Certifications de conformité
ISO 27001
La norme ISO 27001 est une norme de sécurité internationale largement répandue qui décrit les exigences relatives aux systèmes de gestion de la sécurité de l'information. Elle définit une approche systématique de la gestion de l'information des entreprises et des clients, basée sur des évaluations régulières des risques.
Voir nos certificats
Certificat IBM Cloud IaaS - ISO 27001 (PDF, 337 ko)
Certificat de services cloud - ISO 27001 (PDF, 1,23 Mo)
Liste des produits cloud certifiés (PDF, 23,2 ko)
Certificat des offres Watson Cloud Technology & Support (PDF, 135 ko)
ISO 27017
La norme ISO 27017 établit les lignes directrices des contrôles de sécurité de l'information s'appliquant à l'approvisionnement et à l'utilisation des services cloud. Elle fournit également des conseils de mise en œuvre à l'attention des fournisseurs de services cloud et des clients utilisant ces services.
Voir nos certificats
ISO 27018
La norme ISO 27018 établit les objectifs de contrôle, les contrôles et des lignes directrices couramment acceptés pour la mise en œuvre des mesures de protection des informations personnelles identifiables (PII). Elle s'inscrit en conformité avec les principes de protection de la vie privée de la norme ISO 29100, s'appliquant aux environnements de cloud computing public.
Voir nos certificats
ISO 22301
La norme ISO 22301 définit les exigences relatives à la planification, l'établissement, la mise en œuvre, l'exploitation, le suivi, l'examen et la maintenance des systèmes de gestion de la continuité des opérations (BCMS) au sein d'une entreprise. Les systèmes BCMS aident les entreprises à se préparer à la survenue d'incidents susceptibles de causer des interruptions, de s'en prémunir et d'effectuer la reprise s'ils n'ont pu être évités.
ISO 31000
La norme ISO 31000 définit des principes, un cadre et des lignes directrices pour la gestion des risques. L'objectif du guide ISO 31000 est d'aider les experts de domaine d'une organisation à comparer leurs pratiques de gestion des risques avec le benchmark internationalement reconnu et à aligner leurs pratiques sur les normes internationales.
SOC 1, SOC 2 et SOC 3
Le but d'un rapport SOC 1 est d'étudier les contrôles de l'organisation de services pouvant être utiles aux entités utilisatrices et à aux équipes chargées de les auditer. Ces contrôles doivent permettre aux équipes d'audit de planifier un audit des états financiers de l'entité utilisatrice, ainsi que d'évaluer le contrôle interne du reporting financier au sein de l'entité utilisatrice. Les rapports SOC 2 et SOC 3 étudient la description et les contrôles du système de l'organisation de services, conformément à des critères spécifiques de disponibilité, de sécurité et de confidentialité. Le rapport SOC 2 comprend les tests et les résultats des équipes d'audits. Le rapport SOC 3 est un résumé du rapport SOC 2 qui est mis à la disposition du public.
Vous pouvez demander les certificats IBM Cloud IaaS SOC 1 et SOC 2 sur notre portail clients (lien externe au site IBM.com).
Vous pouvez aussi contacter un ingénieur commercial IBM.
PCI
Le Payment Card Industry Security Standards Council (lien externe au site ibm.com) a créé les normes de sécurité des données PCI (Payment Card Industry), dont l'objectif est de mettre en place des normes homogénéisées dans le secteur de la distribution. Ces normes intègrent un code de bonnes pratiques visant à protéger les données des titulaires de cartes bancaires. Elles nécessitent souvent une validation délivrée par un organisme tiers qualifié, chargé d’évaluer le service (QSA - Qualified Service Assessor).
Vous pouvez demander le certificat IBM Cloud sur notre portail clients (lien externe au site IBM.com).
Vous pouvez aussi contacter un ingénieur commercial IBM.
HITRUST
L'alliance HITRUST (Health Information Trust Alliance) est une organisation régie par des représentants du secteur des soins de santé. HITRUST a créé et met régulièrement à jour son Cadre de sécurité commune (CSF - Common Security Framework) (lien externe au site ibm.com). Ce cadre certifiable aide les organismes de santé et leurs prestataires à démontrer leur conformité à la sécurité et aux réglementations de manière cohérente et rationalisée.
FedRAMP
Le FedRAMP (Federal Risk and Authorization Management Program) (lien externe au site ibm.com) est un programme gouvernemental américain qui définit une approche normalisée de l'évaluation de la sécurité, des autorisations et de la surveillance continue des produits et des services cloud.
