OVH a ochrana osobních údajů

Je nezbytné rozlišovat mezi zabezpečením dat hostovaných zákazníkem a zabezpečením infrastruktur, na nichž jsou informace hostovány.

Thumbnail

Zabezpečení dat hostovaných zákazníkem: zákazník nese plnou zodpovědnost za zabezpečení svých zdrojů a aplikačních systémů, které v rámci používání služby provozuje. Společnost OVH nabízí svým zákazníkům doprovodné nástroje pro zabezpečení jejich dat.

Thumbnail

Zabezpečení infrastruktur: společnost OVH se zavazuje poskytovat infrastruktury s optimálním zabezpečením, zejména co se shody s bezpečnostní politikou informačních systémů a normativních certifikací týče (PCI_DSS, ISO/IEC 27001, atestace SOC 1 typ II, SOC 2 typ II apod.). OVH zároveň v rámci nabídky Healthcare disponuje certifikací pro hosting citlivých zdravotních dat (HDS).

Všechny zmíněné certifikace a jejich kompletní rozsah naleznete na těchto stránkách.

Zabezpečení infrastruktur:

Společnost OVH přijala veškerá opatření nezbytná pro zajištění vysoké úrovně bezpečnosti a soukromí zpracovávaných osobních údajů. Tato opatření se týkají zejména ochrany dat před zkreslením, poškozením a zneužitím třetími stranami.

Bezpečnostní opatření společnosti OVH:

Systém řízení bezpečnosti

Závazky OVH jakožto poskytovatele

Je implementována politika bezpečnosti informačních systémů (ISSP), která popisuje všechna zařízení OVH v této oblasti. Bezpečnostní politika (ISSP) je aktualizována alespoň jedenkrát ročně anebo v případě větších změn, které mají vliv na její obsah. Bezpečnost řešení OVH je řízena formálními systémy řízení bezpečnosti informací.

Různé role koordinují činnost spojenou s bezpečností perimetru:

  • osoba odpovědná za bezpečnost informačních systémů (ISSM);
  • osoba odpovědná za bezpečnost, pověřená postupy a projekty spojenými s bezpečností perimetru;
  • pověřenec pro ochranu osobních údajů (DPO), zajišťující bezpečnost údajů osobní povahy;
  • manažer rizik, koordinující řízení bezpečnostních rizik s vhodnými plány činností;
  • osoba odpovědná za bezpečnostní opatření, která implementuje a provádí opatření ke zjištěným bezpečnostním rizikům.
Předpisy a certifikace

Závazky OVH jakožto poskytovatele

Za účelem zajištění dodržování předpisů a vyhodnocení výkonnosti systémů OVH jsou prováděny pravidelné bezpečnostní audity. Existuje celkem pět druhů těchto auditů:

  • externí audity (certifikáty, osvědčení, klienti);
  • interní audity, prováděné interními či externími auditory;
  • technické audity (testování průniku, skenování zranitelnosti, revize kódu), prováděné interními či externími auditory;
  • audity činností třetích stran, prováděné osobou odpovědnou za řízení třetích stran;
  • audity datacenter, prováděné vnitřními auditory. Povaha a četnost prováděných auditů se liší v závislosti na konkrétních řešeních a perimetrech. Pokud je zjištěn nevyhovující stav, stane se okamžitě předmětem nápravného opatření zahrnutého do plánů činnosti. Všechna zmíněná opatření podléhají formální dohledatelné kontrole a pravidelné revizi, v jejímž rámci je přezkoumávána jejich účinnost.
Klientské audity

Doporučení pro klienta odpovědného za zpracování

Klient je oprávněn provádět technické audity (testování průniku) u služeb hostovaných jeho jménem a u řídících balíčků služby. Prováděcí podmínky auditů jsou stanoveny smlouvami anebo jsou řízeny ad hoc na vyžádání.

Závazky OVH jakožto poskytovatele

Prováděcí podmínky auditů jsou stanoveny smlouvami anebo jsou řízeny ad hoc na vyžádání.

