OVH en de bescherming van persoonlijke gegevens

Het is belangrijk om het verschil aan te geven tussen de beveiliging van de gegevens die door de klant worden gehost en de beveiliging van de infrastructuren waarop deze gegevens zijn opgeslagen.

Thumbnail

Beveiliging van de gehoste gegevens: de klant is als enige verantwoordelijk voor het beveiligen van de resources en applicatiesystemen die zij gebruiken als onderdeel van onze diensten. OVH biedt zijn klanten tools waarmee ze hun gegevens kunnen beveiligen.

Thumbnail

Infrastructuurbeveiliging: OVH streeft naar een optimale beveiliging van zijn infrastructuren, onder meer door de implementatie van een beveiligingsbeleid voor informatiesystemen en door te voldoen aan de vereisten van verschillende normen en certificeringen (PCI-DSS-certificering, ISO/IEC 27001-certificering, SOC 1 TYPE II en SOC 2 TYPE II-certificaten, enz.). OVH is ook gecertificeerd als host voor gezondheidszorggegevens voor zijn Healthcare-pakket.

Een lijst met alle certificaten met hun beschrijving is te vinden op deze pagina's.

Infrastructuurbeveiliging:

OVH heeft alle noodzakelijke maatregelen getroffen om een hoog niveau van beveiliging en privacy van de verwerkte persoonsgegevens te waarborgen. Deze maatregelen hebben met name betrekking op de bescherming van gegevens tegen vervorming, beschadiging en misbruik door derden.

OVH is vastbesloten om het volgende te implementeren:

Beveiligingsbeheersysteem

Verbintenissen van OVH als host

We hebben een IT-beveiligingsbeleid (ISSP) geïntroduceerd dat al onze gerelateerde regelingen beschrijft. Onze ISSP wordt minimaal elk jaar bijgewerkt of elke keer dat er een grote wijziging plaatsvindt die consequenties heeft voor de inhoud. De veiligheid van onze oplossingen wordt verzekerd door formele managementsystemen voor informatiebeveiliging.

Verschillende rollen coördineren onze acties met betrekking tot perimeterbeveiliging:

  • De beveiligingsfunctionaris voor informatiesystemen (CISO);
  • De veiligheidsmanager, die verantwoordelijk is voor processen en projecten met betrekking tot veiligheid in het gebied,
  • De functionaris voor gegevensbescherming (DPO), die zorgt voor de bescherming van persoonsgegevens;
  • De risicomanager, die het beheer van veiligheidsrisico's en de juiste actieplannen coördineert;
  • De persoon die verantwoordelijk is voor veiligheidsmaatregelen, die de bepalingen met betrekking tot de geïdentificeerde risico's implementeert en toepast.
Conformiteit en certificering

Verbintenissen van OVH als host

Om ervoor te zorgen dat de naleving wordt gehandhaafd en om de prestaties van onze systemen te evalueren, worden regelmatig beveiligingsaudits uitgevoerd. Er zijn vijf soorten beveiligingsaudits:

  • Externe audits (certificeringen, verklaringen, klanten);
  • Interne audits, uitgevoerd door interne of externe auditors;
  • Technische audits (inbraakproeven, kwetsbaarheidsscans, code-evaluaties) uitgevoerd door interne of externe auditors;
  • Audits van de activiteiten van derden, uitgevoerd door de persoon die verantwoordelijk is voor het beheer van derden;
  • Audits van datacenters, uitgevoerd door interne auditors. De aard en frequentie van de uitgevoerde audits zal afhangen van de oplossingen en de beperkingen. Wanneer een niet-conforme situatie wordt vastgesteld, wordt een corrigerende maatregel toegepast en toegevoegd aan de actieplannen. Al deze maatregelen worden onderworpen aan een officiële follow-up, evenals een regelmatige evaluatie waarbij de doeltreffendheid ervan opnieuw wordt onderzocht.
Klantenaudits

Aanbevelingen voor de klant die verantwoordelijk is voor de verwerking

Klanten kunnen technische audits (inbraakproeven) uitvoeren op diensten die voor hen worden gehost, evenals op dienstbeheerblokken. De voorwaarden voor het uitvoeren van audits zijn vastgelegd in de contracten of worden ad hoc op verzoek behandeld.

