Tin tức

Ngày nay doanh nghiệp càng có nhiều quy định về dữ liệu phải tuân thủ. Cloud Pak for Data (CP4D) tuân thủ các đánh Gia bảo mật và quyền riêng tư sau đây:

Tuân thủ FIPS

Tiêu chuẩn Xử lý Thông tin Liên bang (FIPS- Federal Information Processing Standards) là các tiêu chuẩn và hướng dẫn do Viện Tiêu chuẩn và Công nghệ Quốc gia của Mỹ (NIST) ban hành cho các hệ thống máy tính của chính phủ liên bang. Các tiêu chuẩn được phát triển thêm khi có các yêu cầu bắt buộc của chính phủ liên bang, chẳng hạn như bảo mật và khả năng tương tác. Các cơ quan chính phủ và các tổ chức tài chính sử dụng các tiêu chuẩn này để đảm bảo rằng các sản phẩm phù hợp với các yêu cầu bảo mật cụ thể.

Để chạy CP4D trên hệ thống tuân thủ Tiêu chuẩn Xử lý Thông tin Liên bang (FIPS), doanh nghiệp cần xem chi tiết hướng dẫn Thiết lập FIPS trên hệ thống cluster chạy Red Hat OpenShift. 

CP4D sử dụng các mô-đun mật mã tuân thủ Cấp 1 của Tiêu chuẩn xử lý thông tin liên bang FIPS-140-2. Các certificate sử dụng nội bộ được mã hóa bằng các thuật toán mật mã được FIPS chấp thuận. Các mô-đun được FIPS phê duyệt có thể được sử dụng để truyền dữ liệu.

FISMA

Đạo luật Quản lý An ninh Thông tin Liên bang (FISMA- Federal Information Security Management Act) yêu cầu các cơ quan liên bang phát triển, lập tài liệu và thực hiện chương trình bảo vệ và an toàn thông tin.  

CP4D đã hoàn thành đánh giá FISMA. Các yêu cầu hàng đầu của FISMA bao gồm:

• Kiểm kê Hệ thống Thông tin: Mọi cơ quan liên bang hoặc nhà thầu làm việc với chính phủ Mỹ phải giữ một bản kiểm kê của tất cả các hệ thống thông tin được sử dụng trong tổ chức của mình. 
• Phân loại rủi ro: Các tổ chức, doanh nghiệp phải phân loại thông tin và hệ thống thông tin của họ theo thứ tự rủi ro để đảm bảo rằng thông tin nhạy cảm và hệ thống sử dụng nó được cung cấp mức độ bảo mật cao nhất. FIPS 199 “Tiêu chuẩn phân loại bảo mật của hệ thống thông tin và thông tin liên bang” xác định một dải các mức độ rủi ro mà trong đó các tổ chức có thể đặt các hệ thống thông tin khác nhau của họ.
• Kế hoạch bảo mật hệ thống: FISMA yêu cầu các cơ quan tạo ra kế hoạch bảo mật thường xuyên được duy trì và cập nhật. Kế hoạch phải bao gồm những nội dung như các biện pháp kiểm soát an ninh được triển khai trong tổ chức, các chính sách bảo mật và thời gian cụ thể cho việc áp dụng các biện pháp kiểm soát tiếp theo.
• Kiểm soát bảo mật: NIST SP 800-53 phác thảo một danh mục mở rộng các biện pháp kiểm soát bảo mật được đề xuất để tuân thủ FISMA. 
• Đánh giá rủi ro: Đánh giá rủi ro là yếu tố chính trong các yêu cầu bảo mật thông tin của FISMA. NIST SP 800-30 cung cấp một số hướng dẫn về cách các cơ quan nên tiến hành đánh giá rủi ro. 
• Chứng nhận và Công nhận: FISMA yêu cầu các quản lý chương trình và người đứng đầu cơ quan thực hiện đánh giá bảo mật hàng năm để đảm bảo các rủi ro được giữ ở mức tối thiểu.

GDPR 

GDPR (European Union General Data Protection Regulation) là viết tắt của Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu. Tuy đây là quy định của Châu Âu nhưng thực tế nó lại có ảnh hưởng đến tất cả quốc gia vì các công ty của Mỹ và các đối tác liên quan của các công ty này cũng phải tuân thủ Quy định này.

Doanh nghiệp có trách nhiệm đảm bảo sự sẵn sàng của chính doanh nghiệp mình đối với các luật và quy định, bao gồm cả Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu.

Ngày nay, các công ty ít nhất phải chứng minh với các quan chức rằng họ đang tích cực làm việc hướng tới trách nhiệm giải trình và tuân thủ cho GDPR. 

Khi vi phạm dữ liệu cá nhân xảy ra và đe dọa quyền riêng tư dữ liệu của người tiêu dùng, các công ty phải báo cáo sự việc trong vòng 72 giờ kể từ khi biết về vi phạm. Các hình phạt cho việc không tuân thủ được phân cấp và có thể cao tới 2% doanh thu toàn cầu hàng năm của năm tài chính trước đó.

Khả năng truy cập (Accessibility)

IBM cam kết về khả năng truy cập. Các tính năng hỗ trợ khả năng truy cập tuân theo các nguyên tắc tuân thủ được bao gồm trong nội dung và tài liệu nhằm đảm bảo lợi ích cho người dùng khuyết tật.

Tài liệu về CP4D tại https://www.ibm.com/docs/en được xây dựng và hỗ trợ linh hoạt khả năng truy cập. Tài liệu được cung cấp dưới dạng HTML để có thể dễ dàng truy cập thông qua công nghệ hỗ trợ. Người dùng có thể thực hiện các tác vụ sau:

• Sử dụng phần mềm đọc màn hình và bộ tổng hợp giọng nói kỹ thuật số để nghe những gì hiển thị trên màn hình.
• Sử dụng kính lúp để phóng đại những gì hiển thị trên màn hình.

Vận hành các tính năng cụ thể hoặc tương đương bằng cách chỉ sử dụng bàn phím.

Link tham khảo:
https://www.ibm.com/docs/en/cloud-paks/cp-data/4.0?topic=overview-regulatory-compliance