IBM Cloud 合规计划

跨国组织的领导在将 IT 基础架构迁移至云端时，必须面对不断增加的特定于区域的合规标准。IBM Cloud™ 平台服务可帮助您满足这些区域合规标准。

BaFin 的正式名称为德国联邦金融监管局，负责监管在德国的所有金融服务公司。BaFin 公布了为金融服务公司提供的云计算服务监管框架的规范。

云计算合规控制目录 (C5) 由德国联邦信息安全办公室 (BSI) 推出，是一项特定于云计算的认证方案。该方案概述了云服务提供商必须满足的要求，以确保其云服务符合最低安全级别要求。C5 通过将现有安全标准（例如 ISO 27001）与旨在提高数据处理透明度的其他要求相结合，提升了对云提供商的要求。

要申请 IBM Cloud 基础架构 C5 认证，请执行下列某项操作：访问客户门户网站（链接位于 IBM 外部）
联系 IBM 代表

作为践行在欧盟范围内建立一致、高效和有效的监督实践并确保统一应用欧盟法律的使命，欧洲银行管理局 (EBA) 在其权限领域发布了监管准则和建议。

了解 IBM Cloud 平台如何支持 EBA 建议 (PDF, 1.5 MB)

欧盟网络和信息安全局 (ENISA) 颁布了信息保证框架 (IAF)，这套保证标准旨在评估采用云服务的风险，比较不同的云提供商产品，从选定的云提供商获得保证，并减轻他们的保证负担。

西班牙国家安全框架 (ENS) 是一项法令，制定了有关安全的规定，适用于西班牙的所有公共行政机构。ENS 为 eGovernment 服务建立了安全政策。它建立了所有公共行政机构都必须遵守的基本原则和最低要求，旨在充分保护信息。

查看 IBM Cloud 基础架构 ENS 高级证书 (PDF, 704 KB)

具有 ENS 高级证书的 IBM Cloud 平台服务包括：

IBM Cloud Bare Metal
IBM Cloud Block Storage
IBM Cloud Direct Link
IBM Cloud File Storage
IBM Cloud Hardware Security Module
IBM Cloud Object Storage (IaaS)
IBM Cloud Virtual Servers

欧盟示范条款适用于欧盟公民个人可标识信息 (PII) 的控制者和处理者。这些条款规定非欧盟企业必须遵守欧盟数据保护指令要求的全球各地的法律和惯例。这些条款为拥有欧盟 PII 的企业提供强制执行权和保证，欧盟以外的提供商只有在遵循其指令并符合欧盟法律的情况下，才能处理这些数据。2018 年 5 月，《欧盟数据保护指令》被《通用数据保护条例》(GDPR) 取代。

欧盟-美国和瑞士-美国隐私保护框架由美国商务部和欧盟委员会及瑞士政府设计。这些框架旨在为大西洋两岸的公司提供一种机制，以便在出于跨大西洋商业活动的目的将个人数据从欧盟和瑞士传输至美国时遵守数据保护要求。

查看 IBM 策略和通过隐私保护框架认证的 IBM Cloud 服务的列表

为遵循欧盟《通用数据保护条例》(GDPR) 的一部分，IBM 正在通过设计加强对隐私的持续承诺。IBM 致力于将数据保护原则更深入地融入业务流程之中。这项工作还加强了现有控制，以限制对个人数据的访问，包括依赖于默认设置以防止共享个人数据的移动应用。

了解有关 IBM GDPR 框架的信息

英国政府建立了 G-Cloud 框架，旨在帮助英国政府机构通过更快速、更经济的流程与云提供商签订采购合同。G-Cloud 服务分为三类：云托管、云软件和云支持。

Hébergeurs de Données de Santé (HDS) 旨在描述必须保护最初在法国收集的个人健康数据的情况。数据托管必须包含与数据的关键性质相称的安全控制。

托管在法国收集的个人健康数据的任何个人或法人必须获得批准或认证。

查看 IBM Cloud 基础架构服务 HDS 证书 (PDF, 448 KB)

IT-Grundschutz 的目标是确保一个组织中所有类型的信息都实现适当的安全级别。IT-Grundschutz 采取整体方法，为技术、组织、个人和基础设施安全保障措施的应用提供指导。

网络和信息系统 (NIS) 指令 (欧盟 2016/1148 ) 是第一项覆盖整个欧盟的网络安全法律，旨在提高欧盟关键基础设施的总体网络安全水平。

IBM 维持适当且相称的标准技术和组织措施，以管理网络和信息系统安全所面临的风险。这包括一项安全监控计划和一个全球事件响应流程，用于应对网络安全威胁和攻击。此外，IBM 还利用在线培训、教育工具、视频和其他安全意识计划，在员工队伍中培养安全意识和责任感文化。有关这些技术和组织措施的更多信息，可参阅 IBM 认证信息和审计报告（例如 ISO 27001 和 SOC 2）。