OVH ja henkilötietojen suojaaminen

On ehdottoman tärkeää tehdä ero asiakkaan ylläpitämien tietojen tietosuojan sekä kyseisiä tietoja ylläpitävien infrastruktuurien tietosuojan välillä.

Thumbnail

Asiakkaan ylläpitämien tietojen tietosuoja: Asiakas on yksin vastuussa palveluiden puitteissa käyttämiensä resurssien ja järjestelmien suojaamisesta. OVH tarjoaa asiakkaan avuksi työkaluja tietojen suojaamiseen.

Thumbnail

Infrastruktuurien tietosuoja: OVH on sitoutunut ihanteelliseen tietoturvaan infrastruktuureissaan, erityisesti ottamalla käyttöön tietojärjestelmien tietoturvaa koskevia käytäntöjä sekä vastaamalla useiden normien ja sertifikaattien vaatimuksiin (PCI-DSS-sertifiointi, ISO/IEC 27001 -sertifikaatti, SOC 1 TYPE II ja SOC 2 TYPE II -sertifioinnit jne.).

Kaikki sertifioinnit sekä tarkat tiedot niiden kattamista alueista löytyvät tältä sivulta.

OVH:n infrastruktuurien tietoturva

OVH toteuttaa tarvittavia varotoimenpiteitä varmistaakseen käsiteltyjen henkilötietojen tietoturvan sekä luottamuksellisuuden, erityisesti niiden vääristymisen tai vaurioitumisen estämiseksi tai kolmansien osapuolien luvattoman pääsyn torjumiseksi.

OVH sitoutuu erityisesti toteuttamaan:

Tietoturvanhallintajärjestelmä

OVH:n sitoumukset palveluntarjoajana

Olemme ottaneet käyttöön tietojärjestelmiä koskevan tietoturvakäytännön, joka kuvaa kaikki aiheeseen liittyvät järjestelymme. Tietojärjestelmiä koskevaa tietoturvakäytäntöä päivitetään vähintään kerran vuodessa tai aina kun tapahtuu merkittäviä muutoksia, jotka vaikuttavat sen sisältöön. Ratkaisujemme tietoturva määräytyy puolestaan muodollisissa tietoturvanhallintajärjestelmissä.

Tietoturvaa koordinoidaan erilaisilla ammattirooleilla:

  • tietojärjestelmien tietoturvavastaava
  • turvallisuusvastaava, joka vastaa alueen turvallisuuteen liittyvistä prosesseista ja projekteista
  • tietosuojavastaava (DPO), joka varmistaa henkilötietojen suojauksen
  • riskien hallinnoija, joka koordinoi tietoturvariskien hallintaa ja asianmukaisia toimintasuunnitelmia
  • turvatoimista vastaava taho, joka toteuttaa ja soveltaa tunnistettuihin riskeihin liittyvät toimet.
Vaatimustenmukaisuus ja sertifiointi

OVH:n sitoumukset palveluntarjoajana

Turvallisuusauditointeja toteutetaan säännöllisesti varmistamaan vaatimustenmukaisuus sekä arvioimaan järjestelmiemme suorituskyky. Auditointitapoja on viisi:

  • ulkoiset auditoinnit (sertifioinnit, todistukset, asiakkaat)
  • sisäisten tai ulkopuolisten auditoijien suorittamat sisäiset auditoinnit
  • tekniset auditoinnit sisäisten tai ulkoisten auditoijien toteuttamana (läpäisytestaus, tietoturvaheikkouksien skannaus, koodin tarkistus)
  • kolmannen osapuolen toiminnan auditointi kolmannen osapuolen hallinnoinnista vastaavan toimesta
  • konesalien auditointi sisäisten auditoijien toteuttamana. Auditointien luonne ja toistumisväli riippuvat ratkaisuista ja käyttöalueista. Kun tunnistetaan tilanne, jossa vaatimuksia ei noudateta, lisätään toimintasuunnitelmaan korjaava toimenpide. Kaikki toimenpiteet ovat virallisessa seurannassa ja ne kirjataan. Lisäksi tehdään säännöllisesti tarkistuksia, joissa toimenpiteiden tehokkuutta arvioidaan uudelleen.
Asiakasauditoinnit

Suositukset tietojenkäsittelystä vastaaville asiakkaille

Asiakas voi toteuttaa hänelle ylläpidetyille palveluille sekä palvelun hallinnan osille teknisiä auditointeja (läpäisytestaus). Auditointien toteutuksen ehdot on määritelty sopimuksissa tai niitä hallinnoidaan tapauskohtaisesti pyydettäessä.