Řízení rizik

Doporučení pro klienta odpovědného za zpracování

Klient je povinen přesvědčit se, zda jsou bezpečnostní opatření zavedená společností OVH relevantní k rizikům spojeným s příslušným užíváním infrastruktury.

Závazky OVH jakožto poskytovatele

Je implementována formální metodika řízení rizik. Tato metodika podléhá každoroční revizi. Revize je prováděna i v případě zavedení výrazných změn. Tato metodika se týká také informací osobní povahy a citlivých dat (zdraví, platby atd.).

Metodika formalizuje prováděné analýzy: identifikace aktiv, kritických procesů, hrozeb a zranitelnosti.

Je založena na standardizované mezinárodní normě ISO 27005. Výstupem každé analýzy je plán řízení zjištěných rizik. Platnost plánu je nejdéle 12 měsíců. Tento plán podrobně dokumentuje analýzu a hierarchizuje činnosti, které se mají provádět. Všechna nápravná opatření jsou zanesena do plánů činnosti a podléhají formální dohledatelné kontrole a pravidelné revizi, při níž je přezkoumávána jejich účinnost.

Řízení změn

Doporučení pro klienta odpovědného za zpracování

Klient odpovídá za správnost svých kontaktních údajů sdělených společnosti OVH za účelem poskytnutí informací o změnách, které by mohly mít vliv na jeho řešení. V případě potřeby je klient povinen uvést konfiguraci svých služeb do shody s provedenými změnami.

Závazky OVH jakožto poskytovatele

Je implementován formální postup řízení změn:

  • úlohy a odpovědnosti jsou jasně stanoveny;
  • jsou upřesněna klasifikační kritéria pro identifikaci etap při zavádění změn;
  • jsou řízeny priority; je prováděna analýza rizik spojených se změnami (jestliže je zjištěno riziko, osoba odpovědná za bezpečnost a manažer rizik se spoluúčastní na schválení změny);
  • případně se provádí testování průniku (lze-li provést); změna se provádí a harmonizuje s klienty (lze-li provést);
  • zavádění změny je postupné (1/10/100/1000) a v případě rizika je počítáno s možností zpětného postupu;
  • provádí se retrospektivní kontrola různých aktiv dotčených změnou;
  • všechny etapy jsou zdokumentovány v řídícím nástroji pro sledování změn.
Politika vývoje systémů a aplikací

Závazky OVH jakožto poskytovatele

Jsou implementovány a zdokumentovány postupy pro použití vývojáři společnosti OVH. Tyto postupy obsahují principy bezpečného vývoje, opatření «privacy by design» a politiku revize kódu (detekce zranitelnosti, zpracování chyb, řízení přístupů a vstupů, zabezpečení ukládání a zabezpečení komunikací).

  • Pravidelně se provádí revize kódu:
  • schvalování nových funkcionalit před spuštěním, testování ve schvalovacím prostředí (lze-li provést) a postupné zavádění (1/10/100/1000);
  • oddělení úloh a odpovědnosti mezi vývojáři a osobami z produkce.
Monitoring služeb a infrastruktur

Závazky OVH jakožto poskytovatele

Na všechny služby OVH je implementována monitorovací infrastruktura:

  • detekce produkčních a bezpečnostních incidentů;
  • monitoring kritických funkcí se zpětnou vazbou do dohledového systému;
  • upozorňování odpovědné osoby a implementace adekvátních postupů;
  • zajištění kontinuity služby při plnění automatizovaných úkonů;
  • zajištění integrity monitorovaných zdrojů.
Řízení incidentů

Doporučení pro klienta odpovědného za zpracování

Klient odpovídá za správnost svých kontaktních údajů sdělených OVH za účelem poskytnutí informací v případě incidentu. Klient dále musí zavést postupy řízení incidentů s dopadem na svůj informační systém, včetně označení OVH za potenciální zdroj varování.

Závazky OVH jakožto poskytovatele

Je implementován proces řízení incidentů. Tento proces umožňuje varovat, detekovat a řešit tyto události v infrastruktuře řízení služby a ve službě samotné. Tento proces zahrnuje:

  • příručku pro určování událostí s dopadem na bezpečnost;
  • zpracování těchto událostí;
  • simulační cvičení pro krizový štáb;
  • testy z plánu reakcí na incidenty;
  • komunikaci s klientem v rámci krizového štábu.

