Uyumluluk sertifikasyonu
ISO 27001
Genel kabul gören bir küresel standart olan ISO 27001, bilgi güvenliği yönetimi sistemlerine ilişkin gereklilikleri ortaya koyar, şirket ve müşteri bilgilerinin yönetilmesinde düzenli risk değerlendirmelerine dayanan sistematik bir yaklaşım sağlar.
Sertifikalarımızı görüntüleyin
IBM Cloud IaaS sertifikası – ISO 27001 (PDF, 337 KB)
Bulut hizmetleri sertifikası – ISO 27001 (PDF, 1,23 MB)
Bulut hizmetleri sertifikalı bulut ürünleri listesi (PDF, 23,2 KB)
ISO 27017
ISO 27017, bulut hizmetlerinin sağlanması ve kullanılmasında uygulanacak bilgi güvenliği denetimlerinin temel kurallarını tanımlamanın yanı sıra, hem bulut hizmeti sağlayıcılarına hem de bulut hizmet müşterilerine bu kuralların uygulamaya konmasıyla ilgili rehberlik sağlar.
Sertifikalarımızı görüntüleyin
ISO 27018
ISO 27018, ISO 29100'deki genel bulut bilişim ortamına ilişkin gizlilik ilkeleri uyarınca, Kişiyi Tanımlayabilir Bilgilerin (PII) korunmasında gerekli olan önlemlerin hayata geçirilmesi için genel kabul gören denetim hedeflerini, denetimleri ve kuralları ortaya koyar.
Sertifikalarımızı görüntüleyin
ISO 22301
ISO 22301, bir kuruluşta iş sürekliliği yönetim sistemlerinin (BCMS) planlama, oluşturma, uygulama, operasyon, izleme, inceleme ve bakım süreçleriyle ilgili gereklilikleri ortaya koyar. BCMS, bir kuruluşun ortaya çıkabilecek yıkıcı olaylara hazırlıklı olmasına, bunlardan korunmasına ve kurtulmasına yardımcı olur.
ISO 31000
ISO 31000, risklerin yönetilmesiyle ilgili ilkeleri, çerçeveyi ve süreci tanımlar. ISO 31000 kılavuzunun amacı, bir kuruluşun konuyla ilgili uzmanlarının yürürlükteki risk yönetimi pratiklerini uluslararası kabul gören pratiklerle karşılaştırmalarına ve uluslararası standartlara uygun hale getirmelerine yardımcı olmaktır.
SOC 1, SOC 2 ve SOC 3
SOC 1 raporu hizmet veren kuruluştaki denetimlere odaklanır; bunlar, hizmet kullanan kuruluşlara ve denetçilerine hizmet kullanan kuruluş için bir finansal durum denetimi planlama ve hizmet kullanan kuruluşta finansal raporlamayla ilgili iç denetimi değerlendirme bakımından faydalı olacak denetimlerdir. SOC 2 ve SOC 3 raporları, kullanılabilirlik, güvenlik ve gizlilik ile ilgili belirli kriterlere uygun olarak, hizmet kuruluşunun sistem tanımı ve denetimlerine odaklanır. SOC 2 denetçi testlerini ve sonuçlarını içerir; SOC 3 ise, genel kullanıma sunulan SOC 2 raporunun bir özetidir.
Müşteri portalımızdan (bağlantı IBM.com dışındadır) IBM Cloud IaaS SOC 1 ve SOC 2 sertifikalarını isteyebilirsiniz.
Ya da bir IBM Satış temsilcisiyle bağlantı kurun.
PCI
Payment Card Industry Security Standards Council (bağlantı ibm.com dışındadır) adlı güvenlik standartları konseyi, ticaret yapanlara tutarlı standartlar sağlamak amacıyla PCI (Payment Card Industry; Ödeme Kartı Endüstrisi) veri güvenliği standartlarını belirlemiştir. Kart sahiplerinin verilerini korumak için en iyi uygulamaları birleştiren bu standartlar genellikle üçüncü taraf bir Nitelikli Hizmet Değerlendirme Uzmanı (Qualified Service Assessor; QSA) tarafından denetlenmeyi gerektirir.
