Los informes de control de organización de servicios (SOC, por sus siglas en inglés) son informes independientes de terceros emitidos por asesores certificados por el American Institute of Certified Public Accountants (AICPA,) que abordan el riesgo asociado con un servicio tercerizado. El AICPA ha establecido Trust Services Criteria (TSC) para la seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad, contra los cuales las organizaciones de servicios pueden ser evaluadas.
Un informe SOC 2 evalúa los controles internos que una organización ha implementado para proteger los datos propiedad del cliente y proporciona detalles sobre la naturaleza de esos controles internos.
Póngase en contacto con un representante de IBM para solicitar los informes SOC 2.
Se puede proporcionar un informe SOC 2 para los servicios de IBM que han implementado controles de acuerdo con sus Principios de servicio de confianza seleccionados. El informe SOC 2 demuestra que IBM diseñó controles para los Principios de servicio de confianza seleccionados de manera adecuada y que los controles funcionaron de manera eficaz durante el periodo del informe.
Los servicios que se enumeran a continuación cuentan con un informe SOC 2 Tipo 2 disponible, lo que representa un periodo durante el cual se evaluaron los controles. Como tales informes representan un periodo de evaluación en el pasado, una carta puente puede acompañar un informe SOC 2 Tipo 2, en el que IBM declara el desempeño continuo del control de servicio desde que finalizó el último periodo del informe.
IBM Service Descripciones (SDs) indica si una oferta determinada mantiene el estado de cumplimiento de SOC 2 Tipo 2. Los servicios a continuación emiten informes SOC 2 Tipo 2, al menos, una vez al año.
Consulte la descripción del sistema de infraestructura de IBM Cloud
Acelere su cumplimiento mediante los servicios de IBM Cloud
La versión más reciente del PCI DSS (v4.0) se publicó en marzo de 2022. Las organizaciones deben implementar estos 12 requisitos antes del 31 de marzo de 2025 para lograr el cumplimiento.
IBM Cloud ofrece el siguiente conjunto de servicios que le ayudarán a cumplir con los requisitos específicos del PCI DSS y a acelerar su proceso de conformidad.
|
1. Evaluación de riesgos |
|---|
IBM Security and Compliance Center
El IBM Security and Compliance Center es una suite de soluciones integradas para definir políticas como código, implementar controles para datos seguros y datos de cargas de trabajo, y evaluar la seguridad y la postura de cumplimiento en entornos de multinube híbrida.
IBM Cloud Security and Compliance Center: Protección de cargas de trabajo
En arquitecturas centradas en contenedores y microservicios, puede emplear IBM® Cloud Security and Compliance Center Workload Protection para encontrar y priorizar vulnerabilidades de software, detectar y responder a amenazas, y gestionar configuraciones, permisos y cumplimiento desde el origen hasta la ejecución.
Soluciones de seguridad de IBM Cloud - Gestión de amenazas - IBM Security QRadar Suite
IBM Security QRadar Suite es una solución modernizada de detección y respuesta a amenazas diseñada para unificar la experiencia de los analistas de seguridad y acelerar su velocidad a lo largo del ciclo de vida de los incidentes. La cartera está integrada con IA y automatización de nivel empresarial para aumentar la productividad de los analistas, ayudando a los equipos de seguridad con recursos limitados a trabajar de forma más eficaz en las principales tecnologías.
Con una interfaz de usuario común, insights compartidos y flujos de trabajo conectados, ofrece productos integrados para: seguridad endpoint (EDR, XDR, MDR), gestión de registros, SIEM, SOAR.
IBM Security Guardium
IBM Security Guardium es una familia de software de seguridad de datos de la cartera de IBM Security que detecta vulnerabilidades y protege los datos confidenciales on premises y en la nube.
Servicios de IBM Cloud Database
Los servicios de IBM® Cloud Database-as-a-Service (DBaaS) liberan a los desarrolladores y al departamento de TI de tareas complejas y que requieren mucho tiempo, como el despliegue de software de infraestructura y bases de datos, operaciones de infraestructura, actualizaciones de software de bases de datos y copia de seguridad. Los SME de IBM® Cloud Database entregan y mantienen instancias de base de datos listas para usar y de alta disponibilidad, lo que libera tiempo al desarrollador y al personal de TI para centrarse en otras prioridades.
