服务组织控制 (SOC) 报告是由美国注册会计师协会 (AICPA) 认证评估员发布的独立第三方报告,旨在解决与外包服务相关的风险。AICPA 已针对安全性、可用性、处理完整性、机密性和隐私建立了信任服务标准 (TSC),可根据这些标准对服务组织进行评估。
SOC 2 报告评估组织为保护客户自有数据而实施的内部控制,并提供有关这些内部控制性质的详细信息。
联系 IBM 代表以便索取 SOC 2 报告。
针对已根据其选定的信任服务原则,实施了控制的 IBM 服务,可提供 SOC 2 报告。SOC 2 报告可以证明,IBM 已针对选定的信任服务原则,适当地设计了控制措施,并且这些控制措施在报告期内有效运作。
下面列出的服务有可用的 SOC 2 类型 2 报告,代表评估控制的时间段。由于此类报告代表过去的评估期,因此 SOC 2 类型 2 报告可能会附有过渡函,其中 IBM 证明自上一个报告期结束以来服务控制的持续表现。
IBM 服务描述 (SD) 指示给定产品是否保持 SOC 2 类型 2 合规性状态。以下服务每年至少发布一次 SOC 2 类型 2 报告。
使用 IBM Cloud 服务加快合规进程
最新版本的 PCI DSS (v4.0) 于 2022 年 3 月发布。组织必须在 2025 年 3 月 31 日之前实施这 12 项要求以实现合规性。
IBM Cloud 提供以下服务套件,可帮助您满足特定的 PCI DSS 要求并加速您的合规之旅。
|
1. 风险评估 |
|---|
IBM Security and Compliance Center
IBM Security and Compliance Center 是一个集成式解决方案套件,可以跨混合多云环境定义策略即代码、实施控制措施来确保数据和工作负载部署的安全性,以及评估安全性和合规性状况。
IBM® Security and Compliance Center - 工作负载保护
在侧重容器和微服务的架构中,您可以使用 IBM Cloud Security and Compliance Center Workload Protection 来查找软件漏洞,确定其优先级,检测和应对威胁,并管理从源代码到运行的配置、权限和合规。
IBM Cloud 安全解决方案 - 威胁管理 - IBM Security QRadar Suite
IBM® Security QRadar 套件是一个现代化的威胁检测和响应解决方案,旨在统一整合安全分析师体验,提高他们在整个事件生命周期中的响应速度。该产品服务组合嵌入了企业级 AI 和自动化,可显著提高分析人员的工作效率,帮助资源紧张的安全团队更有效地开展跨核心技术工作。
它提供通用用户界面、共享洞察分析和互联工作流程,并可为以下功能提供集成式产品:端点安全(EDR、XDR、MDR)、日志管理、SIEM、SOAR
IBM Security Guardium
IBM Security Guardium 是 IBM Security 产品组合中的一系列数据安全软件,可发现漏洞并保护敏感的本地部署数据和云端数据。
IBM Cloud Database 服务
IBM Cloud Database-as-a-Service (DBaaS) 可让开发人员和 IT 员工摆脱复杂且耗时的任务,其中包括部署基础设施和数据库软件、基础设施操作、数据库软件更新以及备份。IBM Cloud Database SME 可提供并维护随时可用且高度可用的数据库实例,以便开发人员和 IT 员工有时间专注于其他优先事项。
IBM Cloud Monitoring
针对基础设施、云服务和应用程序的云监控和故障排除
|
2. 控制活动 |
|---|
IBM® Cloud Identity and Access Management (IAM)
IBM Cloud Identity and Access Management 服务可安全地对用户进行身份验证,并一致地控制对 IBM Cloud Platform 中所有资源的访问。
IBM Cloud Database 服务
IBM Cloud Database-as-a-Service (DBaaS) 可让开发人员和 IT 员工摆脱复杂且耗时的任务,其中包括部署基础设施和数据库软件、基础设施操作、数据库软件更新以及备份。IBM Cloud Database SME 可提供并维护随时可用且高度可用的数据库实例,以便开发人员和 IT 员工有时间专注于其他优先事项。
持续交付
采用企业就绪的 DevOps。创建支持您的应用程序交付任务的安全工具链。自动执行构建、测试、部署等操作。
