendo las políticas de copia de seguridad y restauración. Se realizan copias de seguridad de información personal sensible y datos regulados utilizando métodos en consonancia con los medios habituales de almacenamiento de datos inactivos para aquellos tipos de datos, que en función del servicio, podrían almacenarse en cinta cifrada o bien disco cifrado off-line.

¿Existe algún plan de mantenimiento planificado definido específicamente?

Cada oferta SaaS tiene un plan de mantenimiento planificado, que se describe en las Condiciones de uso para la oferta o bien se publica en el portal de soporte al éxito del cliente.

¿Existen niveles de servicio específicamente definidos?

Cada oferta SaaS tiene niveles de servicio definidos en las Condiciones de uso.

Legal/conformidad

¿Está certificado por el acuerdo Safe Harbor de la UE - Estados Unidos y Suiza?

Como mínimo las siguientes ofertas de IBM SaaS Cloud están certificadas por Safe Harbor:

Servicios de soporte de producto: