Bezpieczeństwo danych i RODO

Kluczowym aspektem jest rozróżnienie między bezpieczeństwem danych hostowanych przez klienta a bezpieczeństwem infrastruktur, na których są one hostowane.

Thumbnail

Bezpieczeństwo danych hostowanych przez klienta: klient jest jako jedyny odpowiedzialny za zapewnienie bezpieczeństwa swoich zasobów oraz systemów aplikacji, które rozwija przy wykorzystaniu usług OVH. OVH udostępnia klientowi narzędzia umożliwiające zabezpieczenie danych.

Thumbnail

Bezpieczeństwo infrastruktur: OVH gwarantuje optymalne bezpieczeństwo infrastruktur, w szczególności poprzez wdrażanie polityki bezpieczeństwa systemów informacyjnych oraz spełnianie wymagań poszczególnych norm i certyfikacji (certyfikacja PCI-DSS, certyfikacja ISO/IEC 27001, atesty SOC 1 TYPE II i SOC 2 TYPE II, etc.). OVH posiada również, w przypadku swojej oferty Healthcare, zezwolenie na hostowanie danych medycznych (HDS).

Lista wszystkich certyfikatów wraz z ich opisem dostępna jest tutaj.

Bezpieczeństwo infrastruktur:

OVH wdraża środki bezpieczeństwa mające na celu zapewnienie ochrony i poufności przetwarzanych danych osobowych. W ten sposób zapobiega ich zniekształceniu i uszkodzeniu oraz uniemożliwia nieupoważnionym osobom trzecim dostęp do tych danych.

Zobowiązania OVH z zakresie bezpieczeństwa

System zarządzania bezpieczeństwem

Zobowiązania OVH jako dostawcy hostingu:

Opracowaliśmy własną politykę bezpieczeństwa systemów informacyjnych (PBSI), opisującą ogół wprowadzonych przez nas rozwiązań w tym zakresie. Nasza polityka PBSI aktualizowana jest przynajmniej raz w roku lub w przypadku pojawienia się istotnych zmian mających wpływ na jej zawartość. Bezpieczeństwo naszych rozwiązań jest kontrolowane w ramach formalnych systemów zarządzania bezpieczeństwem informacji.

Działania zmierzające do zapewnienia ochrony obwodowej są koordynowane przez konkretne osoby:

  • IT System Security Manager (ISSM);
  • Security Manager, odpowiedzialny za procedury i projekty związane z ochroną obwodową;
  • Data Protection Officer (DPO), który odpowiada za ochronę danych osobowych;
  • Risk Manager, koordynujący zarządzanie ryzykiem w zakresie bezpieczeństwa oraz powiązanymi planami działań;
  • Security Measures Manager, który wdraża i wykorzystuje stosowne mechanizmy w związku ze zidentyfikowanymi zagrożeniami.
Zgodność i certyfikacja

Zobowiązania OVH jako dostawcy hostingu:

Aby utrzymać wymagany poziom zgodności i ocenić wydajność naszych systemów, regularnie przeprowadzane są audyty bezpieczeństwa. Wyróżniamy pięć ich rodzajów:

  • Audyty zewnętrzne (certyfikaty, zaświadczenia, audyty klientów);
  • Audyty wewnętrzne, przeprowadzane przez wewnętrznych lub zewnętrznych audytorów;
  • Audyty techniczne (testy penetracyjne, skany podatności, przeglądy kodu) przeprowadzane przez wewnętrznych lub zewnętrznych audytorów;
  • Audyty aktywności osób trzecich, przeprowadzane przez osobę odpowiedzialną za zarządzanie osobami trzecimi;
  • Audyty centrów danych, przeprowadzane przez audytorów wewnętrznych. Charakter oraz częstotliwość, z jaką przeprowadzane są audyty zależą od rozwiązań i zakresu ochrony obwodowej. Za każdym razem, gdy wykryta zostaje niezgodność, stosowane są wobec niej środki zaradcze, dołączane do planu działań. Wszystkie te środki są śledzone i formalnie monitorowane oraz regularnie kontrolowane w celu ponownej oceny ich skuteczności.
Audyty realizowane przez klienta

Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:

Klient może przeprowadzać audyty techniczne (testy penetracyjne) na usługach hostowanych w ramach swojego konta, jak i w odniesieniu do poszczególnych elementów zarządzania usługą. Warunki przeprowadzania audytów spisane są w umowach lub są ustalane na wniosek klienta.

