Les rapports SOC (Service Organization Control) sont des rapports tiers indépendants émis par des évaluateurs certifiés par l'American Institute of Certified Public Accountants (AICPA). Ilsstraitent des risques associés à un service externalisé.L’AICPA a établi des critères de services de confiance (TSC) pour la sécurité, la disponibilité, l’intégrité du traitement, la confidentialité et la vie privée, en fonction desquels les organisations de services peuvent être évaluées.
Un rapport SOC 2 évalue les contrôles internes mis en place par une organisation pour protéger les données des clients et fournit des détails sur la nature de ces contrôles internes.
Contactez un représentant IBM pour demander les rapports SOC 2.
Un rapport SOC 2 peut être fourni pour les services IBM qui ont mis en œuvre des contrôles conformément aux principes de service de confiance sélectionnés. Le rapport SOC 2 atteste qu'IBM a conçu des contrôles conformément aux principes de service de confiance sélectionnés et que ceux-ci ont fonctionné efficacement pendant la période considérée.
Les services énumérés ci-dessous disposent d'un rapport SOC 2 de type 2, représentant une période au cours de laquelle les contrôles ont été évalués. Dans la mesure où cette période se situe dans le passé, un rapport SOC 2 de type 2 peut s'accompagner d'une lettre de transition, attestant qu'IBM a contrôlé le service et la performance continue depuis la fin de la dernière période d'évaluation.
Les descriptions de service IBM (SD) indiquent si une offre donnée bénéficie de l'état de conformité SOC 2 Type 2. Les services ci-dessous émettent des rapports SOC 2 Type 2 au moins une fois par an.
Accélérez votre conformité grâce aux services IBM Cloud
La version la plus récente de la norme PCI DSS (v4.0) a été publiée en mars 2022. Les organisations doivent mettre en œuvre ces 12 exigences d'ici au 31 mars 2025 pour se mettre en conformité.
IBM Cloud propose la suite de services suivante qui vous aidera à répondre aux exigences spécifiques de la norme PCI DSS et à accélérer votre parcours de conformité.
|
1. Évaluation des risques |
|---|
IBM Security and Compliance Center
IBM Security and Compliance Center est une suite de solutions intégrées permettant de définir l’approche « policy-as-code », de mettre en œuvre des contrôles pour sécuriser les données et les déploiements de workloads, et d’évaluer la sécurité et la conformité dans les environnements multicloud hybrides.
IBM Security and Compliance Center - Protections de workloads
Dans les architectures axées sur les conteneurs et les microservices, vous pouvez utiliser IBM Cloud Security and Compliance Center Workload Protection pour identifier et hiérarchiser les vulnérabilités logicielles, détecter les menaces et y répondre, et gérer les configurations, les autorisations et la conformité de la source à l’exécution.
Solutions de sécurité IBM Cloud – Gestion des menaces – IBM Security QRadar Suite
IBM Security QRadar Suite est une solution modernisée de détection et de réponse aux menaces conçue pour unifier l’expérience des analystes de sécurité et leur permettre d’intervenir plus rapidement tout au long du cycle de vie des incidents. Le portefeuille intègre une IA et une automatisation de niveau entreprise afin d’augmenter considérablement la productivité des analystes, ce qui permet aux équipes de sécurité dont les ressources sont limitées de travailler plus efficacement sur les technologies de base.
La suite propose des produits intégrés pour la sécurité des points de terminaison (EDR, XDR, MDR), la gestion des registres, le SIEM et le SOAR, le tout avec une interface utilisateur commune, des informations partagées et des workflows connectés.
IBM Security Guardium
IBM Security Guardium est une famille de logiciels de sécurité des données du portefeuille IBM Security qui identifie les vulnérabilités et protège les données sensibles sur site et dans le cloud.
Services IBM Cloud Database
Les services IBM Cloud Database-as-a-Service (DBaaS) libèrent les développeurs et les informaticiens des tâches complexes et fastidieuses telles que le déploiement de l’infrastructure et des logiciels de base de données, les opérations d’infrastructure, les mises à jour des logiciels de base de données et la sauvegarde. Les spécialistes des bases de données IBM Cloud fournissent et gèrent des instances de bases de données prêtes à l’emploi et hautement disponibles, ce qui permet aux développeurs et au personnel informatique de se concentrer sur d’autres priorités.
