OVH ir asmens duomenų apsauga

Svarbu atskirti kliento talpinamų duomenų saugumą ir infrastruktūrų, kuriose šie duomenys talpinami, saugumą.

Thumbnail

Kliento talpinamų duomenų saugumas: tik klientas atsako už savo resursų ir programų, diegiamų naudojantis paslaugomis, saugumo užtikrinimą. OVH teikia įrankius, kad padėtų klientams apsaugoti duomenis.

Thumbnail

Infrastruktūrų saugumas: OVH įsipareigoja užtikrinti optimalų infrastruktūrų saugumą. OVH įgyvendino informacinių sistemų saugumo taisykles ir laikosi pripažintų saugumo standartų, tokių kaip PCI-DSS sertifikavimas, ISO/IEC 27001 sertifikavimas, SOC 1 TYPE II ir SOC 2 TYPE II atestavimas ir t.t. OVH taip pat turi sveikatos duomenų talpinimo (HDS) atestatą savo Healthcare pasiūlymui.

Informacija apie šiuos sertifikatus bei jų taikymo perimetrą prieinama specialiame OVH puslapyje.

OVH infrastruktūrų saugumas

OVH imasi atsargumo priemonių siekdama užtikrinti tvarkomų asmens duomenų saugumą bei konfidencialumą, įskaitant apsaugą nuo keitimo, sugadinimo ar neautorizuotos trečiųjų asmenų prieigos.

OVH įsipareigoja įgyvendinti šias priemones:

Saugumo valdymo sistema

OVH kaip talpinimo paslaugų teikėjo įsipareigojimai

OVH įgyvendino informacinių sistemų saugumo nuostatus (ISSP), kuriuose aprašomos visos asmens duomenų apsaugos priemonės. OVH ISSP nuostatai atnaujinami mažiausiai kasmet ar svarbių pokyčių atveju, jei šie pokyčiai turi įtakos nuostatų turiniui. Mūsų sistemų saugumas valdomas formaliose saugumo ir informacijos valdymo sistemose.

Įvairūs vaidmenys koordinuoja mūsų veiksmus, susijusius su perimetro saugumu:

  • Asmuo, atsakingas už informacinių sistemų saugumą;
  • Saugumo specialistas, atsakingas už procesus ir projektus, susijusius su perimetro saugumu;
  • Duomenų apsaugos pareigūnas (DPO), užtikrinantis asmens duomenų apsaugą;
  • Rizikos valdymo specialistas, koordinuojantis saugumo rizikos valdymą ir atitinkamus veiksmų planus;
  • Asmuo, atsakingas už saugumo priemones, įgyvendinantis ir taikantis priemones, susijusias su identifikuota rizika.
Atitiktis ir sertifikatai

OVH kaip talpinimo paslaugų teikėjo įsipareigojimai

Siekiant užtikrinti atitikties priežiūrą ir įvertinti mūsų sistemų našumą, OVH reguliariai atliekami saugumo auditai. Galimi penki audito tipai:

  • Išorinis auditas (sertifikavimas, atestacijos, klientai);
  • Vidaus auditas, vykdomas vidaus ar išorės auditorių;
  • Techninis auditas (įsilaužimo testai, pažeidžiamumo skenavimas, kodo peržiūra), vykdomas vidaus ar išorės auditorių;
  • Trečiųjų asmenų veiklos auditas, vykdomas asmens, atsakingo už trečiųjų asmenų valdymą;
  • Duomenų centro auditas, vykdomas vidaus auditorių. Auditų pobūdis ir dažnumas priklauso nuo sprendimų ir perimetro. Identifikavus situaciją, neatitinkančią reikalavimų, jai taikomi korekcijos veiksmai laikantis veiksmų plano. Visoms šioms priemonėms taikomas formalus ir atsekamas stebėjimas, taip pat reguliari priemonių veiksmingumo peržiūra.
Kliento auditas

Rekomendacijos klientui kaip duomenų valdytojui

Klientas gali atlikti techninį auditą (įsilaužimo testus) serveriuose, priskirtuose kliento paskyrai, taip pat paslaugos valdymo skyduose. Audito atlikimo sąlygos numatytos sutartyje arba įgyvendinamos ad hoc pagrindu gavus užklausą.