Müşteri portalımızdan (bağlantı IBM.com dışındadır) IBM Cloud IaaS sertifikasını isteyebilirsiniz.
Ya da bir IBM Satış temsilcisiyle bağlantı kurun.
HITRUST
Health Information Trust Alliance (HITRUST), sağlık sektörünün temsilcileri tarafından yönetilen bir kuruluştur. Sağlık kuruluşlarının ve tedarikçilerinin güvenilirlik ve uyumlarını tutarlı ve düzenli bir şekilde göstermelerine yardımcı olmak amacıyla Common Security Framework adlı (bağlantı ibm.com dışındadır) sertifikalandırılabilir bir ortak güvenlik çerçevesi oluşturmuştur ve devam ettirmektedir.
FedRAMP
FedRAMP (Federal Risk and Authorization Management Program) (bağlantı ibm.com dışındadır), bulut ürün ve hizmetleri için güvenlik değerlendirmesi, yetkilendirme ve sürekli izleme sağlayan, devlet çapında yürütülen bir programdır.
IBM Cloud IaaS sertifikası – FedRAMP yetkilendirme sertifikasını görüntüleyin
IRAP (Avustralya)
Information Security Registered Assessors Program (IRAP) (bağlantı ibm.com dışındadır), Avustralya Sinyaller Müdürlüğü (ASD) tarafından, Avustralya'nın güvenliğini desteklemek için yüksek kalitede bilgi ve iletişim teknolojisi hizmetleri sağlanması amacıyla kurulmuş bir girişimdir. IRAP, Avustralya hükümetlerine siber güvenlik değerlendirme hizmetleri sunmak amacıyla özel ve kamu sektörlerindeki bireylerin onaylanmasında kullanılan çerçeveyi sağlar.
IBM ISO Yönetim Sistemi Sertifikasyonu
IBM, ISO 9001, ISO 14001, ISO 50001 ve OHSAS 1800 için kurumsal çapta sertifikasyona sahiptir. IBM Yönetim Sistemi sertifikasyonlarını okuyun.
Küresel düzenlemeler
AB Örnek Maddeleri
AB Örnek Maddeleri, Avrupa Birliği vatandaşlarına ilişkin Kişiyi Tanımlayabilir Bilgileri (PII) denetleyen ve işleyen kuruluşlara yöneliktir. Bu maddeler, dünya genelinde Avrupa Birliği kapsamı dışındaki tüm şirketleri, AB'nin uyulmasını zorunlu tuttuğu yasalara ve uygulamalara uymakla yükümlü kılar. Bu maddeler, Avrupa Birliği vatandaşlarının Kişiyi Tanımlayabilir Bilgileri'nin (PII) sahibi olan şirketlere, AB dışındaki sağlayıcıların bu verileri ancak o şirketlerin yönetmeliklerine ve AB yasalarına uygun olarak işlemesini zorunlu tutması bakımından, uygulatma yetkisi ve rahatlık sağlar.
FERPA
Güvenlik, öğrenci bilgilerinin yetkisiz olarak açıklanmaya karşı korunmasını gerektiren Aile Eğitim Hakları ve Gizliliği Yasası (Family Educational Rights and Privacy Act; FERPA) (bağlantı ibm.com dışındadır) yasasına uyum için kritik öneme sahiptir. Bulut bilişim kullanan eğitim kurumları, teknoloji satan firmalarının hassas öğrenci verilerini uygun şekilde yönetmesinin sözleşmeye bağlanarak güvence altına alınmasına gerek duyar.
HIPAA
HIPAA (US Health Insurance Portability and Accountability Act; ABD Sağlık Sigortası Taşınabilirliği ve Hesap Verebilirlik Yasası), korunan sağlık bilgilerinin (PHI; korunan sağlık bilgileri ve e-PHI; elektronik olarak korunan sağlık bilgileri) depolanması ve işlenmesini kapsar. HIPAA kapsamındaki şirketler ve bireyler, korunan bu sağlık bilgilerini güvence altına almak için tasarlanmış bir dizi teknik, idari ve fiziksel denetimi uygulamak zorundadır.