IBM Cloud Monitoring
Surveillance et dépannage du cloud pour l’infrastructure, les services cloud et les applications
|
2. Activités de contrôle |
|---|
IBM Cloud Identity and Access Management (IAM)
Le service IBM Cloud Identity and Access Management (IAM) assure l’authentification sécurisée des utilisateurs et un contrôle des accès cohérent à toutes les ressources de la plateforme IBM Cloud.
Services IBM Cloud Database
Les services IBM Cloud Database-as-a-Service (DBaaS) libèrent les développeurs et les informaticiens des tâches complexes et fastidieuses telles que le déploiement de l’infrastructure et des logiciels de base de données, les opérations d’infrastructure, les mises à jour des logiciels de base de données et la sauvegarde. Les spécialistes des bases de données IBM Cloud fournissent et gèrent des instances de bases de données prêtes à l’emploi et hautement disponibles, ce qui permet aux développeurs et au personnel informatique de se concentrer sur d’autres priorités.
Distribution continue
Adoptez un DevOps adapté à l’entreprise. Créez des chaînes d'outils sécurisées qui prennent en charge les tâches de livraison de votre application. Automatisez les builds, les tests, les déploiements et plus encore.
IBM Cloud Logs
Bénéficiez d’une observabilité des journaux avec IBM Cloud Logs pour améliorer les performances de l’infrastructure et des applications
|
3. Contrôles d’accès logiques et physiques |
|---|
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services apporte une sécurité et des performances de pointe à votre contenu web externe et à vos applications Internet avant qu'ils n'atteignent le nuage.
IBM Cloud Direct Link
La solution IBM Cloud Direct Link est conçue pour connecter de façon fluide vos ressources sur site à vos ressources cloud. La vitesse et la fiabilité d’IBM Cloud Direct Link vous permettent d’étendre le réseau du centre de données de votre entreprise et de fournir une connectivité cohérente et à haut débit, sans passer par l’Internet public.
Dispositifs de passerelle IBM Cloud
Les passerelles sont des dispositifs qui vous permettent de mieux contrôler le trafic réseau, d'accélérer les performances de votre réseau et d'en renforcer la sécurité. Gérez vos réseaux physiques et virtuels pour le routage de plusieurs VLAN, pour les pare-feu, les VPN, la mise en forme du trafic, etc.
IBM Cloud Transit Gateway
IBM Cloud Transit Gateway vous aide à connecter et à gérer vos réseaux IBM Cloud Virtual Private Cloud (VPC).
Dispositif de sécurité FortiGate
Le FortiGate Security Appliance (FSA) 10 Gbit/s est un pare-feu matériel qui peut être configuré pour protéger le trafic sur plusieurs VLAN pour les réseaux publics et privés.
Pare-feu matériel
Le pare-feu matériel offre aux clients une couche de sécurité essentielle, fournie à la demande, sans interruption de service. Il empêche le trafic indésirable d’atteindre vos serveurs, réduit votre surface d’attaque et permet de consacrer les ressources de vos serveurs à l’usage auquel elles sont dédiées.
IBM Key Protect for IBM Cloud
Le service IBM Key Protect for IBM Cloud vous aide à provisionner et à stocker des clés chiffrées pour les applications des services IBM Cloud, afin que vous puissiez voir et gérer le chiffrement des données et tout le cycle de vie des clés depuis un emplacement centralisé.
IBM Cloud App ID
IBM Cloud App ID vous permet d’ajouter facilement l’authentification aux applications web et mobiles. Vous n’avez plus à vous soucier de la mise en place d’une infrastructure d’identité, de la disponibilité géographique ni du respect des règles de conformité. Vous disposez à la place de fonctionnalités de sécurité avancées telles que l’authentification à étapes et la connexion unique pour renforcer la sécurité de vos applications.