OVH kaip talpinimo paslaugų teikėjo įsipareigojimai

Audito atlikimo sąlygos numatytos sutartyje arba įgyvendinamos ad hoc pagrindu gavus užklausą.

Rizikos valdymas

Rekomendacijos klientui kaip duomenų valdytojui

Klientas turi įsitikinti, kad OVH įdiegtos saugumo priemonės yra tinkamos kalbant apie riziką, susijusią su kliento veiksmais naudojant infrastruktūrą.

OVH kaip talpinimo paslaugų teikėjo įsipareigojimai

Įgyvendinama formali rizikos valdymo metodologija. Ji peržiūrima mažiausiai kasmet ar svarbių pokyčių atveju. Ši metodologija taip pat susijusi su asmens duomenimis ir neskelbtinais duomenimis (sveikata, mokėjimai ir t.t.).

Naudojama metodologija formalizuoja atliktą analizę identifikuojant aktyvus, kritinius veiklos procesus, grėsmes ir pažeidžiamumą.

Metodologija paremta ISO 27005 standartais. Po kiekvienos analizės pradedamas įgyvendinti identifikuotos rizikos valdymo planas, numatant maksimalų 12 mėnesių įgyvendinimo terminą. Plane išsamiai dokumentuojama analizė ir vykdytinų veiksmų hierarchija. Kiekviena korekcijos priemonė pridedama prie veiksmų plano, jai taikomas formalus ir atsekamas stebėjimas, taip pat reguliari priemonės veiksmingumo priežiūra.

Pokyčių valdymas

Rekomendacijos klientui kaip duomenų valdytojui

Klientas turi įsitikinti savo kontaktinių duomenų teisingumu, kad OVH galėtų jį informuoti apie pokyčius, kurie gali turėti įtakos jo sprendimams. Priešingu atveju, klientas turėtų atlikti būtiną paslaugų konfigūravimą, kad galėtų atsižvelgti į patobulinimus.

OVH kaip talpinimo paslaugų teikėjo įsipareigojimai

Įgyvendinama formali pokyčių valdymo procedūra:

  • Aiškiai apibrėžiami vaidmenys ir atsakomybė;
  • Tikslinami klasifikavimo kriterijai siekiat identifikuoti pokyčių valdymo žingsnius;
  • Valdomos pirmenybės; analizuojama rizika, susijusi su pokyčiais (identifikavus riziką, asmuo, atsakingas už saugumą, ir rizikos valdymo specialistas tvirtina pokyčius);
  • Atliekami įsilaužimo testai (jei taikoma); pokyčiai suplanuojami ir programuojami su klientais (jei taikoma);
  • Įgyvedinama palaipsniui (1/10/100/1000) ir, rizikos atveju, numatyta grįžimo atgal procedūra;
  • Peržiūrimi aktyvai, susiję su pokyčiais;
  • Visi žingsniai dokumentuojami pokyčių valdymo įrankyje.
Sistemų ir programėlių plėtojimas

OVH kaip talpinimo paslaugų teikėjo įsipareigojimai

OVH plėtotojų naudojimui skirti procesai įgyvendinami ir dokumentuojami. Juose aprašomi saugaus plėtojimo principai, „privacy by design“ priemonės, taip pat kodo peržiūros taisyklės (pažeidžiamumo aptikimas, klaidų valdymas, prieigos ir patekimo valdymas, saugyklų ir komunikacijos apsauga).

  • Kodas peržiūrimas reguliariai;
  • Naujos funkcijos tvirtinamos prieš paleidimą, testuojant tvirtinimo aplinkoje (jei taikoma) ir progresinio įgyvendinimo aplinkoje (1/10/100/1000);
  • Atskiriami plėtotojų ir asmenų, atsakingų už įgyvendinimą, vaidmenys ir atsakomybė.
Paslaugų ir infrastruktūrų stebėjimas

OVH kaip talpinimo paslaugų teikėjo įsipareigojimai

Visose OVH paslaugose įgyvendinamas infrastruktūros stebėjimas. Tikslai:

  • Aptikti gamybos ir saugumo incidentus;
  • Stebėti kritines funkcijas naudojant įspėjimus stebėjimo sistemai;
  • Įspėti atsakingus asmenis ir imtis adekvačių procedūrų;
  • Užtikrinti paslaugos tęstinumą įgyvendinant automatines užduotis;
  • Užtikrinti stebimų resursų vientisumą.
Incidentų valdymas

Rekomendacijos klientui kaip duomenų valdytojui

Klientas turi įsitikinti savo kontaktinių duomenų teisingumu, kad OVH galėtų jį informuoti apie įvykį (incidentą). Klientas taip pat turi įdiegti įvykių, kurie gali paveikti jo informacinę sistemą, valdymo procesus, įtraukiant OVH kaip galimą įspėjimo šaltinį.

OVH kaip talpinimo paslaugų teikėjo įsipareigojimai

Įgyvendinamas incidentų valdymo procesas, leidžiantis numatyti, aptikti ir išspręsti šiuos įvykius paslaugos valdymo infrastruktūroje ir pačioje paslaugoje. Šį procesą sudaro:

  • Saugumo įvykių kvalifikavimo gidas;
  • Saugumo įvykių valdymas;
  • Simuliacinės pratybos krizės elementui;
  • Atsako į įvykius plano testai;
  • Komunikacija su klientu aptikus krizės požymius.

Šioms procedūroms taikomas nuolatinio tobulinimo procesas, skirtas stebėjimui, vertinimui, taip pat globaliam įvykių ir susijusių korekcinių veiksmų valdymui.

Pažeidžiamumo valdymas

Rekomendacijos klientui kaip duomenų valdytojui

Klientas turi įsitikinti savo kontaktinių duomenų teisingumu, kad OVH galėtų jį informuoti apie pažeidžiamumą, aptiktą jo informacinėje sistemoje.

OVH kaip talpinimo paslaugų teikėjo įsipareigojimai

Už saugumą atsakingas asmuo ir jo komandos užtikrina technologinį naujų pažeidžiamumų stebėjimą. Pažeidžiamumo identifikavimo kanalai:

 

  • Viešosios duomenų svetainės;
  • Įdiegtų sprendimų kūrėjų ir autorių įspėjimai;
  • Incidentai ir pastabos, kuriuos perduoda mūsų eksploatavimo komandos, tretieji asmenys ar klientai;
  • Pažeidžiamumas reguliariai skenuojamas tiek viduje, tiek išorėje;
  • Techninis auditas, taip pat kodo ir konfigūracijos peržiūros.

Aptikus pažeidžiamumą, dedikuotos komanduos atlieka analizę siekiant nustatyti poveikį sistemoms ir galimus eksploatacijos scenarijus.

Nedelsiant įgyvendinami sprendimo veiksmai, jei būtina, ir apibrėžiamas korekcinių veiksmų planas.

Kiekviena priimta priemonė įtraukama į veiksmų planą, jai taikomas formalus ir atsekamas stebėjimas, taip pat reguliari veiksmingumo peržiūra.

Veiklos tęstinumo valdymas

Rekomendacijos klientui kaip duomenų valdytojui

Informacinės sistemos tęstinumas priklauso kliento atsakomynei. Klientas turi įsitikinti, kad OVH įdiegtos priemonės, įskaitant kliento papildomai užsakytas parinktis ir priemones, leidžia klientui siekti užsibrėžtų tikslų.

OVH kaip talpinimo paslaugų teikėjo įsipareigojimai

Infrastruktūrų veiklos tęstinumas (eksploatacinės įrangos, programėlės ir procesų prieinamumas) užtikrinamas naudojant įvairias priemones:

  • Aušinimo skysčiu ir oru sistemos tęstinumas;
  • Elektros tiekimo tęstinumas ir dubliavimas;
  • OVH valdomos įrangos pajėgumo valdymas;
  • Paslaugos techninis aptarnavimas;
  • Įrangos ir serverių, naudojamų sistemų administravimui, dubliavimas.

Be to, incidento atveju, tęstinumą užtikrina papildomi mechanizmai, pvz., tinklo įrangos konfigūracijų atsarginės kopijos.