OVH:n sitoumukset palveluntarjoajana

Auditointien toteutuksen ehdot on määritelty sopimuksissa tai niitä hallinnoidaan tapauskohtaisesti pyydettäessä.

Riskienhallinta

Suositukset tietojenkäsittelystä vastaaville asiakkaille

Asiakkaan on varmistuttava, että OVH:n laatimat turvatoimet ovat asiaankuuluvia asiakkaan infrastruktuurin käyttöön liittyviin riskeihin nähden.

OVH:n sitoumukset palveluntarjoajana

Olemme ottaneet käyttöön virallisen riskienhallintamenettelyn. Se tarkistetaan vähintään kerran vuodessa tai kun tapahtuu merkittäviä muutoksia. Se koskee myös henkilötietoja sekä arkaluontoisia tietoja (terveys-, maksutiedot jne.).

Menettely virallistaa tehtävät analyysit, omaisuuserien tunnistamisen, kriittiset liiketoimintaprosessit, uhat ja haavoittuvuudet.

Se perustuu ISO 27005 -normiin. Suunnitelma tunnistettujen riskien käsittelemiseksi laaditaan jokaisen analyysin päätteeksi ja otetaan käyttöön enintään 12 kuukauden kuluessa. Suunnitelma esittelee analyysin yksityiskohtaisesti, ja toteutettavat toimenpiteet asetetaan tärkeysjärjestykseen. Jokainen korjaava toimenpide lisätään toimintasuunnitelmaan ja on virallisessa seurannassa. Lisäksi sen tehokkuutta arvioidaan uudelleen säännöllisesti tehtävissä tarkistuksissa.

Muutostenhallinta

Suositukset tietojenkäsittelystä vastaaville asiakkaille

Asiakkaan on varmistuttava yhteystietojensa oikeellisuudesta, jotta OVH voi ilmoittaa asiakkaalle asiakkaan käyttämiin ratkaisuihin mahdollisesti vaikuttavista muutoksista. Muussa tapauksessa asiakkaan tulee tehdä tarvittavat toimet palveluidensa konfiguraatioihin muutosten huomioon ottamiseksi.

OVH:n sitoumukset palveluntarjoajana

Olemme ottaneet käyttöön virallisen muutostenhallintaprosessin:

  • roolit ja vastuualueet on määritelty selkeästi
  • luokittelukriteerejä on tarkennettu, jotta voidaan tunnistaa muutoksen toteutuksessa seurattavat vaiheet
  • prioriteettien hallinta, muutoksiin liittyvä riskien analysointi on toteutettu (jos riski tunnistetaan, turvallisuusvastaava ja riskien hallinnoija osallistuvat muutoksen vahvistukseen)
  • mahdollisia läpäisytestauksia suoritetaan (jos sovellettavissa), muutos suunnitellaan ja ohjelmoidaan asiakkaiden kanssa (jos sovellettavissa)
  • käyttöönotto tapahtuu asteittain (1/10/100/1000) ja riskien varalta prosessi takaisinpäin palaamiseksi suunnitellaan
  • jälkitarkastus niille instrumenteille, joita muutos kosketti
  • vaiheiden dokumentointi muutostenhallintatyökalussa.
Järjestelmien ja sovellusten kehityskäytännöt

OVH:n sitoumukset palveluntarjoajana

Olemme ottaneet käyttöön OVH:n kehittäjien käyttöön tarkoitettuja prosesseja ja ne on dokumentoitu. Ne sisältävät periaatteet “privacy by design” -toimien kehittämiseen turvatulla tavalla sekä koodintarkastuksen käytännöt (haavoittuvuuksien havaitseminen, virheiden käsittely, kirjautumisten hallinta, datasäilöjen ja viestien suojaus).

