OCLCren konpromisoa: bibliotekako zerbitzu seguruak
Zure datuak zaintzen ditugu, zure bildumak partekatzen dituzularik
OCLCren ustez, konfidentzialtasuna, zintzotasuna eta gure kideen informazioen eskuragarritasuna ezinbestekoak dira haien enpresen funtzionamendurako eta baita gure arrakastarako ere. Maila anitzeko ikuspegi batetik aritzen gara funtsezko informazioa babesteko, gure aplikazioei, sistemei eta prozesuei etengabeko segimendua eta hobekuntzak eginez, eta horrela prest egongo gara handitzen diren eskaeren eta segurtasun mehatxu dinamikoek sortzen duten erronken aurrean. Gure segurtasun ahaleginak aitortzeko, OCLCk ISO 27001 segurtasun estandarrak bete ditu eta dagokion ziurtagiria jaso du. Hori guztia Ziber Essentials eskemak ziurtatua eta CSA STARek erregistratua izan da.
Informazioaren Segurtasuna eta Enpresaren Arrisku Kudeaketa
- Informazio-segurtasuna kudeatzeko sistema bat ezarri du, ISO/IEC 27001:2013 arauari jarraituz
- Informazio-segurtasuneko eta informazio-teknologietako lantalde profesionala, eta lanaldi osoko hondamen-berreskuratzaile aditu bat.
Kontrol fisiko eta urrutikoak
- 24 orduko segurtasun-lantaldea
- Sarbide murriztua, hurbiltasun-txartelen bidez
- Ekipo informatikoak sarbide kontrolatuko eremuetan
- Bideo-zaintza, eraikinetan eta perimetroan
- Hezetasun- eta tenperatura-kontrola
- Zoru goratua etengabeko aire-zirkulazioa errazteko
- Lurpeko elektrizitate-hornidura
- Elektrizitate-sistema etenezinak (UPS)
- Elektrizitate-banaketako unitate osagarriak (PDU)
- Diesel-sorgailuak, tokian bertan gasolioa biltegiraturik
- Ke- eta su-detektagailuak datu-zentro guztietan
- Dublineko Zerbitzu Zentroak (DSDC) halon-sistema batek babesten du, hainbat deskarga egiteko aski erreserba duena
- Columbuseko Service Zerbitzu Zentroa (CSDC) DuPont FM-200 suteen aurkako sistema batek babesten du
- Datu-zentroak ere ur-ihinztagailuzko sistemen bidez daude babesturik
- Su-itzalgailuak ere badaude DSDCn eta CSDCn barrena
Sarbide-kontrol logikoak
- Erabiltzaile-identifikazioa eta sarbide-kudeaketa
- Bezeroen datuetarako konexioak TLS 1.1 eta 1.2-ren bidez egiten dira, ziurtagiri global aurreratuak (Thawte) erabiliz, gure erabiltzaileak beren nabigatzailetatik gure zerbitzuetara segurtasunez konektatzen direla ziurtatzeko.
- Erabiltzaile bakoitzaren saioak identifikatzen dira, eta identifikazioa berriro egiaztatzen da eragiketa bakoitzean, SAML 2.0-ren bidez XML enkriptatuko segurtasun-egiaztapenak erabiliz
- Erabiltzen diren zerbitzu espezifikoen arabera
Eragiketetarako segurtasun-kontrolak
- Internetera konektatua bide desberdineko esteka erredundanteen bidez, Presentzia Puntu telekomunikazio-hornitzaile batek baino gehiagok zerbitzatutako Interneterako zerbitzu-hornitzaile baten baino gehiagoren bidez
- Suhesi perimetralek eta edge routerrek ezohiko protokoloak blokeatzen dituzte
- Barruko suhesiek trafikoa banatzen dute aplikazioaren eta datu-baseko mailen artean
- Karga-orekatzaileek proxiez hornitzen dute barruko trafikoa
- OCLCk hainbat metodo erabiltzen ditu malwarea saihesteko, atzemateko eta erauzteko
- Segurtasun-ebaluazio independienteak ere egiten dira aldean behin
- Datu guztien segurtasun-kopiak egiten dira zintetan datu-zentro bakoitzean
- Segurtasun-kopiak esteka babestuen bidez klonatzen dira, zinta-artxibo seguru batera
- Zintak erretiratzean, kanpora garraiatu eta segurtasunez suntsitzen dira
- OCLCko Informazio Segurtasuneko lantaldeak hainbat iturritako jakinarazpenak monitorizatzen ditu, eta barruko sistemetatik ohartarazten du mehatxuak identifikatzeko eta kudeatzeko
Sistemaren garapena eta mantenimendua
- Segurtasun-ahuleziak atzemateko, OCLCk kodea probatu egiten du argitaratu baino lehen, eta aldiro geure sarea eta sistemak miatzen ditugu ahulezien bila.
- Sarearen ahulezien ebaluazioak
- Sartze-proba selektiboak eta kode-azterketa
- Segurtasun-kontrolaren egituraren azterketa eta probak
Lan-etenik eza eta hondamen-berreskuratzea
- OCLCren zerbitzuak denbora errealeko kopiak egiten ditu diskoan datu-zentro bakoitzean, eta ia denbora errealeko kopiak ekoizpeneko datu-zentrotik hondamen-berreskurapeneko gunera.
- Datu "sentikorrak" esteka dedikatuen bidez transmititzen dira.
- Hondamen-berreskurapeneko proben bidez, aurreikusitako berreskuratze-epeak eta bezeroen datuen osotasuna egiaztatzen ditugu
Gorabeheren aurreko erantzuna, jakinarazpena eta konponketa
- Gorabeherak kudeatzeko prozedura segurtasun-arazoetan, sistemen edo datuen konfidentzialtasuna, osotasuna edo eskuragarritasuna kolokan daudelarik.
- Informazio Segurtasuneko Taldekideak adituak dira, bai auzitegi-zientzietan, bai gorabeherei aurre hartzeko frogak biltzen, baita hirugarrenen tresnak nahiz tresna jabedunak erabiliz ere
Onartzea
- Hirugarrenek legezko prozeduren bidez baino ezin eskuratu dezakete informazioa: miaketa-baimenak, auzitegiko aginduak, zitazioak, salbuespen juridikoak edo erabiltzailearen oniritzia
- OCLCk pribatutasun-adierazpen zorrotz bati eusten dio erabiltzaileen eta bezeroen datuak babesteko.
Gartner Group-ek egindako gomendioak 1(1. taula) eta Cloud Security Alliance-ren "Segurtasun-aholkuak hodeiko eremu kritikoetan jarduteko" betetzen edo gainditzen ditu.
1. taula Gartner: Zazpi segurtasun-arrisku hodeian aritzean
| Gartner-en gomendioak | OCLC | Microsoft Cloud (BPOS) |
Google Apps Enterprise |
|---|---|---|---|
| Erabiltzaile pribilegiatuentzako sarbide-kontrola | X | X | X |
| Arauen betetzea | X | X | X |
| Datuen kokapena | X | X | X (ez dira hedatuko) |
| Datuen bereizketa | X | X | X |
| Berreskurapena | X | X | X |
| Ikerketa judizialetarako laguntza | X | X | X |
| Epe luzerako bideragarritasuna | X | X | X |
1 Jay Heiser eta Mark Nicolett "Assessing the Security Risks of Cloud Computing." Gartner Group. 2008/06/03