Certificazioni di conformità
ISO 27001
ISO 27001 è uno standard di sicurezza globale ampiamente adottato, che indica i requisiti per i sistemi di gestione della sicurezza delle informazioni e fornisce un approccio sistematico alla gestione delle informazioni relative all'azienda e ai clienti, sulla base di valutazioni periodiche dei rischi.
Visualizza i nostri certificati
Certificato IaaS IBM Cloud – ISO 27001 (PDF, 337 KB)
Certificato dei servizi cloud – ISO 27001 (PDF, 1,23 MB)
Elenco di prodotti cloud con certificazione dei servizi cloud (PDF, 23,2 KB)
ISO 27017
Lo standard ISO 27017 fornisce linee guida per i controlli di sicurezza delle informazioni applicabili al provisioning e all'uso di servizi cloud, oltre a una guida per l'implementazione per i provider di servizi cloud e per i clienti di servizi cloud.
Visualizza i nostri certificati
ISO 27018
Lo standard ISO 27018 stabilisce gli obiettivi di controllo comunemente accettati, i controlli e le linee guida per l'attuazione delle misure per la protezione delle PII (Personally Identifiable Information - Informazioni di identificazione personale) secondo i principi di tutela della privacy nello standard ISO 29100 per l'ambiente di cloud computing pubblico.
Visualizza i nostri certificati
ISO 22301
Lo standard ISO 22301 fornisce i requisiti per la pianificazione, l'istituzione, l'implementazione, il funzionamento, il monitoraggio, la revisione e la manutenzione dei BCMS (business continuity management systems - sistemi di gestione della continuità operativa) all'interno di un'organizzazione. I BCMS aiutano un'organizzazione a prepararsi, a proteggersi e a ripristinare l'operatività in caso di incidenti gravi.
ISO 31000
Lo standard ISO 31000 fornisce principi, framework e un processo per la gestione del rischio. L'obiettivo della guida ISO 31000 è quello di aiutare gli esperti di un'organizzazione a confrontare le pratiche di gestione dei rischi con il benchmark riconosciuto a livello internazionale e allineare le pratiche in base allo standard internazionale.
SOC 1, SOC 2 e SOC 3
Un report SOC 1 si focalizza sui controlli nell'organizzazione del servizio che sarebbero utili per gli enti utenti e i loro revisori, per pianificare una verifica del bilancio d'esercizio dell'ente utente e per valutare il controllo interno sui resoconti finanziari presso l'ente utente. I report SOC 2 e SOC 3 si focalizzano sulla descrizione e sui controlli del sistema dell'organizzazione del servizio, in base a criteri specifici, relativi alla disponibilità, alla sicurezza e alla riservatezza. SOC 2 comprende i test e i risultati dei revisori, mentre SOC 3 è una sintesi del report SOC 2 disponibile per l'uso pubblico.
Richiedi i certificati IaaS IBM Cloud SOC 1 e SOC 2 tramite il nostro portale del cliente. (Link esterno a IBM.com.)
O contatta un rappresentante commerciale IBM.
Visualizza il nostro report SOC 3 IaaS IBM Cloud (PDF, 495 KB)
PCI
Per garantire standard coerenti per gli esercenti, il Payment Card Industry Security Standards Council (link esterno a ibm.com) ha stabilito gli standard di sicurezza dei dati PCI (Payment Card Industry). Tali standard comprendono le best practice per proteggere i dati dei titolari di carta e spesso richiedono la convalida da parte del QSA (Qualified Service Assessor - Valutatore del servizio qualificato) terzo.
Richiedi il certificato IaaS IBM Cloud tramite il nostro portale del cliente. (Link esterno a IBM.com.)
O contatta un rappresentante commerciale IBM.
HITRUST
HITRUST (Health Information Trust Alliance) è un'organizzazione gestita dai rappresentanti del settore d'industria dell'assistenza sanitaria. HITRUST ha realizzato e si occupa della manutenzione del Common Security Framework (link esterno a ibm.com), un framework certificabile per aiutare le organizzazioni dell'assistenza sanitaria e i loro provider a dimostrare la sicurezza e la conformità, in maniera coerente e lineare.