  • koodeja tarkistetaan säännöllisesti
  • uusien ominaisuuksien vahvistaminen ennen lanseerausta, testaus vahvistusympäristössä (jos sovellettavissa) ja asteittainen käyttöönotto (1/10/100/1000)
  • roolien ja vastuualueiden erottaminen kehittäjien ja tuotannosta vastaavien henkilöiden välillä.
Palveluiden ja infrastruktuurien monitorointi

OVH:n sitoumukset palveluntarjoajana

Kaikille OVH:n palveluille on toteutettu monitorointi-infrastruktuuri. Sillä on useita tavoitteita:

  • häiriöiden havaitseminen tuotannossa ja turvallisuudessa
  • kriittisten toimintojen valvonta seurantajärjestelmään muodostetuilla varoituksilla
  • ilmoittaminen vastuuhenkilöille ja asiaankuuluvien menettelyiden käynnistäminen
  • palvelun jatkuvuuden varmistaminen automatisoitujen tehtävien täyttämisessä
  • monitoroitujen resurssien eheyden varmistaminen.
Häiriöidenhallinta

Suositukset tietojenkäsittelystä vastaaville asiakkaille

Asiakkaan on varmistuttava yhteystietojensa oikeellisuudesta, jotta OVH voi ilmoittaa häiriötilanteista. Asiakkaan on luotava tietojärjestelmäänsä koskettava häiriöidenhallintamenettely, joka sisältää OVH:n mahdollisena hälytysten lähteenä.

OVH:n sitoumukset palveluntarjoajana

Olemme ottaneet käyttöön häiriöidenhallintamenettelyn. Sillä voidaan ehkäistä, havaita ja ratkaista häiriötilanteita sekä palvelun hallintainfrastruktuurissa että palvelussa itsessään. Prosessiin sisältyy:

  • turvallisuustapahtumien luokitteluohje
  • turvallisuustapahtumien käsittely
  • simulointiharjoitukset kriisiyksikölle
  • häiriötilannesuunnitelman testaukset
  • kriisiyksikköön liittyvä asiakasviestintä.

Menettelyitä parannetaan jatkuvasti valvonnan, arvioinnin sekä yleisen häiriöiden hallinnan ja niitä koskevien korjaavien toimien osalta.

Haavoittuvuuksienhallinta

Suositukset tietojenkäsittelystä vastaaville asiakkaille

Asiakkaan on varmistuttava yhteystietojensa oikeellisuudesta, jotta OVH voi ilmoittaa tietojärjestelmässään havaitsemista haavoittuvuuksista.

OVH:n sitoumukset palveluntarjoajana

Turvallisuusvastaava työryhmineen varmistaa teknologian seurannan uusien tietoturvaheikkouksien varalta. Ne tunnistetaan:

 

  •  julkisten verkkosivustojen kautta
  • valmistajien tai käytössä olevien ohjelmistojen kehittäjien antamien varoitusten avulla
  • työryhmiemme, asiakkaidemme tai kolmansien osapuolten ilmoittamien häiriöiden tai havaintojen perusteella
  • säännöllisesti toteutettujen sisäisten ja ulkopuolisten tekemien haavoittuvuuskartoitusten kautta
  • teknisten auditointien sekä koodien ja konfigurointien tarkistusten avulla.

Jos havaitaan haavoittuvuus, toteutetaan analyysi vaikutusten arvioimiseksi järjestelmiin sekä mahdolliset toimintaskenaariot.

Mitigaatiotoimet käynnistetään, mikäli niitä tarvitaan. Tämän jälkeen määritetään korjaussuunnitelma.

Jokainen korjaava toimenpide lisätään toimintasuunnitelmaan ja on virallisessa seurannassa. Lisäksi sen tehokkuutta arvioidaan uudelleen säännöllisillä tarkistuksilla.