Tyto postupy využívají procesu stálého zlepšování dohledu, vyhodnocování a globálního řízení incidentů a příslušných nápravných opatření.

Řízení zranitelnosti

Doporučení pro klienta odpovědného za zpracování

Klient odpovídá za správnost svých kontaktních údajů sdělených OVH za účelem poskytnutí informací v případě zjištění zranitelnosti v informačním systému klienta.

Závazky OVH jakožto poskytovatele

Technologický dohled v oblasti nových rizik zranitelnosti zajišťuje osoba odpovědná za bezpečnost a její týmy. Zranitelnost se identifikuje prostřednictvím:

 

  • veřejně dostupných stránek;
  • poplachů u autorů a vydavatelů použitých řešení;
  • incidentů a zjištění provedených našimi provozními týmy, týmy třetích stran nebo klientů;
  • pravidelně prováděného testování vnější a vnitřní zranitelnosti;
  • technických auditů a revizí kódu a konfigurace.

Jestliže je detekována zranitelnost, určený tým provede analýzu, která zjistí dopad na systémy a stanoví potenciální provozní scénáře.

V případě potřeby jsou zahájeny činnosti pro zmírnění dopadů a je stanoven plán nápravných opatření.

Každé přijaté opatření je zahrnuto do plánů činnosti a podléhá formální dohledatelné kontrole a pravidelné revizi, při níž je přezkoumávána jeho účinnost.

Řízení kontinuity činnosti

Doporučení pro klienta odpovědného za zpracování

Za kontinuitu činnosti informačního systému odpovídá klient. Klient se musí přesvědčit, zda standardní opatření zavedená OVH, předplacené opce a doplňkové funkce, které klient používá, umožňují dosáhnout vytyčených cílů.

Závazky OVH jakožto poskytovatele

Kontinuita činnosti infrastruktury (disponibilita zařízení, aplikací a provozních procesů) je zajištěna několika mechanismy:

  • nepřetržité chlazení kapalinou i vzduchem;
  • nepřetržitost dodávek elektrické energie (včetně záložních zdrojů);
  • řízení výkonnosti zařízení pod správou OVH;
  • technická podpora služby;
  • výkonová rezerva zařízení a serverů použitých pro správu systémů.

Nad to další mechanismy zajišťují obnovu v případě incidentu, jako například zálohování konfigurací síťových zařízení.

V závislosti na druhu služby může společnost OVH nabídnout (jakožto součást standardního balíčku nebo jako volitelné rozšíření) funkce pro zálohování a obnovu služby, které mohou být zákazníkem využity.

Přírodní a environmentální rizika

Závazky OVH jakožto poskytovatele

Za účelem předcházení přírodním a environmentálním rizikům jsou přijata následující opatření:

  • instalace bleskosvodů k redukci doprovodné elektromagnetické vlny;
  • umístění objektů OVH mimo záplavové oblasti a oblasti ohrožené zemětřesením;
  • nepřetržité elektrické napájení (UPS) s dostatečnou kapacitou a s bezpečnostními měniči s automatickým přepínáním;
  • automatické přepínání na generátory s vytrvalostí minimálně 24 hodin;
  • instalace systému kapalinového chlazení serverů (98 % hostingových hal nemá klimatizaci);
  • instalace topných, větracích a klimatizačních jednotek (HVAC), udržujících stálou teplotu a vlhkost;
  • zřízení systému na detekci požáru (v datacentrech jsou každých 6 měsíců prováděna protipožární cvičení).
Bezpečnostní opatření obecné povahy v objektech

Závazky OVH jakožto poskytovatele

Fyzický přístup do objektů OVH je založen na restriktivním zabezpečení perimetru, platným již od vstupu. Jednotlivé prostory jsou klasifikovány následovně:

  • privátní zóny;
  • kanceláře přístupné všem zaměstnancům a zaregistrovaným návštěvníkům;
  • důvěrné kanceláře vyhrazené jen pro vybraný personál;
  • zóny, kde jsou umístěna zařízení datacenter;
  • důvěrné zóny datacenter;
  • zóny v datacentrech s kritickými službami.
Bezpečnostní opatření obecné povahy v objektech

