Informazioni sui programmi di conformità locale IBM Cloud

I leader delle organizzazioni internazionali si trovano ad affrontare una richiesta sempre più elevata di standard di conformità per una specifica zona quando spostano le loro infrastrutture IT sul cloud. I servizi della piattaforma IBM Cloud™ possono aiutare a soddisfare questi standard di conformità locale.

Asia Pacifica

FISC (Giappone)

Il Center for Financial Industry Information Systems (FISC) è stato creato dal Ministero delle Finanze giapponese con lo scopo di condurre ricerche su argomenti relativi ai sistemi di informazione finanziaria in Giappone. FISC ha creato delle linee guida per promuovere la sicurezza dei sistemi informativi all'interno del settore bancario e finanziario. Le linee guida del FISC, anche se non previste dalla legge, sono riconosciute e utilizzate dalla maggior parte delle istituzioni finanziarie giapponesi nella progettazione e nella manutenzione dei sistemi di informazioni.

IRAP (Australia)

L'Information Security Registered Valutors Program (IRAP) è stato creato dall'Australian Signals Directorate per fornire ai governi servizi di tecnologia dell'informazione e comunicazione di alta qualità allo scopo di sostenere la sicurezza dell'Australia. IRAP fornisce la necessaria struttura a sostegno di coloro che provengono da settori privati e pubblici per fornire servizi di valutazione della cybersicurezza al governo australiano.

K-ISMS (Corea del Sud)

Il Korea Information Security Management System (K-ISMI) è una certificazione governativa coreana sponsorizzata dalla Korea Internet and Security Agency (KISA). K-ISMS è un sistema di certificazione progettato per valutare se un sistema di gestione della sicurezza delle informazioni di un'organizzazione è correttamente stabilito, gestito e attuato. I clienti dell'infrastruttura IBM Cloud in Corea del Sud che conseguono tale certificazione sono quelli che riescono a dimostrare più facilmente la conformità ai requisiti legali locali per la protezione delle principali attività di informazione digitale e che soddisfano gli standard di conformità KISA.

Visualizza il certificato K-ISMI delle infrastrutture di IBM in inglese (PDF, 317 KB)

Visualizza il certificato K-ISMI delle infrastrutture di IBM in coreano (PDF, 280 KB)

Logo ISMS

MTCS (Singapore)

Multi - Tier Cloud Security (MTCS), noto anche come Singapore Standard SS 584, è uno standard di sicurezza multilivello per i fornitori di servizi cloud che operano a Singapore.

Per richiedere il certificato dell'infrastruttura IBM Cloud: Visita il portale per i clienti (link esterno a IBM)

My Number Act (Giappone)

Il Social Security and Tax Number System (My Number Act)   è entrato in vigore in Giappone a gennaio 2016. Con questo atto a ogni residente in Giappone, sia esso giapponese o straniero, viene assegnato un codice univoco da utilizzare principalmente per la fiscalità e la previdenza sociale.  La Commissione per la protezione delle informazioni personali (PPC) ha creato linee guida per aiutare le aziende a gestire correttamente e proteggere le informazioni personali.

Logo di My Number Act

Europa e Regno Unito

BaFin (Germania)

BaFin, formalmente nota come Autorità federale della vigilanza finanziaria tedesca, sovrintende a tutte le imprese dei servizi finanziari in Germania. BaFin ha pubblicato una specifica per il quadro normativo relativo ai servizi cloud computing forniti alle imprese di servizi finanziari.

C5 (Germania)

Il Cloud Computing Compliance Controls Catalog (C5), introdotto dall'Ufficio federale tedesco per la sicurezza delle informazioni (BSI), è uno schema di attestazione appositamente per il cloud. Questo schema delinea i requisiti che i fornitori dei servizi cloud devono soddisfare per poter garantire un livello minimo di sicurezza per i propri servizi cloud. C5 eleva le richieste ai provider di cloud combinando standard di sicurezza esistenti come ISO 27001 con ulteriori requisiti al fine di aumentare la trasparenza nell'elaborazione dei dati.

Per richiedere l'attestazione C5 dell'infrastruttura IBM Cloud, effettuare una delle seguenti azioni: Visita il portale per i clienti (link esterno a IBM)
Contatta un rappresentante IBM

Autorità bancaria europea - EBA (UE)

Nell'ambito della propria mission che intende stabilire pratiche di vigilanza coerenti, efficienti ed efficaci in tutta l'UE e garantire un'applicazione uniforme del diritto dell'Unione Europea, l'Autorità bancaria europea (EBA) emette orientamenti normativi e raccomandazioni nei propri ambiti di competenza.

Scopri come la piattaforma IBM Cloud supporti le raccomandazioni EBA (PDF, 1,5 MB)

ENISA IAF (UE)

L'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA) ha rilasciato l'IAF (Information Assurance Framework), una serie di criteri di garanzia studiati per valutare il rischio legato all'adozione di servizi cloud, comparando diverse offerte, ottenendo la garanzia dai fornitori di cloud selezionati e riducendo il loro onere di garanzia.

