Выберите другую страну:

Выберите сертификации продуктов

FedRAMP

Число организаций, использующих SaaS (от стартапов до международных корпораций) продолжает расти. В число основных приоритетов для лиц, принимающих решения при выборе облачных поставщиков, являются высокая безопасность и конфиденциальность. Не менее важна возможность быстрого масштабирования и адаптации к меняющимся требованиям без ущерба для безопасности и конфиденциальности и без увеличения рисков. Компания IBM заслужила доверие поставщиков со всего мира за счет постоянного внимания к безопасности и конфиденциальности.

IBM SaaS—безопасность, конфиденциальность, надежность

IBM SaaS—безопасность, конфиденциальность, надежность

IBM уже давно является лидером в области безопасности. Мы стремимся внедрять инновации для инноваторов, помогать клиентам сделать правильный выбор и следовать безопасными маршрутами на новые территории. Выбрать правильный путь нам помогает столетняя история работы с клиентами в соответствии с их требованиями. Безопасность и конфиденциальность составляют основу нашего мышления, планирования и механизма доставки программного обеспечения, предоставляемого как услуга (SaaS).

Защита ваших данных - наш основной приоритет. Приложения IBM SaaS используют многолетний опыт IBM в сфере обеспечения безопасности.

Встроенные средства обеспечения безопасности реализованы при помощи нашей платформы Secure Engineering Framework (см. Redguide в списке материалов)

Стандарты, проверенные процессы и специализированные инструменты для защиты ваших данных

Ежегодное обучение и сертификация в области безопасности для сотрудников в соответствии с установленными рекомендациями по ведению бизнеса

Безопасность операционной деятельности, обеспечиваемая за счет передовых инструментов сканирования и обнаружения угроз, непрерывно обновляемых с учетом новых направлений атак

Регулярные проверки средств обеспечения операционной безопасности

Непрерывный мониторинг инцидентов в области безопасности по всему миру в режиме 24/7/365; квалифицированные специалисты, готовые прийти на помощь в случае инцидента

Защита клиентских данных и материалов

Данные, которыми вы владеете и которые вы загружаете в SaaS, остаются вашими.

Мы используем ваши данные только для предоставления вам услуг и технической поддержки.

Доступ к вашим данным предоставляется только при необходимости предоставления вам услуг и технической поддержки (т.е. в соответствии с принципом минимальных привилегий).

Мысоответствуем множеству отраслевых и национальных требований и в то же время осуществляем непрерывный мониторинг нормативных сред на предмет появления новых требований.

При необходимости IBM подпишет соглашения EU Model Clauses (EUMC).

Мы будем использовать вашу контактную информацию согласно положениям политики конфиденциальности IBM (англ.), заявления о конфиденциальности программных продуктов и SaaS IBM (англ.), а также положениям и условиям вашего предложения SaaS для обеспечения необходимой поддержки и предоставления вам информации об обновлениях, касающихся используемых вами услуг.

Информация о действиях IBM в отношении безопасности и конфиденциальности приведена в подразделе "Конфиденциальность и безопасность" (англ.) раздела "Управление" Отчета о корпоративной ответственности IBM 2013 (англ.).

Внешняя проверка

Наши службы IBM SaaS соответствуют стандартам ISO27002.

Стандарты обеспечения безопасности IBM регулярно обновляются с учетом общепринятых отраслевых стандартов и нормативных документов, в число которых входят:

  • ISO 27001
  • SSAE 16 SOC 2
  • FISMA и FedRAMP
  • HIPAA
  • FFIEC
  • PCI

B рамках направления IBM SaaS было получено множество сертификатов, в том числе ISO27001 и(или) SSAE16 SOC 2, а также многие другие отраслевые сертификаты.

Многие из наших услуг SaaS самостоятельно сертифицированы в рамках Safe Harbor (США-ЕС и США-Швейцария).

Наша внутренняя Система управления информационной безопасностью (ISMS) поддерживает рабочие группы, отвечающие за выполнение нормативных требований в рамках расширенного набора требований из различных нормативных документов.

Высокая доступность

Сервисы обладают непрерывной готовностью при условии выполнения технического обслуживания. Вам будет сообщено о плановом техническом обслуживании.