Verbintenissen van OVH als host

De voorwaarden voor het uitvoeren van audits zijn vastgelegd in de contracten of worden ad hoc op verzoek behandeld.

Risicobeheer

Aanbevelingen voor de klant die verantwoordelijk is voor de verwerking

Klanten moeten ervoor zorgen dat de beveiligingsmaatregelen van OVH relevant zijn voor de risico's die verbonden zijn aan het gebruik van de infrastructuur.

Verbintenissen van OVH als host

We hebben een officiële procedure voor risicobeheer ingevoerd. Deze wordt minstens één keer per jaar geëvalueerd, of in geval van een grote wijziging. Het betreft ook persoonlijke informatie en gevoelige gegevens (gezondheid, betalingen, enz.).

De procedure formaliseert taakanalyses, identificatie van assets, kritieke bedrijfsprocessen, bedreigingen en kwetsbaarheden.

Het is gebaseerd op de ISO 27005-norm. Na elke analyse wordt een plan opgesteld voor het omgaan met de geïdentificeerde risico's. Dit plan wordt dan binnen maximaal 12 maanden geïmplementeerd. Het documenteert de analyse in detail en geeft de volgorde van prioriteit aan voor de te ondernemen acties. Elke corrigerende actie zal aan het actieplan worden toegevoegd en zal officieel worden gecontroleerd. Bovendien wordt de effectiviteit ervan opnieuw beoordeeld op regelmatige herzieningen.

Verandermanagement

Aanbevelingen voor de klant die verantwoordelijk is voor de verwerking

Klanten moeten ervoor zorgen dat hun contactgegevens juist zijn, zodat OVH hen op de hoogte kan brengen van eventuele wijzigingen die mogelijk van invloed zijn op hun oplossingen. Indien nodig, is het aan de klant om de nodige acties voor de configuratie van zijn diensten uit te voeren om rekening te houden met deze ontwikkelingen.

Verbintenissen van OVH als host

Er wordt een formele procedure voor verandermanagement ingevoerd:

  • Rollen en verantwoordelijkheden zijn duidelijk omschreven;
  • Classificatiecriteria zijn gespecificeerd om de stappen te identificeren die moeten worden gevolgd bij het implementeren van de verandering;
  • Prioriteiten worden beheerd; er wordt een risicoanalyse van de wijzigingen uitgevoerd (als een risico wordt vastgesteld, nemen de veiligheidsmanager en de risicomanager deel aan de validatie van de wijziging);
  • Inbraakproeven kunnen worden uitgevoerd (indien van toepassing); de verandering wordt gepland bij de klanten (indien van toepassing);
  • De wijziging wordt geleidelijk uitgerold (1/10/100/1000) en, in geval van een risico, moet een terugdraaiprocedure worden gepland;
  • Een retrospectieve beoordeling van de verschillende assets waarop de wijziging betrekking heeft, wordt uitgevoerd;
  • En alle stappen worden gedocumenteerd in de tool voor verandermanagement.
Systeem- en applicatie-ontwikkelingsbeleid

Verbintenissen van OVH als host

We hebben processen voor OVH-ontwikkelaars opgezet en gedocumenteerd. Ze omvatten principes voor het ontwikkelen van 'privacy by design'-acties op een veilige manier, evenals werkwijzen voor code-verificatie (detectie van kwetsbaarheden, foutafhandeling, aanmeldings- en toegangsbeheer, gegevensopslag en berichtbeveiliging).