Zobowiązania OVH jako dostawcy hostingu:

Warunki przeprowadzania audytów spisane są w umowach lub są ustalane na wniosek klienta.

Zarządzanie sytuacjami związanymi z ryzykiem

Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:

Klient powinien upewnić się, że środki bezpieczeństwa wdrożone przez OVH są adekwatne do rodzaju ryzyka, jakie wiąże się ze sposobem używania przez niego infrastruktury.

Zobowiązania OVH jako dostawcy hostingu:

Została opracowana i wdrożona formalna metodologia zarządzania sytuacjami związanymi z ryzykiem. Jest ona weryfikowana przynajmniej raz w roku lub w przypadku pojawienia się istotnych zmian. Metodologia ta dotyczy również danych osobowych oraz danych wrażliwych (z zakresu zdrowia, płatności, etc.).

Formalizuje przeprowadzone analizy: identyfikację zasobów, krytyczne procesy, zagrożenia i podatności.

Opiera się na normie ISO 27005. Pod koniec każdej analizy sporządzany jest plan działania w stosunku do zidentyfikowanego ryzyka. Jego wdrożenie ma miejsce przed upływem 12 miesięcy. Plan w sposób szczegółowy dokumentuje przeprowadzoną analizę i hierarchizuje działania, jakie należy podjąć. Każdy środek zaradczy dołączony jest do planów działań, kontrolowany i formalnie monitorowany. Ma też miejsce jego regularna weryfikacja w celu ponownej oceny skuteczności.

Zarządzanie zmianami

Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:

Klient powinien sprawdzić poprawność swoich danych kontaktowych, aby OVH mogło powiadamiać go o zmianach mogących mieć wpływ na jego usługi. W razie konieczności, do klienta należy wdrożenie niezbędnych działań w zakresie konfiguracji jego usług w celu uwzględnienia tych zmian.

Zobowiązania OVH jako dostawcy hostingu:

Wdrożona została ponadto formalna procedura zarządzania zmianami:

  • Role i zakresy odpowiedzialności są jasno zdefiniowane;
  • Określone zostały kryteria klasyfikacji służące identyfikacji etapów, jakie należy realizować podczas wprowadzania zmiany;
  • Stosowane są zasady zarządzania priorytetami; realizowana jest analiza ryzyka związanego ze zmianami (jeśli ryzyko zostaje zidentyfikowane, Security Manager oraz Risk Manager biorą udział w zatwierdzaniu zmiany);
  • Przeprowadzane są ewentualnie testy penetracyjne (jeśli dotyczy); zmiana jest planowana i programowana z klientami (jeśli dotyczy);
  • Wdrożenie jest realizowane stopniowo (1/10/100/1000) a, w przypadku ryzyka, przewidziana jest procedura powrotu do poprzedniego stanu;
  • Realizowany jest przegląd a posteriori poszczególnych zasobów, których dotyczy zmiana;
  • Wszystkie etapy są dokumentowane w narzędziu do zarządzania zmianami.
Polityka rozwoju systemów i aplikacji

Zobowiązania OVH jako dostawcy hostingu:

Na użytek programistów OVH wprowadzono stosowne, udokumentowane procedury. Opisują one zasady bezpiecznego rozwoju, środki „privacy by design” oraz politykę przeglądu kodu (wykrywanie podatności, obsługa błędów, zarządzanie dostępem i rekordami, bezpieczeństwo przechowywania i komunikacji).

