Zobowiązanie OCLC do zapewnienia bezpiecznych usług bibliotecznych
Zabezpieczanie Państwa danych podczas udostępniania Państwa kolekcji
OCLC rozumie, że poufność, integralność i dostępność informacji o naszych członkach ma istotne znaczenie dla ich operacji biznesowych i naszego własnego sukcesu. Stosujemy wielopoziomowe podejście do ochrony kluczowych informacji. W jego ramach nieustannie monitorujemy i doskonalimy swoje aplikacje, systemy i procesy, aby spełnić rosnące potrzeby i sprostać wyzwaniom w formie dynamicznych zagrożeń dla bezpieczeństwa. Potwierdzeniem naszych starań w dziedzinie bezpieczeństwa i spełnienia wymogów norm bezpieczeństwa ISO 27001 jest certyfikowany program Cyber Essentials zarejestrowany przez CSA STAR.
Zarządzanie bezpieczeństwem informacji i ryzykiem przedsiębiorstwa
- Wdrożono System zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC 27001:2013
- Profesjonalny personel złożony z certyfikowanych specjalistów w dziedzinie bezpieczeństwa informacji i technologii informacyjnych oraz dedykowany specjalista ds. odtwarzania awaryjnego
Kontrole fizyczne i środowiskowe
- Całodobowa ochrona fizyczna
- Ograniczony dostęp przy użyciu kart zbliżeniowych
- Sprzęt komputerowy w obszarach z kontrolą dostępu
- Nadzór wideo w całym obiekcie i wokół niego
- Kontrola wilgotności i temperatury
- Podłoga techniczna, która ułatwia ciągłą cyrkulację powietrza
- Podziemny przewód zasilający
- Systemy zasilaczy awaryjnych (UPS)
- Nadmiarowe moduły dystrybucji zasilania (PDU)
- Agregaty na olej napędowy ze składowaniem paliwa na miejscu
- Czujniki dymu i ognia w całych centrach danych
- Centrum Dublin Service Delivery Center (DSDC) posiada ochronę w formie instalacji halonowej z rezerwami wystarczającymi na potrzeby wielu aktywacji
- Centrum Columbus Service Delivery Center (CSDC) posiada ochronę w formie systemu gaśniczego DuPont FM-200
- Centra danych są chronione także mokrymi instalacjami tryskaczowymi
- Na całym obszarze DSDC i CSDC znajdują się gaśnice
Logiczne kontrole dostępu
- Identyfikacja użytkowników i zarządzanie dostępem
- Połączenie z danymi stałych klientów za pomocą TLS 1.1 oraz 1.2, przy użyciu globalnych, podwyższonych certyfikatów wydanych przez Thawte, dzięki czemu nasi użytkownicy mogą się bezpiecznie łączyć z naszą usługą ze swoich przeglądarek
- Sesje użytkowników indywidualnych identyfikuje się i weryfikuje ponownie dla każdej transakcji za pomocą potwierdzeń bezpieczeństwa szyfrowanych XML przy użyciu SAML 2.0
- Zależnie od konkretnych wykorzystanych usług
Opcjonalne kontrole bezpieczeństwa
- Połączenie z Internetem za pośrednictwem nadmiarowych łączy na różnych trasach od wielu Dostawców usług internetowych, obsługiwanych z wielu POP (Point of Presence) dostawcy usług telekomunikacyjnych
- Zapory obwodowe i rutery brzegowe blokują nieużywane protokoły
- Zapory wewnętrzne rozdzielają ruch między poziom aplikacji a bazy danych
- Usługi równoważenia obciążenia zapewniają bramki proxy na potrzeby ruchu wewnętrznego
- OCLC stosuje wiele różnych metod w celu zapobiegania, wykrywania i usuwania szkodliwego oprogramowania
- Okresowo prowadzone są także niezależne oceny bezpieczeństwa przez podmioty zewnętrzne
- W każdym centrum danych tworzy się kopie zapasowe wszystkich danych na taśmie
- Kopie zapasowe powiela się za pośrednictwem bezpiecznych łączy do bezpiecznego archiwum na taśmach
- Po zakończeniu okresu przechowywania taśmy wywozi się poza teren obiektu i bezpiecznie niszczy
- Personel ds. bezpieczeństwa informacji OCLC monitoruje powiadomienia z różnych źródeł oraz alerty z systemów wewnętrznych w celu identyfikacji zagrożeń i zarządzania nimi
Rozwój i utrzymanie systemów
- Przed wydaniem OCLC testuje kod pod kątem luk w zabezpieczeniach i regularnie skanuje naszą sieć i systemy w poszukiwaniu takich luk
- Oceny podatności sieci
- Wybrane testy penetracyjne i przegląd kodu
- Przegląd i testy ram kontroli bezpieczeństwa
Ciągłość działania i odtwarzanie awaryjne
- Usługa OCLC wykonuje replikację na dysk w czasie rzeczywistym w każdym centrum danych oraz replikację danych w czasie zbliżonym do rzeczywistego między produkcyjnym centrum danych a lokalizacją odtwarzania awaryjnego
- Wrażliwe dane przesyła się za pośrednictwem dedykowanych łączy
- Testy odtwarzania awaryjnego weryfikują nasze przewidywane czasy odzyskiwania i integralność danych klientów
Reakcja na zdarzenie, powiadomienie i rozwiązanie problemu
- Proces zarządzania incydentami związanymi z bezpieczeństwem, który może mieć wpływ na poufność, integralność lub dostępność jego systemów lub danych
- Zespół ds. bezpieczeństwa informacji posiada przeszkolenie w zakresie kryminalistyki i postępowania z dowodami w ramach przygotowań do zdarzenia, w tym korzystania z narzędzi stron trzecich i narzędzi zastrzeżonych
Zgodność z przepisami
- Osoby trzecie mogą pozyskiwać informacje tylko w drodze procedur prawnych, jak nakazy rewizji, nakazy sądowe, wezwania do sądu, ustawowe zwolnienie, lub za zgodą użytkownika
- OCLC posiada silne oświadczenie o prywatności, które wspiera ochronę danych klientów i stałych klientów.
Usługi OCLC spełniają lub przekraczają zalecenia Grupy Gartner1 (Tabela 1.) oraz wytycznych „Security Guidance for Critical Areas of Focus in Cloud Computing” wydanych przez Cloud Security Alliance.
Tabela 1. Gartner: Siedem zagrożeń bezpieczeństwa przetwarzania w chmurze
| Zalecenia Gartner | OCLC | Microsoft Cloud (BPOS) |
Google Apps Enterprise |
|---|---|---|---|
| Kontrola dostępu użytkowników uprzywilejowanych | X | X | X |
| Zgodność z przepisami | X | X | X |
| Lokalizacja danych | X | X | X (brak ujawnienia) |
| Segregacja danych | X | X | X |
| Odtwarzanie | X | X | X |
| Wsparcie dochodzeniowe | X | X | X |
| Długoterminowa opłacalność | X | X | X |
1 Jay Heiser i Mark Nicolett. „Ocena zagrożeń bezpieczeństwa przetwarzania w chmurze”. Grupa Gartner. 3 czerwca 2008 r.