  • Codes worden regelmatig herzien:
  • Systematische en onafhankelijke evaluatie van codes voor herplaatsing, bevestiging van nieuwe functies vóór de lancering, testen in de validatie-omgeving (indien van toepassing) en geleidelijke implementatie (1/10/100/1000);
  • Scheiding van rollen en verantwoordelijkheden tussen ontwikkelaars en personen die verantwoordelijk zijn voor productie.
Monitoring van diensten en infrastructuren

Verbintenissen van OVH als host

Voor alle OVH-diensten is een monitoring-infrastructuur geïmplementeerd. Het heeft verschillende doeleinden:

  • Detectie van storingen in productie en beveiliging;
  • Controle van kritieke functies met waarschuwingen in het bewakingssysteem;
  • Rapportage aan verantwoordelijke personen en starten van relevante procedures;
  • Verzekeren van continuïteit van de dienstverlening bij geautomatiseerde taken
  • En de integriteit van bewaakte resources.
Incidentbeheer

Aanbevelingen voor de klant die verantwoordelijk is voor de verwerking

Klanten moeten ervoor zorgen dat hun contactgegevens juist zijn, zodat OVH hen in geval van een incident op de hoogte kan stellen. Ze moeten ook incidentbeheerprocessen implementeren voor incidenten die hun IT-systeem beïnvloeden, waaronder OVH als potentiële bron van waarschuwingen.

Verbintenissen van OVH als host

We hebben een incidentbeheerprocedure opgezet. Deze procedure wordt gebruikt om problemen in de beheerinfrastructuren van de dienst en in de dienst zelf te voorkomen, op te sporen en op te lossen. De procedure omvat:

  • Een handleiding voor het classificeren van beveiligingsevenementen;
  • Omgaan met beveiligingsevenementen;
  • Simulatieoefeningen voor de crisiseenheid;
  • Incident Response Plan-testen;
  • Klantencommunicatie als onderdeel van een crisiseenheid.

Deze procedures worden gedekt door een continu verbeteringsproces voor het bewaken, beoordelen en het algehele beheer van incidenten en hun corrigerende acties.

Kwetsbaarheidsbeheer

Aanbevelingen voor de klant die verantwoordelijk is voor de verwerking

Klanten moeten ervoor zorgen dat hun contactgegevens juist zijn, zodat OVH eventuele opgespoorde kwetsbaarheden aan hen kan melden.

Verbintenissen van OVH als host

Technologische monitoring voor nieuwe kwetsbaarheden wordt uitgevoerd door de beveiligingsmanager en zijn/haar teams. Ze worden geïdentificeerd via:

 

  • • openbare informatiesites;
  • • meldingen van leveranciers of softwareontwikkelaars van geïmplementeerde oplossingen;
  • • incidenten en observaties gerapporteerd door onze operationele teams, derde partijen of klanten;
  • • interne en externe kwetsbaarheidsscans die regelmatig worden uitgevoerd;
  • • technische audits, evenals code- en configuratie-evaluaties.

Als een kwetsbaarheid wordt ontdekt, wordt een analyse uitgevoerd om de impact op mogelijke besturingssystemen en bedrijfsscenario's te bepalen.

Indien nodig worden mitigatiemaatregelen geïmplementeerd, en vervolgens wordt een corrigerend actieplan bepaald.

Elke correctiemaatregel wordt toegevoegd aan de actieplannen en wordt gedekt door een officiële, bijgehouden follow-up, samen met een regelmatige evaluatie om de effectiviteit ervan opnieuw te onderzoeken.

Bedrijfscontinuïteitsbeheer

Aanbevelingen voor de klant die verantwoordelijk is voor de verwerking

Klanten zijn verantwoordelijk voor de continuïteit van hun eigen IT-systeem Ze moeten ervoor zorgen dat de standaardbepalingen die door OVH worden geïmplementeerd, de opties die zij kiezen en eventuele aanvullende bepalingen die zij implementeren, hen in staat stellen hun doelstellingen te bereiken.