IBM Cloud Logs
利用 IBM Cloud Logs 实现日志可观测性,从而协助改善基础设施与应用程序性能
|
3. 逻辑与物理访问控制措施 |
|---|
IBM® Cloud Internet Services (CIS)
IBM Cloud Internet Services 在您的外部 Web 内容和互联网应用程序到达云之前为其提供市场领先的安全性和性能。
IBM Cloud Direct Link
IBM Cloud Direct Link 解决方案旨在将本地资源无缝连接到云资源。IBM Cloud Direct Link 速度高、可靠性高,可助力组织扩展数据中心网络,并提供一致、高吞吐量的连接,无需接触公共互联网。
IBM Cloud 网关设备
网关设备可以增强对网络流量的控制、提高网络性能、加强网络安全性。针对防火墙、VPN、流量整形等目的,利用网关设备管理物理和虚拟网络,路由多个 VLAN。
IBM Cloud Transit Gateway
IBM Cloud Transit Gateway 有助于连接和管理 IBM Cloud Virtual Private Cloud (VPC) 网络。
FortiGate Security Appliance
FortiGate Security Appliance (FSA) 10 Gbps 是一款硬件防火墙,可将其配置为保护公共与专用网络的多个 VLAN 上的流量。
硬件防火墙
硬件防火墙可为客户提供一个必不可少的安全层,采用按需配置,不会中断服务。它可防止不必要的流量进入您的服务器,从而减少攻击面,并支持将您的服务器资源专用于其既定的用途。
IBM Key Protect for IBM Cloud
IBM Key Protect for IBM Cloud 服务支持在 IBM Cloud 服务中为应用程序供应和存储加密密钥,便于从一个中心位置查看和管理数据加密以及整个密钥生命周期。
IBM Cloud App ID
通过采用 IBM Cloud App ID,您可以轻松为 Web 应用程序和移动应用程序添加身份验证。您无需再为设置身份验证基础设施、确保地理可用性和确认监管合规而殚精竭虑。相反,您可以使用多重身份验证和单点登录等高级安全功能来增强应用程序。
Secrets Manager
借助 IBM Cloud Secrets Manager,您可以动态创建机密并将其租赁给应用程序,同时从单个位置控制访问。Secrets Manager 基于开源 HashiCorp Vault 构建,可帮助您利用公共云的优点实现专用环境的数据隔离。
IBM Security and Compliance Center - Data Security Broker - Manager
使用 IBM Cloud Data Security Broker 保护云中的数据。该产品是一个完备的数据加密解决方案,它通过与密钥管理和数据库相集成,提供应用程序级加密,进而保护企业数据库中的敏感数据。
IBM Cloud Hyper Protect Virtual Servers
Hyper Protect Virtual Servers for Virtual Private Cloud (VPC) 是一个完全托管的机密计算容器运行时,支持在具有技术保障的高度隔离的环境中部署敏感的容器化工作负载。
IBM Cloud Hardware Security Module
Gemalto 的 IBM Cloud Hardware Security Module (HSM) 7.0 通过在防篡改硬件设备内更安全地管理、处理和存储加密密钥来保护加密基础架构。它可以帮助您解决在云上迁移和运行工作负载时遇到的复杂安全性、合规性、数据主权和控制挑战。
IBM® Cloud Identity and Access Management (IAM)
IBM Cloud Identity and Access Management 服务可安全地对用户进行身份验证,并一致地控制对 IBM Cloud Platform 中所有资源的访问。
IBM Cloud 存储服务
我们的云存储服务可为您的数据提供可扩展、高度安全且经济高效的存储空间,同时支持传统和云原生工作负载。配置和部署访问对象、块和文件存储等服务。根据需求变化调整容量并优化性能。只需为所需的云存储付费。
IBM Cloud Database 服务