Závazky OVH jakožto poskytovatele

Jsou zavedena následující bezpečnostní opatření ke kontrole fyzického přístupu do objektů OVH:

  • politika přístupových práv;
  • stavebně oddělené zóny (stěnou nebo jiným ekvivalentem);
  • kamery umístěné ve vstupech a východech z objektů a v serverových místnostech;
  • zabezpečený přístup prostřednictvím přístupových karet;
  • laserové bariéry na parkovištích;
  • systém na detekci pohybu;
  • mechanismy proti vloupání u vstupů a východů z datacenter;
  • mechanismy na zjišťování nepovoleného vstupu (nepřetržitá ochranka a kamerový dohled);
  • centrum stálého dohledu kontrolujícího otvírání vstupních dveří.
Vstup do objektů OVH

Závazky OVH jakožto poskytovatele

Kontrola fyzických vstupů je založena na systému přístupových karet. Každá karta je propojena s účtem OVH, který náleží konkrétní fyzické osobě. Toto opatření umožňuje identifikovat všechny osoby v objektech OVH a umožňuje provést kontrolní mechanismus:

  • každá fyzická osoba vstupující do objektů OVH musí mít svou osobní přístupovou kartu umožňující její identifikaci;
  • identifikace každé fyzické osoby musí být provedena před vydáním přístupové karty;
  • v objektech OVH je osoba povinna nosit přístupovou kartu na viditelném místě;
  • na přístupové kartě nesmí být uvedeno jméno jejího držitele ani jméno společnosti;
  • přístupové karty musí umožnit okamžitou identifikaci kategorií přítomných fyzických osob (zaměstnanci, třetí strany, dočasný vstup, návštěvy);
  • přístupová karta je deaktivována v případě, že její držitel ztratí oprávnění ke vstupu do objektů OVH;
  • přístupová karta zaměstnanců OVH je aktivována na dobu trvání jejich pracovního poměru; u ostatních kategorií je deaktivována automaticky uplynutím stanovené doby;
  • karta, která nebyla používána déle než tři týdny, je automaticky deaktivována.
Řízení vstupu do zón

Závazky OVH jakožto poskytovatele

Vstup dveřmi pomocí přístupové karty

Jedná se o standardní kontrolu vstupu uvnitř objektů OVH:

  • dveře jsou napojeny na centrální systém řízení práv vstupu;
  • osoba musí použít přístupovou kartu ve čtečce, která dveře odemkne;
  • vstup bude povolen po načtení karty a ověření, zda osoba disponuje příslušným právem vstupu;
  • v případě poruchy centrálního systému řízení práv vstupu jsou údaje nakonfigurované v okamžiku incidentu platné po celou dobu trvání události;
  • zámky dveří jsou zabezpečeny pro případ elektrického výpadku a zůstávají v takové situaci uzamknuté.

Vstup dveřmi pomocí klíče

Některé zóny nebo objekty jsou uzavřeny pomocí klíče:

klíče se uchovávají na jediném centrálním místě pro každý objekt OVH s rozdělovníkem;
každý klíč je identifikovatelný pomocí etikety; je veden seznam klíčů;
každé použití klíče je dohledatelné prostřednictvím výdejního mechanismu nebo zápisu v papírové knize;
rozdělovník klíčů se ověřuje denně podle seznamu.

Přístup do datacenter skrze bezpečnostní komoru pro jednu osobu

Přístup do datacenter OVH je možný pouze skrze osobní SAS (přestupovou komorou pro jednu osobu):

SAS tvoří prostor ohraničený dvěma kontrolovanými dveřmi, aby bylo zajištěno, že vždy projde pouze jedna osoba;
jedny dveře mohou být otevřeny pouze pokud jsou druhé dveře uzavřené (mantrap);
SAS používá stejný systém přístupových karet jako ostatní dveře v objektech OVH, a jejich používání se řídí stejnými pravidly;
detekční mechanismus prověří, zda je v SAS přítomna vždy jen jedna osoba (anti-piggybacking);
systém je konfigurován tak, že umožní použít přístupovou kartu vždy jen jednou v jednom směru (anti-passback);
kamera umístěná v prostoru SAS umožňuje provádět dohled nad vstupy.

