Los informes de Control para Organizaciones de Servicios (SOC) son informes independientes de terceros emitidos por evaluadores certificados por el Instituto Americano de Auditores de Cuentas Públicos Certificados (AICPA) que abordan el riesgo asociado con un servicio subcontratado. El AICPA ha establecido los Trust Services Criteria (TSC) en materia de seguridad, disponibilidad, integridad del proceso, confidencialidad y privacidad, con los que se puede evaluar a las organizaciones de servicios.
Un informe SOC 2 evalúa los controles internos que una organización ha implementado para proteger los datos propiedad del cliente y proporciona detalles sobre la naturaleza de esos controles internos.
Póngase en contacto con un representante de IBM para solicitar los informes SOC 2.
Se puede proporcionar un informe SOC 2 para los servicios de IBM que han implementado controles de acuerdo con sus principios de servicio de confianza seleccionados. El informe SOC 2 demuestra que IBM diseñó adecuadamente los controles para los principios de servicios de confianza seleccionados y que los controles funcionaron eficazmente durante el periodo del informe.
Los servicios enumerados a continuación tienen disponible un informe SOC 2 Tipo 2 realizado en el período de tiempo durante el cual se evaluaron los controles. Como representa una evaluación en el pasado, una carta puente puede acompañar al informe SOC 2 Tipo 2, en el que IBM atestigua el rendimiento continuo del control del servicio desde que finalizó el último período de dicho informe.
Los documentos de descripciones de cada servicio (SD)) de IBM indican si una oferta determinada mantiene el estado de conformidad de SOC 2 Tipo 2. Los servicios que figuran a continuación emiten informes SOC 2 de tipo 2 al menos una vez al año.
Consulte la descripción del sistema de infraestructura de IBM Cloud
Acelere su cumplimiento utilizando los servicios de IBM Cloud
La versión más reciente de PCI DSS (v4.0) se lanzó en marzo de 2022. Las organizaciones deben implementar estos 12 requisitos antes del 31 de marzo de 2025 para lograr el cumplimiento.
IBM Cloud ofrece el siguiente conjunto de servicios que le ayudarán a cumplir los requisitos específicos de PCI DSS y a acelerar su proceso de conformidad.
|
1. Evaluación de riesgos |
|---|
IBM Security and Compliance Center
IBM Security and Compliance Center es un conjunto de soluciones integradas para definir políticas como código, implantar controles para implementaciones de datos seguros y cargas de trabajo, y evaluar la postura de seguridad y conformidad, en entornos multinube híbridos.
IBM Security and Compliance Center - Protección de carga de trabajo
En entornos de arquitectura centrados en contenedores y microservicios, puede utilizar IBM Cloud Security and Compliance Center Workload Protection para buscar y priorizar vulnerabilidades de software, detectar y responder a amenazas y gestionar las configuraciones, los permisos y el cumplimiento desde el origen hasta la ejecución.
IBM Cloud Security Solutions - Threat Management - IBM Security QRadar Suite
IBM Security QRadar Suite es una solución modernizada de detección y respuesta ante amenazas diseñada para unificar la experiencia de los analistas de seguridad y acelerar su velocidad en todo el ciclo de vida de los incidentes. La cartera incluye IA y automatización de nivel empresarial para aumentar drásticamente la productividad de los analistas, ayudando a los equipos de seguridad con recursos limitados a trabajar de manera más eficaz en todas las tecnologías principales.
Con una interfaz de usuario común, conocimientos compartidos y flujos de trabajo conectados, ofrece productos integrados para: seguridad de endpoints (EDR, XDR, MDR), gestión de registros, SIEM, SOAR
IBM Security Guardium
IBM Security Guardium es una familia de software de seguridad de datos en la cartera IBM Security que descubre vulnerabilidades y protege los datos confidenciales en las instalaciones y en la nube.