IBM Cloud Database-as-a-Service (DBaaS) 可让开发人员和 IT 员工摆脱复杂且耗时的任务,其中包括部署基础设施和数据库软件、基础设施操作、数据库软件更新以及备份。IBM Cloud Database SME 可提供并维护随时可用且高度可用的数据库实例,以便开发人员和 IT 员工有时间专注于其他优先事项。
移动设备管理 (MDM)
IBM® Security MaaS360 是一款综合型 UEM 产品,可帮助您管理组织的移动设备。 提供:
- iOS、Android 和 iPadOS 的管理
- 移动安全
- 身份即服务 (IDaaS)
- 多因子认证 (MFA)
- 人工智能 (AI) 和数据质量实时分析
- 远程控制、应用程序管理以及与第三方应用程序的集成
IPsec VPN
VPN 能够简化从您的安全网络到 IBM IaaS 平台的专用网络的连接。从您的位置到专用网络的 VPN 连接,允许通过加密 VPN 隧道进行带外管理和服务器救援。使用专用网络进行通信,本质上更为安全,能让用户灵活地限制公共访问,同时仍可访问他们的服务器。您帐户中的任意用户均可获得 VPN 访问权限,该访问权限可通过 SSL 和 PPTP 这两种方式实现。此外,IBM Bluemix 还允许使用 IPSec 建立连接。
SSL VPN
借助 VPN 访问,您可以通过 IBM Cloud 专用网络远程管理与您帐户关联的所有服务器和服务。从您的位置到专用网络的 VPN 连接,允许通过加密 VPN 隧道进行带外管理和服务器救援。
使用专用网络进行通信,本质上更为安全。它能让您灵活地限制公共访问,同时仍可管理您的服务器。您帐户中的任意用户均可获得 VPN 访问权限,该访问权限可通过 SSL 方式实现。通过 IBM Cloud 控制台进行的 VPN 交互,允许在用户级别进行 VPN 访问定制。
|
4. 系统运营 |
|---|
IBM Cloud Direct Link
IBM® Cloud Direct Link 的速度和可靠性有助于扩展组织的数据中心网络而无需接触公共互联网。
IBM Cloud Transit Gateway
IBM Cloud Transit Gateway 有助于连接和管理 IBM Cloud Virtual Private Cloud (VPC) 网络。
IBM Key Protect for IBM Cloud
IBM Key Protect for IBM Cloud 服务支持在 IBM Cloud 服务中为应用程序供应和存储加密密钥,便于从一个中心位置查看和管理数据加密以及整个密钥生命周期。
|
5. 保护所有系统和网络免受恶意软件的侵害 |
|---|
IBM® Cloud Internet Services (CIS)
IBM Cloud Internet Services 在您的外部 Web 内容和互联网应用程序到达云之前为其提供市场领先的安全性和性能。
IBM Cloud Direct Link
IBM® Cloud Direct Link 的速度和可靠性有助于扩展组织的数据中心网络而无需接触公共互联网。
FortiGate Security Appliance
在您的环境中部署一对 FortiGate Virtual Appliances,可以通过在虚拟基础架构中实施关键的安全控制来帮助您降低风险。
IBM QRadar Suite
IBM® Security QRadar 套件是一个现代化的威胁检测和响应解决方案,旨在统一整合安全分析师体验,提高他们在整个事件生命周期中的响应速度。
IBM Security Guardium
IBM Security 产品组合中的数据安全软件可发现漏洞并保护敏感的本地部署和云数据。
|
6. 开发和维护安全系统和软件 |
|---|
IBM® Cloud Internet Services (CIS)
IBM Cloud Internet Services 在您的外部 Web 内容和互联网应用程序到达云之前为其提供市场领先的安全性和性能。
IBM® Security and Compliance Center - 工作负载保护
查找软件漏洞并确定其优先级,检测和响应威胁,并管理从源到运行的配置、权限和合规性。
IBM Security Guardium
IBM Security 产品组合中的数据安全软件可发现漏洞并保护敏感的本地部署和云数据。
IBM Cloud Container Registry
在完全托管的私有注册表中,存储和分发容器映像。推送私有映像,以便于在 IBM Cloud Kubernetes Service 和其他运行时环境中运行这些映像。