IBM Cloud Monitoring
Monitoreo y resolución de problemas en la nube para infraestructura, servicios en la nube y aplicaciones
|
2. Actividades de control |
|---|
IBM Cloud Identity and Access Management (IAM)
El servicio IBM Cloud Identity and Access Management (IAM) autentica de forma segura a los usuarios y controla el acceso a todos los recursos de forma coherente en IBM Cloud Platform.
Servicios de IBM Cloud Database
Los servicios de IBM® Cloud Database-as-a-Service (DBaaS) liberan a los desarrolladores y al departamento de TI de tareas complejas y que requieren mucho tiempo, como el despliegue de software de infraestructura y bases de datos, operaciones de infraestructura, actualizaciones de software de bases de datos y copia de seguridad. Los SME de IBM® Cloud Database entregan y mantienen instancias de base de datos listas para usar y de alta disponibilidad, lo que libera tiempo al desarrollador y al personal de TI para centrarse en otras prioridades.
Entrega Continua
Adopte DevOps listo para la empresa. Cree cadenas de herramientas seguras que respalden sus tareas de entrega de aplicaciones. Automatice compilaciones, pruebas, despliegues y más.
IBM Cloud Logs
Obtenga observabilidad de registros con IBM Cloud Logs para ayudar a mejorar la infraestructura y el rendimiento de las aplicaciones
|
3. Controles de acceso lógico y físico |
|---|
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services aporta seguridad y rendimiento líderes en el mercado a su contenido web externo y aplicaciones de Internet antes de que lleguen a la nube.
IBM Cloud Direct Link
La solución IBM Cloud Direct Link está diseñada para conectar perfectamente sus recursos on-premises a sus recursos en la nube. La velocidad y confiabilidad de IBM Cloud Direct Link le permiten ampliar la red de centros de datos de su organización y proporciona conectividad consistente y de mayor rendimiento, sin tocar el Internet público.
IBM Cloud Gateway Appliances
Los dispositivos de puerta de enlace son aparatos que le ofrecen un mayor control sobre el tráfico de red, le permiten acelerar el rendimiento de su red y aumentan su seguridad. Administre sus redes físicas y virtuales para enrutar múltiples VLAN, para cortafuegos, VPN, modelado de tráfico y más.
IBM Cloud Transit Gateway
IBM Cloud Transit Gateway le ayuda a conectar y gestionar sus redes de IBM Cloud Virtual Private Cloud (VPC).
Fortigate Security Appliance
FortiGate Security Appliance (FSA) 10 Gbps es un cortafuegos de hardware que se puede configurar para proteger el tráfico en múltiples VLAN para redes públicas y privadas.
Cortafuegos de hardware
El cortafuegos de hardware proporciona a los clientes una capa esencial de seguridad que se suministra bajo demanda sin interrupciones del servicio. Evita que el tráfico no deseado llegue a sus servidores, reduciendo la superficie de ataque y permitiendo que los recursos del servidor se dediquen a su uso previsto.
IBM Key Protect for IBM Cloud
El servicio IBM Key Protect for IBM Cloud le ayuda a suministrar y almacenar claves cifradas para aplicaciones en los servicios de IBM Cloud, de modo que pueda ver y gestionar el cifrado de datos y todo el ciclo de vida de las claves desde una ubicación central.
IBM Cloud App ID
IBM Cloud App ID le permite añadir fácilmente autenticación a aplicaciones móviles y web. Ya no tiene que preocuparse por configurar la infraestructura para la identidad, garantizar la geodisponibilidad y confirmar las regulaciones de cumplimiento. En su lugar, puede mejorar sus aplicaciones con funciones de seguridad avanzadas como la autenticación multifactor y el inicio de sesión único.
