I report SOC (Service Organization Control) sono report indipendenti di terze parti emessi da valutatori certificati dall'American Institute of Certified Public Accountants (AICPA), affrontano i rischi associati a un servizio esterno. L'AICPA ha stabilito i criteri dei servizi trust (TSC) per la sicurezza, la disponibilità, l'integrità dell'elaborazione, la confidenzialità e la privacy, rispetto ai quali le organizzazioni di servizi possono essere valutate.
Un report SOC 2 valuta i controlli interni che un'organizzazione ha messo in atto per proteggere i dati di proprietà del cliente e fornisce dettagli sulla natura di tali controlli.
Contatta un rappresentante IBM per richiedere i report SOC 2.
Un report SOC 2 può essere fornito per i servizi IBM che hanno implementato controlli in conformità con i principi selezionati per i servizi trust. Il report SOC 2 dimostra che IBM ha progettato controlli per i principi del servizio trust selezionati in modo appropriato e che i controlli hanno funzionato efficacemente per il periodo di riferimento.
I servizi elencati di seguito hanno un report SOC 1 di Tipo 2 disponibile, che rappresenta un periodo di tempo durante il quale sono stati valutati i controlli. Poiché tali report rappresentano un periodo di valutazione passato, una lettera ponte può accompagnare un report SOC 2 di Tipo 2, in cui IBM attesta la continuità delle prestazioni del controllo del servizio dall'ultimo periodo di rilevazione concluso.
Le descrizioni dei servizi (SD) di IBM indicano se una determinata offerta mantiene lo stato di conformità SOC 2 di Tipo 2. I servizi sottostanti emettono report SOC 2 di Tipo 2 almeno una volta all'anno.
Consulta la descrizione del sistema dell'infrastruttura IBM Cloud
Accelera la conformità utilizzando i servizi IBM Cloud
La versione più recente di PCI DSS (v4.0) è stata rilasciata nel marzo 2022, Per raggiungere la conformità, le organizzazioni devono implementare questi 12 requisiti entro il 31 marzo 2025.
IBM Cloud offre la seguente suite di servizi che ti aiuteranno a soddisfare specifici requisiti PCI DSS e ad accelerare il tuo percorso di conformità.
|
1. Valutazione del rischio |
|---|
IBM Security and Compliance Center
IBM Cloud Security and Compliance Center (SCC) è una suite di soluzioni integrata per definire il Policy-as-Code, implementare controlli per implementazioni sicure di dati e workload e valutare il livello di sicurezza e conformità in un ambiente di multicloud ibrido.
IBM Security and Compliance Center - Workload Protection
Nelle architetture incentrate su container e microservizi, puoi utilizzare IBM® Cloud Security and Compliance Center Workload Protection per trovare e assegnare priorità alle vulnerabilità del software, rilevare e rispondere alle minacce e gestire le configurazioni, le autorizzazioni e la conformità dall'origine all'esecuzione.
IBM Cloud Security Solutions - Gestione delle minacce - IBM Security QRadar Suite
IBM Security QRadar Suite è una soluzione modernizzata di rilevamento e risposta alle minacce progettata per unificare l'esperienza degli analisti di sicurezza e accelerarne la velocità durante l'intero ciclo di vita degli incidenti. Il portfolio è integrato con intelligenza artificiale e automazione di livello enterprise per aumentare sensibilmente la produttività degli analisti, aiutando i team addetti alla sicurezza a lavorare in modo più efficace sulle tecnologie principali, anche con risorse limitate.
Dotata di un'interfaccia utente comune, insight condivisi e workflow collegati, offre prodotti integrati per: endpoint security (EDR, XDR, MDR), log management, SIEM e SOAR
IBM Security Guardium
IBM® Security Guardium è una famiglia di software per la sicurezza dei dati nel portfolio IBM Security che rivela le vulnerabilità e protegge i dati sensibili on-premise e nel cloud.
