合规
您可以了解 WebSphere® Application Server 产品对各种法规或标准的合规性立场。 客户负责确保自行针对适用的法律法规实现准备就绪状态。
客户有责任识别和解释可能影响其用户的任何相关法律和法规。 客户还负责其用户为遵守这些法律法规而可能需要采取的任何行动。
| 条例或标准 | 适用性 | 受支持 | 评估 | 责任模式 |
|---|---|---|---|---|
| 辅助功能 | 适用 | 是 | 合规 | IBM |
| 人工智能 | 不适用 | 不适用 | 不适用 | 不适用 |
| 出口合规 | 适用 | 是 | 合规 | IBM |
| 联邦信息处理标准 (FIPS) | 适用 | 是 | 就绪(需要配置) | 客户和 IBM |
| 联邦风险和授权管理计划 (FedRAMP) | 不适用 | 不适用 | 不适用 | 不适用 |
| 通用数据保护条例 (GDPR) | 适用 | 是 | 准备就绪 | 客户和 IBM |
| 健康保险可移植性和责任法案 (HIPAA) | 适用 | 是 | 就绪(需要配置) | 客户端 |
| 健康信息信任 (HITRUST) | 适用 | 是 | 就绪(需要配置) | 客户端 |
| ISO/IEC 27001 | 适用 | 是 | 就绪(需要配置) | 客户端 |
| 支付卡行业 (PCI) | 适用 | 是 | 就绪(需要配置) | 客户端 |
| SP800-131 | 适用 | 是 | 就绪(需要配置) | 客户和 IBM |
| 套件 B | 适用 | 是 | 就绪(需要配置) | 客户和 IBM |
| 系统和组织控制 (SOC) | 适用 | 是 | 就绪(需要配置) | 客户端 |
可达性
IBM 已承诺实现辅助功能选项。 可访问 IBM 可访问性符合性报告请求网站,该报告(以前称为 VPAT)包含有关可访问性标准符合性的详细信息,包括《全球财团网页内容可访问性指南》、欧洲标准 EN 301 349 和美国 508 条款。
人工智能
WebSphere Application Server 不使用任何人工智能,也不与任何人工智能交互。 本产品不适用使用人工智能的法规或标准。
人工智能协助起草了部分产品源代码。
人工智能协助起草了部分产品文档。 任何生成的内容在发布前都会经过审核,以确保准确性,并标注评论。
出口合规
IBM承诺遵守U.S出口法规的要求。出口条例》的要求。
有关产品的出口合规信息,如出口管制分类号 (ECCN) 和 ID 编号,请参阅 https://www.ibm.com/software/howtobuy/passportadvantage/ero/home/prodSearch 。 在 软件出口分类搜索页面上,在 零件编号/产品 ID 字段中输入 5900AH1 并单击 提交。
联邦信息处理标准 (FIPS)
客户有责任对产品进行配置,使其符合联邦信息处理标准(FIPS)。 默认情况下未配置 FIPS 启用。
美国国家标准与技术研究院(NIST)发布联邦信息处理标准(FIPS),这是联邦政府计算机系统的标准和指南。
有关配置产品的详细信息,请参阅 WebSphere Application Server 安全标准配置。
有关 FIPS 的更多信息,请参阅
联邦信息安全现代化法案》(FISMA)
客户负责配置产品和实施控制,以符合《联邦信息安全现代化法案》(FISMA)的规定。 该产品默认情况下不符合标准。
遵守 FISMA 意味着遵守一套政策、标准和指南,以保护政府系统中包含的个人或敏感信息。 FISMA 要求所有政府机构及其供应商、服务提供商和承包商根据这些预先确定的要求改进其信息安全控制措施。 IBM作为政府机构的供应商,致力于 FISMA 合规性。
有关配置产品以满足安全标准的详细信息,请参阅 根据安全法规和标准进行配置。
有关 FISMA 的更多信息,请参阅 https://www.cisa.gov/topics/cyber-threats-and-advisories/federal-information-security-modernization-act 。
联邦风险和授权管理计划 (FedRAMP)
该产品不是云产品或服务。 FedRAMP安全框架不适用。
FedRAMP是一项政府范围内的计划,为云产品和服务的安全评估、授权和持续监控提供了标准化方法。 它旨在确保政府机构和其他组织能够放心使用符合最高安全性和合规性标准的云服务。
