De inspanningen van OCLC voor veilige bibliotheekservices
Wij zorgen dat uw data beschermd blijven terwijl u uw collecties deelt
OCLC begrijpt dat vertrouwelijkheid, integriteit en beschikbaarheid van de informatie van onze lidbibliotheken van essentieel belang zijn voor uw activiteiten. Wij maken gebruik van een meerlaagse beveiliging om uw belangrijke informatie te beschermen. Deze beveiliging bestaat uit het doorlopend bewaken en verbeteren van onze applicaties, systemen en processen om te blijven voldoen aan de steeds grotere uitdagingen en strengere eisen op het gebied van beveiliging. Als erkenning van onze inspanningen op het gebied van beveiliging van gegevens, is OCLC geregistreerd voor de naleving van de beveiligingsstandaarden van ISO 27001, gecertificeerd volgens het informatieborgingssysteem van de Britse overheid, Cyber Essentials, en is opgenomen in het CSA STAR-register.
Beveiliging van informatie en risicobeheer van ondernemingen
- Implementatie van een beheersysteem voor informatiebeveiliging dat voldoet aan ISO/IEC 27001:2013
- Deskundig personeel van gecertificeerde informatiebeveiliging- en informatietechnologieprofessionals en fulltime specialist op het gebied van calamiteitenherstel
Fysieke en omgevingscontroles
- 24-uur per dag bemande beveiliging
- Beperkte toegang via proximiteitpassen
- Computerapparatuur in zones met toegangscontrole
- Videobewaking in de gehele faciliteit en directe omgeving
- Controle van vochtigheid en temperatuur
- Verhoogde vloeren ten behoeve van een doorlopende luchtcirculatie
- Ondergrondse elektriciteitstoevoer
- Powersystemen die niet doorbroken kunnen worden (UPS, uninterruptible power systems)
- Redundante voeding distributie-eenheden (PDU, redundant power distribution unit)
- Dieselgeneratoren met lokale dieselopslag
- Rook- en branddetectiesensoren in de datacenters
- Het Dublin Service Delivery Center (DSDC) is beveiligd door een halon-blussysteem dat meerdere branden achter elkaar kan blussen
- Het Columbus Service Delivery Center (CSDC) is beveiligd met een DuPont FM-200 brandsuppressiesysteem
- De datacentra worden eveneens beschermd met nattepijp-sprinklerinstallatie
- Er zijn brandblussers op het DSDC en CSDC aanwezig
Logische toegangscontroles
- Gebruikersidentificatie en toegangsbeheer
- Connecties naar gebruikersdata via TLS 1.1 en 1.2 met behulp van wereldwijde step-up-certificaten van Thawte, zodat onze gebruikers een beveiligde verbinding hebben van hun browser naar onze service
- Individuele gebruikerssessies worden geïdentificeerd en bij iedere transactie opnieuw gecontroleerd met behulp van XML-gecodeerde beveiligingstoepassingen via SAML 2.0
- Afhankelijk van de specifieke services die worden gebruikt
Operationele veiligheidscontroles
- Verbonden met internet via redundante, divers gerouteerde verbindingen van meerdere internetserviceproviders over Points of Presence van meerdere telecommunicatieproviders
- Firewalls rondom en randrouters om ongebruikte protocollen te blokkeren
- Interne firewalls scheiden de bezoekers tussen verschillende lagen van de applicatie en de database
- Laadstabilisatoren leveren volmachten voor interne bezoekers
- OCLC maakt gebruik van verschillende methodes voor de preventie, detectie en vernietiging van malware
- Er worden periodiek onafhankelijke beveiligingsevaluaties gedaan bij onze externe partners
- Er worden in alle datacentra back-ups op tape gemaakt van alle data
- De back-ups worden gekloond via beveiligde verbindingen naar een beveiligd tape-archief
- De tapes worden naar een andere locatie vervoerd en veilig vernietigd wanneer hun termijn verloopt
- De informatiebeveiligers van OCLC houdt toezicht op berichtgeving vanuit verschillende bronnen en meldingen van interne systemen voor de identificatie en het beheer van bedreigingen
Systeemontwikkeling en onderhoud
- OCLC test de code voorafgaand aan de release op zwakke plekken in de beveiliging en scant netwerk en systemen op beveiligingslekken
- Beoordelingen van zwakke plekken in het netwerk
- Geselecteerde penetratietesten en revisie van de code
- Reviseren en testen van de beveiligingscontroles
Bedrijfscontinuïteit en calamiteitenherstel
- De OCLC-service voert in elk datacenter realtime replicatie op disk uit en tussen het productiedatacenter en de calamiteitenherstellocatie worden bijna in realtime gerepliceerd
- Gevoelige data worden over speciaal daarvoor bestemde verbindingen doorgestuurd
- Wij voeren calamiteitenhersteltesten uit om onze geschatte hersteltijden en de integriteit van de klantgegevens te controleren
Respons op incidenten, berichtgeving en herstel
- Proces voor incidentenbeheer voor beveiligingsgebeurtenissen die van invloed kunnen zijn op de vertrouwelijkheid, integriteit of beschikbaarheid van de systemen of data
- Onze informatiebeveiligers is erop getraind forensisch onderzoek te kunnen uitvoeren en op de omgang met bewijsmateriaal voor het geval dit nodig is, inclusief het gebruik van externe en eigen tools
Naleving
- Informatie kan slechts worden verkregen door externe partijen via juridische processen, zoals volmachten, gerechtelijke bevelen, dagvaardingen, via een wettelijke vrijwaring of door toestemming van de gebruiker zelf
- OCLC volgt een strikt privacyverklaring ter bescherming van de gegevens van zowel onze klanten als hun gebruikers.
De services van OCLC voldoen aan of overtreffen de aanbevelingen van de Gartner Group 1 (zie tabel 1) en de "Security Guidance for Critical Areas of Focus in Cloud Computing" van de Cloud Security Alliance.
Tabel 1: Gartner: zeven beveiligingsrisico's voor werken in de cloud
| Aanbevelingen van Gartner | van OCLC | Microsoft Cloud (BPOS) |
Google Apps Enterprise |
|---|---|---|---|
| Toegangscontrole voor daartoe gemachtigde gebruikers | X | X | X |
| Voldoen aan wet- en regelgeving | X | X | X |
| Locatie van de data | X | X | X (geen openbaarmaking) |
| Scheiding van data | X | X | X |
| Herstel | X | X | X |
| Ondersteuning door onderzoek | X | X | X |
| Haalbaarheid op de lange termijn | X | X | X |
1 Jay Heiser en Mark Nicolett. "Assessing the Security Risks of Cloud Computing." Gartner Group. 3 juni 2008