Servizi IBM Cloud Database
I servizi IBM® Cloud Database-as-a-Service (DBaaS) liberano gli sviluppatori e l'IT da attività complesse e dispendiose in termini di tempo, tra cui l'implementazione di infrastrutture e software di database, le operazioni di infrastruttura, gli aggiornamenti del software del database e il backup. Le PMI di IBM® Cloud Database forniscono e gestiscono istanze di database pronte all'uso e a elevata disponibilità, liberando tempo per sviluppatori e personale IT per concentrarsi su altre priorità.
IBM Cloud Monitoring
Monitoraggio e risoluzione dei problemi del cloud per infrastrutture, applicazioni e servizi cloud
|
2. Attività di controllo |
|---|
IBM Cloud Identity and Access Management (IAM)
Il servizio IBM Cloud Identity and Access Management (IAM) autentica in modo sicuro gli utenti e controlla l'accesso a tutte le risorse in modo coerente nell'IBM Cloud Platform.
Servizi IBM Cloud Database
I servizi IBM® Cloud Database-as-a-Service (DBaaS) liberano gli sviluppatori e l'IT da attività complesse e dispendiose in termini di tempo, tra cui l'implementazione di infrastrutture e software di database, le operazioni di infrastruttura, gli aggiornamenti del software del database e il backup. Le PMI di IBM® Cloud Database forniscono e gestiscono istanze di database pronte all'uso e a elevata disponibilità, liberando tempo per sviluppatori e personale IT per concentrarsi su altre priorità.
Fornitura continua
Affidati a DevOps pensato per le imprese. Crea toolchain sicure a supporto delle attività di distribuzione delle app. Automatizza build, test, distribuzioni e altro ancora.
IBM Cloud Logs
Acquisisci l'observability dei log con IBM® Cloud Logs per migliorare le prestazioni dell'infrastruttura e delle app
|
3. Controlli di accesso logici e fisici |
|---|
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services offre sicurezza e prestazioni leader di mercato ai tuoi contenuti web esterni e alle applicazioni Internet prima che raggiungano il cloud.
IBM Cloud Direct Link
La soluzione IBM Cloud Direct Link è progettata per collegare senza soluzione di continuità le tue risorse on-premise alle tue risorse cloud. La velocità e l'affidabilità di IBM Cloud Direct Link ti consentono di estendere la rete di data center della tua organizzazione e offrono una connettività coerente e con una velocità effettiva più elevata, senza toccare la rete Internet pubblica.
IBM Cloud Gateway Appliances
I dispositivi del gateway sono dispositivi che ti offrono un maggior controllo sul traffico di rete, ti consentono di accelerare le prestazioni della tua rete e aumentano la sicurezza della tua rete. Gestisci le tue reti fisiche e virtuali per instradare molteplici VLAN, per firewall, VPN, modellamento del traffico e molto altro.
IBM Cloud Transit Gateway
IBM Cloud Transit Gateway ti consente di collegare e gestire le tue reti IBM Cloud Virtual Private Cloud.
Dispositivo di sicurezza FortiGate
FortiGate Security Appliance (FSA) 10 Gbps è un firewall hardware che può essere configurato per proteggere il traffico su più VLAN per reti pubbliche e private.
Firewall per l'hardware
Il firewall per l'hardware offre ai clienti un livello di sicurezza fondamentale che viene fornito su richiesta senza interruzioni del servizio. Impedisce al traffico indesiderato di raggiungere i server, riducendo la sua superficie di attacco e consentendo alle risorse del tuo server di essere dedicate all'uso previsto.
IBM Key Protect for IBM Cloud
Il servizio IBM Key Protect for IBM Cloud consente di eseguire il provisioning e l'archiviazione di chiavi crittografate per le applicazioni nei servizi IBM Cloud, in modo da poter visualizzare e gestire la crittografia dei dati e l'intero ciclo di vita delle chiavi da un'unica posizione centrale.
IBM Cloud App ID
IBM Cloud App ID ti consente di aggiungere facilmente l'autenticazione alle app web e mobili. Non dovrai più preoccuparti di creare un'infrastruttura per l'identità, di garantire la geo-disponibilità e di confermare le normative di conformità. Potrai invece potenziare le tue app con funzionalità di sicurezza avanzate come l'autenticazione a più fattori e il single sign-on.