Secrets Manager
Con IBM Cloud Secrets Manager, puede crear secretos dinámicamente y arrendarlos a las aplicaciones mientras controla el acceso desde una única ubicación. Construido sobre HashiCorp Vault de código abierto, Secrets Manager le ayuda a obtener el aislamiento de datos de un entorno dedicado con los beneficios de una nube pública.
IBM Security and Compliance Center - Agente de seguridad de datos - Gerente
Proteja sus datos en la nube con IBM Cloud Data Security Broker, una solución completa de cifrado de datos que protege la información confidencial de las bases de datos empresariales mediante la integración con la gestión de claves y las bases de datos para proporcionar cifrado a nivel de aplicación.
IBM Cloud Hyper Protect Virtual Servers
Hyper Protect Virtual Servers for Virtual Private Cloud (VPC) es un tiempo de ejecución de contenedores de cómputo confidencial, totalmente gestionado, que permite la implementación de cargas de trabajo confidenciales en contenedores en un entorno sumamente aislado con garantía técnica.
IBM Cloud Hardware Security Module
IBM Cloud Hardware Security Module (HSM) 7.0 de Gemalto protege la infraestructura criptográfica gestionando, procesando y almacenando de forma más segura las claves criptográficas dentro de un dispositivo de hardware resistente a las manipulaciones. Ayuda a resolver problemas complejos de seguridad, cumplimiento, soberanía de datos y control de la migración y ejecución de cargas de trabajo en la nube.
IBM Cloud Identity and Access Management (IAM)
El servicio IBM Cloud Identity and Access Management (IAM) autentica de forma segura a los usuarios y controla el acceso a todos los recursos de forma coherente en IBM Cloud Platform.
Servicios de almacenamiento en la nube de IBM
Nuestros servicios de almacenamiento en la nube ofrecen una morada escalable, altamente segura y rentable para sus datos, al tiempo que admiten cargas de trabajo tradicionales y nativas de la nube. Aprovisione y despliegue servicios como almacenamiento de objetos de acceso, bloques y archivos. Ajuste la capacidad y optimice el rendimiento a medida que cambian los requisitos. Pague solo por el almacenamiento que necesita en la nube.
Servicios de IBM Cloud Database
Los servicios de IBM® Cloud Database-as-a-Service (DBaaS) liberan a los desarrolladores y al departamento de TI de tareas complejas y que requieren mucho tiempo, como el despliegue de software de infraestructura y bases de datos, operaciones de infraestructura, actualizaciones de software de bases de datos y copia de seguridad. Los SME de IBM® Cloud Database entregan y mantienen instancias de base de datos listas para usar y de alta disponibilidad, lo que libera tiempo al desarrollador y al personal de TI para centrarse en otras prioridades.
Gestión de dispositivos móviles (MDM)
IBM Security MaaS360 es un producto integral de gestión unificada de endpoints (UEM) que le será útil para gestionar los dispositivos móviles de su organización. Ofrece:
- Gestión de iPadOS, iOS y Android
- Seguridad móvil
- Identidad como servicio (IDaaS)
- Autenticación multifactor (MFA)
- Inteligencia artificial (IA) y análisis en tiempo real de la calidad de los datos
- Control remoto, gestión de aplicaciones e integración con aplicaciones de terceros
IPSec VPN
La VPN facilita la conectividad desde su red segura a la red privada de la plataforma IaaS de IBM. Una conexión VPN desde su ubicación a la red privada permite la gestión fuera de banda y el rescate del servidor a través de un túnel VPN cifrado. La comunicación a través de la red privada es intrínsecamente más segura y ofrece a los usuarios la flexibilidad de limitar el acceso público sin dejar de poder acceder a sus servidores. Cualquier usuario de su cuenta puede tener acceso a la VPN, que está disponible tanto en SSL como en PPTP. Además, IBM Bluemix también permite establecer una conexión mediante IPSec.
SSL VPN
El acceso VPN le permite gestionar todos los servidores y servicios asociados a su cuenta de forma remota a través de la red privada de IBM Cloud. Una conexión VPN desde su ubicación a la red privada permite la gestión fuera de banda y el rescate del servidor a través de un túnel VPN cifrado.
