Informacje o zgodności chmury IBM Cloud z regionalnymi normami i przepisami

Liderzy organizacji międzynarodowych, którzy przeprowadzają migrację infrastruktur IT do chmury, mierzą się z coraz większą liczbą standardów obowiązujących w poszczególnych regionach. Usługi na platformie IBM Cloud™ pomagają osiągać zgodność z lokalnymi wytycznymi.

Rejon Azji i Pacyfiku

FISC (Japonia)

Center for Financial Industry Information Systems (FISC) to ośrodek powołany przez Ministerstwo Finansów Japonii w celu prowadzenia badań nad systemami informacji finansowych w tym kraju. Ośrodek FISC opracował wytyczne w dziedzinie bezpieczeństwa systemów informacyjnych w sektorach bankowości i finansów. Prawo nie wymaga stosowania się do wytycznych FISC, ale są one uznawane i uwzględniane przez japońskie instytucje finansowe przy projektowaniu i obsłudze systemów finansowych.

IRAP (Australia)

Program Information Security Registered Assessors Program (IRAP) został stworzony przez australijskie służby wojskowe Australian Signals Directorate w celu świadczenia wysokiej jakości usług teleinformatycznych na potrzeby instytucji rządowych odpowiadających za bezpieczeństwo Australii. IRAP określa zasady kwalifikacji podmiotów z sektora prywatnego i publicznego świadczących usługi oceny bezpieczeństwa cybernetycznego na rzecz jednostek administracji publicznej Australii.

K-ISMS (Korea Południowa)

Korea Information Security Management System (K-ISMS) to wspierany przez rząd Korei Południowej certyfikat opracowany przez agencję Korea Internet and Security Agency (KISA). System certyfikacji K-ISMS służy do oceniania prawidłowości funkcjonowania systemu zarządzania bezpieczeństwem informacji w organizacji oraz zarządzania nim i jego eksploatacji. Przyznanie tego certyfikatu oznacza, że południowokoreańscy klienci rozwiązań infrastrukturalnych IBM Cloud mogą łatwiej wykazać zgodność z lokalnymi przepisami prawa w zakresie ochrony kluczowych informacji cyfrowych i spełniać wytyczne agencji KISA.

Zobacz przyznany usługom infrastrukturalnym IBM Cloud certyfikat K-ISMS w języku angielskim (PDF, 317 kB)

Zobacz przyznany usługom infrastrukturalnym IBM Cloud certyfikat K-ISMS w języku koreańskim (PDF, 280 kB)

Logo ISMS

MTCS (Singapur)

Multi-Tier Cloud Security (MTCS), znany również pod nazwą Singapore Standard SS 584, to wielopoziomowy standard bezpieczeństwa obowiązujący dostawców usług chmurowych prowadzących działalność w Singapurze.

Aby otrzymać certyfikat rozwiązań infrastrukturalnych IBM Cloud: Odwiedź portal klienta (odsyłacz prowadzi poza serwis IBM)

Ustawa o moim numerze (Japonia)

W styczniu 2016 roku w Japonii weszła w życie ustawa o systemie identyfikacji ubezpieczeń społecznych i płatników podatków (My Number Act). Zgodnie z tą ustawą każdemu rezydentowi Japonii (również osobom zagranicznym) przypisywany jest numer używany głównie w celach związanych z opodatkowaniem i ubezpieczeniami społecznymi. Komisja odpowiedzialna za ochronę danych osobowych (Personal Information Protection Commission — PPC) przygotowała wytyczne, które pomagają przedsiębiorstwom prawidłowo wykorzystywać i chronić numer identyfikacyjny My Number.

Logo My Number Act

Europa i Wielka Brytania

BaFin (Niemcy)

BaFin, oficjalnie znany pod nazwą Federalnego Urzędu Nadzoru Usług Finansowych, nadzoruje wszystkie przedsiębiorstwa świadczące usługi finansowe w Niemczech. BaFin publikuje specyfikację wymogów obowiązujących usługi przetwarzania chmurowego oferowane firmom z sektora finansowego.

