N ačela varnosti podatkov in zasebnosti za IBM-ove storitve v oblaku

N ačela varnosti podatkov in zasebnosti za IBM-ove storitve v oblaku

Tehnični in organizacijski ukrepi, navedeni v tej prilogi Varnost in zasebnost podatkov (DSP), veljajo za IBM-ove storitve v oblaku, vključno z morebitnimi osnovnimi aplikacijami, platformami in komponentami infrastrukture, ki jih izvaja in upravlja IBM pri zagotavljanju storitve v oblaku (komponente), razen če je naročnik odgovoren za varnost in zasebnost in če je kakor koli drugače določeno v transakcijskem dokumentu (TD). Naročnik je odgovoren za: a) ugotavljanje, ali je storitev v oblaku primerna za naročnikovo uporabo, in b) izvajanje in upravljanje ukrepov za zagotavljanje varnosti in zasebnosti za elemente, ki jih ne zagotavlja in upravlja IBM v storitvi v oblaku, opisane v veljavnih prilogah in TD-jih (kot so sistemi in aplikacije, ki jih zgradi ali uvede naročnik na podlagi ponudbe infrastrukture kot storitve,, ali naročnikov nadzor dostopa za končne uporabnike do ponudb programske opreme kot storitve). Ukrepi, ki jih uvaja in ohranja IBM znotraj vseh storitev v oblaku bodo predmet letnega potrjevanja skladnosti s standardom ISO 27001 oziroma SSAE SOC 2 ali obeh.

    1. Varstvo podatkov

          1. Ukrepi za zagotavljanje varnosti in zasebnosti za vsako storitev v oblaku so načrtovani v skladu z IBM-ovimi varnimi praksami inženiringa in koncepta vgrajene zasebnosti za zaščito vnosa vsebine v storitvi v oblaku in za ohranjanje razpoložljivosti takšne vsebine v skladu s pogodbo, vključno z veljavnimi prilogami in TD-ji. Naročnik je izključni upravljavec morebitnih osebnih podatkov, vključenih v vsebino, in določi IBM kot obdelovalca za obdelavo takšnih osebnih podatkov (kot so takšni izrazi opredeljeni v Uredbi (EU) 2016/679, Splošni uredbi o varstvu podatkov). IBM bo vso vsebino obravnaval kot zaupno in je ne bo razkril, razen svojim zaposlenim, pogodbenikom in podobdelovalcem, in sicer samo v obsegu, ki je potreben za zagotavljanje storitev v oblaku, razen če je v transakcijskih dokumentih določeno drugače.

          2. IBM bo na varen način čistil fizične medije, namenjene za ponovno uporabo, preden jih bo dejansko ponovno uporabil, fizične medije, ki niso namenjeni za ponovno uporabo, pa bo uničil, vse to v skladu s smernicami za čiščenje medijev Narodnega urada za standarde in tehnologijo (NIST), ameriškega ministrstva za gospodarstvo.

          3. IBM bo na zahtevo predložil dokaze o navedeni skladnosti in akreditaciji, kot so certifikati, atesti ali revizijska poročila akreditiranih neodvisnih tretjih oseb, v skladu s standardi ISO 27001, SSAE SOC 2 in drugimi standardi panoge, kot je določeno v prehodnih podatkih. Kjer je to ustrezno, se bodo revizije s strani akreditiranih neodvisnih tretjih oseb izvajale s pogostostjo, ki jo zahteva ustrezni standard, da se tako ohranita skladnost in akreditacija storitev v oblaku.

          4. Dodatne informacije o varnosti in zasebnosti, specifične za storitev v oblaku, so morda na voljo v relevantnem TD-ju ali drugi standardni dokumentaciji kot pomoč naročniku pri začetni in tekoči oceni primernosti storitev v oblaku za uporabo. Takšne informacije lahko vključujejo dokaze o navedenih overitvah in akreditacijah, informacije, povezane s takšnimi overitvami in akreditacijami, podatkovne liste, pogosta vprašanja in drugo splošno razpoložljivo dokumentacijo. IBM bo naročnika usmeril k razpoložljvi standardni dokumentaciji, če bo moral izpolniti vprašalnike ali obrazce, ki jim naročnik daje prednost, in se naročnik strinja, da bo takšna dokumentacija uporabljena namesto katere koli takšne zahteve. IBM lahko zaračuna dodatne stroške za izpolnitev morebitnih vprašalnikov ali obrazcev, ki jim naročnik daje prednost, ali svetovanje naročniku za takšne namene.