IRAP (Australia)
IRAP (Information Security Registered Program) (link esterno a ibm.com) è un'iniziativa creata dall'ASD (Australian Signals Directorate) per fornire servizi di tecnologia dell'informazione e delle comunicazioni di alta qualità al governo, a sostegno della sicurezza dell'Australia. L'IRAP fornisce indicazioni per l'approvazione dell'erogazione di servizi di valutazione della sicurezza informatica agli enti governativi australiani, da parte di soggetti dei settori privato e pubblico.
Certificazione IBM ISO Management System
IBM ha ottenuto certificazioni estese a tutta l'azienda per ISO 9001, ISO 14001, ISO 50001 e OHSAS 1800. Leggi le Certificazioni IBM Management System.
Normative globali
Clausole modello UE
Le Clausole modello UE sono disponibili per i soggetti preposti al controllo e all'elaborazione delle PII (Personally Identifiable Information) dei cittadini dell'Unione Europea. Tali clausole obbligano le aziende non comunitarie a seguire le leggi e le procedure imposte dall'UE in tutte le sedi globali. Le clausole garantiscono diritti di applicazione e sicurezza per le aziende che detengono PII nell'ambito dell'Unione Europea, che i provider situati al di fuori dell'UE elaboreranno i dati solo in conformità con le loro istruzioni e con le leggi dell'UE.
FERPA
La sicurezza è fondamentale per la conformità a Family Educational Rights and Privacy Act(FERPA ) (link esterno a ibm.com), che richiede la protezione delle informazioni relative agli studenti da divulgazioni non autorizzate. Gli istituti didattici che utilizzano il cloud computing hanno bisogno di garanzie contrattuali che un vendor di tecnologia gestirà adeguatamente i dati sensibili relativi agli studenti.
HIPAA
L'HIPAA (Health Insurance Portability and Accountability Act), in vigore negli Stati Uniti, contempla l'archiviazione e il trattamento delle informazioni sanitarie protette (PHI e e-PHI). Le aziende e gli individui che rientrano nell'ambito di HIPAA devono attuare una serie di controlli tecnici, amministrativi e fisici che sono concepiti per garantire la tutela di queste informazioni sanitarie protette.
Richiedi la IaaS Bridge Letter tramite il nostro portale del cliente (link esterno a ibm.com).
O contatta un rappresentante commerciale IBM.
My Number Act (Giappone)
The Social Security and Tax Number System (My Number) "(PDF, link esterno a ibm.com, 770 KB) è una normativa entrata in vigore in Giappone a gennaio 2016. In base a questa legge, viene assegnato un numero univoco a tutti i residenti in Giappone, siano essi giapponesi o stranieri, da utilizzare principalmente a fini fiscali e di previdenza sociale. La PPC (Personal Information Protection Commission) (link esterno a ibm.com) ha creato linee guida per accertarsi che le aziende gestiscano e tutelino in modo appropriato le informazioni inerenti la legge My Number.
ITAR
IBM Cloud fornisce offerte, in ambito federale e commerciale, che supportano la conformità alla normativa ITAR (International Traffic in Arms Regulations) in vigore negli Stati Uniti (link esterno a ibm.com). ITAR è una normativa sul controllo delle esportazioni concepita per proteggere gli articoli di difesa, i servizi di difesa degli Stati Uniti e i relativi dati tecnici, gestiti dai produttori, esportatori e intermediari statunitensi. ITAR stabilisce che solo una persona di nazionalità americana può avere accesso fisico o logico agli articoli archiviati nell'ambiente ITAR, a meno che non sia pervenuta l'autorizzazione del Dipartimento di Stato o un'esenzione speciale.
Cloud Computing Compliance Controls Catalog(C5) (Germania)
Il Cloud Computing Compliance Controls Catalog (C5) (link esterno a ibm.com), introdotto dall'Ufficio federale tedesco per la sicurezza delle informazioni (BSI), è uno schema di attestazione specifico per cloud che illustra i requisiti che i provider di servizi cloud devono soddisfare per garantire il livello di sicurezza minimo dei loro servizi cloud. C5 innalza le richieste ai provider di cloud combinando gli standard di sicurezza esistenti (ad esempio, ISO 27001) con requisiti aggiuntivi per una maggiore trasparenza nell'elaborazione dei dati.
Richiedi l'attestazione C5 IaaS IBM Cloud tramite il portale del cliente IBM Cloud (link esterno a ibm.com).
O contatta un rappresentante commerciale IBM.