IRAP (Australie)
L'Information Security Registered Assessors Program (IRAP) (lien externe au site ibm.com) est une initiative de l'Australian Signals Directorate (ASD). Sa mission est de fournir des services TIC (technologies de l'information et de la communication) de haute qualité au gouvernement en vue de défendre la sécurité de l'Australie. L'IRAP fournit le cadre permettant d'habiliter des intervenants individuels du secteur public et privé à fournir des services d'évaluation de la cybersécurité au gouvernement australien.
Certification du système de gestion ISO d'IBM
IBM a obtenu les certifications ISO 9001, ISO 14001, ISO 50001 et OHSAS 1800 à l'échelle de toute l'entreprise. Lire les certifications du système de gestion IBM.
Réglementations internationales
Clauses types de l'Union européenne
Les clauses contractuelles types de l'UE sont utilisées par les responsables du traitement et les sous-traitants pour gérer les informations personnelles identifiables (PII) des citoyens de l'UE. Ces clauses contraignent les entreprises non membres de l'UE à se conformer aux législations et aux pratiques mandatées par l'UE partout dans le monde. Ces clauses prévoient des droits de mise en application et garantissent aux entreprises détenant des PII de l'UE que les prestataires situés en dehors de l'UE traiteront les données dans le strict respect des instructions reçues, et conformément à la législation de l'UE.
FERPA
La sécurité est fondamentale pour la conformité à la loi américaine Family Educational Rights and Privacy Act (FERPA) (lien externe au site ibm.com), qui exige de protéger les informations des étudiants contre les divulgations non autorisées. Les établissements d'enseignement qui utilisent le cloud computing doivent disposer de garanties contractuelles leur assurant qu'un prestataire de technologie gérera les données sensibles des étudiants de façon appropriée.
HIPAA
La loi américaine HIPAA (Health Insurance Portability and Accountability Act) englobe le stockage et le traitement des informations médicales protégées (PHI et e-PHI). Les entreprises et les personnes assujetties à la législation HIPAA doivent mettre en œuvre un ensemble de contrôles techniques, administratifs et physiques garantissant la sécurisation de ces informations médicales protégées.
Vous pouvez demander la lettre de confirmation IaaS sur notre portail clients (lien externe au site ibm.com).
Vous pouvez aussi contacter un ingénieur commercial IBM.
Loi japonaise My Number
La loi sur le numéro individuel d’immatriculation au régime de sécurité sociale et au régime fiscal, appelée "My Number", (PDF, lien externe au site ibm.com, 770 ko) est entrée en vigueur au Japon en janvier 2016. En vertu de cette loi, un numéro unique est attribué à chaque résident au Japon, qu'il soit japonais ou étranger. Ce numéro est utilisé principalement pour la fiscalité et la sécurité sociale. L'organisme Personal Information Protection Commission (PPC) (lien externe au site ibm.com) a défini des lignes directrices afin de garantir que les informations du système My Number soient correctement traitées et protégées par les entreprises.
ITAR
L'IBM Cloud propose des offres, tant dans l'espace fédéral que commercial, qui facilitent la conformité à la Réglementation américaine sur le trafic d'armes au niveau international (International Traffic in Arms Regulations - ITAR) (lien externe au site ibm.com). L'ITAR régule le contrôle des exportations et a pour mission de protéger les produits et services en rapport avec la défense américaine, ainsi que les données techniques connexes traitées par les fabricants, les exportateurs et les courtiers américains. L'ITAR stipule que seul un citoyen américain peut disposer d'un accès physique ou logique aux produits stockés dans l'environnement de l'ITAR, sauf en cas d'autorisation du département d'Etat américain ou d'exemption spéciale.
Cloud Computing Compliance Controls Catalog (C5) (Allemagne)
Le Cloud Computing Compliance Controls Catalog (norme C5) (lien externe au site ibm.com), mis en œuvre en Allemagne par l'Office fédéral de la sécurité des technologies de l'information (BSI), est un programme d’attestation spécifique au cloud. Il définit les exigences auxquelles doivent répondre les fournisseurs de services cloud pour garantir un niveau de sécurité minimum de leurs services.L'attestation C5 impose des exigences plus strictes aux fournisseurs cloud en combinant les normes de sécurité existantes (notamment la norme ISO 27001) avec des exigences supplémentaires afin de renforcer la transparence du traitement des données.
