액세스 제어. IBM 은 적용 법령, 본 계약 또는 관련 문서에 따라 IBM SaaS 를 제공하는 데 필요에 따라 고객이나 기타 개인에 대한 IBM 의 의무 이행을 지원하기 위해 고객 컨텐츠에 액세스해야 하는 합법적인 비즈니스 필요가 있는 IBM 직원, 하도급자 또는 제 3 자에게만 고객 컨텐츠를 공개합니다. IBM 이 고객의 비즈니스 파트너(Business Associate)인 경우, IBM 과 고객은 양 당사자 간의 해당 BAA(Business Associate Agreement)의 조항에 준해서만 개인 건강 정보(Personal Health Information)를 공개합니다. IBM 은 최소 권한 원칙에 따라, 사용자 액세스를 공식 요청하고 ID 확인 후 승인하며 알아야 할 필요성(need to know)에 따라 액세스 권한을 부여하는 공식 내부 사용자 액세스 관리 프로세스를 운영합니다. 고객 컨텐츠에 대한 액세스 권한은 활성 사용자 및 활성 사용자 계정으로만 제한됩니다. IBM 은 활성 사용자 계정에 대한 공식적인 정기 내부 액세스 권한 재평가 프로세스를 운영합니다. IBM 은 IBM 회사 보안 표준 및 정책에 따라 고객에게 서비스를 제공하는 데 사용된 시스템의 활성 사용자 계정에 고유 ID 와 강력한 비밀번호를 지정하는 방법을 포함한 사용자 인증 보안 프로토콜을 사용합니다.
a. 비밀번호는 벤더가 제공한 기본 비밀번호를 사용해서는 안되며 비밀번호를 통해 보호하는 데이터의 보안을 훼손하지 않는 장소와 형식으로 보관해야 합니다.
b. 비밀번호의 표시 및 인쇄는 허가를 받지 않은 당사자가 알아보거나 추후 복원할 수 없도록 가리거나 숨기거나 달리 모호하게 해야 합니다. 비밀번호를 입력하면서 비밀번호를 로그(log)하거나 캡처해서는 안됩니다. 사용자 비밀번호를 일반 텍스트로 저장해서는 안됩니다.
c. IBM SaaS 를 구성하는 각 기술의 비밀번호는 알려진 비밀번호 길이 취약성에 따른 위험을 완화하도록 선택하고 반드시 기록해야 합니다.
d. 운영상의 이유로, 내부, 권한 부여된, 공유 기능 ID 를 사용해야 하는 경우, IBM 은 개별 계정성이 유지되도록 비밀번호 체크아웃을 요구하여 공유, 기능 및/또는 시스템 ID 를 관리합니다. 고객 컨텐츠를 저장하는 모든 시스템과 애플리케이션에는 비활성 제한시간을 설정합니다. 필요한 경우, 고객 컨텐츠를 저장한 IBM 의 네트워크, 시스템 및 애플리케이션에 대한 원격 액세스는 고객의 요청에 따라 IBM 이 공식 승인한 후 설정해야 하며 이러한 모든 원격 액세스는 강력한 인증 및 암호화 프로토콜을 통해 보호됩니다. 원격 액세스 활동을 로그(log)하고 모니터링합니다. IBM SaaS 를 제공하기 위해 IBM 이 고객의 내부 네트워크 내에 있는 시스템에 원격으로 액세스해야 하는 경우에 한해서, 모든 원격 액세스는 고객의 보안 원격 액세스 시스템과 프로토콜 및 고객이 IBM 에게 제공한 액세스 신임 정보를 통해서만 수행됩니다. 고객의 네트워크에 대한 원격 액세스는 IBM 의 요청에 따라 고객이 승인한 후에만 설정해야 하며 IBM 에게 미리 제공한 고객의 당시 현행 정책을 준수합니다. IBM 이 고객의 내부 네트워크를 사용하는 경우 IBM 에게 미리 제공한 고객의 IT 사용 및 보안 정책이 적용됩니다. IBM 은 보안 관리, 액세스 검토 및 보안 위반 행위 조사에 있어서 업무 분리 원칙을 준수합니다. 고객의 고유 고객 컨텐츠에 대한 저장, 호스팅 및 처리는 IBM 이 제공한 다른 고객의 컨텐츠와는 논리적으로 별개입니다. IBM 은 고객에 의해 공유 저장, 호스팅 또는 처리 작업 영역이 허가된 인스턴스에서 고객 컨텐츠를 불법적으로 공개하지 못하도록 SBCA 에 명시된 요구사항에 맞게 설계된 적절한 절차와 보호 조치를 사용합니다. IBM 은 고객 컨텐츠가 어떠한 경우에도 공용 장소에서 방치되지 않도록 클린 데스크/클린 스크린 정책을 구현합니다.
액세스 제어. 적절한 승인 확인 절차에 따라 회사 시스템 액세스가 제한됩니다. 고의 여부를 불문하고 오용 위험을 줄이기 위해 업무와 최소한의 특권 분리에 기반하여 액세스 권한이 제공됩니다.