    2. Varnostni pravilniki

          1. IBM bo ohranjal in upošteval varnostne pravilnike in prakse IT, ki so bistveni za poslovanje IBM-ja in obvezni za vse zaposlene v IBM-ju. Vodja informatike pri IBM-ju bo odgovoren za takšne pravilnike in bo imel nad njimi izvršni nadzor, vključno s formalnim upravljanjem in upravljanjem revizij, izobraževanjem zaposlenih in doseganjem skladnosti.

          2. IBM bo svoje pravilnike za zagotavljanje varnosti IT pregledoval najmanj letno in jih po potrebi dopolnil, če bo ocenil, da je to smiselno za ohranitev zaščite storitev v oblaku in vsebine, ki se obdeluje v njih.

          3. IBM bo ohranil in upošteval svoje standardne obvezne zahteve za preverjanje pred zaposlitvijo za vse novo zaposlene osebe in bo takšne zahteve razširil, tako da bodo veljavne za hčerinska podjetja v popolni lasti IBM-ja. V skladu z IBM-ovimi internimi postopki in procedurami se bodo te zahteve periodično pregledovale in bodo med drugim zajemale preverjanje kaznovanosti, dokazilo za preverjanje identitete in dodatna preverjanja, za katera IBM meni, da so potrebna. Vsako IBM-ovo podjetje je odgovorno za uvedbo teh zahtev v svoj postopek zaposlovanja, in sicer v tolikšni meri, kot to dovoljuje lokalna zakonodaja.

          4. IBM-ovi zaposleni se bodo letno udeleževali izobraževanja s področja varnosti in zasebnosti ter bodo morali vsako leto potrditi, da bodo ravnali skladno z IBM-ovimi pravilniki o etičnem poslovnem vedenju, zaupnosti in varnosti, kot je določeno v IBM-ovih smernicah o poslovnem ravnanju. Osebam, ki jim je do komponent storitev v oblaku, povezanih z njihovo vlogo v okviru IBM-ovega upravljanja storitve v oblaku in zagotavljanja podpore, zagotovljen skrbniški dostop ter kot je to potrebno za zagotavljanje skladnosti in certifikatov, navedenih v ustreznih prehodnih podatkih, se zagotovi dodatno usposabljanje o pravilnikih in postopkih.

    3. Varnostni incidenti

          1. IBM bo ohranil in upošteval dokumentirane pravilnike o odzivanju na incidente, skladne s smernicami NIST za ravnanje v primerih računalniških varnostnih incidentov, in bo spoštoval pogodbene določbe o obveščanju o kršitvi varstva podatkov.

          2. IBM bo raziskal nepooblaščen dostop do in nepooblaščeno uporabo vsebine, s katerima bo seznanjen (varnostni incident), ter v obsegu storitev v oblaku definiral in izvajal ustrezen načrt odziva. Naročnik lahko IBM obvesti o sumu ranljivosti ali incidenta tako, da predloži zahtevo za tehnično podporo.

          3. IBM bo naročnika brez nepotrebne zamude obvestil ob potrditvi varnostnega incidenta, za katerega je znano, da vpliva na naročnika ali IBM sumi na to. IBM bo naročniku zagotovil primerne zahtevane informacije o takšnih varnostnih incidentih in stanju morebitnih IBM-ovih dejavnosti odpravljanja ranljivosti in obnovitve.

    4. Fizična varnost in nadzor vstopa

          1. IBM bo ohranjal ustrezen fizični nadzor vhoda, kot so pregrade, vstopne točke, nadzirane s karticami, nadzorne kamere in osebje na recepciji, za zaščito pred nepooblaščenim vstopom v IBM-ove objekte, ki se uporabljajo za gostovanje storitve v oblaku (podatkovni centri). Pomožne vstopne točke v podatkovne centre, kot so dostavna območja in nakladalne rampe, bodo nadzorovane in izolirane od računalniških virov.

          2. Dostop do podatkovnih centrov in nadzorovanih območij znotraj podatkovnih centrov bo omejen glede na vlogo delovnega mesta in bo predmet avtorizirane odobritve. Uporaba identifikacijske priponke za dostop pri vstopanju v podatkovni center in na nadzorovana območja se bo beležila, taki dnevniki pa se bodo hranili najmanj eno leto. IBM bo v primeru odpusta pooblaščenega zaposlenega preklical njegov dostop do nadzorovanih območij podatkovnega centra. IBM bo spoštoval vse formalno dokumentirane postopke odpusta, ki zajemajo (vendar niso omejeni na) takojšnjo odstranitev s seznamov za nadzor dostopa in predajo identifikacijskih priponk za fizični dostop.

