Compromís d'OCLC amb els serveis segurs de les biblioteques
Protegim les vostres dades a la vegada que compartim les vostres col·leccions
OCLC entén que la confidencialitat, la integritat i la disponibilitat de la informació dels nostres membres són vitals per a les seves operacions comercials i el nostre propi èxit. Utilitzem un enfocament de diverses capes per protegir la informació clau mitjançant una supervisió continua i millora constant de les nostres aplicacions, sistemes i processos per satisfer les creixents demandes i reptes de les amenaces de seguretat dinàmiques. En reconeixement als nostres esforços de seguretat, OCLC ha complert i rebut el registre d'estàndards de seguretat ISO 27001, té el certificat d'esquema Cyber Essentials i està registrat a CSA STAR.
Seguretat de la informació i gestió de riscos empresarials
- Hem implantat un sistema de gestió de la seguretat de la informació segons l'ISO/IEC 27001:2013
- Comptem amb personal professional certificat en seguretat de la informació, professionals de les tecnologies de la informació i un especialista dedicat a temps complet a la recuperació de desastres
Controls físics i ambientals
- Personal de seguretat les 24 hores
- Accés restringit mitjançant targetes de proximitat
- Equips informàtics en zones amb l'accés controlat
- Videovigilància a totes les instal·lacions i perímetre
- Control d'humitat i temperatura
- Terra elevat per facilitar la circulació contínua de l'aire
- Sistema d'alimentació subterrània
- Sistemes d'alimentació ininterrompuda (UPS)
- Unitats de distribució d'energia redundants (PDU)
- Generadors dièsel amb emmagatzematge de gasoil in situ
- Sensors de detecció de fum i incendi a tots els centres de dades
- El Centre de lliurament de serveis de Dublín (DSDC) està protegit per un sistema Halon amb reserves suficients per a múltiples abocaments
- El Centre de lliurament de serveis de Columbus (CSDC) està protegit per un sistema de supressió d'incendis DuPont FM-200
- Els centres de dades també estan protegits per sistemes d'aspersió de canonada humida
- Hi ha extintors a tot el DSDC i CSDC
Controls d'accés lògics
- Identificació i gestió d'accés d'usuaris
- Connexions a dades d'usuaris mitjançant TLS 1.1 i 1.2 amb certificats de pas globals de Thawte, garantint que els nostres usuaris tinguin una connexió segura des del seu navegador al nostre servei
- Les sessions d'usuari individuals s'identifiquen i es verifiquen de nou amb cada transacció fent servir afirmacions de seguretat xifrades XML a través de SAML 2.0
- En funció dels serveis específics utilitzats
Controls de seguretat operativa
- Connectat a Internet a través d'enllaços redundants i d'encaminaments diversos de diferents proveïdors de serveis d'Internet, servits des de diversos punts de presència de múltiples proveïdors de telecomunicacions
- Els tallafocs perimetrals i els encaminadors de vora bloquegen els protocols no utilitzats
- Els tallafocs interns separen el trànsit entre els nivells de l'aplicació i la base de dades
- Els equilibradors de càrrega proporcionen servidors intermediaris per al trànsit intern
- OCLC utilitza diversos mètodes per prevenir, detectar i erradicar programari maliciós
- Periòdicament es realitzen avaluacions de seguretat independents de tercers
- Es realitzen còpies de seguretat de totes les dades en cintes a cada centre de dades
- Les còpies de seguretat es clonen mitjançant enllaços segurs a un arxiu de cintes segures
- Les cintes es transporten a llocs externs i es destrueixen de manera segura quan es retiren
- El personal de seguretat de la informació d'OCLC supervisa les notificacions de diversos orígens i les alertes de sistemes interns per identificar i gestionar amenaces
Desenvolupament i manteniment de sistemes
- OCLC fa proves al codi per trobar vulnerabilitats de seguretat abans de publicar-lo i analitza periòdicament la nostra xarxa i sistemes per detectar-ne les vulnerabilitats
- Valoracions de vulnerabilitat de la xarxa
- Prova de penetració seleccionada i revisió del codi
- Revisió i control del marc de seguretat
Continuïtat empresarial i recuperació de desastres
- El servei OCLC realitza replicacions en temps real al disc a cada centre de dades i replica les dades quasi en temps real entre el centre de dades de producció i el lloc de recuperació de desastres
- Les dades sensibles es transmeten a través d'enllaços dedicats
- Les proves de recuperació de desastres verifiquen el nostre temps de recuperació projectat i la integritat de les dades del client
Resposta, notificació i correcció d’incidents
- Procés de gestió d'incidents per a esdeveniments de seguretat que puguin afectar la confidencialitat, integritat o disponibilitat dels seus sistemes o dades
- L'equip de seguretat de la informació està format en la legislació forense i la gestió d'evidències per a la preparació d'un esdeveniment, incloent l'ús d'eines de tercers o propietàries
Compliment
- La informació només pot ser obtinguda per tercers mitjançant processos legals com ara ordres d'escorcoll, ordres judicials, citacions, a través d'una exempció legal o amb el consentiment de l'usuari
- OCLC manté una declaració de privadesa sòlida per ajudar a protegir les dades de clients i patrocinadors.
Els serveis d'OCLC compleixen o superen les recomanacions del Gartner Group1 (Taula 1) i la "Guia de seguretat per a àrees crítiques d'enfocament en computació al núvol" de Cloud Security Alliance.
Taula 1. Gartner: set riscos de seguretat en computació al núvol
| Recomanacions de Gartner | OCLC | Microsoft Cloud (BPOS) |
Google Apps Enterprise |
|---|---|---|---|
| Control d'accés dels usuaris privilegiats | X | X | X |
| Compliment de la normativa | X | X | X |
| Ubicació de les dades | X | X | X (sense divulgació) |
| Segregació de les dades | X | X | X |
| Recuperació | X | X | X |
| Suport d'investigació | X | X | X |
| Viabilitat a llarg termini | X | X | X |
1 Jay Heiser i Mark Nicolett. "Assessing the Security Risks of Cloud Computing". Gartner Group. 3 de juny de 2008