C5 (Niemcy)

Cloud Computing Compliance Controls Catalog (C5) to system kontrolny stworzony przez niemiecki federalny urząd ds. bezpieczeństwa technologii informatycznych (BSI) z myślą o certyfikacji usług chmurowych. Wskazuje wymogi, jakie muszą spełniać dostawcy usług chmurowych, aby osiągały one wymagane minimum w zakresie poziomu bezpieczeństwa. C5 stawia wysokie wymagania dostawcom usług chmurowych, integrując istniejące normy bezpieczeństwa (np. ISO 27001) z dodatkowymi wymaganiami w zakresie przejrzystości przetwarzania danych.

Aby otrzymać atest C5 dotyczący rozwiązań infrastrukturalnych IBM Cloud: Odwiedź portal klienta (odsyłacz prowadzi poza serwis IBM)
Skontaktuj się z przedstawicielem IBM

Europejski Urząd Nadzoru Bankowego — EBA (UE)

W ramach swojej misji, która polega na stworzeniu spójnej, skutecznej i efektywnej regulacji ostrożnościowej w całej UE i zapewnianiu jednolitego stosowania prawa Unii, Europejski Urząd Nadzoru Bankowego (EBA) wydaje obowiązujące wytyczne i zalecenia mieszczące się w zakresie jego kompetencji.

Dowiedz się, jak platforma IBM Cloud realizuje zalecenia EBA (PDF, 1,5 MB)

ENISA IAF (UE)

Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA) opublikowała sprawozdanie Information Assurance Framework (IAF) — zbiór kryteriów opracowanych z myślą o ocenie ryzyka towarzyszącego korzystaniu z usług chmurowych, porównywaniu ofert różnych dostawców chmury, uzyskiwaniu zaświadczeń od wybranych dostawców chmury oraz ich odciążaniu.

ENS (Hiszpania)

Strategia bezpieczeństwa narodowego Hiszpanii (ENS) to rozporządzenie prawne, które zawiera postanowienia dotyczące bezpieczeństwa obowiązujące wszystkie instytucje administracji publicznej w Hiszpanii. Dokument ENS określa politykę bezpieczeństwa w zakresie elektronicznych usług rządowych. Wskazuje podstawowe zasady i minimalne wymagania względem prawidłowej ochrony danych, których powinny przestrzegać wszystkie organa administracji publicznej.

Zobacz certyfikat ENS High przyznany rozwiązaniom infrastrukturalnym IBM Cloud (PDF, 704 kB)

W skład usług z certyfikatem ENS High platformy IBM Cloud wchodzą:

Serwery fizyczne IBM Cloud Bare Metal
Pamięci masowe IBM Cloud Block Storage
Usługa IBM Cloud Direct Link
Plikowe pamięci masowe IBM Cloud File Storage
Rozwiązanie IBM Cloud Hardware Security Module
Obiektowa pamięć masowa IBM Cloud Object Storage (IaaS)
Serwery wirtualne IBM Cloud

Hiszpański certyfikat ENS

Klauzule wzorcowe UE

Klauzule wzorcowe UE są dostępne dla administratorów i podmiotów przetwarzających dane umożliwiające identyfikację osób (PII) będących obywatelami krajów członkowskich UE. Klauzule te zobowiązują firmy spoza UE do przestrzegania przepisów i zasad określonych przez europejską dyrektywę o ochronie danych we wszystkich miejscach prowadzenia działalności na świecie. Klauzule zapewniają egzekwowanie stosownych praw, a firmom posiadającym dane PII obywateli UE dają pewność, że firmy działające poza UE będą przetwarzały dane zgodnie z otrzymanymi instrukcjami i prawem unijnym. W maju 2018 r. europejska dyrektywa o ochronie danych została zastąpiona przez Ogólne rozporządzenie o ochronie danych (RODO).

Tarcza Prywatności UE-USA

Tarcze prywatności UE-USA i Szwajcaria-USA zostały stworzone przez Departament Handlu USA oraz Komisję Europejską i rząd Szwajcarii. Zasady przewidziane przez te tarcze służą przedsiębiorstwom po obu stronach Atlantyku jako mechanizm zapewniania zgodności z wymogami w zakresie ochrony danych podczas przenoszenia danych osobowych z terenu Unii Europejskiej (UE) i Szwajcarii do Stanów Zjednoczonych w ramach transatlantyckiej wymiany handlowej.