Местоположение данных

  • Для многих из наших предложений SaaS мы указываем местоположение данных.
  • Правила местоположения данных могут быть реализованы за дополнительную плату.

Заявление IBM по доступу государственных органов к данным клиентов

Прочтите письмо к нашим клиентам от Роберта Вебера (Robert C. Weber), генерального консультанта и руководителя IBM по законодательным и нормативным вопросам.

Часто задаваемые вопросы о безопасности IBM SaaS

Текущая деятельность

Какие облачные модели используются в IBM SaaS - общедоступные, частные или гибридные?

Все предложения IBM SaaS представляют собой общедоступные модели обслуживания, доступные через интернет или виртуальную частную сеть (VPN). IBM также поддерживает некоторые предложения SaaS в рамках частной гибридной модели.

Используется ли публичное облако в одиночном или многопользовательском режиме?

Предложения IBM SaaS представляют собой сочетание одиночной и многопользовательской модели развертывания.

Предназначены ли предложения IBM SaaS для обработки персональных данных?

Да, предложения IBM SaaS предназначены для обработки данных в соответствии с отраслевыми стандартами защиты персональной информации (PI) и конфиденциальной персональной информации (SPI).

Многие предложения SaaS прошли сертификацию EU-US Safe Harbor и соответствуют прочим нормативным требованиям к обработке персональной информации (PI) и конфиденциальной персональной информации (SPI).

Каким дополнительным нормативным стандартам обработки информации соответствуют предложения IBM SaaS?

Большинство предложений IBM SaaS обрабатывают данные согласно следующим стандартам: ISO27000, SSAE16, а также ряд стандартов NIST, в частности, FIPS 140-2. Некоторые предложения SaaS также соответствуют требованиям PCI, FFIEC и FISMA/FedRAMP.

Где располагаются сотрудники, имеющие доступ к службе и сопутствующим данным?

Служба поддержки с доступом к службе включает IT Operations, DevOps, поддержку SaaS, обучение и индивидуальную настройку SaaS.

Где расположены серверы для хранения частной и регламентируемой информации?

Предложения IBM SaaS могут хранить информацию на серверах в Северной Америке, в странах Европы, Ближнего Востока и Африки, а также, в некоторых случаях, в Японии, Гонконге, Сингапуре и Австралии. IBM также поддерживает ограниченный спектр операций SaaS в Китае для китайских клиентов согласно местному законодательству.

Будет ли частная и регламентируемая информация доступа сторонним субподрядчикам?

IBM использует услуги сторонних субподрядчиков с целью увеличения численности персонала. Если служба поддерживает частные или регламентируемые данные, сторонние субподрядчики могут иметь доступ к ним.

Защита

Содержат ли предложения IBM SaaS политику защиты информации?

Да. IBM использует политики безопасности, соответствующие стандартам SSAE и ISO либо обеспечивающие даже более высокий уровень защиты по сравнению с ними. Одновременное выполнение требований нескольких стандартов обеспечивает более жесткую политику защиты информации в целом

Имеется ли политика шифрования содержимого и управления ключами шифрования?

Да. Шифрование и управление ключами являются частью политики безопасности IBM. Атрибуты шифрования во многих случаях могут обсуждаться индивидуально.

Была ли проведена независимая аттестация систем обеспечения безопасности? Доступен ли отчет с ее результатами?

Многие службы прошли независимую аттестацию (либо ее прохождение запланировано). Отчеты о результатах предоставляются клиентам, использующим службу.

Какие международные сертификаты были получены или планируются к получению?

SAS70 / SSAE16 и ISO27000.

Имеется ли процесс управления инцидентами в области информационной безопасности? Включает ли он уведомление клиентов?

Да, имеется система управления инцидентами в области информационной безопасности, включающая уведомление клиентов IBM. Управление процессом осуществляется службой ИТ-директора IBM.

Имеется ли политика управления доступом пользователей и паролями, основанная на документированных и проверяемых процедурах?

Да, подобная политика используется и относится к административному доступу к системе со стороны компании IBM. Аудит проводится компанией IBM и сторонними организациями. Эта политика и правила аудита включают процессы предоставления и отзыва доступа, подтверждения бизнес-требований и пр. IBM применяет те же политики управления паролями и нормативными требованиями для SaaS, что и для защиты внутренних бизнес-систем компании, исходного кода и интеллектуальной собственности. Ответственность за управление доступом пользователей на уровне приложений, в том числе за любой административный доступ к клиентским системам на уровне приложений и за управление паролями несет клиент.

