Compliance- zertifizierungen

ISO 27001

ISO 27001 ist ein weit verbreiterter globaler Sicherheitsstandard, in dem die Anforderungen für sicherheitsspezifische Informationsmanagementsysteme definiert sind. Dieser Standard ist als systematischer Ansatz für das Management von Unternehmens- und Kundeninformationen auf der Grundlage regelmäßiger Risikobewertungen zu sehen.

Unsere Zertifikate anzeigen

 

IBM Cloud IaaS-Zertifikat – ISO 27001 (PDF, 337 KB)

IBM Cloud PaaS-Zertifikat – ISO 27001 (PDF, 125 KB)

IBM Cloud PaaS-Zertifikat – China - ISO 27001 (PDF, 186 KB)

Cloud-Services-Zertifikat – ISO 27001 (PDF, 1,23 MB)

Liste mit Cloud-Services-zertifizierten Cloudprodukten (PDF, 23,2 KB)

Watson Cloud Technology & Support-Zertifikat (PDF, 135 KB)

ISO 27001

ISO 27017

ISO 27017 enthält Richtlinien zu Kontrollmechanismen zur Informationssicherheit, die bei der Bereitstellung und Verwendung von Cloud-Services zu beachten sind, sowie Implementierungsrichtlinien für Cloud-Service-Provider und -Kunden. 

Unsere Zertifikate anzeigen

 

 

IBM Cloud IaaS-Zertifikat – ISO 27017 (PDF, 262 KB)

IBM Cloud PaaS-Zertifikat - ISO 27017 (PDF, 412 KB)

IBM Cloud-Services-Zertifikat (PDF, 358 KB)

ISO 27017

ISO 27018

ISO 27018 definiert allgemein anerkannte Kontrollziele, Kontrollmechanismen und Richtlinien für die Umsetzung von Maßnahmen zum Schutz personenbezogener Daten (Personally Identifiable Information, PII) in Übereinstimmung mit den Datenschutzgrundsätzen der ISO 29100 für die Public Cloud-Datenverarbeitungsumgebung.

Unsere Zertifikate anzeigen

 

 

IBM Cloud IaaS-Zertifikat – ISO 27018 (PDF, 358 KB)

IBM Cloud PaaS-Zertifikat – ISO 27018 (PDF, 411 KB)

IBM Cloud-Services-Zertifikat (PDF, 358 KB)

ISO 27018

ISO 22301
ISO 22301 definiert Anforderungen für Planung, Einrichtung, Implementierung, Betrieb, Überwachung, Überprüfung und Wartung von Business Continuity Management-Systemen (BCMS) im Unternehmen. Ein BCMS unterstützt Unternehmen bei der Vorbereitung auf Vorfälle, beim Schutz gegen solche Vorfälle und bei der Wiederherstellung nach Vorfällen.  

 

IBM Cloud IaaS-Zertifikat – ISO 22301 (PDF, 336 KB)

ISO 22301

ISO 31000
ISO 31000 definiert Grundsätze, Rahmenbedingungen und einen Prozess für das Risikomanagement. ISO 31000 soll den Fachverantwortlichen in den Unternehmen helfen, ihre Verfahren beim Risikomanagement mit international anerkannten Benchmarks abzugleichen und ihre Verfahren an internationalen Standards auszurichten. 

 

IBM Cloud IaaS-Zertifikat – ISO 31000 (PDF, 382 KB)

ISO 31000

SOC 1, SOC 2 und SOC 3
Bei einem SOC 1-Bericht stehen die Kontrollmechanismen in der Serviceorganisation im Mittelpunkt, die für Benutzerentitäten und deren Auditoren für die Planung einer Rechnungsprüfung bei der Benutzerentität und die Bewertung der internen Kontrollmechanismen bei der Finanzberichterstattung bei der Benutzerentität helfen. Bei SOC 2- und SOC 3-Berichten stehen die Systembeschreibung und Kontrollmechanismen in der Serviceorganisation gemäß den spezifischen Kriterien für Verfügbarkeit, Sicherheit und Vertraulichkeit im Mittelpunkt. SOC 2 umfasst Auditorentests und -ergebnisse. SOC 3 ist als Zusammenfassung des SOC 2-Berichts zu sehen, die allgemein zugänglich ist.