La comunicación a través de una red privada es intrínsecamente más segura. Le ofrece la flexibilidad de limitar el acceso público sin dejar de poder gestionar sus servidores. Se puede conceder acceso VPN a cualquier usuario de su cuenta, disponible como SSL. Las interacciones VPN a través de la consola de IBM Cloud permiten personalizar el acceso VPN a nivel de usuario.
|
4. Operaciones del sistema |
|---|
IBM Cloud Direct Link
La velocidad y confiabilidad de IBM® Cloud Direct Link le permiten ampliar la red del centro de datos de su organización, sin tocar el internet público.
IBM Cloud Transit Gateway
IBM Cloud Transit Gateway le ayuda a conectar y gestionar sus redes de IBM Cloud Virtual Private Cloud (VPC).
IBM Key Protect for IBM Cloud
El servicio IBM Key Protect for IBM Cloud le ayuda a suministrar y almacenar claves cifradas para aplicaciones en los servicios de IBM Cloud, de modo que pueda ver y gestionar el cifrado de datos y todo el ciclo de vida de las claves desde una ubicación central.
|
5. Proteger todos los sistemas y redes del software malicioso |
|---|
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services aporta seguridad y rendimiento líderes en el mercado a su contenido web externo y aplicaciones de Internet antes de que lleguen a la nube.
IBM Cloud Direct Link
La velocidad y confiabilidad de IBM® Cloud Direct Link le permiten ampliar la red del centro de datos de su organización, sin tocar el internet público.
Fortigate Security Appliance
Despliegue un par de FortiGate Virtual Appliances en su entorno, lo que puede ayudarle a reducir el riesgo mediante la implementación de controles de seguridad críticos dentro de su infraestructura virtual.
IBM QRadar Suite
IBM Security QRadar Suite es una solución modernizada de detección y respuesta a amenazas diseñada para unificar la experiencia de los analistas de seguridad y acelerar su velocidad a lo largo del ciclo de vida de los incidentes.
IBM Security Guardium
Software de seguridad de datos en la cartera de IBM Security que descubre vulnerabilidades y protege datos confidenciales on premises y en la nube.
|
6. Desarrollar y mantener sistemas y software seguros |
|---|
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services aporta seguridad y rendimiento líderes en el mercado a su contenido web externo y aplicaciones de Internet antes de que lleguen a la nube.
IBM Cloud Security and Compliance Center: Protección de cargas de trabajo
Encuentre y priorice vulnerabilidades de software, detecte y responda a amenazas, y gestione configuraciones, licencias y cumplimiento desde el origen hasta la ejecución.
IBM Security Guardium
Software de seguridad de datos en la cartera de IBM Security que descubre vulnerabilidades y protege datos confidenciales on premises y en la nube.
IBM Cloud Container Registry
Almacene y distribuya imágenes de contenedor en un registro privado totalmente gestionado. Inserte imágenes privadas para ejecutarlas convenientemente en IBM Cloud Kubernetes Service y otros entornos de tiempo de ejecución.
IBM Cloud Continuous Delivery
Adopte DevOps listo para la empresa. Cree cadenas de herramientas seguras que respalden sus tareas de entrega de aplicaciones. Automatice compilaciones, pruebas, despliegues y más.
IBM® Cloud Kubernetes Service
Despliegue clústeres seguros y de alta disponibilidad en una experiencia nativa de Kubernetes.
|
7. Restringir el acceso a los componentes de los sistemas y a los datos de los titulares de tarjetas según la necesidad empresarial de conocerlos |
|---|
IBM Cloud App ID
Agregue fácilmente autenticación a aplicaciones web y móviles. Mejore sus aplicaciones con capacidades de seguridad avanzadas, como la autenticación multifactor y el inicio de sesión único (SSO).