Verbintenissen van OVH als host

Bedrijfscontinuïteit van infrastructuren (beschikbaarheid van apparatuur, applicaties en bedrijfsprocessen) wordt verzekerd door verschillende apparaten:

  • De continuïteit van vloeistof- en luchtkoeling;
  • Continuïteit en redundantie van elektriciteitsvoorziening;
  • Capaciteitsbeheer voor apparatuur onder de verantwoordelijkheid van OVH;
  • De technische ondersteuning van de dienst;
  • Redundantie van apparatuur en servers die worden gebruikt voor systeembeheer.

Tegelijkertijd zorgen andere mechanismen, zoals netwerk-backup en apparatuurconfiguratie, voor het herstel van de dienst in geval van een incident.

Afhankelijk van de dienst kan OVH backup- en herstelfuncties aan de klant aanbieden, als onderdeel van het basispakket of als aanvullende dienst.

Natuurlijke en omgevingsrisico's

Verbintenissen van OVH als host

We hebben maatregelen getroffen om natuurlijke en milieurisico's te voorkomen:

  • Zo zijn er bliksemafleiders geïnstalleerd om de gelijktijdige elektromagnetische straling te verminderen;
  • OVH-kantoren zijn opgezet in gebieden zonder overstromings- en aardbevingsrisico;
  • ‘Uninterruptible power supply’ (UPS) en noodtransformatoren met automatische lastschakeling;
  • Automatische overschakeling naar reservegeneratoren met een autonome levensduur van ten minste 24 uur;
  • Een vloeistofkoelsysteem wordt gebruikt voor servers (98% van onze hostingruimtes hebben geen airconditioning);
  • Verwarming, ventilatie en airconditioning (HVAC)-eenheden worden gebruikt om de temperatuur en vochtigheid op constante niveaus te houden;
  • En een branddetectiesysteem wordt uitgevoerd (brandoefeningen worden om de zes maanden uitgevoerd in datacenters).
Algemene veiligheidsmaatregelen voor fysieke ruimtes

Verbintenissen van OVH als host

De fysieke toegang tot OVH-ruimtes gebaseerd op beperkende perimeterbeveiliging, dat wil zeggen, de omheining van de gebieden die begint bij het ingangsgebied. Elke ruimte is als volgt ingedeeld:

  • • privéruimtes;
  • • kantoren die toegankelijk zijn voor alle werknemers en geregistreerde bezoekers;
  • • vertrouwelijke kantoren, beperkt tot bepaalde personeelsleden;
  • • ruimtes waar datacenterapparatuur is gevestigd;
  • • vertrouwelijke ruimtes van datacenters;
  • • datacentergebieden waarin kritieke diensten worden gehost.
Algemene veiligheidsmaatregelen voor fysieke ruimtes

Verbintenissen van OVH als host

We hebben beveiligingsmaatregelen ingevoerd om de toegang tot de fysieke sites van OVH te regelen:

  • Een badge-beleid;
  • Muren (of soortgelijke middelen) tussen elke ruimte;
  • Camera's bij de ingangen en uitgangen van installaties, evenals in de serverruimten;
  • Beveiligde toegang, gecontroleerd door badge-scanners;
  • Laserbarrières in de parkeergarages;
  • Een bewegingsdetectiesysteem;
  • Inbraakpreventiesystemen bij de ingangen en uitgangen van datacenters;
  • Inbraakdetectiemechanismen (24-uurs beveiliging en camerabewaking);
  • Een permanent controlecentrum voor het bewaken en regelen van de opening van de toegangspoorten.
Toegang tot OVH-ruimtes

Verbintenissen van OVH als host

Fysieke toegangscontrole is gebaseerd op een systeem van badges. Elke badge is gekoppeld aan een OVH-account, dat op zijn beurt is gekoppeld aan een persoon. Zo kan elke persoon in het pand worden geïdentificeerd en kunnen controlemechanismen worden gecontroleerd:

  • • elke persoon die aankomt op het OVH-terrein moet een persoonlijke badge hebben;
  • • identiteit wordt altijd gecontroleerd voordat een badge wordt uitgegeven;
  • • op het terrein moet de paspoortkaart zichtbaar worden gedragen;
  • • badges mogen niet de naam van de eigenaar of de naam van het bedrijf vermelden;
  • • badges kunnen worden gebruikt om onmiddellijk de categorie van aanwezige personen (werknemer, derde partij, tijdelijke pas, bezoeker) te identificeren;
  • • de badge wordt gedeactiveerd zodra de eigenaar niet langer geautoriseerd is om toegang tot de faciliteiten te krijgen;
  • • de OVH-medewerkers-badge is geactiveerd voor de duur van de arbeidsovereenkomst; voor andere categorieën wordt het automatisch gedeactiveerd na een vastgestelde periode;
  • • een badge die gedurende drie weken niet gebruikt is wordt automatisch uitgeschakeld.
Beheer van toegang tot ruimtes

Verbintenissen van OVH als host

Toegang tot de deuren via badges

Dit is de standaard toegangscontrole binnen de gebouwen van OVH:

  • • de deur is verbonden met het gecentraliseerde toegangscontrolesysteem;
  • • de persoon moet zijn badge op de betreffende scanner houden om de deur of poort te ontgrendelen;
  • • de badge wordt gecontroleerd op het moment van scannen, om het recht op toegang van de persoon te waarborgen;
  • • als het gecentraliseerde toegangscontrolesysteem niet werkt, zijn de machtigingen die op het moment van de storing zijn geconfigureerd, van kracht tijdens de situatie;
  • • deursloten zijn beschermd tegen stroomuitval en blijven gesloten wanneer de stroom uitvalt.

Toegang tot de deuren via badges

Sommige gebieden of apparatuur worden vergrendeld met behulp van sleutels:

de sleutels worden voor elke ruimte opgeslagen in een gecentraliseerde, locatie met beperkte toegang, met een referentiedocument;
elke sleutel wordt geïdentificeerd via een label; er wordt een inventaris van de sleutels bijgehouden;
elk gebruik van de sleutels is traceerbaar, via een afleveringsmechanisme of een papieren logboek;
het referentiedocument voor de sleutels wordt dagelijks vergeleken met de inventaris.

Toegang tot datacenters via single-person-airlocks (sluizen).

Onze datacenters zijn uitsluitend toegankelijk via single-person-airlocks (sluizen):

elke sluis heeft twee deuren en een afgebakend gebied tussen de controles, om te zorgen dat slechts één persoon tegelijk doorkomt;
elke deur zal niet openen tenzij de andere deur gesloten is (mantrap) ;
de sluizen gebruiken hetzelfde badge-systeem als de andere deuren, en er gelden dezelfde regels voor hen:
detectiemechanismen controleren of er maar één persoon is in de sluis (anti-meeliften);
het systeem is ontworpen om ervoor te zorgen dat badges niet meer dan eens in dezelfde richting kunnen worden gebruikt (anti-passback);
een camera naast de sluis betekent dat binnenkomende personen kunnen worden gecontroleerd.

Toegang tot de beveiligingsgateway (goederensluis)

  • De goederenstroom naar de datacenters vindt alleen plaats via de beoogde gangen:
  • • het leveringsgebied is op dezelfde manier geconfigureerd als de beveiligingsgateway voor personen, alleen de ruimte is groter, er is geen controle over volume en gewicht, en drukknoppen bevinden zich alleen buiten;
  • • alleen het geleverde item passeert door het leveringsgebied, personen moeten binnenkomen via beveiligingsgateways;
  • • het leveringsgebied heeft een bewakingscamera zodat dode hoeken niet voorkomen.
Beheer van fysieke toegang voor derden

Aanbevelingen voor de klant die verantwoordelijk is voor de verwerking

OVH voert nooit interventies uit bij klanten. Klanten zijn verantwoordelijk voor de beveiliging van hun kantoren.

