Compromisso da OCLC com os Serviços de bibliotecas seguras
Proteção dos seus dados na partilha das suas coleções
A OCLC entende que a confidencialidade, a integridade e a disponibilidade das informações dos seus membros são de vital importância para suas operações e para o sucesso de seus negócios. Temos uma abordagem multicamadas para proteger as informações principais, monitorar e aprimorar de maneira contínua nossas aplicações, sistemas e processos para atender às demandas crescentes e vencer os desafios das ameaças dinâmicas de segurança. Em reconhecimento pelos nossos esforços de segurança, a OCLC atendeu aos padrões de segurança e obteve o registro na norma ISO 27001, tem certificação no esquema Cyber Essentials e é registrada na CSA STAR.
Segurança de Informação e Gestão de Risco para Empresas
- Implementação de um Sistema de Gestão de Segurança da Informação conforme a norma ISO/IEC 27001:2013
- Colaboradores profissionais certificados de tecnologia e segurança das informações e um especialista dedicado a tempo inteiro em Recuperação Após Desastres
Controlos Físicos e Ambientais
- Profissionais de segurança 24h
- Acesso restrito através de cartões de proximidade
- Equipamento informático em áreas com acesso controlado
- Videovigilância em todas as instalações e perímetro
- Controlo de temperatura e humidade
- Pisos elevados para facilitar a circulação contínua do ar
- Alimentação elétrica subterrânea
- Sistemas energéticos ininterruptos (UPS)
- Unidades de distribuição energética redundante (PDUs)
- Geradores a gasóleo com armazenamento de combustível no local
- Sensores de fumo e fogo em todos os centros de dados
- O Dublin Service Delivery Center (DSDC) está protegido por um sistema Halon com reservas suficientes para múltiplas descargas
- O Columbus Service Delivery Center (CSDC) está protegido por um sistema anti-incêndio DuPont FM-200
- Os centros de dados também estão protegidos por aspersores pressurizados
- O DSDC e o CSDC contêm extintores de incêndio
Controlos de Acesso Lógico
- Identificação de utilizadores e gestão de acesso
- Ligações aos dados de patronos através de TLS 1.1 e 1.2, através de certificados step-up globais da Thawte, garantindo que os nossos utilizadores têm uma ligação segura ao serviço no browser
- As sessões de utilizadores individuais são identificadas e verificadas em cada transação, através de avaliações de segurança com encriptação XML por SAML 2.0
- Depende dos serviços específicos utilizados
Controlos de Segurança Opcionais
- Ligação à Internet através de ligações redundantes e diversificadas de diversos ISPs, apresentada através de múltiplos Pontos de Presença de fornecedores de telecomunicações
- Firewalls de perímetro e routers que bloqueiam protocolos não usados
- Firewalls internas que separam o tráfego entre os níveis de aplicação e base de dados
- Os balanceadores de carga fornecem proxies para tráfego interno
- A OCLC recorre a diversos métodos para impedir, detetar e eliminar o malware
- São também efetuadas avaliações de segurança independentes por terceiros
- Todos os dados são colocados em fita de cópia de segurança, em todos os datacenters
- As cópias de segurança são clonadas em ligações seguras para um arquivo de fita segura
- As fitas são transportadas para fora do local e são destruídas em segurança ao serem descontinuadas
- Os profissionais de Segurança de Informação da OCLC monitorizam as notificações de várias fontes e os alertas de sistemas internos para identificar e gerir as ameaças
Desenvolvimento e Manutenção de Sistemas
- A OCLC testa código para encontrar vulnerabilidades de segurança antes do lançamento, além de analisar regularmente os nossos sistemas e rede para apurar vulnerabilidades
- Avaliações de vulnerabilidade de rede
- Testes selecionados de penetração em rede e revisão de código
- Revisão e testes de estrutura de controlo de segurança
Continuidade Comercial e Recuperação após Desastre
- O serviço da OCLC efetua replicações em tempo real no disco em cada datacenter e replicação de dados em tempo quase real entre o datacenter de produção e o local de recuperação após desastre
- Os dados confidenciais são transmitidos por ligações dedicadas
- Os testes de recuperação de desastres verificam os tempos previstos de recuperação e a integridade dos dados dos clientes
Resposta a Incidentes, Notificação e Resolução
- Processo de gestão de incidentes para eventos de segurança que possam afetar a confidencialidade, integridade ou disponibilidade dos respetivos sistemas ou dados
- A Equipa de Segurança da Informação tem formação forense e na gestão de evidências para se preparar para eventos, incluindo o uso de ferramentas próprias ou de terceiros
Conformidade
- As informações só podem ser obtidas por terceiros através de processos jurídicos como mandatos, ordens judiciais, intimações, através de isenção estatutária ou mediante consentimento do utilizador
- A OCLC mantém uma política de privacidade coesa que ajuda a proteger os dados de clientes e patronos.
Os serviços da OCLC cumprem ou excedem as recomendações do Gartner Group1 (Tabela 1.) e do documento "Orientação de Segurança para Áreas Criticas de Foco na Computação na Cloud" da Cloud Security Alliances.
Tabela 1. Gartner: Sete riscos de segurança de computação na cloud
| Recomendações da Gartner | OCLC | Microsoft Cloud (BPOS) |
Google Apps Enterprise |
|---|---|---|---|
| Controlo de acesso de utilizadores privilegiados | X | X | X |
| Conformidade com a legislação | X | X | X |
| Localização de dados | X | X | X (não divulgado) |
| Separação de dados | X | X | X |
| Recuperação | X | X | X |
| Apoio investigativo | X | X | X |
| Viabilidade a longo prazo | X | X | X |
1 Jay Heiser e Mark Nicolett. "Assessing the Security Risks of Cloud Computing." Gartner Group. 3 de junho de 2008