  • Przeprowadzane są również regularnie przeglądy kodu;
  • Zatwierdzanie nowych funkcjonalności przed ich wdrożeniem, testy walidacyjne w środowisku (jeśli dotyczy) oraz stopniowe wdrażanie (1/10/100/1000);
  • Podział ról i odpowiedzialności programistów oraz osób odpowiedzialnych za produkcję.
Monitoring usług i infrastruktur

Zobowiązania OVH jako dostawcy hostingu:

Infrastruktura monitorowania jest wdrażana dla wszystkich usług OVH. Jej cele są różnorodne:

  • Wykrywanie awarii związanych z produkcją i bezpieczeństwem;
  • Kontrola funkcji krytycznych i wysyłanie komunikatów ostrzegawczych do systemu nadzoru;
  • Powiadomienie osób odpowiedzialnych i wszczęcie odpowiednich procedur;
  • Zagwarantowanie ciągłości działania usługi w odniesieniu do działań zautomatyzowanych;
  • Zapewnienie integralności monitorowanych zasobów.
Zarządzanie incydentami

Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:

Klient powinien sprawdzić poprawność swoich danych kontaktowych, aby OVH mogło powiadomić go w przypadku wystąpienia awarii. Musi on również wdrożyć procedury zarządzania awariami mogącymi wystąpić w ramach jego systemu informacyjnego, włączając OVH jako potencjalne źródło zagrożenia.

Zobowiązania OVH jako dostawcy hostingu:

Wdrożony został proces zarządzania awariami pozwalający zapobiegać, wykrywać i radzić sobie z awariami mającymi miejsce w infrastrukturach zarządzania usługą, jak i w ramach samej usługi. Proces ten obejmuje:

  • Dokumentację kwalifikacji zdarzeń z zakresu bezpieczeństwa;
  • Obsługę zdarzeń z zakresu bezpieczeństwa;
  • Ćwiczenia symulacyjne dla komórki kryzysowej;
  • Testy planu reakcji na awarie;
  • Komunikację z klientami realizowaną przez komórkę kryzysową.

Procesy te podlegają procedurze stałego ulepszania w zakresie nadzoru, ewaluacji, jak również globalnego zarządzania incydentami oraz działaniami naprawczymi.

Zarządzanie podatnościami

Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:

Klient powinien sprawdzić poprawność swoich danych kontaktowych, aby OVH mogło powiadamiać go w przypadku wykrycia podatności w jego systemie informacyjnym.

Zobowiązania OVH jako dostawcy hostingu:

Opieka technologiczna w odniesieniu do nowych podatności jest zapewniona przez Security Managera i jego zespół. Podatności identyfikowane są dzięki:

  • Informacyjnym stronom WWW;
  • Ostrzeżeniom twórców i producentów wdrożonych rozwiązań;
  • Incydentom oraz obserwacjom przekazywanym przez zespoły eksploatacyjne OVH, osoby trzecie lub klientów;
  • Regularnie przeprowadzanym wewnętrznym i zewnętrznym skanom podatności;
  • Audytom technicznym, jak również przeglądom kodu i konfiguracji.

Jeśli podatność zostaje wykryta, dedykowane do tego celu zespoły przeprowadzają analizę mającą na celu określenie jej wpływu na systemy oraz potencjalne scenariusze działań.

W razie konieczności, stosowane są środki łagodzące, a następnie opracowany zostaje plan działań naprawczych.

Każdy wdrożony środek włączany jest do planów działań, kontrolowany i formalnie monitorowany. Ma też miejsce jego regularna weryfikacja w celu ponownego oszacowania skuteczności.

Zarządzanie ciągłością działania

Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:

Za ciągłość działania systemu informacyjnego odpowiada klient. Powinien upewnić się, czy standardowe rozwiązania wprowadzone przez OVH oraz wybrane przez klienta opcje i ustawienia dodatkowe pozwalają mu osiągnąć swoje cele.

Zobowiązania OVH jako dostawcy hostingu:

Różnorodne mechanizmy zapewniają ciągłość działania infrastruktur (dostępność sprzętu, aplikacji i procesów eksploatacyjnych):

  • Ciągłość działania chłodzenia cieczą i powietrzem;
  • Ciągłość i redundancja zasilania elektrycznego;
  • Zarządzanie wydajnością sprzętu, za który odpowiada OVH;
  • Wsparcie techniczne dla usług;
  • Redundancja sprzętu i serwerów używanych do administracji systemów.

Jednocześnie inne mechanizmy, takie jak kopia bezpieczeństwa konfiguracji sieci i urządzeń, zapewniają przywrócenie usługi w przypadku incydentu.

OVH proponuje różne funkcjonalności zapewniające zachowanie kopii zapasowych oraz przywracania usług, których klient może używać jako funkcji włączonych do usługi podstawowej bądź jako opcji płatnych.