Servicios de IBM Cloud Database
Los servicios IBM Cloud Database-as-a-Service (DBaaS) liberan a los desarrolladores y al personal de TI de tareas complejas y laboriosas, como la implementación de infraestructura y software de bases de datos, operaciones de infraestructura, actualizaciones de software de bases de datos y copias de seguridad. Las pymes de IBM Cloud Database ofrecen instancias de bases de datos listas para usar y de alta disponibilidad, lo que permite a los desarrolladores y al personal de TI dedicar tiempo a otras prioridades.
IBM Cloud Monitoring
Monitorización y resolución de problemas en la nube para infraestructura, servicios en la nube y aplicaciones
|
2. Actividades de control |
|---|
IBM Cloud Identity and Access Management (IAM)
El servicio IBM Cloud Identity and Access Management (IAM) autentica de forma segura a los usuarios y controla de manera coherente el acceso a todos los recursos de IBM Cloud Platform.
Servicios de IBM Cloud Database
Los servicios IBM Cloud Database-as-a-Service (DBaaS) liberan a los desarrolladores y al personal de TI de tareas complejas y laboriosas, como la implementación de infraestructura y software de bases de datos, operaciones de infraestructura, actualizaciones de software de bases de datos y copias de seguridad. Las pymes de IBM Cloud Database ofrecen instancias de bases de datos listas para usar y de alta disponibilidad, lo que permite a los desarrolladores y al personal de TI dedicar tiempo a otras prioridades.
Entrega continua
Adopte DevOps preparado para la empresa. Cree cadenas de herramientas seguras compatibles con las tareas de entrega de aplicaciones. Automatice compilaciones, pruebas, implementaciones y mucho más.
IBM Cloud Logs
Obtenga observabilidad de registros con IBM® Cloud Logs para ayudar a mejorar la infraestructura y el rendimiento de las aplicaciones
|
3. Controles de acceso lógico y físico |
|---|
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services aporta seguridad y rendimiento líderes en el mercado a su contenido web externo y aplicaciones de internet antes de que lleguen a la nube.
IBM Cloud Direct Link
La solución IBM Cloud Direct Link está diseñada para conectar sus recursos locales a los de la nube de manera fluida. La velocidad y fiabilidad de IBM Cloud Direct Link le permite ampliar la red del centro de datos de su organización y proporciona una conectividad consistente y de mayor rendimiento sin necesidad de tocar la internet pública.
Dispositivos de puerta de enlace de IBM Cloud
Los dispositivos de puerta de enlace son aparatos que le ofrecen un mayor control sobre el tráfico de red, le permiten acelerar el rendimiento de su red y aumentan su seguridad. Administre sus redes físicas y virtuales para enrutar múltiples VLAN, para firewalls, VPN, modelado de tráfico y más.
IBM Cloud Transit Gateway
IBM Cloud Transit Gateway le ayuda a conectar y gestionar sus redes IBM Cloud Virtual Private Cloud (VPC).
Dispositivo de seguridad FortiGate
El firewall de hardware FortiGate Security Appliance (FSA) de 10 Gbps puede configurarse para proteger el tráfico en varias VLAN de redes públicas y privadas.
Firewall de hardware
El firewall de hardware proporciona a los clientes una capa esencial de seguridad que se suministra bajo demanda y sin interrupciones del servicio. Evita que llegue a sus servidores tráfico no deseado, al reducir la superficie de ataque y permitir que los recursos del servidor se dediquen al uso previsto.
IBM Key Protect for IBM Cloud
El servicio IBM Key Protect for IBM Cloud le ayuda a aprovisionar y almacenar claves cifradas para aplicaciones en los servicios IBM Cloud, para que pueda ver y gestionar el cifrado de datos y todo el ciclo de vida de la clave desde una ubicación central.
IBM Cloud App ID
IBM Cloud App ID le permite añadir fácilmente autenticación a aplicaciones web y móviles. Ya no tendrá que preocuparse por configurar la infraestructura de identidad, garantizar la disponibilidad geográfica y confirmar las normativas de cumplimiento. En su lugar, puede mejorar sus aplicaciones con capacidades de seguridad avanzadas, como la autenticación multifactor y el inicio de sesión único.