Verbintenissen van OVH als host

De handelingen van bezoekers en ad hoc dienstverleners worden strikt gecontroleerd. Deze personen worden geregistreerd zodra ze op de locatie aankomen en krijgen een bezoekersbadge of dienstverlenersbadge:

  • • elk bezoek moet van tevoren worden gemeld;
  • • derden vallen onder de verantwoordelijkheid van een medewerker en worden altijd vergezeld;
  • • alle identiteiten worden geverifieerd voordat ze toegang krijgen tot de ruimtes;
  • • elke derde partij heeft een persoonlijke badge toegewezen gekregen voor de dag, die moet worden teruggegeven voordat deze de site verlaat;
  • • alle badges moeten zichtbaar worden gedragen;
  • • badges worden automatisch gedeactiveerd aan het einde van het bezoek.
Bewustzijn en training van personeel

Verbintenissen van OVH als host

Het OVH-personeel is op de hoogte van de beveiligings- en complianceregels voor de verwerking van persoonsgegevens:

  • Trainingssessies worden over deze onderwerpen aan de betrokken teams gegeven;
  • Opleidingssessies over het uitvoeren van audits worden jaarlijks aan de betrokken teams aangeboden;
  • Trainingssessies worden over deze onderwerpen aan de betrokken teams gegeven;
  • Een bewustmakingscursus van informatiebeveiliging (IS) wordt georganiseerd tijdens de integratie van nieuwe werknemers;
  • Opleidingssessies over technische diensten worden jaarlijks aan de betrokken teams aangeboden;
  • Testcampagnes zijn georganiseerd om ervoor te zorgen dat werknemers de juiste reacties hebben in het geval van een dreiging.
Beheer van logische toegang tot het OVH IT-systeem

Verbintenissen van OVH als host

We hebben een strikt logisch toegangsbeheerbeleid ingevoerd voor werknemers:

  • • autorisaties worden verleend en gecontroleerd door de managers, in overeenstemming met de regel van beperkte toegang en het beginsel van geleidelijk vertrouwen;
  • • voor zover mogelijk zijn alle rechten gebaseerd op gebruikersrollen en niet op individuele rechten;
  • • toegangsrechten en beheer van de gebruiker of systeemautoriteit zijn gebaseerd op registratie-, bewerkings- en verwijderingsprocedures met managers, interne informatiesystemen en personeel;
  • • alle werknemers gebruiken persoonlijke gebruikersaccounts;
  • • sessies hebben systematisch een verlooptijd die is aangepast aan elke toepassing;
  • • identificatie van gebruikers wordt gecontroleerd vóórdat wijzigingen in authenticatiemethoden worden aangebracht;
  • • wanneer het wachtwoord is vergeten, kan alleen de manager van de medewerker of de beveiligingsmedewerker het wachtwoord opnieuw instellen;
  • • gebruikersaccounts worden automatisch uitgeschakeld als het wachtwoord niet binnen 90 dagen wordt vernieuwd;
  • • het gebruik van standaard, generieke en anonieme accounts is verboden;
  • • we hebben een strikt wachtwoordbeleid ingevoerd;
  • • dankzij het gebruik van een automatische generator, kiest de gebruiker zijn wachtwoord niet zelf;
  • • de minimale wachtwoordgrootte is 10 alfanumerieke tekens;
  • • de wachtwoordvernieuwingsfrequentie is 3 maanden;
  • • opslag van wachtwoorden in niet-versleutelde bestanden, op papier of in webbrowsers is verboden;
  • • het gebruik van lokale wachtwoordbeheersoftware, gevalideerd door beveiligingsteams, is verplicht;
  • • alle externe toegang tot het informatiesysteem (IS) van OVH wordt bereikt via een VPN, waarvoor een wachtwoord vereist is dat alleen de gebruiker kent en een gedeeld geheim dat op het werkstation is geconfigureerd.
Beheer van administratieve toegang tot de productieplatforms

Verbintenissen van OVH als host

Er is een beheerbeleid voor platforms ingevoerd:

  • Elke administratieve toegang tot een productiesysteem wordt uitgevoerd via een bastion host;
  • Beheerders maken via SSH verbinding met de bastions door gebruik te maken van private en nominatieve publieke en private sleutelparen;
  • De verbinding met het doelsysteem wordt uitgevoerd via een gedeelde serviceaccount of via een nominatief account via bastions; • het gebruik van standaardaccounts op systemen en apparatuur is verboden;
  • Two-factor-authenticatie is verplicht voor toegang van externe beheerders en toegang van werknemers tot gevoelige domeinen, met uitgebreide tracking;
  • Beheerders hebben, naast hun gebruikersaccount, een account dat uitsluitend is gericht op beheertaken;
  • Autorisaties worden verleend en gecontroleerd door de managers, in overeenstemming met de regel van beperkte toegang en het beginsel van geleidelijk vertrouwen;
  • SSH-sleutels worden beschermd door een wachtwoord dat voldoet aan de vereisten voor het wachtwoordbeleid; • er wordt een regelmatige evaluatie van rechten en toegang uitgevoerd in samenwerking met de betrokken diensten.
Beheer van toegang tot het Control Panel

Aanbevelingen voor de klant die verantwoordelijk is voor de verwerking

Zij zijn verantwoordelijk voor het beheer en de beveiliging van hun verificatiemethoden. Klanten die hun account extra bescherming willen bieden, kunnen: twee-factor-authenticatie activeren in hun OVH Control Panel; alleen verbindingen toestaan vanuit een lijst met IP-adressen die van tevoren zijn gedefinieerd.

Verbintenissen van OVH als host

Klanten kunnen hun OVH-diensten beheren via hun Control Panel of de API. Standaard worden een persoonlijk klantenaccount (NIC handle) en wachtwoord gebruikt om in te loggen:

  • Het wachtwoord wordt gekozen door de klant en moet voldoen aan de complexiteitscriteria die door de interface worden opgelegd;
  • Alleen de hashes van de wachtwoorden worden opgeslagen op de servers van OVH;
  • OVH biedt de mogelijkheid om two-factor-authenticatie vanaf de locatie van de klant mogelijk te maken, via een eenmalig wachtwoordsysteem (OTP) verzonden via sms, het gebruik van een mobiele applicatie of het gebruik van een U2F-compatibele sleutel.
  • De klant kan de toegang tot zijn Control Panel beperken tot vooraf gedefinieerde IP-adressen;
  • API-toegangstokens kunnen gedurende hun geldigheidsperiode worden gebruikt, zonder specifieke controles uit te voeren;
  • Alle klantactiviteiten in het Control Panel of de API zijn vastgelegd;
  • De klant kan technische en administratieve taken met betrekking tot servicebeheer scheiden.
Beveiliging voor werkstations en mobiele apparatuur

Aanbevelingen voor de klant die verantwoordelijk is voor de verwerking

Klanten moeten ervoor zorgen dat hun werkstations en mobiele apparatuur beveiligd zijn om het beheer van de dienst en de systemen mogelijk te maken.

Verbintenissen van OVH als host

Beveiliging van standaard werkstations

Er worden maatregelen getroffen om de veiligheid van de standaard werkstations van OVH-personeel te waarborgen:

 

  • Automatisch updatebeheer;
  • Installatie en update van antivirus, met regelmatige scans; • installatie van uitsluitend applicaties uit een gevalideerde catalogus;
  • Systematische codering van harde schijven;
  • Werknemers hebben geen administratieve rechten voor hun werkstations;
  • Procedure voor het verwerken van een mogelijk aangetast werkstation;
  • Standaardisatie van apparatuur;
  • Verwijdering en reset van sessies en werkstations wanneer medewerkers het bedrijf verlaten.