IBM Cloud Identity and Access Management (IAM)
El servicio IBM® Cloud Identity and Access Management autentica de forma segura a los usuarios y controla el acceso a todos los recursos de forma coherente en IBM® Cloud Platform.
|
8. Identificar usuarios y autenticar el acceso a los componentes del sistema |
|---|
IBM Cloud App ID
Agregue fácilmente autenticación a aplicaciones web y móviles. Mejore sus aplicaciones con capacidades de seguridad avanzadas, como la autenticación multifactor y el inicio de sesión único (SSO).
IBM Cloud Secrets Manager
Cree secretos dinámicamente y concédalos a las aplicaciones mientras controla el acceso desde una única ubicación. Basado en HashiCorp Vault de código abierto.
IBM Cloud Identity and Access Management (IAM)
El servicio IBM® Cloud Identity and Access Management autentica de forma segura a los usuarios y controla el acceso a todos los recursos de forma coherente en IBM® Cloud Platform.
|
9. Restringir el acceso físico a los datos del titular de la tarjeta |
|---|
IBM Cloud adopta varias medidas para aumentar la seguridad física:
- Seguridad física del perímetro del centro de datos
- Controles de acceso y registro de entrada y salida
- Oficinas, salas e instalaciones seguras
- Protección contra amenazas externas y ambientales
- Redundancia de equipos de energía y red
- Eliminación segura de equipamiento durante el desaprovisionamiento
- Política empresarial de RR. HH. y seguridad para la incorporación, la capacitación y la salida de la empresa
|
10. Registrar y monitorear todos los accesos a los componentes del sistema y a los datos de los titulares de tarjetas |
|---|
IBM Cloud Flow Logs for VPC
Permite la recopilación, el almacenamiento y la presentación de información sobre el tráfico del Protocolo de Internet (IP) que va hacia y desde las interfaces de red dentro de su Virtual Private Cloud (VPC).
IBM QRadar Suite
IBM Security QRadar Suite es una solución modernizada de detección y respuesta a amenazas diseñada para unificar la experiencia de los analistas de seguridad y acelerar su velocidad a lo largo del ciclo de vida de los incidentes.
IBM Cloud Identity and Access Management (IAM)
El servicio IBM® Cloud Identity and Access Management autentica de forma segura a los usuarios y controla el acceso a todos los recursos de forma coherente en IBM® Cloud Platform.
IBM Security Guardium
Software de seguridad de datos en la cartera de IBM Security que descubre vulnerabilidades y protege datos confidenciales on premises y en la nube.
IBM Cloud Logs
Obtenga observabilidad de los registros con IBM® Cloud Logs para ayudar a mejorar el rendimiento de la infraestructura y las aplicaciones
IBM Cloud Monitoring
Monitoreo y solución de problemas de la nube para infraestructura, servicios en la nube y aplicaciones.
|
11. Probar la seguridad de los sistemas y redes con regularidad |
|---|
IBM Cloud Security and Compliance Center: Protección de cargas de trabajo
Encuentre y priorice vulnerabilidades de software, detecte y responda a amenazas, y gestione configuraciones, licencias y cumplimiento desde el origen hasta la ejecución.
IBM QRadar Suite
IBM Security QRadar Suite es una solución modernizada de detección y respuesta a amenazas diseñada para unificar la experiencia de los analistas de seguridad y acelerar su velocidad a lo largo del ciclo de vida de los incidentes.
IBM Security Guardium
Software de seguridad de datos en la cartera de IBM Security que descubre vulnerabilidades y protege datos confidenciales on premises y en la nube.
|
12. Apoyar la seguridad de la información con políticas y programas organizacionales |
|---|
IBM Cloud Security and Compliance Center: Protección de cargas de trabajo
Encuentre y priorice vulnerabilidades de software, detecte y responda a amenazas, y gestione configuraciones, licencias y cumplimiento desde el origen hasta la ejecución.
IBM Cloud Logs
Obtenga observabilidad de los registros con IBM® Cloud Logs para ayudar a mejorar el rendimiento de la infraestructura y las aplicaciones
IBM Cloud Monitoring
Monitoreo y solución de problemas de la nube para infraestructura, servicios en la nube y aplicaciones.