L'impegno di OCLC verso servizi di biblioteca protetti
Protezione dei dati pur condividendo le proprie collezioni
OCLC sa bene che la riservatezza, l'integrità e la disponibilità delle informazioni dei nostri membri sono essenziali per la loro attività e per il nostro successo. Adottiamo un approccio multilivello per proteggere le informazioni fondamentali, monitorando e migliorando costantemente le nostre applicazioni, sistemi e processi per soddisfare le crescenti esigenze e sfide delle minacce dinamiche alla sicurezza. In riconoscimento dei nostri sforzi per la sicurezza, OCLC ha soddisfatto e ricevuto la registrazione per gli standard di sicurezza ISO 27001, è certificato per lo schema Cyber Essentials ed è registrato per CSA STAR.
Sicurezza delle informazioni e gestione del rischio aziendale
- Implementazione di un sistema di gestione della sicurezza informatica in conformità a ISO/IEC 27001:2013
- Personale professionale costituito da esperti certificati nel settore della sicurezza delle informazioni e in quello informatico e uno specialista a tempo pieno nel settore del Disaster Recovery
Controlli fisici e ambientali
- Sicurezza con personale disponibile 24 ore al giorno
- Accesso limitato tramite tessere di prossimità
- Computer tenuti in aree ad accesso controllato
- Videosorveglianza in tutta la struttura e il perimetro
- Controllo di umidità e temperatura
- Pavimentazione sopraelevata per agevolare la circolazione continua dell'aria
- Alimentazione di rete sotterranea
- Gruppi statici di continuità (UPS)
- PDU ridondanti
- Generatori diesel con deposito di gasolio in sede
- Sensori di rilevamento antifumo e antincendio in tutti i data center
- Il Centro di consegna servizi di Dublino (DSDC, Dublin Service Delivery Center) è protetto da un sistema Halon con riserve sufficienti per scariche multipli
- Il Centro di consegna servizi di Columbus (CSDC, Columbus Service Delivery Center) è protetto da un sistema antincendio DuPont FM-200
- Anche i data center sono protetti mediante sistemi di estinzione a pioggia
- Sono presenti estintori in tutto il DSDC e il CSDC
Controllo di accesso logici
- Identificazione dell'utente e gestione di accesso
- Connessioni ai dati degli utenti tramite TLS 1.1 e 1.2, utilizzando certificati di incremento globale di Thawte, che assicurano ai nostri utenti una connessione sicura dal proprio browser al nostro servizio
- Le singole sessioni utente vengono identificate e riverificate con ogni transazione, utilizzando le dichiarazioni di sicurezza crittografate XML tramite SAML 2.0
- A seconda dei servizi specifici utilizzati
Controlli di sicurezza operativa
- Connessione a Internet tramite collegamenti ridondanti, con indirizzamento diversificato da più provider di servizi Internet forniti da più POP di provider di telecomunicazioni
- I firewall perimetrali e i router ai margini bloccano i protocolli inutilizzati
- I firewall interni separano il traffico tra i livelli dell'applicazione e del database
- Bilanciatori di carico forniscono i proxy per il traffico interno
- OCLC utilizza una vasta gamma di metodi per prevenire, rilevare ed eliminare il malware
- Vengono eseguite anche valutazioni periodiche della sicurezza da parte di terzi indipendenti
- Tutti i dati vengono sottoposti a backup su nastro a ogni data center
- I backup vengono clonati su collegamenti protetti in un archivio a nastro sicuro
- I nastri vengono trasportati fuori sede e distrutti in modo sicuro quando vengono ritirati
- Il personale della sicurezza informatica di OCLC monitora le notifiche dalle diverse fonti e comunica gli avvisi dei sistemi interni per identificare e gestire le minacce
Sviluppo e manutenzione dei sistemi
- OCLC testa il codice per accertare la presenza di vulnerabilità della sicurezza prima della release ed esegue regolari scansioni della rete e dei sistemi per escludere la presenza di vulnerabilità.
- Valutazioni della vulnerabilità di rete
- Test di penetrazione selezionata e verifica del codice
- Analisi e test del quadro di controllo della sicurezza
Business Continuity e Disaster Recovery
- Il servizio OCLC esegue la replica in tempo reale su disco in ogni data center e la replica dei dati quasi in tempo reale tra il data center di produzione e il sito di Disaster Recovery
- I dati sensibili vengono trasmessi tramite collegamenti dedicati
- I test di Disaster Recovery verificano i nostri tempi di recupero previsti e l'integrità dei dati del cliente
Risposta agli incidenti, notifica e ripristino
- Processo di gestione degli incidenti per gli eventi di sicurezza che possono influenzare riservatezza, integrità o disponibilità dei suoi sistemi o dati
- Il team di sicurezza informatica ha completato la formazione in ambito istruttorio e nella gestione delle prove in preparazione di un evento, compreso l'uso di strumenti di terzi e riservati
Conformità
- Le informazioni possono essere ottenute unicamente da terzi attraverso processi legali come mandati di perquisizione, ordinanze del tribunale, citazioni, ovvero in conseguenza di esenzioni normative o per il consenso dell'utente
- OCLC mantiene una solida informativa sulla privacy per proteggere i dati dei clienti e degli utenti.
I servizi OCLC soddisfano o superano le raccomandazioni del Gartner Group1 (tabella 1.) e le indicazioni "Security Guidance for Critical Areas of Focus in Cloud Computing" delle Cloud Security Alliances.
Tabella 1. Gartner: sette rischi di sicurezza del cloud computing
| Consigli di Gartner | OCLC | Microsoft Cloud (BPOS) |
Google Apps Enterprise |
|---|---|---|---|
| Controllo di accesso utente privilegiato | X | X | X |
| Conformità normativa | X | X | X |
| Posizione dei dati | X | X | X (nessuna divulgazione) |
| Suddivisione dei dati | X | X | X |
| Ripristino | X | X | X |
| Supporto investigativo | X | X | X |
| Sostenibilità a lungo termine | X | X | X |
1 Jay Heiser e Mark Nicolett. "Assessing the Security Risks of Cloud Computing." Gartner Group. 3 giugno 2008