Secrets Manager
Avec IBM Cloud Secrets Manager, vous pouvez créer des secrets de manière dynamique et les louer à des applications tout en contrôlant l’accès depuis un seul endroit. Construit sur le logiciel open source HashiCorp Vault, Secrets Manager vous permet de bénéficier de l'isolement des données d'un environnement dédié tout en profitant des avantages d'un cloud public.
IBM Security and Compliance Center - Courtier de sécurité des données - Manager
Protégez vos données dans le cloud avec IBM Cloud Data Security Broker, une solution complète de chiffrement des données qui sécurise les données sensibles des bases de données d’entreprise en intégrant la gestion des clés et les bases de données pour fournir un chiffrement au niveau des applications.
IBM Cloud Hyper Protect Virtual Servers
Hyper Protect Virtual Servers for Virtual Private Cloud (VPC) est un runtime de conteneur de calcul confidentiel entièrement géré qui permet le déploiement de workloads conteneurisés sensibles dans un environnement hautement isolé avec une assurance technique.
IBM Cloud Hardware Security Module
IBM Cloud Hardware Security Module (HSM) 7.0 de Gemalto protège l'infrastructure cryptographique en sécurisant la gestion, le traitement et le stockage des clés cryptographiques à l'intérieur d'un dispositif matériel inviolable. Il vous aide à résoudre les problèmes complexes de sécurité, de conformité, de souveraineté des données et de contrôle lors de la migration et de l'exécution des charges de travail sur le cloud.
IBM Cloud Identity and Access Management (IAM)
Le service IBM Cloud Identity and Access Management (IAM) assure l’authentification sécurisée des utilisateurs et un contrôle des accès cohérent à toutes les ressources de la plateforme IBM Cloud.
Services IBM Cloud Storage
Nos services de stockage cloud offrent un espace évolutif, sécurisé et rentable pour stocker vos données, tout en prenant en charge les workloads traditionnels et cloud natifs. Provisionnez et déployez trois types de stockage : objet, bloc et fichier, dont vous pouvez ajuster la capacité et optimiser les performances en fonction de l’évolution de vos besoins. Ainsi, vous payez uniquement pour le stockage cloud dont vous avez besoin.
Services IBM Cloud Database
Les services IBM Cloud Database-as-a-Service (DBaaS) libèrent les développeurs et les informaticiens des tâches complexes et fastidieuses telles que le déploiement de l’infrastructure et des logiciels de base de données, les opérations d’infrastructure, les mises à jour des logiciels de base de données et la sauvegarde. Les spécialistes des bases de données IBM Cloud fournissent et gèrent des instances de bases de données prêtes à l’emploi et hautement disponibles, ce qui permet aux développeurs et au personnel informatique de se concentrer sur d’autres priorités.
Gestion des appareils mobiles (MDM)
IBM Security MaaS360 est un produit UEM complet qui vous aide à gérer les appareils mobiles de votre organisation. Il offre :
- Gestion d’iOS, Android et iPadOS
- Sécurité mobile
- Identité en tant que service (IDaaS)
- Authentification multifacteur (MFA)
- Intelligence artificielle (IA) et analytique en temps réel de la qualité des données
- Contrôle à distance, gestion des applications et intégration à des applications tierces disponibles
IPSec VPN
Le VPN facilite la connectivité entre votre réseau sécurisé et le réseau privé de la plateforme IaaS d’IBM. Une connexion VPN depuis votre site vers le réseau privé permet une gestion hors bande et le sauvetage des serveurs via un tunnel VPN chiffré. La communication via le réseau privé est intrinsèquement plus sécurisée et permet aux utilisateurs de limiter l’accès public tout en conservant l’accès à leurs serveurs. Tout utilisateur de votre compte peut se voir attribuer un accès VPN, disponible en SSL et en PPTP. De plus, IBM Bluemix permet également d’établir une connexion via IPSec.
SSL VPN
L’accès VPN vous permet de gérer à distance tous les serveurs et services associés à votre compte, via le réseau privé IBM Cloud. Une connexion VPN depuis votre site vers le réseau privé permet une gestion hors bande et le sauvetage des serveurs via un tunnel VPN chiffré.