Fordern Sie die IBM Cloud IaaS SOC 1- und SOC 2-Zertifikate über unser Kundenportal an. (Der Link befindet sich außerhalb von ibm.com.)

Oder wenden Sie sich an den zuständigen IBM Vertriebsbeauftragten

IBM Cloud IaaS SOC 3-Bericht anzeigen (PDF, 495 KB)

SOC 1, SOC 2 und SOC 3 (PDF, 162 KB)

PCI

Um konsistente Standards für Händler zu gewährleisten, hat der Payment Card Industry Security Standards Council (Link befindet sich außerhalb von ibm.com) PCI-Datensicherheitsstandards (Payment Card Industry) definiert. Diese Standards enthalten bewährte Verfahren zum Schutz von Karteninhaberdaten. Sie erfordern häufig eine Überprüfung durch einen Qualified Service Assessor (QSA) eines Drittanbieters.

Fordern Sie das IBM Cloud IaaS-Zertifikat über unser Kundenportal an. (Der Link befindet sich außerhalb von ibm.com.)

Oder wenden Sie sich an den zuständigen IBM Vertriebsbeauftragten.

 

PCI

HITRUST

Die Health Information Trust Alliance (HITRUST) ist eine Organisation, die aus Vertretern aus dem Gesundheitswesen besteht. Die HITRUST erstellt und verwaltet das Allgemeine Sicherheitsframework (Link befindet sich außerhalb von ibm.com). Es handelt sich hierbei um ein zertifizierbares Framework, das Gesundheitsorganisationen und ihren Lösungsanbietern hilft, ihre Sicherheits- und Compliancemechanismen in konsistenter und optimierter Weise zu belegen. 

 

IBM Cloud IaaS-Zertifikat (PDF, 66 KB) anzeigen

HITRUST

FedRAMP

FedRAMP (Federal Risk and Authorization Management Program) (Link befindet sich außerhalb von ibm.com) ist ein staatliches Programm, das einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung von Cloudprodukten und -services definiert. 

 

IBM Cloud IaaS-Zertifikat – FedRAMP-Autorisierungszertifikat anzeigen

IRAP (Australien)

Das Information Security Registered Assessors Program (IRAP) (Link befindet sich außerhalb von ibm.com) ist eine Initiative des Australian Signals Directorate (ASD), um hochwertige Informations- und Kommunikationstechnologien für die Regierung zur Unterstützung der australischen Sicherheitsbemühungen bereitzustellen. Das IRAP bietet den Rahmen für die Zulassung von Einzelpersonen aus dem privaten und öffentlichen Sektor, um den australischen Behörden eine bessere Bewertung der Cybersicherheit zu ermöglichen. 

 

Unser Zertifikat anzeigen

IBM ISO Managementsystem-Zertifizierung

IBM hat unternehmensweit Zertifizierungen für ISO 9001, ISO 14001, ISO 50001 und OHSAS 1800 erhalten. Lesen Sie mehr zu den IBM Managementsystem-Zertifizierungen.

Weltweite Regelungen

EU-Modellklauseln

EU-Modellklauseln stehen für Kontrolleure und Bearbeiter von PII-Daten von EU-Bürgern zur Verfügung. PII steht für Personally Identifiable Information, also personenbezogene Daten.  Diese Klauseln verpflichten Unternehmen außerhalb der EU, die von der EU vorgeschriebenen Gesetze und Verfahren weltweit zu befolgen.Die Klauseln bieten Unternehmen, die PII-Daten verarbeiten, Durchsetzungsrechte und andere Möglichkeiten für Unternehmen außerhalb der EU, dass diese die Daten nur gemäß deren Anweisungen und in Übereinstimmung mit den EU-Gesetzen verarbeiten dürfen.

EU-Modellklauseln

FERPA

Das Thema Sicherheit ist für die Einhaltung der Bestimmungen des Family Educational Rights and Privacy Act (FERPA ) von ausschlaggebender Bedeutung (Link befindet sich außerhalb von ibm.com). Dieses Gesetz regelt den Schutz von Daten von Auszubildenden gegen unberechtigte Offenlegung. Bildungseinrichtungen, die Cloud-Computing nutzen, benötigen vertraglich festgelegte Zusicherungen, dass ein Technologieanbieter sensible Daten von Auszubildenden angemessen verwalten wird.