Zagrożenia naturalne i środowiskowe

Zobowiązania OVH jako dostawcy hostingu:

Wprowadzone zostały środki mające na celu przeciwdziałanie zagrożeniom naturalnym i środowiskowym:

  • Instalacja piorunochronów mających ograniczyć działanie fal elektromagnetycznych;
  • Lokalizacja pomieszczeń OVH w strefach niezagrożonych powodzią i bez ryzyka sejsmicznego;
  • Instalacja zasilaczy awaryjnych (UPS) o stosownej pojemności oraz transformatorów zapasowych z automatycznym przełącznikiem zasilania;
  • Automatyczne przełączanie obciążenia na agregaty prądotwórcze o 24-godzinnej wytrzymałości;
  • Instalacja systemu chłodzenia serwerów za pomocą cieczy (98% sal serwerowych pozbawionych jest klimatyzatorów);
  • Instalacja jednostek do ogrzewania, wentylacji i klimatyzacji (system HVAC) w celu utrzymania stałej temperatury i poziomu wilgotności;
  • Zarządzanie systemem wykrywania pożarów (w centrach danych przeprowadzane są co 6 miesięcy ćwiczenia przeciwpożarowe).
Ogólne środki bezpieczeństwa w obiektach fizycznych

Zobowiązania OVH jako dostawcy hostingu:

Fizyczny dostęp do obiektów OVH opiera się na ścisłej ochronie obwodowej, aktywnej już od strefy wejścia na teren. Każde pomieszczenie jest odpowiednio sklasyfikowane:

  • Strefy prywatne;
  • Biura dostępne dla wszystkich pracowników i dla zarejestrowanych odwiedzających;
  • Biura pod ścisłym nadzorem, do których dostęp mają tylko określone osoby;
  • Strefy, w których mieści się sprzęt centrów danych;
  • Strefy pod ścisłym nadzorem w centrach danych;
  • Strefy centrów danych, w których zlokalizowane są krytyczne usługi.
Ogólne środki bezpieczeństwa w obiektach fizycznych

Zobowiązania OVH jako dostawcy hostingu:

Wprowadzone zostały środki umożliwiające kontrolowanie dostępu do fizycznych obiektów OVH:

  • Polityka dotycząca praw dostępu;
  • Ściany (lub ich funkcjonalny ekwiwalent) pomiędzy poszczególnymi strefami;
  • Kamery zainstalowane w punktach wejścia i wyjścia z obiektu, a także w salach serwerowych;
  • Wejścia chronione, kontrolowane za pomocą czytników kart dostępu;
  • Bariery z wiązkami laserowymi na parkingach;
  • Czujniki ruchu;
  • Mechanizmy antywłamaniowe zainstalowane w punktach wejścia i wyjścia z centrów danych;
  • Mechanizmy wykrywania obecności (całodobowa ochrona fizyczna oraz monitoring);
  • Stałe centrum nadzoru, kontrolujące otwieranie i zamykanie drzwi.
Dostęp do obiektów OVH

Zobowiązania OVH jako dostawcy hostingu:

Kontrola fizycznego dostępu opiera się na systemie kart dostępu. Każda karta połączona jest z konkretnym kontem OVH, które z kolei powiązane jest z daną osobą. W ten sposób można zidentyfikować każdą osobę w pomieszczeniach i uwierzytelnić mechanizmy kontroli:

  • Każda osoba wchodząca do obiektów OVH musi mieć kartę dostępu z zakodowanymi na niej danymi identyfikacyjnymi;
  • Tożsamość osoby musi być za każdym razem sprawdzona przed wydaniem karty dostępu;
  • W obiektach OVH każda osoba musi nosić kartę w taki sposób, aby była ona widoczna;
  • Na kartach dostępu nie może figurować nazwisko jej posiadacza ani nazwa firmy;
  • Karta dostępu musi umożliwiać natychmiastową identyfikację kategorii osoby przebywającej na terenie OVH (pracownik, osoba trzecia, dostęp tymczasowy, gość);
  • Karta dostępu jest dezaktywowana natychmiast po tym, gdy jej posiadacz traci prawo dostępu do obiektów OVH;
  • Karta dostępu pracownika OVH jest aktywowana na czas trwania umowy o pracę; w przypadku innych kategorii jest automatycznie dezaktywowana po określonym czasie;
  • Karta dostępu nieużywana przez okres trzech tygodni jest automatycznie dezaktywowana.
Zarządzenie dostępem do poszczególnych stref

