L'engagement d'OCLC pour sécuriser les services de bibliothèques
Sécuriser vos données tout en partageant vos collections
Nous comprenons que la confidentialité, l’intégrité et la disponibilité des informations sur nos membres sont essentielles pour leurs activités commerciales. Pour protéger les renseignements importants, nous utilisons une approche multidimensionnelle en surveillant et en améliorant constamment nos applications, nos systèmes et nos processus afin de répondre aux impératifs et aux défis croissants liés à la sécurité. En reconnaissance de ses efforts, OCLC a répondu aux exigences et a reçu le certificat pour les normes de sécurité ISO 27001, a la certification Cyber Essentials et est agréé CSA STAR.
Sécurité de l'information et gestion des risques de l'entreprise
- Implantation d'un système de gestion de la sécurité de l'information conforme à la norme ISO/IEC 27001:2013.
- Personnel professionnel ou professionnels certifiés de la sécurité de l'information et des technologies de l'information, et spécialistes dédiés à plein temps en reprise après sinistre.
Contrôles physiques et environnementaux
- Personnel dédié à la sécurité 24 heures sur 24.
- Accès restreint par l’intermédiaire de cartes de proximité.
- Équipement informatique dans les zones à accès contrôlé.
- Surveillance vidéo dans toute l'installation et le périmètre.
- Contrôle d’humidité et de température.
- Plancher surélevé pour faciliter la circulation continue de l’air.
- Alimentation électrique souterraine.
- Systèmes d’alimentation sans coupure (UPS).
- Unités de distribution d’alimentation redondante (PDU).
- Groupes électrogènes diesel avec stockage de carburant diesel sur place.
- Capteurs de détection de fumée et d’incendie à travers les centres de données.
- Le Dublin Service Delivery Center (DSDC) est protégé par un système Halon avec des réserves suffisantes pour les décharges multiples.
- Le Columbus Service Delivery Center (CSDC) est protégé par un système d'extinction d'incendie DuPont FM-200.
- Les centres de données sont également protégés par des système d'extincteurs sous eau.
- Des extincteurs d'incendie sont maintenus à travers le DSDC et le CSDC.
Contrôles d’accès logiques
- Gestion de l'identification et de l’accès des utilisateurs
- Connexions aux données sur les usagers via TLS 1.1 et 1.2, en utilisant des certificats de configuration de Thawte afin de garantir que nos utilisateurs ont une connexion sécurisées à notre service à partir de leurs navigateurs.
- Les sessions utilisateur individuelles sont identifiées et revérifiées avec chaque transaction en utilisant des assertions de sécurité cryptées en XML via SAML 2.0.
- Dépend des services utilisés.
Contrôles de sécurité opérationnelle
- Connexion à Internet via des liens redondants, diversement routés provenant de plusieurs fournisseurs de service Internet desservis par divers points de présence (POP) de fournisseurs de télécommunications multiples.
- Des pare-feu de périmètre et des routeurs de bordure bloquent les protocoles inutilisés.
- Des pare-feu internes séparent le trafic entre l'application et les tiers de base de données.
- Des équilibreurs de charge fournissent des mandataires pour le trafic interne.
- OCLC utilise diverses méthodes pour prévenir, détecter et éliminer les logiciels malveillants.
- Des évaluations de sécurité indépendantes de tiers sont également régulièrement menées.
- Toutes les données sont sauvegardées sur bande à chaque centre de données.
- Les sauvegardes sont clonées par le biais de liens sécurisés dans des archives de bandes sécurisées.
- Les bandes sont transportées hors site et sont détruites de façon sécuritaire lorsqu'elles ne sont plus nécessaires.
- Le personnel d'OCLC à la sécurité de l'information surveille les avis provenant de diverses sources et les alertes provenant des systèmes internes pour identifier et gérer les menaces.
Développement et entretien des systèmes
- OCLC effectue des tests au code pour déceler des vulnérabilités de sécurité avant de mettre en production ses systèmes, et analyse régulièrement son réseau et ses systèmes pour détecter les vulnérabilités.
- Évaluations de vulnérabilité du réseau.
- Tests de pénétration sélectionnés et révision de code.
- Examens et tests de l'infrastructure de contrôle de sécurité.
Continuité des activités et reprise après sinistre
- Le service OCLC effectue une duplication sur disque en temps réel à chaque centre de données, et une duplication des données presque en temps réel entre le centre de données en production et le site de reprise après sinistre.
- Les données sensibles sont transmises par le biais de liens dédiés.
- Des tests de récupération après sinistre vérifient notre temps de rétablissement prévu et l’intégrité des données du client.
Réponse aux incidents, avis et résolution
- Processus de gestion des incidents pour les événements liés à la sécurité qui peuvent affecter la confidentialité, l’intégrité ou la disponibilité des systèmes ou données.
- Équipe de sécurité de l'information formée en investigation informatique et en manipulation de preuves en préparation d'un évènement, incluant l'utilisation d'outils de tiers et propriétaires.
Conformité
- Les informations peuvent être obtenues par des tiers uniquement par le biais de processus judiciaires tels que les mandats de perquisition, les ordonnances de tribunaux, les citations à comparaître, par le biais d'une exemption statutaire ou par le biais du consentement de l’utilisateur.
- OCLC maintient une déclaration de confidentialité rigoureuse pour aider à protéger les données des clients et des usagers.
Les services OCLC rencontrent ou dépassent les recommandations du Gartner Group 1 (Table 1.) et de la « Security Guidance for Critical Areas of Focus in Cloud Computing » de la Cloud Security Alliance.
Table 1. Gartner: Seven Cloud-Computing Security Risks (Sept risques de sécurité de l'informatique en nuage)
| Recommendations de Gartner | OCLC | Microsoft Cloud (BPOS) |
Google Apps Enterprise |
|---|---|---|---|
| Contrôle d’accès utilisateur privilégié | X | X | X |
| Conformité réglementaire | X | X | X |
| Emplacement des données | X | X | X (aucune divulgation) |
| Séparation des données | X | X | X |
| Récupération | X | X | X |
| Aide à l'investigation | X | X | X |
| Viabilité à long terme | X | X | X |
1 Jay Heiser et Mark Nicolett. "Assessing the Security Risks of Cloud Computing." Gartner Group. 3 juin 2008