La communication via le réseau privé est intrinsèquement plus sécurisée. Elle vous donne la possibilité de restreindre l’accès public tout en continuant à gérer vos serveurs. Tout utilisateur de votre compte peut obtenir un accès VPN disponible en SSL. Les interactions VPN via la console IBM Cloud permettent une personnalisation de l’accès VPN au niveau utilisateur.
|
4. Exploitation du système |
|---|
IBM Cloud Direct Link
La vitesse et la fiabilité d'IBM Cloud Direct Link vous permettent d'étendre le réseau du centre de données de votre entreprise sans toucher à l'Internet public.
IBM Cloud Transit Gateway
IBM Cloud Transit Gateway vous aide à connecter et à gérer vos réseaux IBM Cloud Virtual Private Cloud (VPC).
IBM Key Protect for IBM Cloud
Le service IBM Key Protect for IBM Cloud vous aide à provisionner et à stocker des clés chiffrées pour les applications des services IBM Cloud, afin que vous puissiez voir et gérer le chiffrement des données et tout le cycle de vie des clés depuis un emplacement centralisé.
|
5. Protéger tous les systèmes et réseaux contre les logiciels malveillants |
|---|
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services apporte une sécurité et des performances de pointe à votre contenu web externe et à vos applications Internet avant qu'ils n'atteignent le nuage.
IBM Cloud Direct Link
La vitesse et la fiabilité d'IBM Cloud Direct Link vous permettent d'étendre le réseau du centre de données de votre entreprise sans toucher à l'Internet public.
Dispositif de sécurité FortiGate
Déployez une paire de dispositifs virtuels FortiGate dans votre environnement, ce qui peut vous aider à réduire les risques en implémentant des contrôles de sécurité critiques au sein de votre infrastructure virtuelle.
IBM QRadar Suite
IBM Security QRadar Suite est une solution modernisée de détection et de réponse aux menaces conçue pour unifier l’expérience des analystes de sécurité et leur permettre d’intervenir plus rapidement tout au long du cycle de vie des incidents.
IBM Security Guardium
Logiciel de sécurité des données du portefeuille IBM Security qui identifie les vulnérabilités et protège les données sensibles sur site et dans le cloud.
|
6. Développer et maintenir des systèmes et des logiciels sécurisés |
|---|
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services apporte une sécurité et des performances de pointe à votre contenu web externe et à vos applications Internet avant qu'ils n'atteignent le nuage.
IBM Security and Compliance Center - Protections de workloads
Identifiez et priorisez les vulnérabilités logicielles, détectez et répondez aux menaces, et gérez les configurations, les permissions et la conformité de la source à l'exécution.
IBM Security Guardium
Logiciel de sécurité des données du portefeuille IBM Security qui identifie les vulnérabilités et protège les données sensibles sur site et dans le cloud.
IBM Cloud Container Registry
Stockez et distribuez des images de conteneur dans un registre privé entièrement géré. Appuyez sur des images privées pour les exécuter facilement dans IBM Cloud Kubernetes Service et dans d'autres environnements d'exécution.
IBM Cloud Continuous Delivery
Adoptez un DevOps adapté à l’entreprise. Créez des chaînes d'outils sécurisées qui prennent en charge les tâches de livraison de votre application. Automatisez les builds, les tests, les déploiements et plus encore.
IBM Cloud Kubernetes Service
Déployez des clusters sécurisés et hautement disponibles dans une expérience Kubernetes native.
|
7. Limiter l'accès aux composants du système et aux données des titulaires de carte en fonction du besoin légitime d'accès |
|---|
IBM Cloud App ID
Ajoutez facilement l’authentification aux applications Web et mobiles. Améliorez vos applications avec des fonctionnalités de sécurité avancées telles que l’authentification multifacteur et l’authentification unique.