Přístup do SAS pro materiál

  • Doprava materiálu do datacenter OVH se provádí pouze skrze pro tento účel určené koridory:
  • chodba má shodnou konfiguraci jako osobní SAS, je prostornější, kontrola objemu a váhy se neprovádí a čtečky přístupových karet jsou jen z vnější strany.
  • Chodbou prochází pouze dodaný materiál, fyzické osoby musí procházet přes osobní SAS;
  • v chodbě je umístěna kamera bez mrtvého úhlu.
Řízení vstupů třetích osob

Doporučení pro klienta odpovědného za zpracování

OVH neprovádí zákroky u svých klientů. Za bezpečnost svých vlastních prostor nese plnou odpovědnost klient.

Závazky OVH jakožto poskytovatele

Pohyb návštěv a příležitostných dodavatelů je pod přísným dohledem. Tyto osoby jsou zaregistrovány při vstupu do objektu a jsou vybaveny přístupovou kartou návštěvníka či dodavatele:

  • každá návštěva musí být ohlášena;
  • za třetí osoby je vždy odpovědný příslušný pracovník OVH a návštěvy se po objektu OVH pohybují vždy jen v doprovodu příslušného pracovníka OVH;
  • totožnost se ověřuje před vstupem do objektu;
  • třetí osoba má svou přístupovou kartu přidělenou na jeden den a musí ji vrátit ještě než objekt OVH opustí;
  • v objektech OVH je osoba povinna nosit přístupovou kartu na viditelném místě;
  • přístupová karta je automaticky deaktivována při skončení návštěvy.
Výchova a školení personálu

Závazky OVH jakožto poskytovatele

Personál OVH je vychováván k citlivému vnímání bezpečnostní problematiky a k dodržování pravidel při zpracování dat osobní povahy:

  • školení o těchto tématech jsou každoročně prováděna u příslušných týmů;
  • školení o provádění auditů jsou každoročně prováděna u příslušných týmů;
  • školení o technických službách jsou každoročně prováděna u příslušných týmů;
  • při integraci nových zaměstnanců je kladen důraz na problematiku bezpečnosti informačních systémů (IS);
  • sdělení týkající se bezpečnosti jsou pravidelně adresována celému personálu;
  • organizuje se testování ke zjištění, zda mají zaměstnanci OVH adekvátní reakce na hrozící nebezpečí.
Řízení přístupových práv do informačního systému OVH

Závazky OVH jakožto poskytovatele

Pro zaměstnance OVH je zavedena striktní politika řízení přístupových práv do informačního systému:

  • oprávnění jsou přidělována a sledována manažery podle pravidla nejmenšího privilegia a podle principu postupného získávání důvěry;
  • v rámci možného jsou všechna oprávnění založena na úlohách a nikoli na jednotných právech;
  • řízení přístupových práv a oprávnění přidělených jednomu uživateli nebo jednomu systému je založeno na proceduře registrace, modifikace a odhlášení, zahrnující manažery, interní IT a lidské zdroje;
  • všichni zaměstnanci OVH používají jmenovité uživatelské účty;
  • přihlašovací relace mají vždy dobu expirace přizpůsobenou jednotlivým aplikacím;
  • totožnost uživatelů se ověřuje před každou změnou ověřovacích prostředků;
  • v případě zapomenutého hesla uživatele k jeho účtu jsou pouze manažer pracovníka a osoba zodpovědná za bezpečnost oprávněni jej opět inicializovat;
  • uživatelské účty se automaticky deaktivují, jestliže heslo není po 90 dnech obnoveno;
  • používání implicitních, generických a anonymních uživatelských účtů je zakázáno;
  • je zavedena striktní politika v oblasti hesel;
  • využitím automatického generátoru si uživatel nevolí heslo sám;
  • minimální délka hesla je 10 alfanumerických znaků;
  • heslo se obnovuje každé 3 měsíce;
  • ukládání hesel do nešifrovaných souborů, na papír či do webových prohlížečů je zakázáno;
  • používání softwaru pro správu hesel schváleného bezpečnostními týmy je povinné;
  • všechny vzdálené přístupy do informačního systému (IS) OVH se provádějí přes VPN a vyžadují heslo známé pouze uživateli s tajnou sdílenou částí nakonfigurovanou na pracovní stanici.
Řízení přístupů k administraci produkčních platforem