Secrets Manager
Con IBM Cloud Secrets Manager, puede crear secretos de forma dinámica y arrendarlos a las aplicaciones mientras controla el acceso desde una única ubicación. Basado en HashiCorp Vault de código abierto, Secrets Manager le ayuda a garantizar el aislamiento de datos de un entorno dedicado con las ventajas de una nube pública.
IBM Security and Compliance Center - Agente de seguridad de datos - Gestor
Proteja sus datos en la nube con IBM® Cloud Data Security Broker, una solución completa de cifrado de datos que protege los datos confidenciales en las bases de datos empresariales al integrar la gestión de claves con las bases de datos para proporcionar cifrado a nivel de aplicación.
IBM Cloud Hyper Protect Virtual Servers
Hyper Protect Virtual Servers for Virtual Private Cloud (VPC) es un tiempo de ejecución de contenedores informáticos confidenciales totalmente gestionado que permite la implementación de cargas de trabajo confidenciales en contenedores en un entorno altamente aislado con garantía técnica.
IBM Cloud Hardware Security Module
IBM Cloud Hardware Security Module (HSM) 7.0 de Gemalto protege la infraestructura criptográfica mediante la gestión, procesamiento y almacenamiento de claves criptográficas de forma más segura dentro de un dispositivo de hardware resistente a manipulaciones. Le ayuda a resolver desafíos complejos de seguridad, cumplimiento, soberanía de datos y control mediante la migración y ejecución de cargas de trabajo en la nube.
IBM Cloud Identity and Access Management (IAM)
El servicio IBM Cloud Identity and Access Management (IAM) autentica de forma segura a los usuarios y controla de manera coherente el acceso a todos los recursos de IBM Cloud Platform.
Servicios de almacenamiento de IBM Cloud
Nuestros servicios de almacenamiento en la nube ofrecen un hogar escalable, rico en seguridad y rentable para sus datos, al tiempo que admiten cargas de trabajo tradicionales y nativas de la nube. Ofrezca e implemente servicios como objetos de acceso, bloques y almacenamiento de archivos. Ajuste la capacidad y optimice el rendimiento a medida que cambien los requisitos. Pague solo por el almacenamiento en la nube que necesite.
Servicios de IBM Cloud Database
Los servicios IBM Cloud Database-as-a-Service (DBaaS) liberan a los desarrolladores y al personal de TI de tareas complejas y laboriosas, como la implementación de infraestructura y software de bases de datos, operaciones de infraestructura, actualizaciones de software de bases de datos y copias de seguridad. Las pymes de IBM Cloud Database ofrecen instancias de bases de datos listas para usar y de alta disponibilidad, lo que permite a los desarrolladores y al personal de TI dedicar tiempo a otras prioridades.
Mobile Device Management (MDM)
IBM Security MaaS360 es un producto UEM completo que le ayuda a gestionar los dispositivos móviles de su organización. Ofrece:
- Gestión de iOS, Android y iPadOS
- Seguridad móvil
- Identidad como servicio (IDaaS)
- Autenticación de múltiples factores (MFA)
- Inteligencia artificial (IA) y análisis en tiempo real de la calidad de los datos
- Control remoto, gestión de aplicaciones e integración con aplicaciones de terceros
IPSec VPN
La VPN facilita la conectividad desde su red segura a la red privada de la plataforma IaaS de IBM. Una conexión VPN desde su ubicación a la red privada permite la gestión fuera de banda y el rescate del servidor a través de un túnel VPN cifrado. La comunicación a través de la red privada es intrínsecamente más segura y ofrece a los usuarios la flexibilidad de limitar el acceso público sin dejar de poder acceder a sus servidores. Cualquier usuario de su cuenta puede tener acceso a la VPN, que está disponible tanto en SSL como en PPTP. Además, IBM® Bluemix también permite establecer una conexión mediante IPSec.
SSL VPN
El acceso VPN le permite gestionar todos los servidores y servicios asociados a su cuenta de forma remota a través de la red privada de IBM Cloud. Una conexión VPN desde su ubicación a la red privada permite la gestión fuera de banda y el rescate del servidor a través de un túnel VPN cifrado.
