Závazek OCLC k zajištění služeb knihovny

Ochrana dat při sdílení vašich sbírek

OCLC chápe, že důvěrnost, integrita a dostupnost údajů našich členů jsou zásadní pro jejich obchodní činnost i náš vlastní úspěch. K ochraně klíčových informací využíváme několikaúrovňový přístup, který spočívá v neustálém monitorování a zlepšování našich aplikací, systémů a procesů s cílem splnit rostoucí požadavky a překonat výzvy spojené s dynamickými bezpečnostními hrozbami. Na důkaz svého úsilí v oblasti bezpečnosti OCLC splnilo požadavky bezpečnostních norem ISO 27001 a obdrželo příslušné registrace, získalo certifikaci programu Cyber Essentials a registraci CSA STAR.

Informační bezpečnost a řízení podnikových rizik

  • Implementace systému řízení informační bezpečnosti v souladu s požadavky normy ISO/IEC 27001:2013
  • Profesionální personál s certifikací v oblasti informační bezpečnosti, IT profesionálové a trvale přítomný specialista na zotavení po havárii

Materiální a environmentální řízení

  • Nepřetržité zabezpečení zajišťované personálem
  • Omezený přístup prostřednictvím bezkontaktních karet
  • Počítačové vybavení v oblastech s kontrolovaným přístupem
  • Kamerové systémy po celém zařízení a po celém obvodu
  • Regulace vlhkosti a teploty
  • Zvýšená podlaha pro zajištění nepřetržité cirkulace vzduchu
  • Podzemní napájecí přívod
  • Záložní napájecí systémy (UPS)
  • Redundantní napájecí jednotky (PDU)
  • Dieselové generátory s místním zásobníkem dieselového paliva
  • Kouřové a požární hlásiče v datových centrech
  • Dublinské centrum pro zajištění služeb (DSDC) je chráněno systémem Halon s dostatečnými rezervami pro několik výpadků
  • Kolumbovo centrum pro zajištění služeb (CSDC) je chráněno protipožárním systémem DuPont FM-200
  • Datová centra jsou dále chráněna vodními sprinklerovými systémy
  • DSDC a CSDS jsou vybaveny hasicími přístroji

Řízení logického přístupu

  • Uživatelská identifikace a řízení přístupu
    • Připojení k datům sponzorů prostřednictvím TLS 1.1 a 1.2 s využitím rozšířených globálních certifikátů od Thawte, které garantují uživatelům zabezpečené připojení z příslušného prohlížeče k naší službě
    • Individuální uživatelské relace se při každé transakci identifikují a znovu ověřují pomocí XML šifrované deklarace identity SAML 2.0
    • Závisí na specifických využívaných službách

Řízení provozního zabezpečení

  • Připojení k internetu přes redundantní, různě směrované odkazy od několika poskytovatelů internetu obsluhovaných z více přístupových bodů poskytovatelů telekomunikačních služeb
  • Blokování nevyužívaných protokolů bránami firewall v celém obvodu a hraničními směrovači
  • Segregace provozu mezi aplikací a databází s využitím bran firewall
  • Nástroje pro vyrovnávání zátěže zajišťují servery proxy pro interní provoz
  • OCLC využívá řadu metod k prevenci, zjištění a odstranění škodlivého softwaru
  • Pravidelné provádění nezávislých hodnocení zabezpečení třetími stranami
  • Veškerá data se v jednotlivých datových centrech zálohují na pásky
  • Zálohy se kopírují přes zabezpečená spojení do zabezpečeného archivu pásek
  • Pásky se přepravují mimo pracoviště a po stažení z oběhu se bezpečným způsobem likvidují
  • Personál OCLC pro zajištění informační bezpečnosti monitoruje oznámení z různých zdrojů a poplachy z interních systémů za účelem identifikace a řízení hrozeb

Vývoj a údržba systémů

  • OCLC před vydáním testuje, zda kód neobsahuje zranitelná místa v zabezpečení a pravidelně monitoruje zranitelná místa v síti i v systémech
  • Hodnocení zranitelnosti sítě
  • Vybrané penetrační testování a revize kódu
  • Revize a testování rámce bezpečnostní kontroly

Kontinuita firemních procesů a zotavení po havárii

  • OCLC služba provádí replikaci dat v reálném čase na disky v jednotlivých datových centrech a replikaci dat téměř v reálném čase mezi produkčním datovým centrem a v místě zotavení po havárii
  • Citlivá data se přenášejí přes vyhrazené kanály
  • Testy zotavení po havárii slouží k ověření očekávané doby zotavení a integrity zákaznických dat

Reakce na incidenty, oznámení a náprava

  • Proces řízení incidentů pro události týkající se zabezpečení, které mohou mít vliv na důvěrnost, integritu či dostupnost příslušných systémů nebo dat
  • Tým pro informační bezpečnost je vyškolen ve forenzních technikách a v zajišťování důkazů během přípravy na incident, a to včetně používání patentovaných nástrojů a nástrojů třetích stran

Dodržování předpisů

  • Třetí strany mohou informace získat pouze prostřednictvím právních postupů, například při domovní prohlídce, na základě soudních příkazů, obsílek, prostřednictvím zákonných výjimek nebo se souhlasem uživatele
  • OCLC ctí silný závazek vůči ochraně osobních údajů v zájmu ochrany dat zákazníků a sponzorů.

Služby OCLC splňují nebo převyšují doporučení Gartner skupiny1 (tabulka 1.) a aliancí pro cloudovou bezpečnost „Security Guidance for Critical Areas of Focus in Cloud Computing.“ (Bezpečnostní směrnice pro citlivé oblasti cloud computingu.)

Tabulka 1. Gartner: Seven Cloud-Computing Security Risks (Sedm bezpečnostních rizik cloud computingu)

Gartnerova doporučení OCLC Microsoft

Cloud (BPOS)
Google Apps

Enterprise
Řízení přístupu privilegovaných uživatelů X X X
Dodržování právních předpisů X X X
Umístění dat X X X (mlčenlivost)
Segregace dat X X X
Zotavení X X X
Investigativní podpora X X X
Dlouhodobá životaschopnost X X X

1 Jay Heiser and Mark Nicolett. "Assessing the Security Risks of Cloud Computing." Gartner Group. 3. června 2008