有关 FedRAMP, 请参阅 https://www.fedramp.gov/
通用数据保护条例 (GDPR)
客户负责确保自行针对法律法规(包括欧盟的《通用数据保护条例》)实现准备就绪状态。
有关产品的 GDPR 的更多信息,请参阅 WebSphere Application Server GDPR 就绪注意事项。
有关详细信息,请参阅 https://gdpr.eu/what-is-gdpr/ 。
健康保险可移植性和责任法案 (HIPAA)
如果客户需要处理受电子保护的健康信息 (EPHI),则应负责配置产品和实施控制,以符合《健康保险可携性和责任法案》(HIPAA) 的规定。 该产品默认情况下不符合标准。
HIPAA 安全规则特别关注 EPHI 的保护,只有一部分机构根据其职能和 EPHI 的使用情况受 HIPAA 安全规则的约束。
有关配置产品以满足安全标准的详细信息,请参阅 根据安全法规和标准进行配置。
有关详细信息,请参阅 https://www.hhs.gov/hipaa/index.html 。
健康信息信托(HITRUST)
客户负责配置产品和其他控制措施,以符合健康信息信任(HITRUST)的要求。 该产品默认情况下不符合标准。
健康信息信任联盟现已更名为 HITRUST,是一个由医疗保健行业代表组成的组织。 HITRUST 成立于 2007 年,创建了通用安全框架 (CSF),这是一个用于验证敏感或受监管医疗保健数据安全性的框架。
有关配置产品以满足安全标准的详细信息,请参阅 根据安全法规和标准进行配置。
有关详细信息,请参阅 https://hitrustalliance.net/ 。
ISO/IEC 27001
客户负责配置产品和实施控制,以符合 ISO/IEC 27001 标准。 该产品默认情况下不符合标准。
ISO/IEC 27001 合规性要求组织满足信息安全管理系统 (ISMS) 的要求。 国际标准化组织(ISO)是一个独立的非政府组织,成员包括 164 个国家标准机构。 国际标准化组织制定的国际标准是自愿的、基于共识的和与市场相关的。 我们的目标是确保产品和服务的安全、可靠和优质。
有关配置产品以满足安全标准的详细信息,请参阅 根据安全法规和标准进行配置。
有关详细信息,请参阅 https://www.iso.org/standard/27001 。
支付卡行业 (PCI)
客户负责配置产品和/或实施控制,以符合支付卡行业(PCI)标准。 该产品默认情况下不符合标准。
支付卡行业数据安全标准(PCI-DSS)和支付应用数据安全标准(PA-DSS)是支付卡行业为促进安全支付处理而制定的标准。 PA-DSS 是针对商用现成支付应用程序的标准,被定义为采集、处理、存储或传输与信用卡等卡片相关信息的应用程序。
有关配置产品以满足安全标准的更多信息,请参阅 根据安全法规和标准进行配置。
有关详细信息,请参阅 https://www.pcisecuritystandards.org/ 。
SP800-131
客户负责配置产品和实施控制,以符合SP800-131的规定。 该产品默认情况下不符合标准。
SP800-131 是由美国国家标准技术学会 (NIST) 发起的要求,它要求更长的密钥长度和更强大的密码术。
有关详细信息,请参阅 WebSphere Application Server 安全标准配置。
套件 B
客户有责任配置产品并实施控制,以符合套件 B 的要求。
套件 B 是由美国国家安全局(NSA)提出的一项要求,旨在明确规定密码互操作性战略。 此标准类似于 SP800-131,但具有一些更严格的限制。
有关详细信息,请参阅 WebSphere Application Server 安全标准配置。
系统和组织控制 (SOC)
客户负责配置产品和实施控制,以符合系统和组织控制 (SOC) 的要求。 该产品默认情况下不符合标准。
- SOC 1 是对服务机构内部控制的审计,其实施目的是保护客户拥有的、涉及客户财务报告的数据。 SOC 1 审计和报告以《鉴证业务准则声明》(SSAE 18)和《国际鉴证业务准则第 3402 号》(ISAE 3402)为基础。
- SOC 2 审计以美国注册会计师协会信托服务原则和标准为基础,衡量服务机构为保护客户数据而实施的内部控制。 SOC 2 报告详细介绍了这些内部控制的性质。
有关配置产品以满足安全标准的更多信息,请参阅 根据安全法规和标准进行配置。
有关 SOC 的更多信息,请参阅 https://ssae-16.com/ 。