La comunicación a través de una red privada es intrínsecamente más segura. Le ofrece la flexibilidad de limitar el acceso público sin dejar de poder gestionar sus servidores. Se puede conceder acceso VPN a cualquier usuario de su cuenta, disponible como SSL. Las interacciones VPN a través de la consola de IBM Cloud permiten personalizar el acceso VPN a nivel de usuario.
|
4. Operaciones del sistema |
|---|
IBM Cloud Direct Link
La velocidad y fiabilidad de IBM Cloud Direct Link le permite ampliar la red del centro de datos de su organización sin tocar la Internet pública.
IBM Cloud Transit Gateway
IBM Cloud Transit Gateway le ayuda a conectar y gestionar sus redes IBM Cloud Virtual Private Cloud (VPC).
IBM Key Protect for IBM Cloud
El servicio IBM Key Protect for IBM Cloud le ayuda a aprovisionar y almacenar claves cifradas para aplicaciones en los servicios IBM Cloud, para que pueda ver y gestionar el cifrado de datos y todo el ciclo de vida de la clave desde una ubicación central.
|
5. Proteger todos los sistemas y redes del software malintencionado |
|---|
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services aporta seguridad y rendimiento líderes en el mercado a su contenido web externo y aplicaciones de internet antes de que lleguen a la nube.
IBM Cloud Direct Link
La velocidad y fiabilidad de IBM Cloud Direct Link le permite ampliar la red del centro de datos de su organización sin tocar la Internet pública.
Dispositivo de seguridad FortiGate
Implemente un par de dispositivos virtuales FortiGate en su entorno, lo que puede ayudarle a reducir el riesgo mediante la implementación de controles de seguridad cruciales en su infraestructura virtual.
IBM QRadar Suite
IBM Security QRadar Suite es una solución modernizada de detección y respuesta a amenazas diseñada para unificar la experiencia del analista de seguridad y acelerar su velocidad a lo largo de todo el ciclo de vida de la incidencia.
IBM Security Guardium
Software de seguridad de datos en el portafolio de IBM Security que descubre vulnerabilidades y protege datos confidenciales en las instalaciones y en la nube.
|
6. Desarrollar y mantener sistemas y software seguros |
|---|
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services aporta seguridad y rendimiento líderes en el mercado a su contenido web externo y aplicaciones de internet antes de que lleguen a la nube.
IBM Security and Compliance Center - Protección de carga de trabajo
Encuentre y priorice las vulnerabilidades de software, detecte y responda a las amenazas, y administre las configuraciones, los permisos y el cumplimiento desde el origen hasta la ejecución.
IBM Security Guardium
Software de seguridad de datos en el portafolio de IBM Security que descubre vulnerabilidades y protege datos confidenciales en las instalaciones y en la nube.
IBM Cloud Container Registry
Almacene y distribuya imágenes de contenedores en un registro privado totalmente gestionado. Inserte imágenes privadas para ejecutarlas cómodamente en IBM Cloud Kubernetes Service y otros entornos de tiempo de ejecución.
IBM Cloud Continuous Delivery
Adopte DevOps preparado para la empresa. Cree cadenas de herramientas seguras compatibles con las tareas de entrega de aplicaciones. Automatice compilaciones, pruebas, implementaciones y mucho más.
IBM Cloud Kubernetes Service
Implemente clústeres seguros y de alta disponibilidad en una experiencia nativa de Kubernetes.
|
7. Restringir el acceso a los componentes del sistema y a los datos de los titulares de tarjetas según lo que la empresa necesite saber |
|---|
IBM Cloud App ID
Agregue fácilmente autenticación a aplicaciones web y móviles. Mejore sus aplicaciones con capacidades de seguridad avanzadas, como la autenticación multifactor y el inicio de sesión único.