HIPAA

Im US Health Insurance Portability and Accountability Act (HIPAA) wird die Speicherung und Verarbeitung von geschützten Gesundheitsinformationen geregelt (PHI und e-PHI). Unternehmen und Personen, bei denen die HIPAA-Bestimmungen Anwendung finden, müssen eine Reihe technischer, administrativer und physischer Kontrollmechanismen durchführen, sodass diese Gesundheitsinformationen ausreichend geschützt sind.

Fordern Sie den IaaS Bridge Letter über unser Kundenportal an (Link befindet sich außerhalb von ibm.com).

Oder wenden Sie sich an den zuständigen IBM Vertriebsbeauftragten.

HIPAA

My Number Act (Japan)

Das Social Security and Tax Number System (My Number) "(PDF, Link befindet sich außerhalb von ibm.com, 770 KB) trat am Januar 2016 in Japan in Kraft. Im Rahmen dieses Gesetzes wird jedem in Japan lebenden japanischen oder ausländischen Bürger eine eindeutige Nummer zugewiesen, die hauptsächlich für steuerliche Belange und Sozialversicherungszwecke genutzt werden soll. Die Personal Information Protection Commission (PPC) (Link befindet sich außerhalb von ibm.com) hat Richtlinien  formuliert die sicherstellen sollen, dass Unternehmen My Number-Daten ordnungsgemäß handhaben und schützen.

My Number Act (Japan)

ITAR

IBM Cloud bietet auf Bundesebene und im kommerziellen Bereich Angebote, die die Einhaltung der United States International Traffic in Arms Regulations (ITAR) sicherstellen sollen (Link befindet sich außerhalb von ibm.com). ITAR ist eine Exportkontrollverordnung zum Schutz von verteidigungsspezifischen Artikeln, Dienstleistungen und zugehörigen technischen Daten in den USA, die von amerikanischen Herstellern, Exporteuren und Brokern verarbeitet werden. Die ITAR-Richtlinien geben vor, dass nur eine Person aus den USA physischen oder logischen Zugriff auf die in der ITAR-Umgebung gespeicherten Artikel haben kann, wenn die Genehmigung des Außenministeriums oder eine besondere Ausnahmegenehmigung vorliegt.

Itar logo

Anforderungskatalog Cloud Computing (C5) (Deutschland)

Der Anforderungskatalog Cloud Computing (C5) (Link befindet sich außerhalb von ibm.com), der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) eingeführt wurde, ist ein cloudspezifisches Attestierungsschema, das die Anforderungen für Cloud-Service-Provider umreißt, um eine Mindestsicherheitsstufe ihrer Cloud-Services zu gewährleisten. C5 erhöht die Anforderungen an Cloud-Provider durch die Kombination bestehender Sicherheitsstandards (d. h. ISO 27001) mit zusätzlichen Anforderungen an mehr Transparenz bei der Datenverarbeitung.

Fordern Sie die C5-Attestierung für IBM Cloud IaaS über das IBM Cloud-Kundenportal an (Link befindet sich außerhalb von ibm.com).

Oder wenden Sie sich an den zuständigen IBM Vertriebsbeauftragten.

Ausrichtungen und Frameworks

CJIS

Criminal Justice Information Systems (CJIS) ist ein Bereich im Federal Bureau of Investigation (FBI) des US-Justizministeriums. Im dieser CJIS-Abteilung wurde eine Sicherheitsstrategie erarbeitet und veröffentlicht, in der die Mindestanforderungen für Informationssicherheit, Leitlinien und Vereinbarungen definiert sind, die den Willen der Strafverfolgungsbehörden zum Schutz der Quellen, der Übermittlung, der Speicherung und der Erstellung von strafrechtlichen Informationen (Criminal Justice Information, CJI) widerspiegeln. 

 

Leitfaden anzeigen

CJIS

CSA

Die Cloud Security Alliance (CSA) (Link befindet sich außerhalb von ibm.com) ist eine gemeinnützige Organisation, die sich für die Verwendung von Best Practices einsetzt, um eine optimale Sicherheit beim Cloud-Computing zu gewährleisten. Einer dieser Mechanismen, die die CSA hierfür einsetzt, ist die Security, Trust and Assurance Registry (STAR) – eine kostenlose, öffentlich zugängliche Registry, in der die Sicherheitsmaßnahmen verschiedener Cloud-Computing-Angebote dokumentiert sind. 