Beveiliging van mobiele apparaten

We hebben maatregelen genomen om de veiligheid van zowel persoonlijke als OVH mobiele apparaten te waarborgen:

  • Verplichte registratie van apparaten op een gecentraliseerd beheersysteem voorafgaand aan toegang tot interne bronnen (WiFi, e-mails, agenda's, directory‘s, enz.)
  • Verificatie van het beveiligingsbeleid dat op het apparaat is geïmplementeerd (ontgrendelcode, blokkeervertraging, opslagversleuteling);
  • Procedure voor het op afstand wissen van apparaten in geval van diefstal of verlies.
Netwerkbeveiliging

Aanbevelingen voor de klant die verantwoordelijk is voor de verwerking

De klant is als enige verantwoordelijk voor de codering van de inhoud die via het OVH-netwerk moet worden gecommuniceerd.

Verbintenissen van OVH als host

OVH beheert een eigen hoogwaardig glasvezelnetwerk, dat is verbonden met vele operatoren en expediteurs. OVH beheert zijn eigen backbone intern; het distribueert de connectiviteit met de lokale netwerken van elk datacenter en verbindt de datacenters met elkaar.

Al deze apparaten zijn beveiligd middels de volgende maatregelen:

  • Het bijhouden van een inventaris in een configuratiebeheerdatabase;
  • De implementatie van een aanscherpingsproces, met handleidingen die beschrijven welke parameters moeten worden gewijzigd om een veilige configuratie te garanderen;
  • Toegang tot de functies voor apparaatbeheer is beperkt via checklists;
  • Alle apparatuur wordt beheerd door een bastion host, waarbij het principe van het minste voorrecht wordt toegepast;
  • Alle configuraties van de netwerkapparaten worden opgeslagen;
  • De logs worden verzameld, gecentraliseerd en continu gecontroleerd door het netwerkoperatieteam;
  • De implementatie van configuraties is geautomatiseerd en gebaseerd op gevalideerde sjablonen.
Bedrijfscontinuïteitsbeheer

Verbintenissen van OVH als host

Er is een beleid geïmplementeerd op de servers en apparatuur die door OVH worden gebruikt om zijn diensten te leveren:

  • Alle systemen en gegevens die nodig zijn voor de continuïteit van diensten, voor de reconstructie van het IT-systeem of voor analysedoeleinden na een incident, worden gebackupt (technische en administratieve database-bestanden, activiteitenlogs, broncodes voor intern ontwikkelde applicaties, configuraties voor servers, applicaties en apparatuur, enz.);
  • De intervallen, bewaartermijnen en wijze van opslaan van backups worden gedefinieerd in overeenstemming met de vereisten van elk backup-bestand; de backup-procedure wordt gedekt door een bewakingsproces en door een proces voor alarm- en foutbeheer.
Logging

Aanbevelingen voor de klant die verantwoordelijk is voor de verwerking

De klant is als enige verantwoordelijk voor het registratiebeleid voor zijn eigen systemen en applicaties.

Verbintenissen van OVH als host

Er is een beleid geïmplementeerd op de servers en apparatuur die door OVH worden gebruikt om zijn diensten te leveren:

  • Gecentraliseerde backup en bewaring van logs;
  • Het bekijken en analyseren van logs is alleen toegestaan voor beperkte personen in overeenstemming met de bevoegdheden en toegangsrechten;
  • Taakverdeling tussen het monitoringinfrastructuurteam en het team dat verantwoordelijk is voor het gebruik van de dienst. Lijst met acties die moeten worden vastgelegd:
  • Logs van opslagservers die klantgegevens hosten;
  • Logs van machines die de infrastructuur van de klant beheren;
  • Logs van machines voor monitoring van infrastructuur;
  • Logs van antivirus geïnstalleerd op alle uitgeruste machines;
  • Controle van integriteit van logs en systemen, indien aanwezig;
  • Taken en activiteiten uitgevoerd door de klant in zijn/haar infrastructuur;
  • Logs van netwerkinbraak-detectie en meldingen, indien van toepassing;
  • Logs van netwerkapparatuur;
  • Logs van infrastructuur van bewakingscamera's;
  • Logs van systeembeheerders;
  • Logs van de tijdservers;
  • Logs van de badges;
  • Logs van de bastions;