          3. Vsako osebo, ki se ji ustrezno dodeli začasno dovoljenje za vstop v prostore podatkovnega centra ali na nadzorovano območje znotraj podatkovnega centra, se bo ob vstopu v prostore registriralo, ob registraciji bo morala predložiti dokazilo o identiteti, v prostorih pa jo bo spremljalo pooblaščeno osebje. Vsako začasno pooblastilo za vstop, vključno z dostavami, bo načrtovano vnaprej in bo zanj potrebna odobritev pooblaščenega osebja.

          4. IBM bo izvajal previdnostne ukrepe za zaščito fizične infrastrukture storitev v oblaku pred okoljskimi grožnjami, naravnimi in povzročenimi s strani človeka, kot so prekomerna temperatura okolice, požar, poplava, vlaga, tatvina in vandalizem.

    5. Nadzor dostopa, posegov, prenosa in ločevanja

          1. IBM bo ohranjal dokumentirano varnostno arhitekturo omrežij, ki jo bo upravljal pri izvajanju storitev v oblaku. IBM bo ločeno pregledal takšno arhitekturo omrežij, vključno z ukrepi, določenimi za preprečevanje vzpostavljanja nepooblaščenih omrežnih povezav s sistemi, z aplikacijami in omrežnimi napravami, da bi dosegel skladnost z varno segmentacijo, izolacijo in s poglobljenimi obrambnimi standardi pred uvedbo. IBM lahko pri vzdrževanju storitev v oblaku in z njimi povezanih komponent ter zagotavljanju podpore zanje uporablja tehnologijo brezžičnih omrežij. Taka brezžična omrežja, če bodo uporabljena, bodo šifrirana in bodo zahtevala varno preverjanje pristnosti, ne bodo pa omogočala neposrednega dostopa do omrežij storitev v oblaku. Omrežja storitev v oblaku ne uporabljajo tehnologije brezžičnih omrežij.

          2. IBM bo izvajal ukrepe za storitve v oblaku, zasnovane za logično ločevanje in preprečevanje izpostavljenosti vsebine nepooblaščenim osebam ali njihovega dostopa do vsebine. IBM bo ohranjal ustrezno izolacijo svojih produkcijskih in neprodukcijskih okolij in, če je vsebina prenesena v neprodukcijsko okolje, npr. da bi reproduciral napako na naročnikovo zahtevo, bo zaščita varnosti in zasebnosti v neprodukcijskem okolju enakovredna tisti v produkcijskem okolju.

          3. IBM bo v obsegu, opisanem v ustreznih prehodnih podatkih, pri prenosu vsebine prek javnih omrežij šifriral vsebino, ki ni namenjena javnemu ogledu ali ogledu brez preverjanja pristnosti, ter bo omogočil uporabo kriptografskega protokola, kot so HTTPS, SFTP in FTPS, da bo lahko naročnik varno prenašal vsebino v storitve v oblaku in iz njih prek javnih omrežij.

          4. IBM bo vsebino v mirovanju šifriral, kot je določeno v prehodnih podatkih. Če storitve v oblaku zajemajo upravljanje kriptografskih ključev, bo IBM izvajal dokumentirane postopke za generiranje, izdajo, distribucijo, shranjevanje, izmenjevanje, preklic, obnovitev, varnostno kopiranje, uničenje, dostop in uporabo varnih ključev

          5. Če mora IBM dostopati do vsebine, bo takšen dostop omejil na najnižjo zahtevano raven. Takšen dostop, vključno s skrbniškim dostopom do katere koli temeljne komponente (privilegiran dostop), bo individualen, temelječ na vlogi in zanj mora izdati odobritev in izvajati redno preverjanje veljavnosti pooblaščeno IBM-ovo osebje v skladu z načeli ločevanja nalog. IBM bo ohranjal ukrepe za identificiranje in odstranjevanje redundantnih in neaktivnih računov s privilegiranim dostopom in bo nemudoma preklical takšen dostop po ločitvi lastnika računa ali na zahtevo pooblaščenega IBM-ovega osebja, kot je upravitelj lastnika računa.

          6. IBM bo skladu s standardnimi postopki panoge in v obsegu, ki ga nativno podpira vsaka komponenta, ki jo IBM upravlja znotraj storitev v oblaku, izvajal tehnične ukrepe, ki bodo vsilili iztek časa pri neaktivnih sejah, zaklenili račune po več zaporednih neuspelih poskusih prijave, zahtevali preverjanje pristnosti z močnim geslom in ukrepe, ki bodo zahtevali varen prenos in hrambo takih gesel.

          7. IBM bo nadziral uporabo privilegiranega dostopa in ohranjal varnostne informacije in ukrepe za upravljanje dogodka, ki so načrtovani, da: a) identificirajo nepooblaščen dostop in dejavnost; b) olajšajo pravočasen in ustrezen odziv in c) omogočajo interne in neodvisne revizije tretjih oseb glede skladnosti z dokumentiranim IBM-ovim pravilnikom.