Secrets Manager
Con IBM Cloud Secrets Manager puoi creare dati secret in modo dinamico e noleggiarli ad applicazioni mentre controlli l'accesso da un'unica posizione. Basato sul sistema open source HashiCorp Vault, Secrets Manager mette a tua disposizione l'isolamento dei dati di un ambiente dedicato unito ai vantaggi di un cloud pubblico.
IBM Security and Compliance Center - Data Security Broker - Manager
Proteggi i tuoi dati in cloud con IBM® Cloud Data Security Broker, una soluzione completa di crittografia dei dati che protegge i dati sensibili in database aziendali integrandosi con la gestione principale e i database per offrire una crittografia a livello di applicazione.
IBM Cloud Hyper Protect Virtual Servers
Hyper Protect Virtual Servers for Virtual Private Cloud (VPC) è un runtime per container di confidential computing completamente gestito che consente di distribuire workload containerizzati sensibili in un ambiente altamente isolato con garanzia tecnica.
IBM Cloud Hardware Security Module
IBM Cloud Hardware Security Module (HSM) 7.0 di Gemalto protegge l'infrastruttura crittografica gestendo, elaborando e archiviando in modo più sicuro le chiavi crittografiche all'interno di un dispositivo hardware resistente alle manomissioni. Aiuta a risolvere problemi complessi di sicurezza, conformità, sovranità dei dati e controllo della migrazione e dell'esecuzione dei carichi di lavoro nel cloud.
IBM Cloud Identity and Access Management (IAM)
Il servizio IBM Cloud Identity and Access Management (IAM) autentica in modo sicuro gli utenti e controlla l'accesso a tutte le risorse in modo coerente nell'IBM Cloud Platform.
Servizi di archiviazione cloud IBM
I nostri servizi di cloud storage offrono una sede scalabile, sicura e conveniente per i tuoi dati, supportando i carichi di lavoro tradizionali e cloud-native. Effettua il provisioning e la distribuzione dei servizi come l'accesso a storage di oggetti, storage a blocchi e storage di file. Regola la capacità e ottimizza le prestazioni in base all'evoluzione dei requisiti. Paga solo per l'archiviazione cloud di cui hai bisogno.
Servizi IBM Cloud Database
I servizi IBM® Cloud Database-as-a-Service (DBaaS) liberano gli sviluppatori e l'IT da attività complesse e dispendiose in termini di tempo, tra cui l'implementazione di infrastrutture e software di database, le operazioni di infrastruttura, gli aggiornamenti del software del database e il backup. Le PMI di IBM® Cloud Database forniscono e gestiscono istanze di database pronte all'uso e a elevata disponibilità, liberando tempo per sviluppatori e personale IT per concentrarsi su altre priorità.
Gestione dei dispositivi mobili (MDM, Mobile device management)
IBM Security Maas360 è un prodotto UEM completo che ti aiuta a gestire i dispositivi mobili della tua organizzazione. Offre:
- Gestione di iOS, Android e iPadOS
- Sicurezza mobile
- Identity as a service (IDaaS)
- Autenticazione a più fattori (MFA)
- Intelligenza artificiale (AI) e real-time analytics della qualità dei dati
- Sono disponibili il controllo remoto, la gestione app e l'integrazione con app di terze parti
IPSec VPN
La VPN facilita la connettività dalla tua rete sicura alla rete privata della piattaforma IBM IaaS. Una connessione VPN dalla tua posizione alla rete privata consente la gestione fuori banda e il salvataggio del server attraverso un tunnel VPN crittografato. La comunicazione tramite la rete privata è intrinsecamente più sicura e offre agli utenti la flessibilità di limitare l'accesso pubblico pur essendo in grado di accedere ai propri server. A qualsiasi utente del tuo account può essere concesso l'accesso VPN, disponibile sia come SSL sia come PPTP. Inoltre, IBM® Bluemix consente anche di stabilire una connessione utilizzando IPSec.
SSL VPN
L'accesso VPN ti consente di gestire tutti i server e i servizi associati al tuo account, in remoto, attraverso la rete IBM® Cloud Private. Una connessione VPN dalla tua posizione alla rete privata consente la gestione fuori banda e il salvataggio del server attraverso un tunnel VPN crittografato.