Müşteri portalımız (bağlantı ibm.com dışındadır) aracılığıyla IaaS Köprü Kurma Mektubunu (Bridge Letter) isteyebilirsiniz.
Ya da bir IBM Satış temsilcisiyle bağlantı kurun.
Numaram Yasası (Japonya)
Sosyal Güvenlik ve Vergi Numarası Sistemi (Numaram) (PDF, bağlantı ibm.com dışındadır, 770 KB), Japonya'da Ocak 2016'da yürürlüğe girmiştir. Bu yasa uyarınca, ister Japon ister yabancı olsun Japonya'daki ikamet eden herkese, öncelikle vergilendirme ve sosyal güvenlik amacıyla kullanılmak üzere benzersiz bir numara atanır. PPC (Personal Information Protection Commission; Kişisel Bilgileri Koruma Komisyonu) (bağlantı ibm.com dışındadır), şirketlerin Numaram bilgilerini uygun şekilde işlemelerini ve korumalarını güvence altına alacak kurallar (bağlantı ibm.com dışındadır) koymuştur.
ITAR
IBM Cloud, hem kamusal alanda hem de ticaret alanında ABD Silahların Dolaşımı Konusunda Uluslararası Kuralları'na (United States International Traffic in Arms Regulations; ITAR) uygunluğu (bağlantı ibm.com dışındadır) destekleyen ürün ve hizmetler sunar. ITAR, ABD savunma malzemelerini, savunma hizmetlerini ve ABD'li üreticiler, ihracatçılar ve aracılar tarafından işlenen ilgili teknik verileri koruma amacıyla tasarlanmış bir ihracat denetimi yönetmeliğidir. ITAR, ABD Dışişleri Bakanlığı'ndan yetki ya da özel ayrıcalık alınmadığı sürece, ITAR ortamında saklanan malzemelere fiziksel veya mantıksal olarak sadece ABD vatandaşlarının erişebileceğini belirtir.
Bulut Bilişim Uyumluluk Denetimleri Kataloğu (C5) (Almanya)
Alman Bilgi Güvenliği Federal Ofisi (BSI) tarafından hazırlanan Bulut Bilişim Uyumluluk Denetimleri Kataloğu (Cloud Computing Compliance Controls Catalog; C5) (bağlantı ibm.com dışındadır), bulut hizmeti sağlayıcıların bulut hizmetlerinin güvenliğini minimum düzeyde güvenceye almak için uymak zorunda oldukları gereklilikleri tanımlayan, buluta özgü bir onay planıdır. C5, ISO 27001 gibi mevcut güvenlik standartlarını, veri işlemde daha fazla saydamlık gibi ek gerekliliklerle birleştirerek, bulut sağlayıcılara yönelik talepleri daha üst seviyeye çıkartır.
IBM Cloud IaaS C5 Onayı belgesini IBM Cloud müşteri portalı aracılığıyla (bağlantı ibm.com dışındadır) isteyebilirsiniz.
Ya da bir IBM Satış temsilcisiyle bağlantı kurun.
Uyum düzenlemeleri ve çerçeveler
CJIS
Cezai Adalet Bilgi Sistemleri (Criminal Justice Information Systems; CJIS) dairesi, ABD Adalet Bakanlığı Federal Soruşturma Bürosu'nun bir bölümüdür. CJIS dairesi, Cezai Adalet Bilgileri kaynaklarının korunması, bu tür bilgilerin iletilmesi, depolanması ve oluşturulmasıyla ilgili olarak yasa uygulayıcı ve cezai adalet kurumlarının istek ve amaçlarını doğrultusunda minimum güvenlik gerekliliklerini, kuralları ve anlaşmaları kapsayan bir güvenlik ilkesi hazırlamış ve yayınlamıştır.
CSA
Cloud Security Alliance CSA (bağlantı ibm.com dışındadır), bulut bilişimde güvenlik garantisi sağlamak için en iyi uygulamaların kullanılmasını teşvik etmeyi misyon edinmiş, kar amacı gütmeyen bir kuruluştur. CSA'in misyonunu yerine getirmeye çalışırken kullandığı mekanizmalardan birisi, Security, Trust and Assurance Registry'dir (STAR); ücretsiz ve genel kullanıma açık olan bu kayıt, çeşitli bulut bilişim ürün ve hizmetinin sağladığı güvenlik denetimlerini belgeler.