ENS (Spagna)

Il National Security Framework of Spain (ENS) è un decreto legale che sviluppa disposizioni in materia di sicurezza e le applica a tutte le amministrazioni pubbliche in Spagna. L'ENS definisce la politica di sicurezza per i servizi eGovernment. Stabilisce i principi fondamentali e i requisiti minimi per garantire un'adeguata protezione delle informazioni da parte di tutte le amministrazioni pubbliche.

Visualizza il certificato IBM Cloud Infrastructure ENS di livello alto (PDF, 704 KB)

I servizi della piattaforma IBM Cloud con un certificato ENS di livello alto includono:

IBM Cloud Bare Metal
IBM Cloud Block Storage
IBM Cloud Direct Link
IBM Cloud File Storage
IBM Cloud Hardware Security Module
IBM Cloud Object Storage (IaaS)
IBM Cloud Virtual Servers

Certificato ENS Spagna

Clausole modello UE

Le clausole modello UE sono a disposizione dei responsabili e dei titolari del trattamento delle Personally Identifiable Information (PII) dei cittadini UE. Queste clausole obbligano le società non UE a seguire le leggi e le pratiche emanate dalla direttiva UE sulla protezione dei dati in tutte le sedi del mondo. Le clausole forniscono alle aziende che detengono le PII in UE diritti di esecuzione e garanzia che i fornitori situati al di fuori dell'UE elaboreranno i dati solo secondo le loro istruzioni e nel rispetto delle leggi dell'UE. A maggio 2018, la direttiva UE sulla protezione dei dati è stata sostituita dal (GDPR) regolamento generale sulla protezione dei dati.

Scudo UE-USA per la privacy

I Quadri UE - USA e Svizzera - US Privacy Shield sono stati progettati dal Dipartimento del Commercio degli Stati Uniti e dalla Commissione europea e dall'amministrazione svizzera. Questi quadri forniscono alle aziende di entrambe le sponde dell'Atlantico un meccanismo che li aiuta a rispettare i requisiti di protezione dei dati quando trasferiscono i dati personali dall'Unione europea (UE) e dalla Svizzera agli Stati Uniti per sostenere il commercio transatlantico.

Visualizza la politica IBM e l'elenco dei servizi certificati di protezione IBM Cloud

GDPR (UE)

Nell'ambito del regolamento generale sulla protezione dei dati dell'Unione europea (GDPR), IBM sta potenziando il proprio impegno in materia di privacy by design. IBM sta lavorando per incorporare i principi di protezione dei dati nei suoi processi aziendali in modo ancora più approfondito. Questo lavoro rafforza anche i controlli esistenti per limitare l'accesso ai dati personali, incluse le applicazioni mobili che si affidano a impostazioni predefinite, per impedire la condivisione dei dati personali.

Informazioni sull'infrastruttura IBM GDPR

G-Cloud (UK)

Il governo del Regno Unito ha creato la struttura G-Cloud per consentire un processo più veloce e meno costoso per le organizzazioni governative britanniche per stipulare contratti di appalto con i fornitori di cloud. I servizi di GCloud sono divisi in tre categorie: cloud hosting, software cloud e supporto cloud.

Hébergeurs de Données de Santé - HDS; Health Data Hosting (Francia)

Hébergeurs de Données de Santé (HDS) è progettato per descrivere le condizioni in base alle quali i dati sanitari personali inizialmente raccolti in Francia devono essere protetti. L'hosting dei dati deve includere i controlli di sicurezza commisurati alla natura critica dei dati.

Qualsiasi persona fisica o giuridica che detenga dati sanitari personali raccolti in Francia deve essere approvata o certificata a tal fine.

Visualizza il certificato dei servizi di infrastruttura di IBM Cloud HDS (PDF, 448 KB)

IT-Grundschutz (Germania)

L'obiettivo di IT-Grundschutz è quello di raggiungere un livello di sicurezza adeguato per tutti i tipi di informazione in un'organizzazione. IT-Grundschutz utilizza un approccio olistico a questo processo, e fornisce indicazioni per l'applicazione di tutele tecniche, organizzative, di personale e infrastrutturali.

Direttiva NIS (UE)

La direttiva NIS (Network and Information Systems) (UE 2016/1148) è la prima legge sulla cybersicurezza a copertura dell'intera Unione europea e ha lo scopo di incentivare il livello complessivo di cybersicurezza per le infrastrutture critiche nell'UE.

IBM mantiene misure tecniche e organizzative standard adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi di rete e di informazione. Questo include un programma di monitoraggio della sicurezza e un processo di risposta globale degli incidenti per reagire alle minacce e agli attacchi informatici. Inoltre, IBM utilizza una combinazione di formazione online, strumenti di istruzione, video e altre iniziative di sensibilizzazione per favorire una cultura della consapevolezza e una responsabilità della sicurezza tra il personale.  Ulteriori informazioni su queste misure tecniche e organizzative sono disponibili nelle certificazioni IBM e nei report di audit come ISO 27001 e SOC 2.

 

Stati Uniti

FERPA

La sicurezza è centrale nel rispetto del Family Educational Rights and Privacy Act (FERPA) che richiede la protezione delle informazioni degli studenti dalle attività divulgative non autorizzate. Gli istituti didattici che utilizzano il cloud computing hanno bisogno di garanzie contrattuali che un vendor di tecnologia gestirà adeguatamente i dati sensibili relativi agli studenti.