IBM Cloud Identity and Access Management (IAM)
El servicio IBM Cloud Identity and Access Management autentica de forma segura a los usuarios y controla el acceso a todos los recursos de forma coherente en IBM Cloud Platform.
|
8. Identificar usuarios y autenticar el acceso a los componentes del sistema |
|---|
IBM Cloud App ID
Agregue fácilmente autenticación a aplicaciones web y móviles. Mejore sus aplicaciones con capacidades de seguridad avanzadas, como la autenticación multifactor y el inicio de sesión único.
IBM Cloud Secrets Manager
Cree secretos de forma dinámica y consíguelos a las aplicaciones mientras controla el acceso desde una única ubicación. Basado en HashiCorp Vault de código abierto.
IBM Cloud Identity and Access Management (IAM)
El servicio IBM Cloud Identity and Access Management autentica de forma segura a los usuarios y controla el acceso a todos los recursos de forma coherente en IBM Cloud Platform.
|
9. Restringir el acceso físico a los datos del titular de la tarjeta |
|---|
IBM Cloud adopta varias medidas para aumentar la seguridad física:
- Seguridad física del perímetro del centro de datos
- Controles de acceso y registro de entrada y salida
- Oficinas, salas e instalaciones seguras
- Protección contra amenazas externas y medioambientales
- Redundancia de equipos de energía y de red
- Eliminación segura de equipos durante el desaprovisionamiento
- Política empresarial de RR. HH. y seguridad para la incorporación, la formación y la salida de la empresa
|
10. Registrar y monitorizar todos los accesos a los componentes del sistema y a los datos del titular de la tarjeta |
|---|
IBM Cloud Flow Logs for VPC
Permite recopilar, almacenar y presentar información sobre el tráfico del protocolo de internet (IP) que va hacia y desde las interfaces de red dentro de su nube virtual privada (VPC).
IBM QRadar Suite
IBM Security QRadar Suite es una solución modernizada de detección y respuesta a amenazas diseñada para unificar la experiencia del analista de seguridad y acelerar su velocidad a lo largo de todo el ciclo de vida de la incidencia.
IBM Cloud Identity and Access Management (IAM)
El servicio IBM Cloud Identity and Access Management autentica de forma segura a los usuarios y controla el acceso a todos los recursos de forma coherente en IBM Cloud Platform.
IBM Security Guardium
Software de seguridad de datos en el portafolio de IBM Security que descubre vulnerabilidades y protege datos confidenciales en las instalaciones y en la nube.
IBM Cloud Logs
Obtenga observabilidad de registros con IBM Cloud Logs para ayudar a mejorar la infraestructura y el rendimiento de las aplicaciones.
IBM Cloud Monitoring
Monitorización y solución de problemas en la nube para infraestructura, servicios en la nube y aplicaciones.
|
11. Probar la seguridad de los sistemas y redes con regularidad |
|---|
IBM Security and Compliance Center - Protección de carga de trabajo
Encuentre y priorice las vulnerabilidades de software, detecte y responda a las amenazas, y administre las configuraciones, los permisos y el cumplimiento desde el origen hasta la ejecución.
IBM QRadar Suite
IBM Security QRadar Suite es una solución modernizada de detección y respuesta a amenazas diseñada para unificar la experiencia del analista de seguridad y acelerar su velocidad a lo largo de todo el ciclo de vida de la incidencia.
IBM Security Guardium
Software de seguridad de datos en el portafolio de IBM Security que descubre vulnerabilidades y protege datos confidenciales en las instalaciones y en la nube.
|
12. Apoyar la seguridad de la información con políticas y programas organizacionales |
|---|
IBM Security and Compliance Center - Protección de carga de trabajo
Encuentre y priorice las vulnerabilidades de software, detecte y responda a las amenazas, y administre las configuraciones, los permisos y el cumplimiento desde el origen hasta la ejecución.
IBM Cloud Logs
Obtenga observabilidad de registros con IBM Cloud Logs para ayudar a mejorar la infraestructura y el rendimiento de las aplicaciones.
IBM Cloud Monitoring
Monitorización y solución de problemas en la nube para infraestructura, servicios en la nube y aplicaciones.