 

Unseren Fragebogen anzeigen

CSA (Link befindet sich außerhalb von ibm.com)

Privacy Shield EU/USA

Die EU-US und Swiss-US Privacy Shield Frameworks wurden vom US-Handelsministerium und der Europäischen Kommission sowie der schweizerischen Verwaltung entworfen. Dadurch sollen Unternehmen auf beiden Seiten des Atlantiks einen Mechanismus zur Einhaltung der Datenschutzbestimmungen gewähren, wenn personenbezogene Daten von der Europäischen Union und der Schweiz zur Unterstützung des transatlantischen Handels in die Vereinigten Staaten übertragen werden. 

 

Unsere Richtlinie anzeigen

FFIEC

Um zunehmende Bedrohungen angemessen anzugehen, verlangt der Federal Financial Institutions Examination Council (FFIEC), dass Finanzorganisationen kontinuierlich Risikobewertungen vornehmen, ihre Kontrollmechanismen in angemessener Weise anpassen und einen mehrschichtigen Sicherheitsansatz verfolgen. In Übereinstimmung mit dem FFIEC ermittelt IBM Cloud IaaS die wichtigsten Kontrollmechanismen, um die FFIEC-Richtlinien erfüllen, neue Bedrohungen ermitteln, deren Auswirkungen angehen, ein mehrschichtiges Sicherheitskonzept anwenden und so Betrugsdelikte verhindern zu können.  

FISC

Das Center for Financial Industry Information Systems (FISC) (Link befindet sich außerhalb von ibm.com) wurde vom japanischen Finanzministerium mit dem Ziel gegründet, Forschungsarbeiten zu Themen im Zusammenhang mit Finanzinformationssystemen in Japan durchzuführen. Das FISC hat hierfür Leitlinien zur Förderung der Sicherheit bei Informationssystemen innerhalb der Banken- und Finanzwirtschaft geschaffen. Diese FISC-Richtlinien werden, wenn auch nicht gesetzlich vorgeschrieben, von den meisten japanischen Finanzinstituten bei der Gestaltung und Pflege ihrer Informationssysteme anerkannt und verwendet.

FISMA

Der Federal Information Security Management Act aus dem Jahr 2002 (FISMA)) (Link befindet sich außerhalb von ibm.com) sorgt für mehr Datensicherheit in den Bundesbehörden. Durch die FISMA-Regelungen müssen Mitarbeiter und Führungskräfte in den Behörden jährliche Überprüfungen von Informationssicherheitsprogrammen vornehmen, um kostenwirksam, zeitnah und effizient Risiken innerhalb eines festgelegten akzeptablen Niveaus zu halten.

FISMA

Sicherheit

Wenn Sie mit IBM zusammenarbeiten, erhalten Sie nicht nur Zugriff auf ein vollständiges Paket von IBM Cloud-Sicherheitsservices, sondern auch Zugang zu einem Sicherheitsteam, das über 12.000 Kunden in 133 Ländern unterstützt. Als eines der führenden Unternehmen im Bereich Unternehmenssicherheit können wir mehr als 3.500 Sicherheitspatente vorweisen. Durch die Kombination dieses Sicherheitsimmunsystems mit innovativen Cognitive Computing-Lösungen können Unternehmen wie Ihres auch weiterhin innovativ sein und gleichzeitig Risiken reduzieren.

Datenschutz

IBM hat sich zum Schutz der Privatsphäre und Vertraulichkeit von personenbezogenen Daten von Mitarbeitern, Kunden, Geschäftspartnern (sowie Kontakten im Kunden- und Business Partner-Umfeld) und anderen identifizierbaren Personen verpflichtet. Einheitliche Verfahren für das Erfassen, Verwenden, Offenlegen, Speichern, Zugreifen, Übertragen oder die sonstige Verarbeitung solcher Informationen helfen IBM, personenbezogene Daten in akzeptabler Weise und angemessen zu verarbeiten, sie offenzulegen und/oder nur unter angemessenen Umständen zu übertragen.