Vous pouvez demander l'attestation C5 d'IBM Cloud IaaS sur notre portail clients IBM Cloud (lien externe au site ibm.com).
Vous pouvez aussi contacter un ingénieur commercial IBM.
Alignements et cadres
CJIS
Le CJIS (Criminal Justice Information Systems) est une division du FBI (Federal Bureau of Investigation) au sein du département de la Justice des Etats-Unis. Le CJIS a créé et publié une politique de sécurité définissant les exigences, lignes directrices et accords minimaux en matière de sécurité de l'information. Cette politique correspond aux souhaits émis par les organismes des forces de l'ordre et de la justice pénale en matière de protection des sources, de la transmission, du stockage et de la génération d'informations sur la justice pénale (CJI).
CSA
La Cloud Security Alliance (CSA) (lien externe au site ibm.com) est un organisme à but non lucratif dont la mission consiste à promouvoir l'utilisation des meilleures pratiques de sécurité du cloud computing. L'un des outils utilisés par la CSA pour réaliser sa mission est le registre Security, Trust and Assurance Registry (STAR). Il s'agit d'un registre gratuit et accessible au public qui documente les contrôles de sécurité des différentes offres de cloud computing.
Bouclier de protection des données UE-Etats-Unis (Privacy Shield)
Les cadres définis par le Bouclier de protection des données UE-Etats Unis et Suisse-Etats-Unis (souvent désignés sous la dénomination anglaise "Privacy Shield"), ont été créés par le Département américain du Commerce, la Commission européenne et l'administration suisse. Leur rôle est de fournir aux entreprises des deux côtés de l'Atlantique un mécanisme de conformité à la protection des données, lors du transfert de données personnelles de l'Union européenne et de la Suisse vers les États-Unis, afin de faciliter le commerce transatlantique.
FFIEC
Pour faire face aux menaces émergentes, le Federal Financial Institutions Examination Council (FFIEC), un organisme américain, contraint les organismes financiers à effectuer en permanence des évaluations des risques, à ajuster les mécanismes de contrôle en conséquence et à mettre en place une approche multi-niveaux de la sécurité. Conformément aux exigences du FFIEC, IBM Cloud IaaS identifie les principaux contrôles qui permettent de respecter les directives du FFIEC, d'identifier les menaces émergentes, d'apporter une solution à leur impact et d'appliquer des mesures de sécurité multi-niveaux pour éviter la fraude des clients.
FISC
Le Center for Financial Industry Information Systems (FISC) (lien externe au site ibm.com) a été créé par le ministère japonais des Finances afin de mener des travaux de recherche sur des sujets en rapport avec les systèmes japonais d'informations financières. Le FISC a défini un code de bonnes pratiques visant à promouvoir la sécurité des systèmes d'information au sein du secteur bancaire et financier. Ces lignes directrices du FISC, bien que non obligatoires sur le plan légal, sont reconnues et utilisées par la plupart des institutions financières au Japon pour la conception et la maintenance de leurs systèmes d'information.
FISMA
La loi américaine Federal Information Security Management Act (FISMA) de 2002 (lien externe au site IBM.com) garantit la sécurité des données du gouvernement fédéral.Elle contraint les responsables des programmes et des organismes à effectuer des examens annuels des programmes de sécurité de l'information, afin de maintenir un niveau de risques égal ou inférieur aux niveaux acceptables prédéfinis, d'une façon rentable, rapide et efficace.
Sécurité
En décidant de faire équipe avec IBM, vous accédez non seulement à une pile complète de services de sécurité IBM Cloud, mais aussi à une équipe de sécurité desservant plus de 12 000 clients dans 133 pays. Chef de file reconnu en matière de sécurité d'entreprise, nous détenons plus de 3 500 brevets de sécurité. En associant notre système ultra-sécurisé à l'informatique cognitive avancée, nous aidons les entreprises comme la vôtre à continuer d'innover tout en réduisant les risques.
Confidentialité
IBM s'engage à protéger la confidentialité des informations personnelles de ses employés, de ses clients, de ses partenaires commerciaux (y compris des contacts des clients et des partenaires commerciaux), ainsi que d'autres personnes identifiables. Grâce à ses pratiques uniformisées de collecte, d'utilisation, de divulgation, de stockage, de consultation, de transfert ou de traitement de ces informations, IBM est capable de traiter les informations personnelles de façon équitable et correcte, et ne les divulgue et/ou les transfère que dans les circonstances appropriées.
Ressources et informations sur la conformité