Priklausomai nuo paslaugos OVH gali pasiūlyti klientui atsarginio kopijavimo ir atkūrimo parinktis, įskaičiuotas į standartinį paketą ar papildomai.

Gamtos ir aplinkos rizikos

OVH kaip talpinimo paslaugų teikėjo įsipareigojimai

Įgyvendintos gamtos ir aplinkos rizikų prevencinės priemonės:

  • Įdiegti žaibolaidžiai, siekiant sumažinti elektromagnetinę bangą;
  • OVH patalpos įrengiamos zonose be užtvindymo ir seisminės rizikos;
  • Naudojami pakankamo pajėgumo maitinimo įrenginiai be pertrūkių (UPS) ir atsarginiai transformatoriai su automatiniu apkrovos perjungimu;
  • Automatinis perjungimas generatoriams su minimaliu 24 val. autonominiu veikimu;
  • Serverių aušinimo skysčiu sistemos įdiegimas (98 % talpinimo salių nenaudojamas oro kondicionavimas);
  • Šildymo, vėdinimo ir kondicionavimo vienetų (HVAC), palaikančių pastovaus lygio temperatūrą ir drėgmę, įdiegimas;
  • Incidentų aptikimo sistemos valdymas (duomenų centruose kas pusmetį organizuojamos priešgaisrinės pratybos).
Bendrosios fizinių patalpų saugumo priemonės

OVH kaip talpinimo paslaugų teikėjo įsipareigojimai

Fizinė prieiga prie OVH patalpų paremta riboto naudojimo perimetro saugumu, pradedančiu veikti iš karto įėjimo zonoje. Visos patalpos klasifikuojamos:

  • Privačios judėjimo zonos;
  • Biurai, prieinami visiems darbuotojams ir užsiregistravusiems lankytojams;
  • Konfidencialūs biurai, skirti tik kai kuriems darbuotojams;
  • Zonos, kuriose talpinama duomenų centrų įranga;
  • Konfidencialios duomenų centrų zonos;
  • Duomenų centrų zonos, kuriose talpinamos ypatingos svarbos paslaugos.
Bendrosios fizinių patalpų saugumo priemonės

OVH kaip talpinimo paslaugų teikėjo įsipareigojimai

Įgyvendintos saugumo priemonės siekiant kontroliuoti prieigą prie fizinių OVH patalpų:

  • Prieigos teisių suteikimo taisyklės;
  • Sienos (ar lygiavertės priemonės), skiriančios kiekvieną zoną;
  • Kameros, esančios prie įėjimo į patalpas ir išėjimo zonose, taip pat serverių talpinimo salėse;
  • Saugi prieiga, kontroliuojama kortelių skaitytuvu;
  • Lazeriniai barjerai parkavimo vietose;
  • Judesio aptikimo sistema;
  • Apsaugos nuo vagystės mechanizmai duomenų centrų įėjimuose ir išėjimuose;
  • Įsilaužimo aptikimo mechanizmai (fizinis budėjimas 24 val. per parą ir vaizdo stebėjimas);
  • Nuolatinio stebėjimo centras, kontroliuojantis įėjimo ir išėjimo durų atidarymą.
Prieiga prie OVH patalpų

OVH kaip talpinimo paslaugų teikėjo įsipareigojimai

Fizinės prieigos kotrolė paremta kortelių sistema. Kiekviena kortelė priskiriama OVH paskyrai, susietai su asmeniu. Šios priemonės leidžia identifikuoti bet kokį asmenį patalpose ir autentifikuoti kontrolės mechanizmus:

  • Kiekvienas asmuo, įeinantis į OVH patalpas, turi turėti vardinę kortelę, susietą su šio asmens tapatybe;
  • Kiekviena tapatybė turi būti patikrinta prieš kortelės suteikimą;
  • Kortelės turi būti matomos jas nešiojant patalpose;
  • Kortelėse neturi būti savininko vardo ar įmonės pavadinimo;
  • Kortelės turi leisti nedelsiant identifikuoti patalpose esančių asmenų kategorijas (darbuotojai, tretieji asmenys, laikina prieiga, lankytojai);
  • Kortelė išjungiama iš karto, kai jos savininkas netenka leidimo patekti į patalpas;
  • OVH darbuotojų kortelė aktyvuojama darbo sutarties trukmei; kitiems asmenims, kortelė išjungiama automatiškai po nustatyto laikotarpio;
  • Kortelė, nenaudojama tris savaites, automatiškai išjungiama.
Prieigų prie zonų valdymas