Zobowiązania OVH jako dostawcy hostingu:

Dostęp do drzwi przy użyciu karty

Zasady standardowej kontroli dostępu do pomieszczeń OVH:

  • Drzwi podłączone są do centralnego systemu zarządzania prawami dostępu;
  • Należy zbliżyć kartę do czytnika, aby drzwi zostały odblokowane;
  • Prawo dostępu danej osoby jest weryfikowane w momencie odczytu karty przez czytnik;
  • W przypadku awarii centralnego systemu zarządzania prawami dostępu uprawnienia skonfigurowane w momencie incydentu są ważne przez cały czas trwania zdarzenia;
  • Zamki drzwi są zabezpieczone przed przerwami w dostawie prądu i w takich sytuacjach pozostają zamknięte.

Dostęp do drzwi przy użyciu karty

Niektóre strefy lub urządzenia są zamykane na klucz:

  • Klucze są przechowywane w scentralizowanych, osobnych dla każdego obiektu miejscach z ograniczonym dostępem, wyposażonych w depozytor;
  • Każdy klucz jest zidentyfikowany przy pomocy etykietki; prowadzony jest inwentarz kluczy;
  • Użycie każdego z kluczy jest śledzone i identyfikowalne za pomocą specjalnego mechanizmu lub papierowego dziennika;
  • Depozytor kluczy jest codziennie sprawdzany według inwentarza.

Dostęp do centrów danych przez śluzy osobowe

Do centrów danych OVH można wejść wyłącznie przez śluzy osobowe:

  • Każda śluza wyposażona jest w dwoje drzwi oraz ograniczony obszar pomiędzy punktami kontroli, co gwarantuje przejście tylko jednej osoby na raz;
  • Jedne drzwi otwierają się wyłącznie w momencie, gdy drugie są zamknięte (ang. mantrap);
  • Śluzy wykorzystują ten sam system kart dostępu, co pozostałe drzwi i działają na tych samych zasadach;
  • Mechanizmy wykrywające obecność sprawdzają, czy wewnątrz śluzy przebywa tylko jedna osoba (ang. anti-piggybacking);
  • System skonfigurowany jest w taki sposób, aby uniemożliwić użycie karty do kilkukrotnego wejścia lub wyjścia (ang. anti-passback);
  • Umieszczona w pobliżu śluzy kamera monitoruje wchodzące osoby.

Dostęp do pomieszczeń przez śluzy towarowe

  • Towary mogą być wprowadzane do centrów danych wyłącznie z wykorzystaniem przeznaczonych w tym celu stref:
  • Strefa dostaw jest skonfigurowana w taki sam sposób, jak śluza osobowa, różni się jedynie większą powierzchnią, brakiem kontroli objętości i ciężaru oraz faktem, że czytniki kart dostępu zainstalowane są tylko na zewnątrz;
  • Tylko towar przechodzi przez strefę dostaw, osoby muszą przejść przez śluzę osobową;
  • W strefie dostawy umieszczona jest kamera bez martwych kątów.
Zarządzanie fizycznym dostępem osób trzecich

Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:

OVH nigdy nie interweniuje bezpośrednio u klienta. To klienci odpowiadają za bezpieczeństwo swoich lokali.

Zobowiązania OVH jako dostawcy hostingu:

Poruszanie się osób odwiedzających i okazjonalnie świadczących usługi jest ściśle regulowane. Osoby te są rejestrowane przed wejściem na teren obiektu OVH i otrzymują kartę dostępu dla gościa lub dostawcy:

  • Każda wizyta musi być zgłoszona z wyprzedzeniem;
  • Za osoby trzecie odpowiedzialny jest pracownik OVH, który zawsze im towarzyszy;
  • Tożsamość każdej osoby sprawdzana jest przed wejściem na teren obiektu;
  • Każdej osobie trzeciej przydzielona zostaje na jeden dzień osobista karta dostępu, którą osoba ta musi zwrócić przed opuszczeniem obiektu;
  • Wszystkie osoby muszą nosić karty dostępu w taki sposób, aby były one widoczne;
  • Karty dostępu są automatycznie dezaktywowane po zakończeniu wizyty.
Podnoszenie świadomości i szkolenie pracowników