Что происходит с данными клиента по окончании срока действия службы?

Данные клиента могут быть либо возвращены клиенту, либо уничтожены безопасным образом.

Имеется ли политика неразглашения для сторонних субподрядчиков, имеющих доступ к данным клиента? Имеется ли процесс уведомления клиента о подобных субподрядчиках?

Не все службы используют услуги сторонних субподрядчиков с целью увеличения численности персонала. Если IBM использует субподрядчиков для предоставления службы, субподрядчики обязаны выполнять те же требования к безопасности, что и сотрудники IBM. Компании, исполняющие роль субподрядчиков IBM, проходят тщательную проверку, каждый субподрядчики подписывает с IBM соглашение о неразглашении информации. Компании, исполняющие роль субподрядчиков IBM, обязаны выполнять местные, региональные и национальные требования до предоставления сотрудников для работы в IBM. За привлечение субподрядчиков IBM отвечают организации IBM Human Resources и IBM Procurement.

Целостность

Доступны ли клиентам файлы журналов и контрольные журналы для мониторинга доступа к информации?

IBM выполняет мониторинг и администрирование файлов журналов и контрольных журналов для выявления случаев несанкционированного доступа к средам работы с данными и серверам данных. Мы не предоставляем файлы журналов и контрольные журналы клиентам.

Присутствуют ли политики и процедуры для защиты персональных данных от рисков, связанных с мобильным и удаленным доступом?

Да. Мобильны и удаленный доступ выполняется согласно политике IBM Security. В случаях, когда удаленный доступ необходим в целях отладки, сотрудники IBM обязаны осуществлять доступ к службе посредством зашифрованных частных VPN, соответствующих отраслевым стандартам, в том числе NIST.

Дают ли предложения IBM SaaS клиентам возможность получить копию персональных данных в том формате, в каком они изначально были переданы? А в других форматах?

Такая возможность является атрибутом службы и описана в условиях использования для каждого предложения SaaS. Передача персональных данных осуществляется исключительно с использованием протоколов защищенной передачи данных либо иными средствами защищенной передачи данных, указанными клиентом и соответствующими нормативным требованиям к передаче персональных данных за границу.

Имеется ли процесс поддержки клиентов IBM, который помогает им выполнять поддержку их собственных клиентов (например, конечных потребителей) в процессе доступа к их данным, их исправления и удаления?

IBM обрабатывает персональные данные в SaaS в направлении клиента, который является оператором персональных данных и отвечает за уведомление субъектов данных и получение необходимых разрешений от них. IBM не контролирует такие данные, но совместно с клиентами обрабатывает изменения по запросу.

Какие показатели используются ли ограничения доступа сотрудников IBM во время работы, технического обслуживания, аварийного восстановления и т.д.?

Доступ, как физический, так и логический, контролируется согласно политике безопасности IBM. Средства контроля включают многоуровневый контроль с использованием жетонов, камеры, физический вход, логический вход в рамках службы, проверки непрерывности работы и пр.

Доступность

Имеется ли процесс резервного копирования информации? Имеются ли процессы восстановления личных данных в случае инцидента?

Да, все предложения IBM SaaS включают планы по обеспечению непрерывности бизнеса, в том числе политики резервного копирования и восстановления данных. SPI и регулируемые данные копируются с использованием методов, совместимых с обычными способами хранения данных таких типов. В зависимости от услуги подобные данные могут храниться на зашифрованной ленте либо зашифрованном оффлайн-диске.

Предусмотрен ли четко определенный план технического обслуживания?

Каждое предложение SaaS включает план технического обслуживания, описанный в Условиях использования предложения и(или) опубликован на портале Client Success Support Portal.

Определены ли конкретные уровни обслуживания?

Уровни обслуживания для каждого предложения SaaS определены в Условиях использования.

Соответствие законодательным и нормативным требованиям

Прошла ли служба сертификацию Safe Harbor?

Следующие предложения IBM SaaS Cloud прошли сертификацию Safe Harbor:

Службы поддержки продуктов: