A propos des programmes de conformité régionaux IBM Cloud

Les organisations internationales doivent respecter de multiples normes de conformité, propres à chaque région, et en constante évolution, lorsqu'elles migrent leurs infrastructures IT vers le cloud. Les services de plateforme IBM Cloud™ peuvent vous aider à respecter ces normes régionales.

Asie-Pacifique

FISC (Japon)

Le Center for Financial Industry Information Systems (FISC) a été créé par le ministère japonais des Finances en vue d'effectuer des recherches sur des sujets liés aux systèmes d'informations financières au Japon. Le FISC a établi des lignes directrices pour promouvoir la sécurité des systèmes d'information dans les secteurs bancaire et financier. Ces lignes directrices du FISC, bien que non obligatoires sur le plan légal, sont reconnues et utilisées par la plupart des institutions financières au Japon pour la conception et la maintenance de leurs systèmes d'information.

IRAP (Australie)

Le programme IRAP (Information Security Registered Assessors Program) a été créé par le service de renseignements de l'Australie, l'ASD (Australian Signals Directorate), pour fournir des services de haute qualité en matière de technologie de l'information et des communications au Gouvernement Australien afin de garantir la sécurité de l'Australie. L'IRAP fournit un cadre permettant de valider des personnes des secteurs privé et public pour la fourniture au gouvernement australien de services d'évaluation de la cybersécurité.

K-ISMS (Corée du Sud)

Le K-ISMS (Korea Information Security Management System) est une certification soutenue par le Gouvernement Coréen et parrainé par la KISA (Korea Internet and Security Agency). Le K-ISMS est un système de certification destiné à déterminer si le système de sécurité de l'information d'une organisation est bien établi, géré et exploité. L'obtention de cette certification permet aux clients de l'infrastructure IBM Cloud en Corée du Sud de démontrer plus facilement leur respect des exigences légales locales pour la protection des actifs numériques clés et leur respect des normes de conformité de la KISA.

Afficher le certificat K-ISMS des services d'infrastructure IBM Cloud en anglais (PDF, 317 Ko)

Afficher le certificat K-ISMS des services d'infrastructure IBM Cloud en coréen (PDF, 280 Ko)

Logo ISMS

MTCS (Singapour)

La norme MTCS (Multi-Tier Cloud Security), également connue sous le nom de Singapore Standard SS 584, est une norme de sécurité à plusieurs niveaux pour les fournisseurs de services cloud opérant à Singapour.

Pour demander le certificat de l'infrastructure IBM Cloud : Visitez le portail client (le lien se trouve à l'extérieur d'IBM)

My Number Act (Japon)

Le Système de sécurité sociale et de numéro d'identification fiscale (My Number Act) est entré en vigueur au Japon en janvier 2016. En vertu de cette loi, un numéro unique est attribué à chaque résident du Japon, japonais ou étranger. Ce numéro doit être utilisé principalement pour les impôts et la sécurité sociale. La PPC (Personal Information Protection Commission) a créé des règles pour aider les entreprises à gérer et protéger correctement les informations My Number.

Logo de la loi My Number

Europe et Royaume-Uni

BaFin (Allemagne)

La BaFin, précédemment connue sous le nom de German Federal Financial Supervisory Authority, supervise tous les établissements de services financiers en Allemagne. La BaFin a publié une spécification pour le cadre réglementaire des services de cloud computing fournis aux établissements de services financiers.

C5 (Allemagne)

Le Cloud Computing Compliance Controls Catalog (C5), publié par l'Office fédéral allemand de la sécurité de l'information (BSI), est un système d'attestation spécifique au cloud. Ce schéma décrit les exigences que les fournisseurs de services Cloud doivent respecter afin d'assurer un niveau de sécurité minimum pour leurs services de cloud. Le C5 élève les exigences appliquées aux fournisseurs de cloud en combinant des normes de sécurité existantes telles que la norme ISO 27001, à des exigences supplémentaires pour une plus grande transparence dans le traitement des données.

Pour demander l'attestation C5 de l'infrastructure IBM Cloud, utilisez l'une des méthodes suivantes :Visitez le portail client (le lien se trouve à l'extérieur d'IBM)
Contacter un interlocuteur IBM

Autorité bancaire européenne - EBA (UE)

Dans le cadre de sa mission visant à établir des pratiques de supervision cohérentes, efficientes et efficaces dans l'ensemble de l'UE et à assurer une application uniforme du droit de l'Union européenne, l'Autorité bancaire européenne (ABE) émet des directives et des recommandations en matière de réglementation dans ses domaines de compétence.

Découvrez comment la plateforme IBM Cloud supporte les recommandations de l'ABE (PDF, 1,5 Mo)

ENISA IAF (UE)

L'Agence de l'Union européenne pour la cybersécurité (ENISA) a publié l'Information Assurance Framework (IAF), un ensemble de critères d'assurance visant à évaluer le risque lié plusieurs éléments : adoption de services cloud, comparaison des différentes offres de fournisseurs cloud, obtention d'une offre d'assurance de la part de fournisseurs cloud sélectionnés et réduction des charges d'assurance.

ENS (Espagne)

Le Cadre de sécurité nationale de l'Espagne (ENS) est un décret qui établit les dispositions relatives à la sécurité et les applique à toutes les administrations publiques d'Espagne. L'ENS établit la politique de sécurité pour les services en ligne de l'administration. Ce décret établit les principes de base et les exigences minimales assurant une protection adéquate de l'information et devant être respectés par toutes les administrations publiques.

Afficher le certificat ENS High pour l'infrastructure IBM Cloud (PDF, 704 ko)

Services de la Plateforme IBM Cloud avec certificat ENS High :

IBM Cloud Bare Metal
IBM Cloud Block Storage
IBM Cloud Direct Link
IBM Cloud File Storage
IBM Cloud Hardware Security Module
IBM Cloud Object Storage (IaaS)
Serveurs virtuels IBM Cloud

Certificat ENS Espagne

Clauses types de l'Union européenne

Les clauses types de l'UE sont à la disposition des contrôleurs et des processeurs des informations identifiant la personne (PII) appartenant aux citoyens de l'UE. Ces clauses obligent les entreprises non membres de l'UE à suivre les lois et les pratiques prescrites par la Directive européenne sur la protection des données sur tous leurs sites dans le monde. Les clauses prévoient des droits de contrôle et l'assurance pour les entreprises qui détiennent des PII de l'UE que les fournisseurs situés en dehors de l'UE ne traiteront les données que conformément à leurs instructions et conformément aux lois de l'UE. En mai 2018, la Directive européenne sur la protection des données a été remplacée par le Règlement général sur la protection des données (RGPD).

Bouclier de protection des données UE-Etats-Unis (Privacy Shield)

Les cadres « Privacy-shield » UE-États-Unis et Suisse-États-Unis ont été conçus par le Département du commerce des États-Unis, la Commission européenne et l'Administration suisse. Ces cadres fournissent aux entreprises des deux côtés de l'Atlantique un mécanisme qui les aide à respecter les exigences de protection des données lorsqu'elles transfèrent des données personnelles de l'Union européenne (UE) et de la Suisse vers les États-Unis dans le cadre du commerce transatlantique.

Afficher la stratégie IBM et la liste des services IBM Cloud certifiés « privacy-shield »

RGPD (UE)

Dans le cadre du Règlement général sur la protection des données (RGPD) de l'Union européenne, IBM renforce son engagement en matière de protection de la confidentialité au niveau de la conception. IBM travaille à intégrer encore plus profondément les principes de protection des données dans ses processus métier. Ce travail renforce également les contrôles existants pour limiter l'accès aux données personnelles, y compris pour les applications mobiles qui reposent sur des paramètres par défaut pour empêcher le partage de données personnelles.

En savoir plus sur le Cadre RGPD d'IBM

G-Cloud (RU)

Le gouvernement du Royaume-Uni a créé le Framework G-Cloud pour permettre un traitement plus rapide et moins coûteux des contrats d'achat passés par les organisations gouvernementales britanniques avec des fournisseurs de cloud. Les services G-Cloud sont divisés en trois catégories : hébergement cloud, logiciels cloud et support cloud.

Hébergeurs de données de santé - HDS : Hébergement de données de santé (France)

La certification Hébergement de données de santé (HDS) spécifie les conditions dans lesquelles les données de santé à caractère personnel, initialement collectées en France, doivent être protégées. L'hébergement de données doit inclure des contrôles de sécurité correspondant à la nature critique des données.

Toute personne physique ou morale qui héberge des données de santé à caractère personnel, collectées en France, doit être approuvée ou certifiée à cet effet.

Afficher le certificat HDS des services d'infrastructure IBM Cloud (PDF, 448 ko)

IT-Grundschutz (Allemagne)

Le but de l'IT-Grundschutz est d'atteindre un niveau de sécurité approprié pour tous les types d'information d'une organisation. L'IT-Grundschutz utilise une approche globale pour ce processus et fournit des conseils pour l'application des protections techniques, organisationnelles, personnelles et infrastructurelles.

Directive du SNE (UE)

La Directive sur les réseaux et les systèmes d'information (NIS) (UE 2016/1148) est la première loi sur la cybersécurité à couvrir l'ensemble de l'Union européenne et vise à renforcer le niveau global de cybersécurité pour les infrastructures essentielles de l'UE.

IBM maintient des mesures techniques et organisationnelles standards, appropriées et proportionnelles pour gérer les risques liés à la sécurité des réseaux et des systèmes d'information. Ces mesures comprennent un programme de surveillance de la sécurité et un processus d'intervention en cas d'incident global afin de répondre aux menaces et aux attaques en matière de cybersécurité. IBM utilise en outre une combinaison de formation en ligne, d'outils pédagogiques, de vidéos et d'autres initiatives de sensibilisation pour favoriser une culture de sensibilisation et de responsabilité en matière de sécurité au sein de son personnel.  Des informations supplémentaires sur ces mesures techniques et organisationnelles sont disponibles dans les certifications IBM et les rapports d'audit, dont les rapports ISO 27001 et SOC 2.

 

États-Unis

FERPA

La sécurité est essentielle pour le respect de la loi Family Educational Rights and Privacy Act (FERPA), qui exige la protection des informations sur les étudiants contre toute divulgation non autorisée. Les établissements d'enseignement qui utilisent le cloud computing doivent disposer de garanties contractuelles leur assurant qu'un prestataire de technologie gérera les données sensibles des étudiants de façon appropriée.