IBM Cloud Identity and Access Management (IAM)
Le service IBM Cloud Identity and Access Management authentifie les utilisateurs en toute sécurité et contrôle l’accès à toutes les ressources de manière cohérente sur la plateforme IBM Cloud.
|
8. Identifier les utilisateurs et authentifiez l'accès aux composants du système |
|---|
IBM Cloud App ID
Ajoutez facilement l’authentification aux applications Web et mobiles. Améliorez vos applications avec des fonctionnalités de sécurité avancées telles que l’authentification multifacteur et l’authentification unique.
IBM Cloud Secrets Manager
Créez des secrets de manière dynamique et louez-les à des applications tout en contrôlant l'accès depuis un seul endroit. Basé sur la technologie open source HashiCorp Vault.
IBM Cloud Identity and Access Management (IAM)
Le service IBM Cloud Identity and Access Management authentifie les utilisateurs en toute sécurité et contrôle l’accès à toutes les ressources de manière cohérente sur la plateforme IBM Cloud.
|
9. Restreindre l'accès physique aux données des titulaires de carte |
|---|
IBM Cloud adopte plusieurs mesures pour accroître la sécurité physique :
- Sécurité physique du périmètre du centre de données
- Contrôles et enregistrement des accès d'entrée et de sortie
- Bureaux, salles et installations sécurisés
- Protection contre les menaces externes et environnementales
- Redondance des équipements d’alimentation et de réseau
- Élimination sécurisée des équipements pendant le déprovisionnement
- Politique et sécurité des RH de l'entreprise pour l'intégration, la formation et le départ du personnel
|
10. Enregistrer et surveiller tous les accès aux composants du système et aux données des titulaires de cartes |
|---|
IBM Cloud Flow Logs for VPC
Activez la collecte, le stockage et la présentation d'informations sur le trafic IP (Internet Protocol) à destination et en provenance des interfaces réseau de votre cloud privé virtuel (VPC).
IBM QRadar Suite
IBM Security QRadar Suite est une solution modernisée de détection et de réponse aux menaces conçue pour unifier l’expérience des analystes de sécurité et leur permettre d’intervenir plus rapidement tout au long du cycle de vie des incidents.
IBM Cloud Identity and Access Management (IAM)
Le service IBM Cloud Identity and Access Management authentifie les utilisateurs en toute sécurité et contrôle l’accès à toutes les ressources de manière cohérente sur la plateforme IBM Cloud.
IBM Security Guardium
Logiciel de sécurité des données du portefeuille IBM Security qui identifie les vulnérabilités et protège les données sensibles sur site et dans le cloud.
IBM Cloud Logs
Améliorez l'observabilité des journaux avec IBM Cloud Logs pour améliorer les performances de votre infrastructure et de vos applications.
IBM Cloud Monitoring
Surveillance et dépannage du cloud pour l’infrastructure, les services cloud et les applications.
|
11. Tester régulièrement la sécurité des systèmes et des réseaux |
|---|
IBM Security and Compliance Center - Protections de workloads
Identifiez et priorisez les vulnérabilités logicielles, détectez et répondez aux menaces, et gérez les configurations, les permissions et la conformité de la source à l'exécution.
IBM QRadar Suite
IBM Security QRadar Suite est une solution modernisée de détection et de réponse aux menaces conçue pour unifier l’expérience des analystes de sécurité et leur permettre d’intervenir plus rapidement tout au long du cycle de vie des incidents.
IBM Security Guardium
Logiciel de sécurité des données du portefeuille IBM Security qui identifie les vulnérabilités et protège les données sensibles sur site et dans le cloud.
|
12. Soutenir la sécurité des informations avec les politiques et les programmes de l’organisation |
|---|
IBM Security and Compliance Center - Protections de workloads
Identifiez et priorisez les vulnérabilités logicielles, détectez et répondez aux menaces, et gérez les configurations, les permissions et la conformité de la source à l'exécution.
IBM Cloud Logs
Améliorez l'observabilité des journaux avec IBM Cloud Logs pour améliorer les performances de votre infrastructure et de vos applications.
IBM Cloud Monitoring
Surveillance et dépannage du cloud pour l’infrastructure, les services cloud et les applications.