Linee guida e contesto
CJIS
CJIS (Criminal Justice Information Systems) è una divisione dell'Ufficio Federale di Investigazione del Dipartimento della Giustizia degli Stati Uniti d'America. La divisione CJIS, ha realizzato e divulgato una politica di sicurezza che include i requisiti minimi di sicurezza delle informazioni, linee guida e accordi che rendono noto l'impegno delle forze dell'ordine e della giustizia penale nel proteggere le fonti, la trasmissione, lo storage e la creazione di CJI (Criminal Justice Information).
CSA
CSA (Cloud Security Alliance) (link esterno a ibm.com) è un'organizzazione non a scopo di lucro, che promuove l'utilizzo di best practice per garantire la sicurezza nel cloud computing. Uno dei meccanismi utilizzati da CSA nel perseguimento della propria missione è STAR (Security, Trust and Assurance Registry— un registro gratuito e accessibile pubblicamente, che certifica i controlli della sicurezza forniti dalle varie offerte di cloud computing.
Scudo UE-USA per la privacy
Le direttive dello scudo UE-USA e Svizzera-USA per la privacy, sono state definite dal Dipartimento del Commercio degli Stati Uniti d'America, dalla Commissione europea e dall'Amministrazione Svizzera, per fornire alle società di entrambe le sponde dell'Atlantico, un meccanismo conforme ai requisiti in materia di protezione dei dati durante il trasferimento di dati personali dall'Unione europea e dalla Svizzera verso gli Stati Uniti, a sostegno del commercio transatlantico.
FFIEC
Per far fronte alle minacce emergenti, l'FFIEC (Federal Financial Institutions Examination Council) richiede alle organizzazioni finanziarie di eseguire continuamente le valutazioni dei rischi, adeguare i meccanismi di controllo nel modo corretto in risposta e implementare un approccio multilivello alla sicurezza. In conformità con l'FFIEC, IBM Cloud IaaS identifica i controlli principali necessari per soddisfare le indicazioni dell'FFIEC, individuare le minacce emergenti, determinare il loro impatto e applicare la sicurezza multilivello per prevenire le frodi ai danni di un cliente.
FISC
Il FISC (Center for Financial Industry Information Systems) (link esterno a ibm.com) è stato creato dal ministero delle Finanze giapponese allo scopo di condurre ricerche su argomenti relativi ai sistemi di informazioni finanziarie in Giappone. Il FISC ha realizzato linee guida per promuovere la sicurezza dei sistemi di informazioni nell'ambito del settore bancario e finanziario. Le linee guida del FISC, anche se non previste dalla legge, sono riconosciute e utilizzate dalla maggior parte delle istituzioni finanziarie giapponesi nella progettazione e nella manutenzione dei sistemi di informazioni.
FISMA
Il FISMA (Federal Information Security Management Act) del 2002 (link esterno a ibm.com) garantisce la sicurezza dei dati presso il Governo federale. Il FISMA richiede ai responsabili del programma e delle agenzie, di effettuare revisioni annuali dei programmi di sicurezza delle informazioni, per mantenere i rischi a livelli bassi o accettabili in termini di costi, tempo ed efficienza.
Sicurezza
Quando si diventa partner con IBM, non solo si ottiene l'accesso ad uno stack di servizi per la sicurezza IBM Cloud, ma anche a una squadra di sicurezza che supporta più di 12.000 clienti in 133 paesi. In qualità di leader comprovati della sicurezza aziendale, disponiamo di oltre 3.500 brevetti sulla sicurezza. Inoltre, combinando il sistema di protezione della sicurezza con il cognitive computing avanzato, consentiamo alle organizzazioni simili alla tua di promuovere l'innovazione e ridurre, al tempo stesso, i rischi.
Privacy
IBM si impegna a proteggere la privacy e la riservatezza delle informazioni personali dei suoi dipendenti, clienti, Business Partner (inclusi i contatti con i clienti e i Business Partner) e altri soggetti identificabili. Procedure costanti per la raccolta, l'utilizzo, la divulgazione, l'archiviazione, l'accesso, il trasferimento o l'elaborazione di tali informazioni, consentono a IBM di elaborare le informazioni personali in modo corretto e appropriato, divulgando e/o trasferendo tali informazioni solo in determinate circostanze.
Informazioni & risorse di conformità