          8. Dnevniki, v katerih so zabeleženi privilegirani dostop in aktivnost, se bodo hranili v skladu z IBM-ovim svetovnim načrtom za upravljanje zapisov. IBM bo ohranjal ukrepe, načrtovane za zaščito pred nepooblaščenim dostopom, spreminjanjem in naključnim ali namernim uničevanjem takšnih dnevnikov.

          9. Če je podprto z izvirno funkcionalnostjo naprave ali operacijskega sistema, bo IBM ohranjal računalniške zaščite za sisteme končnih uporabnikov, ki med drugim vključujejo požarne zidove končnih točk, šifriranje celotnega diska, zaznavanje in odstranjevanje zlonamerne programske opreme na podlagi podpisa, časovno določena zaklepanja zaslona in rešitve za upravljanje končnih točk, ki spodbujajo konfiguracijo zaščite in zahteve za popravljanje.

    6. Nadzor integritete storitev in razpoložljivosti

          1. IBM bo: a) izvajal ocene tveganja za varnost in zasebnost svojih storitev v oblaku vsaj enkrat letno; b) izvajal penetracijsko testiranje in ocene ranljivosti, vključno z avtomatiziranim varnostnim pregledovanjem sistema in aplikacij ter ročnim etičnim hekanjem, pred produkcijsko izdajo in enkrat letno po njej; c) dodal usposobljeno neodvisno tretjo osebo na seznam za izvajanje penetracijskega testiranja vsaj enkrat letno; d) izvajal avtomatizirano upravljanje in redno preverjanje veljavnosti za skladnost temeljnih komponent z zahtevami glede konfiguracije zaščite , in e) odpravil identificirane ranljivosti ali neskladnost z zahtevami glede konfiguracije zaščite na podlagi povezanega tveganja, izkoriščanja in vpliva. IBM bo pri izvajanju preizkusov, ocenjevanj, pregledov in popravljalnih aktivnosti izvedel smiselne ukrepe za preprečevanje motenja storitev v oblaku.

          2. IBM bo ohranjal pravilnike in postopke, zasnovane za upravljanje tveganj, povezanih z uvedbo sprememb v svoje storitve v oblaku. Pred uvedbo bodo spremembe storitve v oblaku, vključno z njenimi sistemi, omrežji in temeljnimi komponentami, dokumentirane v registrirani zahtevi za spremembo, ki vključuje opis spremembe in razlog zanjo, podrobnosti o uvedbi in načrt, izjavo o tveganju, ki obravnava vpliv na storitev v oblaku in njene naročnike, pričakovan izid, načrt povrnitve in dokumentirano odobritev pooblaščenega osebja.

          3. IBM bo ohranjal inventar vseh sredstev informacijske tehnologije, uporabljenih pri izvajanju storitev v oblaku. IBM bo nenehno nadziral in upravljal zdravje, vključno z zmogljivostjo, in razpoložljivost storitve v oblaku in temeljnih komponent.

          4. Vsako storitev v oblaku se bo ločeno ocenilo v skladu z zahtevami poslovne kontinuitete in obnovitve po hudi napaki v skladu z dokumentiranimi smernicami za upravljanje tveganj. Vsaka IBM-ova storitev v oblaku bo, kolikor je zagotovljeno s takšno oceno tveganja, vsebovala ločeno definirane, dokumentirane, vzdrževane in letno potrjevane načrte za nemoteno poslovanje in obnovitev po hudi napaki, ki so skladni s standardnimi praksami panoge. Cilji obnovitvene točke in časa obnovitve za storitve v oblaku, če so določeni, bodo določeni ob upoštevanju arhitekture in namena uporabe storitev v oblaku ter bodo opisani v ustreznih prehodnih podatkih. Fizični mediji, predvideni za shranjevanje zunaj mesta uporabe, če obstajajo, npr. mediji, ki vsebujejo datoteke varnostnega kopiranja storitve v oblaku, bodo pred transportom šifrirani.

          5. IBM bo izvajal ukrepe, zasnovane za ocenjevanje, preizkušanje in uporabo varnostnih svetovalnih popravkov v storitvah v oblaku ter povezanih sistemih, omrežjih, aplikacijah in osnovnih komponentah znotraj obsega storitev v oblaku. Po ugotovitvi, da je varnostni svetovalni popravek veljaven in ustrezen, ga bo IBM uvedel v skladu z dokumentirano resnostjo in smernicami za oceno tveganja. Uvedba varnostnih svetovalnih popravkov bo predmet IBM-ovega pravilnika o upravljanju sprememb.


Z126-7745-WW-3 05-2018 Stran 3 od 3

Document Metadata

Filed: April 4th, 2018