AB-ABD Gizlilik Kalkanı
AB-ABD ve İsviçre-ABD Gizlilik Kalkanı Çerçeveleri, okyanus aşırı ticaretin desteklenmesi amacıyla ABD Ticaret Bakanlığı ile Avrupa Komisyonu ve İsviçre Yönetimi tarafından, Avrupa Birliği ve İsviçre'den ABD'ye kişisel veri aktarımında Atlantik'in her iki yanındaki şirketlerin veri koruma gerekliliklerine uymalarını sağlayacak bir mekanizma olarak tasarlanmıştır.
FFIEC
Federal Finansal Kurumlar İnceleme Konseyi (Financial Institutions Examination Council; FFIEC), yeni ortaya çıkan tehditler karşısında finansal kuruluşların sürekli olarak risk değerlendirmesi yapmalarını, denetim mekanizmalarını buna uygun şekilde ayarlamalarını ve güvenliğe katmanlı bir yaklaşımı benimsemelerini zorunlu tutar. IBM Cloud IaaS, FFIEC gereklerine uygun olarak, ortaya çıkan tehditleri saptama, etkileri karşısında gerekenleri yapma ve sahteciliği önleme amacıyla katmanlı güvenlik yaklaşımını kullanmanın gerektirdiği ana denetimleri benimsemiştir.
FISC
Finans Sektörü Bilgi Sistemleri Merkezi (Center for Financial Industry Information Systems; FISC) (bağlantı ibm.com dışındadır), Japon Maliye Bakanlığı tarafından Japonya'da finansal bilgi sistemleriyle ilgili konuların araştırılması amacıyla kurulmuştur. FISC, bankacılık ve finans sektöründe bilgi sistemlerinin güvenliğini geliştirecek yönergeler oluşturdu. Bu FISC yönergeleri, yasal olarak zorunlu olmamakla birlikte, çoğu Japon finans kurumu tarafından kabul görmüştür ve bilgi sistemlerinin tasarım ve bakımında uygulanmaktadır.
FISMA
202 Federal Bilgi Güvenliği Yönetimi Yasası (Federal Information Security Management Act; FISMA) (bağlantı ibm.com dışındadır), federal hükümetteki verilerin güvenliğini güvence altına alır. FISMA, riskleri belirlenmiş kabul edilir düzeylerin altında ya da o düzeylerde tutmak ve bunu da uygun maliyetle, gereken zamanda ve etkili bir şekilde gerçekleştirmek için, program yetkililerinin ve kurum başkanlarının bilgi güvenliği programları üzerinde her yıl inceleme yapmasını gerektirir.
Güvenlik
IBM ile çözüm ortağı olduğunuzda sadece tüm IBM Cloud güvenlik hizmetlerine erişmekle kalmaz, 133 ülkede 12.000'den fazla müşteriyi destekleyen bir güvenlik ekibine de erişim kazanırsınız. Kurumsal güvenlikte başarısı kanıtlanmış lider şirket olarak, 3500'den fazla güvenlik patentimiz var. Ve güvenlik bağışıklık sistemini gelişmiş kognitif bilgi işlemle birleştirerek, sizinki gibi kuruluşların riskleri azaltırken inovasyona devam etmelerine olanak veriyoruz.
Gizlilik
IBM, çalışanlarına, müşterilerine, Çözüm Ortaklarına (müşterilerinin ve Çözüm Ortaklarının iletişim içinde olduğu kişiler de dahil) ve diğer tanımlanabilir bireylere ilişkin kişisel bilgilerin gizliliğini korumayı taahhüt eder. Bu tür bilgileri toplamak, kullanmak, açıklamak, depolamak, erişmek, aktarmak veya işlemek için kullanılan birbiriyle tutarlı uygulamalar, IBM'in kişisel bilgileri adil olarak ve uygun şekilde işlemesine ve ancak belirli koşullarda açıklamasına ve/veya aktarmasına yardımcı olur.
Uyumluluk kaynakları ve bilgileri