OVH kaip talpinimo paslaugų teikėjo įsipareigojimai

Prieiga prie durų naudojant korteles

Tai įprasta prieigos kontrolė OVH patalpose:

  • Durys sujungtos su centralizuota prieigos teisių valdymo sistema;
  • Asmuo turi naudoti savo kortelę specialiame skaitytuve, kad atidarytų duris;
  • Prieiga tikrinama nuskaitymo metu, siekiant įsitikinti, kad asmenys turi tinkamas prieigos teises;
  • Įvykus centralizuotos prieigos teisių valdymo sistemos gedimui, įvykio metu sukonfigūruotos teisės galioja visą įvykio trukmę;
  • Durų spynos apsaugomos nuo elektros gedimų ir lieka uždaros įvykus elektros gedimui.

Prieiga prie durų naudojant raktus

Kai kurios zonos ar įranga yra uždaromos naudojant rakto spynas:

raktai saugomi centralizuotoje ir ribotos prieigos vietoje, su aprašu;
kiekvienas raktas identifikuotamas naudojant etiketę; • palaikomas raktų inventorius;
bet koks rakto naudojimas yra atsekamas naudojant suteikimo mechanizmą ar popierinės versijos įrašus;
raktų aprašas tikrinamas kasdien priklausomai nuo inventoriaus.

Prieiga prie duomenų centrų naudojant unikalų užraktą

Prieiga prie OVH duomenų centrų galima tik naudojant unikalius užraktus:

kiekvienas užraktas skirtas dvejoms durims ir zonai, apibrėžtai kontrolės metu, siekiant užtikrinti vieno asmens patekimą iš karto;
durys gali būti atidarytos, tik jei kitos yra uždarytos (mantrap);
užraktai naudoja tą pačią kortelių sistemą kaip ir kitos durys, taikant tas pačias taisykles;
naudojant aptikimo mechanizmus patikrinama, kad tik vienas asmuo naudoja užraktą (anti-piggybacking);
sistema konfigūruojama siekiant neleisti kortelės naudojimo daugiau nei kartą tam pačiam tikslui (anti-passback);
kamera, esanti aplink užraktą, leidžia stebėti įėjimus.

Prieiga prie prekių užraktų

  • Prekės patenka į duomenų centrus tik naudojant skirtus kanalus:
  • Prekių suteikimo vestibiulis sukonfigūruotas panašiai kaip unikalus užraktas, tik didesnėje erdvėje, be apimties ir svorio kontrolės, taip pat su kortelių skaitytuvais tik išorėje;
  • Tik suteiktas vienetas patenka per vestibiulį, asmenys turi įeiti naudojant unikalius užraktus;
  • Vestibiulyje įrengta kamera, be aklosios zonos.
Trečiųjų asmenų fizinės prieigos valdymas

Rekomendacijos klientui kaip duomenų valdytojui

OVH niekada nedalyvauja kliento veikloje. Klientai atsakingi už savo patalpų saugumą.

OVH kaip talpinimo paslaugų teikėjo įsipareigojimai

Atstitiktinių lankytojų ir paslaugų teikėjų judėjimas griežtai reglamentuojamas. Šie asmenys registruojami atvykimo į patalpas metu ir gauna lankytojo ar paslaugų teikėjo kortelę:

  • Kiekvienas vizitas turi būti deklaruotas iš anksto;
  • Tretieji asmenys turi būti nuolat lydimi darbuotojo, prisiimančio už juos atsakomybę;
  • Visos tapatybės patikrinamos prieš patekimą į patalpas;
  • Kiekvienas asmuo turi vardinę kortelę, suteikiamą visai dienai, ir privalo ją grąžinti palikdamas patalpas;
  • Visos kortelės turi būti matomos jas nešiojant patalpose;
  • Kortelės išjungiamos automatiškai vizito pabaigoje.
Personalo įtraukimas ir mokymai