Závazky OVH jakožto poskytovatele

Je zavedena politika řízení přístupů k administraci produkčních platforem:

  • všechny přístupy k administraci produkovaného systému se provádí přes speciálně upravený hostitelský server (bastion host);
  • administrátoři se připojují k bastionům skrze SSH za použití dvojic veřejných a soukromých klíčů, které jsou nepřenosné a jmenovité;
  • připojení k cílovému systému se provádí prostřednictvím sdílené služby nebo prostřednictvím jmenovitého uživatelského účtu přes bastiony; používání implicitních účtů v systémech a zařízeních je zakázáno;
  • ověřování s dvojím faktorem a s plnou dohledatelností je povinné pro vzdálený přístup a pro přístup zaměstnanců OVH v citlivých obvodech;
  • administrátoři mají kromě svého uživatelského účtu jeden účet určený výhradně pro úkoly správy;
  • oprávnění přidělují a sledují manažeři podle pravidla nejmenšího privilegia a podle principu postupného získávání důvěry;
  • SSH klíče jsou chráněny heslem odpovídajícím požadavkům politiky řízení hesel; provádí se pravidelná kontrola práv a přístupů ve spolupráci s příslušnými útvary.
Kontrola přístupů do Zákaznického prostoru OVH

Doporučení pro klienta odpovědného za zpracování

Klient je odpovědný za správu a bezpečnost autentizačních prostředků. Pro dosažení maximální ochrany přístupu k uživatelskému účtu má klient možnost: aktivovat dvojitou autentizaci v Zákaznickém prostoru OVH; zakázat připojení ze seznamu nahlášených IP adres.

Závazky OVH jakožto poskytovatele

Administrace služeb OVH ze strany klienta se provádí prostřednictvím Zákaznického prostoru OVH nebo pomocí API. Výchozí přístup je realizován prostřednictvím uživatelského jména (NIC-handle) a hesla:

  • heslo je voleno klientem a musí splňovat kritéria složitosti daná rozhraním;
  • na serverech OVH se ukládají pouze komprimáty hesel;
  • OVH nabízí možnost aktivace dvojité autentizace přístupu do Zákaznického prostoru OVH pomocí systému jednorázových hesel (OTP) zasílaných pomocí SMS, používání mobilní aplikace nebo používání U2F kompatibilního klíče.
  • Klient může zakázat přístupy do svého zákaznického prostoru předem stanoveným IP adresám;
  • přístupové tokeny k API se mohou používat po dobu jejich platnosti, aniž by znovu procházely specifickou kontrolou;
  • ke všem činnostem klientů v zákaznickém prostoru nebo v API se vedou denní záznamy;
  • klient je oprávněn oddělit technické a administrativní úkoly spojené se správou služeb.
Zabezpečení pracovních stanic a mobilních zařízení

Doporučení pro klienta odpovědného za zpracování

Klient je povinen se přesvědčit, zda zabezpečení pracovních stanic a mobilních zařízení umožňuje správu služby a systémů.

Závazky OVH jakožto poskytovatele

Zabezpečení standardních pracovních stanic

Jsou zavedena opatření k zajištění bezpečnosti standardních pracovních stanic personálu OVH:

 

  • automatické řízení aktualizací;
  • instalace a aktualizace antivirových programů s pravidelným skenováním; instalace aplikací, které jsou uvedeny ve schváleném katalogu;
  • systematické šifrování pevných disků;
  • zaměstnanci OVH nemají na svých pracovních stanicích administrátorská práva;
  • pracovní postup pro potenciálně napadenou stanici;
  • standardizace zařízení;
  • postup, který zakazuje relace a reinstalace pracovních stanic po odchodu příslušných zaměstnanců OVH.