IBM Cloud Continuous Delivery
采用企业就绪的 DevOps。创建支持您的应用程序交付任务的安全工具链。自动执行构建、测试、部署等操作。
IBM Cloud Kubernetes Service
在原生 Kubernetes 体验中部署安全且高度可用的集群。
|
7. 根据业务需要限制对系统组件和持卡人数据的访问 |
|---|
IBM Cloud App ID
轻松为 Web 和移动应用程序添加身份验证。利用多因素身份验证和单点登录等高级安全功能来增强应用程序的功能。
IBM® Cloud Identity and Access Management (IAM)
IBM Cloud Identity and Access Management 服务可安全地对用户进行身份验证,并一致地控制对 IBM® Cloud Platform 中所有资源的访问。
|
8. 识别用户并验证对系统组件的访问权限 |
|---|
IBM Cloud App ID
轻松为 Web 和移动应用程序添加身份验证。利用多因素身份验证和单点登录等高级安全功能来增强应用程序的功能。
IBM Cloud Secrets Manager
动态创建机密并将其租用给应用程序,同时您可以从单一位置控制访问。基于开源 HashiCorp Vault 构建。
IBM® Cloud Identity and Access Management (IAM)
IBM Cloud Identity and Access Management 服务可安全地对用户进行身份验证,并一致地控制对 IBM® Cloud Platform 中所有资源的访问。
|
9. 限制对持卡人数据的物理访问 |
|---|
IBM Cloud 采用多种措施来提高物理安全性:
- 数据中心周边的物理安全
- 出入口访问控制和日志记录
- 保护办公室、房间和设施
- 抵御外部和环境威胁
- 冗余电源和网络设备
- 在取消配置期间安全处置设备
- 针对入职、培训和离职的企业人力资源业务政策和安全措施
|
10. 记录并监控对系统组件和持卡人数据的所有访问 |
|---|
IBM Cloud Flow Logs for VPC
收集、存储和展示虚拟专用云 (VPC) 内进出网络接口的互联网协议 (IP) 流量信息。
IBM QRadar Suite
IBM® Security QRadar 套件是一个现代化的威胁检测和响应解决方案,旨在统一整合安全分析师体验,提高他们在整个事件生命周期中的响应速度。
IBM® Cloud Identity and Access Management (IAM)
IBM Cloud Identity and Access Management 服务可安全地对用户进行身份验证,并一致地控制对 IBM® Cloud Platform 中所有资源的访问。
IBM Security Guardium
IBM Security 产品组合中的数据安全软件可发现漏洞并保护敏感的本地部署和云数据。
IBM Cloud Logs
利用 IBM® Cloud Logs 获得日志可观察性,从而协助改善基础设施和应用程序性能。
IBM Cloud Monitoring
基础架构、云服务和应用程序的云监控和故障排除。
|
11. 定期测试系统和网络的安全性 |
|---|
IBM® Security and Compliance Center - 工作负载保护
查找软件漏洞并确定其优先级,检测和响应威胁,并管理从源到运行的配置、权限和合规性。
IBM QRadar Suite
IBM® Security QRadar 套件是一个现代化的威胁检测和响应解决方案,旨在统一整合安全分析师体验,提高他们在整个事件生命周期中的响应速度。
IBM Security Guardium
IBM Security 产品组合中的数据安全软件可发现漏洞并保护敏感的本地部署和云数据。
|
12. 通过组织政策和计划支持信息安全 |
|---|
IBM® Security and Compliance Center - 工作负载保护
查找软件漏洞并确定其优先级,检测和响应威胁,并管理从源到运行的配置、权限和合规性。
IBM Cloud Logs
利用 IBM® Cloud Logs 获得日志可观察性,从而协助改善基础设施和应用程序性能。
IBM Cloud Monitoring
基础架构、云服务和应用程序的云监控和故障排除。