OVH kaip talpinimo paslaugų teikėjo įsipareigojimai

OVH darbuotojai informuojami apie saugumą, taip pat apie asmens duomenų tvarkymo atitikties taisykles:

  • Susijusioms komandoms kasmet organizuojami mokymai;
  • Susijusioms komandoms kasmet organizuojami mokymai apie audito atlikimą;
  • Susijusioms komandoms kasmet organizuojami mokymai apie technines paslaugas;
  • Nauji darbuotojai informuojami apie informacinės sistemos saugumą;
  • Informacija, susijusi su saugumu, reguliariai komunikuojama visiems darbuotojams;
  • Organizuojamos testavimo kampanijos siekiant įsitikinti, kad darbuotojai turi tinkamus refleksus pavojaus atveju.
Loginės prieigos prie OVH informacinės sistemos valdymas

OVH kaip talpinimo paslaugų teikėjo įsipareigojimai

Įgyvendintos griežtos loginės prieigos valdymo taisyklės darbuotojams:

  • Leidimus priskiria ir kontroliuoja vadovai, atsižvelgdami į mažiausios privilegijos ir pasitikėjimo įgijimo palaipsniui principą;
  • Jei tai įmanoma, visi leidimai paremti vaidmenimis, bet ne pavienėmis teisėmis;
  • Prieigos teisių ir naudotojui ar sistemai suteiktų leidimų valdymas paremtas registracijos, keitimų ir išsiregistravimo procedūra, taikoma vadovams, vidaus informacinei sistemai ir žmogiškiesiems ištekliams;
  • Visi darbuotojai naudoja vardines naudotojo paskyras;
  • Prisijungimo sesijų galiojimo trukmė sistemingai pritaikyta kiekvienam naudojimui;
  • Naudotojų tapatybė tikrinama prieš atliekant bet kokius keitimus autentifikavimo priemonėse;
  • Pamiršus slaptažodį, tik darbuotojo vadovas ar asmuo, atsakingas už saugumą, gali jį sugeneruoti iš naujo;
  • Naudotojo paskyros automatiškai išjungiamos, jei slaptažodis nebuvo atnaujintas po 90 dienų;
  • Draudžiama naudoti numatytąsias, bendrąsias ar anonomines paskyras;
  • Įgyvendintos griežtos slaptažodžių valdymo taisyklės;
  • Naudojant automatinį generatorių, naudotojas nesirenka savo slaptažodžio;
  • Minimalus slaptažodžio ilgis yra 10 skaitinių bei raidinių simbolių;
  • Slaptažodžiai atnaujinami kas 3 mėnesius;
  • Draudžiama saugoti slaptažodžius neužšifruotuose failuose, popieriuje ar naršyklėse;
  • Privaloma naudoti vietinę slaptažodžių programą, patvirtintą saugumo komandų;
  • Bet kokia nuotolinė prieiga prie OVH informacinės sistemos atliekama naudojant VPN, jungiantis tik su naudotojui žinomu slaptažodžiu ir bendru konfidencialiu nustatymu, sukonfigūruotu darbo vietoje.
Administratorių prieigų prie gamybos platformų valdymas

OVH kaip talpinimo paslaugų teikėjo įsipareigojimai

Įdiegtos platformų administravimo prieigų valdymo taisyklės:

  • Bet kokia administratorių prieiga prie gamybos sistemos įgyvendinama saugioje vietoje, skirtoje administratoriams;
  • Administratoriai jungiasi prie saugių vietų (tvirtovių) per SSH, naudojant viešųjų ir privačių individualių ir vardinių raktų poras;
  • Prie paskirties sistemos jungiamasi naudojantis arba bendrai naudojamos paslaugos paskyra, arba vardine paskyra, saugiose vietose; • draudžiama naudoti numatytąsias paskyras sistemose ir įrenginiuose;
  • Dvigubas autentifikavimas yra privalomas administartoriaus prieigai per nuotolį, taip pat darbuotojų prieigai apibrėžtuose perimetruose, taikant visišką atsekamumą;
  • Administratoriai turi dedikuotą paskyrą, skirtą tik administravimo užduotims ir papildančią jų naudotojo paskyrą;
  • Leidimus suteikia ir kontroliuoja vadovai, taikant mažiausios privilegijos ir pasitikėjimo įgijimo palaipsniui principą;
  • SSH raktai apsaugoti slaptažodžiu, atitinkančiu slaptažodžių taisyklių reikalavimus; • teisės ir prieigos reguliariai peržiūrimos bendradarbiaujant su atitinkamomis tarnybomis.
Prieigos prie kliento valdymo sąsajos kontrolė