Zobowiązania OVH jako dostawcy hostingu:

Personel OVH jest uświadamiany o istocie bezpieczeństwa i w kwestiach zgodności z normami dotyczącymi przetwarzania danych osobowych:

  • Zespoły pracownicze, których te kwestie dotyczą, zostają co roku odpowiednio przeszkolone;
  • Co roku odbywają się szkolenia dla danych zespołów pracowniczych dotyczące przeprowadzania audytów;
  • Co roku odbywają się szkolenia dla danych zespołów pracowniczych dotyczące usług technicznych;
  • W momencie zatrudnienia nowych pracowników organizowane jest szkolenie uwrażliwiające na kwestie związane z bezpieczeństwem systemu informacyjnego (SI);
  • Komunikaty związane z bezpieczeństwem są regularnie adresowane do wszystkich pracowników;
  • Organizowane są kampanie testowe w celu upewnienia się, że wszyscy pracownicy reagują w sposób adekwatny w sytuacji zagrożenia.
Kontrola logicznego dostępu do systemów informacyjnych OVH

Zobowiązania OVH jako dostawcy hostingu:

Wdrożona została rygorystyczna polityka zarządzania logicznymi dostępami pracowników OVH:

  • Uprawnienia są przyznawane i monitorowane przez menadżerów zgodnie z zasadą najmniejszego uprzywilejowania oraz zasadą stopniowego zdobywania zaufania;
  • Wszystkie uprawnienia są w miarę możliwości przypisywane do pełnionych ról, a nie indywidualnych osób;
  • Zarządzanie prawami dostępu oraz uprawnieniami przypisanymi do użytkownika lub systemu realizowane jest w oparciu o procedurę rejestracji, modyfikacji i anulacji, która to procedura obowiązuje menadżerów, wewnętrzny dział IT oraz dział HR;
  • Wszyscy pracownicy posługują się kontami imiennymi;
  • Sesje połączenia zawsze mają określony czas wygaśnięcia, który zależy od każdej aplikacji;
  • Tożsamość użytkowników jest weryfikowana przed każdą zmianą w metodach uwierzytelnienia;
  • W przypadku utraty hasła przez pracownika, tylko jego przełożony oraz Security Manager są uprawnieni do zresetowania hasła;
  • Konta użytkowników są automatycznie dezaktywowane, jeśli hasło nie zostanie odnowione po 90 dniach;
  • Używanie kont domyślnych, ogólnych i anonimowych jest zabronione;
  • Wdrożona zostaje rygorystyczna polityka dotycząca haseł;
  • Użytkownik nie wybiera sam swojego hasła, służy do tego generator haseł;
  • Minimalna długość hasła to 10 znaków alfanumerycznych;
  • Hasło musi być odnawiane z częstotliwością co 3 miesiące;
  • Przechowywanie haseł w niezaszyfrowanych plikach, przeglądarkach internetowych czy zapisywanie ich na papierze jest zabronione;
  • Obowiązkowe jest używanie lokalnego programu do zarządzania hasłami zatwierdzonego przez zespoły ds. bezpieczeństwa;
  • Każdy zdalny dostęp do systemu informacyjnego OVH realizowany jest poprzez VPN wymagający wprowadzenia hasła znanego tylko użytkownikowi oraz klucza współdzielonego skonfigurowanego w stacji roboczej.
Zarządzanie dostępem personelu administracyjnego do platform produkcyjnych

Zobowiązania OVH jako dostawcy hostingu:

Wdrożona zostaje polityka zarządzania dostępami personelu administracyjnego do platform:

  • Każdy dostęp personelu administracyjnego do systemu produkcyjnego odbywa się za pośrednictwem bastionu;
  • Administratorzy łączą się z bastionami przez SSH, używając pary indywidualnych i imiennych kluczy publicznych i prywatnych;
  • Połączenie z systemem docelowym jest realizowane albo przez współdzielone konto usługi albo przez konto imienne za pośrednictwem bastionów;
  • Korzystanie z kont domyślnych w systemach i urządzeniach jest zabronione;
  • Weryfikacja dwuetapowa, wraz z pełnym monitoringiem, obowiązkowa jest w przypadku zdalnych dostępów personelu administracyjnego oraz dostępów pracowników do wrażliwych obwodów;
  • Administratorzy, poza standardowym kontem użytkownika, posiadają konto dedykowane wyłącznie do zadań administracyjnych;
  • Uprawnienia są przyznawane i monitorowane przez menadżerów zgodnie z zasadą najmniejszego uprzywilejowania oraz zasadą stopniowego zdobywania zaufania;
  • Klucze SSH są chronione hasłem spełniającym wymagania polityki bezpieczeństwa;
  • We współpracy z odpowiednimi służbami prowadzony jest regularny przegląd uprawnień i dostępów.
Kontrola dostępu do Panelu klienta

Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:

Do klienta należy zarządzanie oraz kontrola bezpieczeństwa zastosowanych przez klienta środków uwierzytelniania. Aby sprawniej zabezpieczyć dostęp do swojego konta, klienci mogą:

  •  aktywować uwierzytelnianie dwuetapowe w Panelu klienta OVH ;
  • ograniczyć logowanie do określonej, uprzednio zdefiniowanej, listy adresów IP.

Zobowiązania OVH jako dostawcy hostingu:

Zarządzanie usługami OVH przez klienta ma miejsce z poziomu Panelu klienta lub API. Dostęp domyślny realizowany jest za pośrednictwem imiennego konta (identyfikator klienta) oraz hasła:

  • Hasło wybrane przez klienta musi spełniać kryteria złożoności określone w interfejsie użytkownika;
  • Na serwerach OVH przechowywane są jedynie skróty haseł (ang. hash);
  • OVH oferuje możliwość aktywacji w Panelu klienta weryfikacji dwuetapowej z wykorzystaniem systemu jednorazowych haseł (OTP) wysyłanych w wiadomościach SMS, aplikacji mobilnej lub kompatybilnego klucza U2F.
  • Klient może ograniczyć dostęp do swojego Panelu klienta tylko do wcześniej określonych adresów IP;
  • Tokeny dostępu do API mogą być używane przez okres ich ważności bez potrzeby poddawania ich dodatkowym kontrolom;
  • Wszystkie działania klientów w Panelu klienta lub API są rejestrowane;
  • Klient może oddzielić zadania techniczne i administracyjne związane z zarządzaniem usługami.
Bezpieczeństwo stanowisk pracy i bezpieczeństwo sprzętu mobilnego

Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:

Do klienta należy zapewnienie bezpieczeństwa stanowisk pracy oraz sprzętu mobilnego, służących do administrowania usługami i systemami.

Zobowiązania OVH jako dostawcy hostingu:

Zabezpieczenie standardowych stanowisk roboczych

Zostały wdrożone środki bezpieczeństwa dotyczące standardowych stanowisk roboczych pracowników OVH

  • Automatyczne zarządzanie aktualizacjami;
  • Instalacja i aktualizacja programu antywirusowego oraz regularne skanowanie; • instalacja aplikacji pochodzących wyłącznie z zatwierdzonego katalogu;
  • Systematyczne szyfrowanie dysków twardych;
  • Brak uprawnień administracyjnych dla pracowników w odniesieniu do ich stanowisk roboczych;
  • Procedura postępowania względem potencjalnie zagrożonego stanowiska roboczego;
  • Standaryzacja sprzętu;
  • Procedura usuwania sesji oraz resetowania stanowisk roboczych po odejściu pracownika z firmy.

Zabezpieczanie urządzeń mobilnych

Zostały wdrożone środki bezpieczeństwa mające na celu ochronę osobistych urządzeń mobilnych pracowników lub urządzeń dostarczonych im przez OVH:

  • Obowiązkowa rejestracja urządzeń w centralnym systemie zarządzania przed łączeniem się z zasobami wewnętrznymi OVH (WiFi, poczta e-mail, kalendarze, książki adresowe, etc.);
  • Weryfikacja polityki bezpieczeństwa zastosowanej w urządzeniu (kod do odblokowywania, czas, po którym następuje blokada, szyfrowanie przechowywanych treści) ;
  • Procedura zdalnego czyszczenia urządzeń w przypadku kradzieży lub zgubienia.
Bezpieczeństwo sieci

Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:

Klient jest jako jedyny odpowiedzialny za szyfrowanie treści komunikowanych poprzez sieć OVH.