La comunicazione attraverso la rete privata è intrinsecamente più sicura. Ti offre la flessibilità di limitare l'accesso pubblico pur essendo in grado di gestire i tuoi server. A qualsiasi utente del tuo account può essere concesso l'accesso VPN, disponibile come SSL. Le interazioni VPN attraverso la console IBM Cloud consentono la personalizzazione dell'accesso VPN a livello di utente.
|
4. Operazioni del sistema |
|---|
IBM Cloud Direct Link
La velocità e l'affidabilità di IBM Cloud Direct Link ti consentono di estendere la rete del data center della tua organizzazione, senza toccare la rete internet pubblica.
IBM Cloud Transit Gateway
IBM Cloud Transit Gateway consente di collegare e gestire le reti IBM Cloud Virtual Private Cloud (VPC).
IBM Key Protect for IBM Cloud
Il servizio IBM Key Protect for IBM Cloud consente di eseguire il provisioning e l'archiviazione di chiavi crittografate per le applicazioni nei servizi IBM Cloud, in modo da poter visualizzare e gestire la crittografia dei dati e l'intero ciclo di vita delle chiavi da un'unica posizione centrale.
|
5. Proteggi tutti i sistemi e le reti da software dannosi. |
|---|
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services offre sicurezza e prestazioni leader di mercato ai tuoi contenuti web esterni e alle applicazioni Internet prima che raggiungano il cloud.
IBM Cloud Direct Link
La velocità e l'affidabilità di IBM Cloud Direct Link ti consentono di estendere la rete del data center della tua organizzazione, senza toccare la rete internet pubblica.
Dispositivo di sicurezza FortiGate
Implementa un paio di dispositivi virtuali FortiGate nel tuo ambiente che possono aiutarti a ridurre i rischi implementando controlli di sicurezza critici all'interno dell'infrastruttura virtuale.
IBM QRadar Suite
IBM® Security QRadar Suite è una soluzione modernizzata di rilevamento e risposta alle minacce progettata per unificare l'esperienza degli analisti di sicurezza e accelerarne la velocità durante l'intero ciclo di vita degli incidenti.
IBM Security Guardium
Software di sicurezza dei dati nel portfolio IBM Security che scopre le vulnerabilità e protegge i dati sensibili on-premise e cloud.
|
6. Sviluppa e mantieni sistemi e software sicuri |
|---|
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services offre sicurezza e prestazioni leader di mercato ai tuoi contenuti web esterni e alle applicazioni Internet prima che raggiungano il cloud.
IBM Security and Compliance Center - Workload Protection
Trova e assegna priorità alle vulnerabilità del software, rileva e rispondi alle minacce e gestisci configurazioni, autorizzazioni e conformità dall'origine all'esecuzione.
IBM Security Guardium
Software di sicurezza dei dati nel portfolio IBM Security che scopre le vulnerabilità e protegge i dati sensibili on-premise e cloud.
IBM Cloud Container Registry
Memorizza e distribuisci le immagini dei container in un registro privato completamente gestito. Invia immagini private per eseguirle comodamente nell'IBM Cloud Kubernetes Service e in altri ambienti di runtime.
IBM Cloud Continuous Delivery
Affidati a DevOps pensato per le imprese. Crea toolchain sicure a supporto delle attività di distribuzione delle app. Automatizza build, test, distribuzioni e altro ancora.
IBM Cloud Kubernetes Service
Implementa cluster sicuri e ad elevata disponibilità in un'esperienza Kubernetes nativa.
|
7. Limita l'accesso ai componenti dei sistemi e ai dati dei titolari di carte in base alle esigenze aziendali |
|---|
IBM Cloud App ID
Aggiungi facilmente l'autenticazione alle app web e per dispositivi mobili. Migliora le tue app con funzionalità di sicurezza avanzate come l'autenticazione a più fattori e l'accesso Single Sign-On.