Zabezpečení mobilních zařízení

Jsou zavedena opatření k zajištění bezpečnosti osobních mobilních zařízení nebo mobilních zařízení dodaných OVH:

  • povinná registrace zařízení do systému centrálního řízení před přístupem k interním zdrojům (Wi-Fi, e-maily, kalendáře, seznamy, atd.);
  • ověření bezpečnostní politiky na zařízení (odemykací kód, zpoždění uzamčení, šifrování úložiště);
  • postup pro dálkové smazání zařízení v případě krádeže či ztráty.
Zabezpečení sítě

Doporučení pro klienta odpovědného za zpracování

Za šifrování obsahu, který je odesílán v rámci sítě OVH, nese plnou odpovědnost klient.

Závazky OVH jakožto poskytovatele

OVH spravuje vysoce výkonnou privátní optickou síť, propojenou s četnými operátory a prostředníky. OVH spravuje svou páteřní síť interně; to umožňuje distribuci konektivity s lokálními sítěmi v jednotlivých datacentrech a navzájem je propojuje.

Všechna tato zařízení jsou zabezpečena následovně:

  • je veden inventář v databázi správy konfigurací;
  • jsou zavedeny postupy zvyšování odolnosti sítě za použití příruček popisujících parametry, které se mají upravit k zajištění bezpečné konfigurace;
  • jsou omezeny přístupy k funkcím správy zařízení prostřednictvím kontrolních seznamů;
  • všechna zařízení jsou spravována z bastionu za použití principu nejmenšího privilegia;
  • všechny konfigurace síťových zařízení jsou zálohovány;
  • protokoly jsou shromažďovány, centralizovány a průběžně sledovány týmem odpovědným za provoz sítí;
  • nasazování konfigurací je automatizováno a založeno na schválených šablonách.
Řízení kontinuity činnosti

Závazky OVH jakožto poskytovatele

Je zavedena politika zálohování serverů a zařízení používaných OVH k poskytování služeb:

  • všechny systémy a data potřebná k zajištění kontinuity služeb, k rekonstrukci informačního systému nebo k analýze po incidentu jsou zálohována (technické a administrativní databázové soubory, protokoly o činnosti, zdrojové kódy interně vyvinutých aplikací, konfigurace serverů, aplikaci a zařízení, atd.);
  • četnost, doba uchovávání a způsob ukládání záloh jsou stanoveny v souladu s potřebami jednotlivých zálohovaných aktiv; provádění záloh a správa poplachů a chyb jsou monitorovány.
Vytváření a správa záznamů

Doporučení pro klienta odpovědného za zpracování

Klient nese plnou odpovědnost za politiku vytváření záznamů v rámci svých systémů a aplikací.

Závazky OVH jakožto poskytovatele

Je zavedena politika vytváření záznamů na serverech a zařízeních používaných společností OVH k zajišťování služeb:

  • zálohování a centralizované uchovávání záznamů;
  • nahlížení do záznamů a jejich analýza omezeným počtem oprávněných osob v souladu s politikou řízení přístupových práv a vstupů;
  • rozdělení úkolů mezi týmy odpovědné za provoz monitorovací infrastruktury a provoz služeb. Seznam činností, ke kterým se záznamy vytvářejí, zahrnuje:
  • záznamy ze serverů pro ukládání dat, které obsahují údaje o zákaznících;
  • záznamy ze strojů spravujících infrastrukturu klienta;
  • záznamy ze strojů pro monitoring infrastruktury;
  • záznamy z antivirových programů instalovaných na všech strojích;
  • v případě potřeby kontrola integrity záznamů se systémy;
  • zásahy a události prováděné klientem v klientově infrastruktuře;
  • v případě potřeby protokoly a poplachy detekující průnik do sítě;
  • záznamy síťových zařízení;
  • záznamy z infrastruktury bezpečnostních kamer;
  • záznamy ze strojů administrátorů;
  • záznamy z dočasných serverů;
  • záznamy ze čteček přístupových karet;
  • záznamy z bastionů.