Zobowiązania OVH jako dostawcy hostingu:

OVH dysponuje swoją własną siecią światłowodów o wysokiej wydajności, połączoną z licznymi mniejszymi operatorami i operatorami Tier-1. OVH zarządza swoją własną siecią szkieletową; zapewnia ona łączność z sieciami lokalnymi każdego centrum danych i łączy ruch między nimi.

Wszystkie urządzenia są zabezpieczone przy użyciu następujących środków:

  • Prowadzenie inwentarza wewnątrz bazy zarządzania konfiguracjami;
  • Proces zabezpieczania systemu, zwany utwardzaniem (ang. hardening), z przewodnikami opisującymi parametry, które należy zmodyfikować w celu zapewnienia bezpiecznej konfiguracji;
  • Dostęp do funkcji administratora sprzętu jest ograniczony na podstawie list kontrolnych;
  • Wszystkie urządzenia administrowane są za pośrednictwem bastionu, zgodnie z zasadą najmniejszego uprzywilejowania;
  • Wszystkie ustawienia sprzętu sieciowego są zachowywane w kopiach zapasowych;
  • Logi są nieprzerwanie gromadzone, centralizowane i monitorowane przez zespół operacyjny zarządzający siecią;
  • Wdrażanie konfiguracji jest zautomatyzowane na podstawie zatwierdzonych szablonów.
Zarządzanie ciągłością działania

Zobowiązania OVH jako dostawcy hostingu:

Wdrożona została polityka prowadzenia rejestrów serwerów i urządzeń używanych przez OVH do świadczenia usług:

  • Wszystkie systemy oraz dane niezbędne do zapewnienia ciągłości usług, do rekonstrukcji systemu informacyjnego lub do przeprowadzenia analizy po zaistniałej awarii są zapisywane (pliki baz danych technicznych i administracyjnych, dzienniki aktywności, kody źródłowe aplikacji opracowanych wewnętrznie, ustawienia serwerów, aplikacji i sprzętu, itd.);
  • Częstotliwość, czas oraz sposoby przechowywania kopii zapasowych są zdefiniowane zgodnie z potrzebami każdego zapisanego zasobu; • proces tworzenia kopii jest monitorowany i objęty systemem zarządzania ostrzeżeniami i błędami.
Prowadzenie rejestrów

Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:

Klient jest jako jedyny odpowiedzialny za wprowadzenie polityki rejestracji swoich własnych systemów i aplikacji.

Zobowiązania OVH jako dostawcy hostingu:

Wdrożona została polityka prowadzenia rejestrów serwerów i urządzeń używanych przez OVH do świadczenia usług:

  • Kopie zapasowe i scentralizowane przechowywanie dzienników;
  • Wgląd od logów oraz ich analiza przez ograniczoną liczbę upoważnionych osób zgodnie z polityką przyznawania uprawnień i zarządzania dostępami;
  • Podział zadań pomiędzy zespołami odpowiedzialnymi za operacje wykonywane na infrastrukturze monitoringu oraz zespołami odpowiedzialnymi za eksploatację usługi. Poniżej lista działań objętych obowiązkiem prowadzenia rejestrów:
  • Logi serwerów kopii zapasowych, na których hostowane są dane klientów;
  • Logi maszyn zarządzających infrastrukturą klienta;
  • Logi maszyn do monitoringu infrastruktur;
  • Logi programów antywirusowych zainstalowanych na wszystkich maszynach;
  • Kontrola integralności logów i systemów, jeśli dotyczy;
  • Zadania i zdarzenia realizowane przez klienta w jego infrastrukturze;
  • Logi i alerty o wykryciu włamania do sieci, jeśli dotyczy;
  • Logi urządzeń sieciowych;
  • Logi infrastruktury kamer monitorujących;
  • Logi maszyn administratorów;
  • Logi serwerów czasu;
  • Logi czytników kart dostępu;
  • Logi bastionów.