Zobacz politykę IBM i listę usług IBM Cloud certyfikowanych przez tarcze prywatności

RODO (UE)

W związku z unijnym Ogólnym rozporządzeniem o ochronie danych (RODO) IBM wciąż doskonali dążenie do uwzględniania ochrony prywatności już na etapie projektowania. IBM dokłada starań, by zasady ochrony danych były jeszcze ściślej powiązane z realizowanymi procesami biznesowymi. Podejmowane działania uwzględniają także wzmacnianie mechanizmów ograniczania dostępu do danych osobowych, także w aplikacjach mobilnych, które w oparciu o ustawienia domyślne zapobiegają udostępnianiu danych osobowych.

Dowiedz się więcej o podejściu IBM do RODO

G-Cloud (Wielka Brytania)

Władze Wielkiej Brytanii opracowały system G-Cloud, aby umożliwiać brytyjskim organizacjom rządowym szybsze i mniej kosztowne udzielanie zamówień publicznych u dostawców chmury. Usługi G-Cloud dzielą się na trzy kategorie: hosting w chmurze, oprogramowanie chmurowe i wsparcie dla chmury.

Hébergeurs de Données de Santé — HDS; Hosting danych medycznych (Francja)

Certyfikat Hébergeurs de Données de Santé (HDS) wskazuje wymogi w zakresie ochrony medycznych danych osobowych zbieranych we Francji. Hostingowi danych muszą towarzyszyć mechanizmy bezpieczeństwa proporcjonalne do krytycznego znaczenia danych medycznych.

Każda osoba fizyczna lub prawna, która utrzymuje w chmurze medyczne dane osobowe zebrane we Francji, musi otrzymać stosowne pozwolenie lub certyfikat.

Zobacz certyfikat HDS przyznany usługom infrastrukturalnym IBM Cloud (PDF, 448 kB)

IT-Grundschutz (Niemcy)

Celem standardu IT-Grundschutz jest zapewnienie właściwego poziomu bezpieczeństwa wszelkiego typu informacji przechowywanych w organizacji. Standard IT-Grundschutz przewiduje holistyczne podejście do tego procesu i wskazuje wytyczne dotyczące stosowania technicznych, organizacyjnych, kadrowych i infrastrukturalnych środków ochrony.

Dyrektywa NIS (UE)

Dyrektywa (UE) 2016/1148 w sprawie sieci i systemów informatycznych to pierwsze przepisy w zakresie cyberbezpieczeństwa obejmujące całą Unię Europejską. Opracowano ją z myślą o podniesieniu ogólnego poziomu bezpieczeństwa cybernetycznego newralgicznej infrastruktury UE.

IBM zapewnia powszechnie stosowane środki techniczne i organizacyjne, odpowiednie i adekwatne do potrzeb w zakresie zarządzania ryzykiem towarzyszącym bezpieczeństwu sieci i systemów informatycznych. Obejmują one m.in. program monitorowania bezpieczeństwa i proces reagowania na globalne incydenty, które pozwalają reagować na zagrożenia i ataki cybernetyczne. Ponadto IBM oferuje szkolenia online, narzędzia edukacyjne, materiały wideo i inne materiały informacyjne, które pomagają budować kulturę organizacyjną sprzyjającą świadomości i odpowiedzialności kadry za poziom bezpieczeństwa. Więcej informacji na temat tych środków technicznych i organizacyjnych można znaleźć w raportach z certyfikacji i audytów, takich jak ISO 27001 i SOC 2.

 

Stany Zjednoczone

FERPA

Bezpieczeństwo jest zasadniczym wymogiem zgodności z zapisami ustawy Family Educational Rights and Privacy Act (FERPA), która wymaga należytego zabezpieczenia informacji o uczniach przed ujawnieniem osobom nieuprawnionym. Instytucje edukacyjne korzystające z usług chmurowych muszą w umowach z dostawcami technologii zawierać odpowiednie klauzule gwarantujące prawidłowe postępowanie z danymi uczniów podlegającymi szczególnej ochronie.