IBM Cloud Identity and Access Management (IAM)
Il servizio IBM Cloud Identity and Access Management autentica in modo sicuro gli utenti e controlla l'accesso a tutte le risorse in modo coerente nella IBM Cloud Platform.
|
8. Identifica gli utenti e autentica l'accesso ai componenti del sistema |
|---|
IBM Cloud App ID
Aggiungi facilmente l'autenticazione alle app web e per dispositivi mobili. Migliora le tue app con funzionalità di sicurezza avanzate come l'autenticazione a più fattori e l'accesso Single Sign-On.
IBM Cloud Secrets Manager
Creta dati secret in modo dinamico e noleggiai ad applicazioni mentre controlli l'accesso da un'unica posizione. Basato su HashiCorp Vault open source.
IBM Cloud Identity and Access Management (IAM)
Il servizio IBM Cloud Identity and Access Management autentica in modo sicuro gli utenti e controlla l'accesso a tutte le risorse in modo coerente nella IBM Cloud Platform.
|
9. Limita l'accesso fisico ai dati dei titolari di carte |
|---|
IBM Cloud adotta diverse misure per una maggiore sicurezza fisica:
- Sicurezza fisica del perimetro del data center
- Controlli di accesso e registrazione in entrata e in uscita
- Uffici, camere e strutture sicuri
- Protezione contro le minacce esterne e ambientali
- Ridondanza delle apparecchiature di alimentazione e di rete
- Smaltimento sicuro dell'attrezzatura durante il de-provisioning
- Politica aziendale delle risorse umane e sicurezza per l'inserimento, la formazione e l'uscita dal lavoro.
|
10. Registra e monitora tutti gli accessi ai componenti del sistema e ai dati dei titolari di carte |
|---|
IBM Cloud Flow Logs for VPC
Abilita la raccolta, lo storage e la presentazione delle informazioni sul traffico IP (Internet Protocol) da e verso le interfacce di rete all'interno del tuo cloud privato virtuale (VPC).
IBM QRadar Suite
IBM® Security QRadar Suite è una soluzione modernizzata di rilevamento e risposta alle minacce progettata per unificare l'esperienza degli analisti di sicurezza e accelerarne la velocità durante l'intero ciclo di vita degli incidenti.
IBM Cloud Identity and Access Management (IAM)
Il servizio IBM Cloud Identity and Access Management autentica in modo sicuro gli utenti e controlla l'accesso a tutte le risorse in modo coerente nella IBM Cloud Platform.
IBM Security Guardium
Software di sicurezza dei dati nel portfolio IBM Security che scopre le vulnerabilità e protegge i dati sensibili on-premise e cloud.
IBM Cloud Logs
Acquisisci l'osservabilità dei log con IBM Cloud Logs per migliorare le prestazioni dell'infrastruttura e delle app.
IBM Cloud Monitoring
Monitoraggio e risoluzione dei problemi del cloud per infrastrutture, applicazioni e servizi cloud.
|
11. Testa regolarmente la sicurezza dei sistemi e delle reti |
|---|
IBM Security and Compliance Center - Workload Protection
Trova e assegna priorità alle vulnerabilità del software, rileva e rispondi alle minacce e gestisci configurazioni, autorizzazioni e conformità dall'origine all'esecuzione.
IBM QRadar Suite
IBM® Security QRadar Suite è una soluzione modernizzata di rilevamento e risposta alle minacce progettata per unificare l'esperienza degli analisti di sicurezza e accelerarne la velocità durante l'intero ciclo di vita degli incidenti.
IBM Security Guardium
Software di sicurezza dei dati nel portfolio IBM Security che scopre le vulnerabilità e protegge i dati sensibili on-premise e cloud.
|
12. Supporta la sicurezza delle informazioni con politiche e programmi organizzativi |
|---|
IBM Security and Compliance Center - Workload Protection
Trova e assegna priorità alle vulnerabilità del software, rileva e rispondi alle minacce e gestisci configurazioni, autorizzazioni e conformità dall'origine all'esecuzione.
IBM Cloud Logs
Acquisisci l'osservabilità dei log con IBM Cloud Logs per migliorare le prestazioni dell'infrastruttura e delle app.
IBM Cloud Monitoring
Monitoraggio e risoluzione dei problemi del cloud per infrastrutture, applicazioni e servizi cloud.