Rekomendacijos klientui kaip duomenų valdytojui

Klientas yra atsakingas už savo autentifikavimo priemonių valdymą ir saugumą. Siekiant geriau apsaugoti prieigą prie paskyros, klientas gali: • įjungti dvigubą autentifikavimą OVH kliento valdymo sąsajoje; • apriboti prieigą apibrėžtam IP adresų sąrašui.

OVH kaip talpinimo paslaugų teikėjo įsipareigojimai

Klientas valdo OVH paslaugas naudodamasis kliento valdymo sąsaja arba API sąsaja. Numatytoji prieiga suteikiama naudojant vardinę paskyrą (NIC handle) ir slaptažodį:

  • Klientas pats renkasi slaptažodį ir turi laikytis sąsajoje nustatytų sudėtingumo reikalavimų;
  • OVH serveriuose saugomi tik užšifruoti slaptažodžiai;
  • OVH suteikia galimybę įjungti dvigubą autentifikaciją kliento valdymo sąsajoje, vienkartinio naudojimo slaptažodžių (OTP), siunčiamų SMS žinutėmis, sistemoje, naudojantis mobiliąja programėle ar suderinamu U2F raktu.
  • Klientas gali apriboti prieigą prie savo kliento valdymo sąsajos iš anksto apibrėžtiems IP adresams;
  • Prieigos prie API raktai naudojami visą jų galiojimo trukmę, netaikant specialios kontrolės;
  • Bet kokia kliento veikla valdymo sąsajoje ir API sąsajoje yra fiksuojama sisteminiuose įrašuose;
  • Klientas gali atskirti technines užduotis nuo administracinių užduočių, susijusių su paslaugų valdymu.
Darbo vietų ir mobiliųjų įrenginių saugumas

Rekomendacijos klientui kaip duomenų valdytojui

Klientas turi įsitikinti darbo vietų ir mobiliųjų įrenginių, naudojamų paslaugos ir sistemų administravimui, saugumu.

OVH kaip talpinimo paslaugų teikėjo įsipareigojimai

Darbo vietų saugumas

OVH įdiegtos standartinės darbuotojų darbo vietų apsaugos priemonės:

 

  • Automatinis atnaujinimų valdymas;
  • Antivirusinių programų įdiegimas ir atnaujinimas, reguliariai skenuojant; • Programėlės diegiamos tik iš patvirtinto katalogo;
  • Standieji diskai sistemingai užšifruojami;
  • Darbuojomas nesuteikiamos jų darbo vietų administravimo teisės;
  • Potencialiai pažeistos darbo vietos valdymo procedūra;
  • Įrangos standartizavimas;
  • Sesijų trynimo ir darbo vietos atkūrimo procedūra darbuotojo išėjimo iš darbo atveju.

Mobiliųjų įrenginių saugumas

Įdiegtos priemonės, skirtos apsaugoti personalo mobiliuosius prietaisus ar OVH suteiktą įrangą:

  • Įrangą privaloma registruoti centralizuotoje valdymo sistemoje, prieš gaunant prieigą prie vidaus resursų (WiFi, el. paštas, kalendorius, adresų knyga ir t.t.);
  • Tikrinami saugumo nustatymai, įdiegti įrangoje (atrakinimo kodas, užrakinimo trukmė, saugyklos šifravimas);
  • Įrangos pašalinimas per nuotolį vagystės ar praradimo atveju.
Tinklo saugumas

Rekomendacijos klientui kaip duomenų valdytojui

Klientas pats atsakingas už turinio, komunikuojamo per OVH tinklą, šifravimą.

OVH kaip talpinimo paslaugų teikėjo įsipareigojimai

OVH valdo nuosavą didelio našumo optinio pluošto privatų tinklą, apjungtą su daugeliu operatorių ir tranzito paslaugų teikėjų. OVH nuosavas tinklas (backbone), kuriame paskirtomos ir tarpusavyje apjungiamos jungtys su lokaliais tinklais kiekviename duomenų centre, valdomas naudojant vidaus priemones.

Visa įranga apsaugoma naudojant šias priemones:

  • Konfigūracijų valdymo bazėje palaikomas inventorius;
  • Įdiegta reglamentavimo procedūra su gidais, aprašančiais keistinus nustatymus siekiant užtikrinti konfigūracijos apsaugą;
  • Prieiga prie įrangos administravimo funkcijų ribojama naudojant kontrolinius sąrašus;
  • Visi įrenginiai administruojami saugioje vietoje taikant mažiausios privilegijos principą;
  • Visos tinklo įrangos konfigūracijos yra išsaugomos;
  • Tinklo ekspoatavimo komanda nuolat renka, centralizuoja ir stebi sisteminius įrašus;
  • Konfigūracijų įdiegimas yra automatizuotas ir paremtas patvirtintais nustatymais.
Veiklos tęstinumo valdymas

OVH kaip talpinimo paslaugų teikėjo įsipareigojimai

OVH paslaugų teikimui naudojamuose serveriuose ir įrenginiuose įdiegtos atsarginio kopijavimo priemonės:

  • Atsarginis kopijavimas taikomas visoms sistemoms ir duomenims, reikalingiems paslaugų tęstinumo užtikrinimui, informacinės sistemos atkūrimui ir analizei po įvykio (techninių ir administracinių duomenų failams, veiklos įrašams, viduje plėtojamų programėlių kodams, serverių konfigūracijoms, programėlėms, įrenginiams ir t.t.);
  • Atsarginių kopijų atlikimo dažnumas, saugojimo trukmė ir sąlygos apibrėžiami atsižvelgiant į kiekvieno išsaugoto aktyvo poreikius; atsarginio kopijavimo veiksmai, įskaitant įspėjimų ir klaidų valdymą, yra stebimi.
Sisteminių įrašų atlikimas

Rekomendacijos klientui kaip duomenų valdytojui

Klientas pats atsakingas už savo sistemų ir programos sisteminių įrašų nuostatus.

OVH kaip talpinimo paslaugų teikėjo įsipareigojimai

OVH paslaugų teikimui naudojamuose serveriuose ir įrenginiuose įdiegtos sisteminių įrašų taisyklės:

  • Centralizuotas sisteminių įrašų atsarginis kopijavimas ir išsaugojimas;
  • Sisteminių įrašų peržiūra ir analizė leidžiama tik ribotam autorizuotų asmenų skaičiui, laikantis leidimų suteikimo ir prieigos valdymo taisyklių;
  • Komandų, atsakingų už stebėjimo infrastruktūros naudojimą, ir komandos, atsakingos už paslaugos eksploatavimą, užduočių atskyrimas. Pagrindinė veikla, įtraukiama į sisteminius įrašus:
  • Saugyklos serverių, kuriuose talpinami klientų duomenys, sisteminiai įrašai;
  • Serverių, skirtų kliento infrastruktūros valdymui, sisteminiai įrašai;
  • Serverių, skirtų infrastruktūrų stebėjimui, sisteminiai įrašai;
  • Antivirusinių programų, įdiegtų visuose serveriuose, sisteminiai įrašai;
  • Sisteminių įrašų ir sistemų vientisumo kontrolė, jei taikoma;
  • Užduotys ir įvykiai, kuriuos vykdo klientas savo infrastruktūroje;
  • Sisteminiai įrašai ir įspėjimai aptikus įsilaužimą į tinklą, jei taikoma;
  • Tinklo įrangos sisteminiai įrašai;
  • Stebėjimo kamerų infrastruktūros sisteminiai įrašai;
  • Administratorių serverių sisteminiai įrašai;
  • Laiko žymų serverių sisteminiai įrašai;
  • Kortelių skaitytuvų sisteminiai įrašai;
  • Saugių vietų, skirtų administravimui, sisteminiai įrašai.