Toiminnan jatkuvuuden hallinnointi

Suositukset tietojenkäsittelystä vastaaville asiakkaille

Tietojärjestelmän jatkuvuus ja asiakkaan vastuu. Asiakkaan tulee varmistaa, että OVH:n asettamat standardivälineet, tilatut lisäpalvelut ja käyttöönotetut täydentävät työkalut mahdollistavat tavoitteiden saavuttamisen.

OVH:n sitoumukset palveluntarjoajana

Infrastruktuurien toiminnan jatkuvuus (laitteiden, sovellusten ja toimintaprosessien käytettävyys) varmistetaan erilaisin keinoin:

  • vesi- ja ilmanjäähdytyksen jatkuvuus
  • sähkönsyötön jatkuvuus ja redundanssi
  • OVH:n vastuunalaisuudessa olevien laitteiden kapasiteetin hallinta
  • tekninen tuki
  • järjestelmien hallinnointiin käytettyjen palvelinten ja laitteiden redundanssi.

Lisäksi on olemassa muita mekanismeja kuten verkkolaitteiden konfiguroinnin varmuuskopiointi, jotka varmistavat palvelun uudelleenkäynnistyksen häiriötilanteissa.

Palvelusta riippuen OVH saattaa tarjota asiakkaan käyttöön varmuuskopiointi tai palautusominaisuuksia peruspakettiin sisältyvänä tai lisäpalveluna.

Luonnonriskit ja ympäristöriskit

OVH:n sitoumukset palveluntarjoajana

Olemme ottaneet käyttöön toimenpiteitä luonnon- ja ympäristöriskien ehkäisemiseksi:

  • ylijännitesuojien asennus samanaikaisten sähkömagneettisten aaltojen vähentämiseksi
  • OVH:n toimitilojen sijoittaminen alueille, joilla ei ole tulva- ja maanjäristysvaaraa
  • keskeytymätön riittävän kapasiteetin sähkönsyöttö (UPS-varavirtalähde) sekä varamuuntajat automaattisella kuormituksen siirrolla
  • automaattinen siirtyminen varageneraattoreihin, joiden autonominen toiminta-aika on vähintään 24 tuntia
  • palvelinten vesijäähdytysjärjestelmän toteuttaminen (98 % konesaleista toimii ilman koneellista ilmastointia)
  • lämpötilan tasaisena pitävien lämmitys-, ilmanvaihto- ja ilmastointiyksikköjen (HVAC) käyttöönotto
  • palonhavaitsemisjärjestelmä (paloharjoituksia toteutetaan konesaleissa puolen vuoden välein).
Yleiset toimet fyysisten tilojen turvallisuuteen liittyen

OVH:n sitoumukset palveluntarjoajana

Fyysinen pääsy OVH:n tiloihin perustuu rajoittavaan kehäsuojaukseen eli alueiden aitaamiseen, joka alkaa sisääntuloalueelta. Jokainen tila saa oman luokituksensa:

  • yksityiset alueet
  • kaikille työntekijöille ja rekisteröidyille vierailijoille vapaat alueet
  • salassa pidettävät toimistot, joihin vain tietyillä henkilöillä on pääsy
  • konesalilaitteita ylläpitävät tilat
  • konesalien salassa pidettävät alueet
  • kriittisiä palveluja ylläpitävät alueet konesaleissa.
Yleiset toimet fyysisten tilojen turvallisuuteen liittyen

OVH:n sitoumukset palveluntarjoajana

Olemme ottaneet käyttöön tietoturvatoimenpiteitä OVH:n fyysisten tilojen kulunvalvontaa varten:

  • kulkulupakäytännöt
  • seinät (tai muu vastaava keino) jokaisen alueen välissä
  • valvontakamerat tilojen sisään- ja uloskäynneissä sekä palvelinsaleissa
  • suojatut sisäänkäynnit, joita valvotaan kulkukorttien leimauslaitteilla
  • laser-esteet paikoitusalueilla
  • liiketunnistusjärjestelmä
  • kulunvalvontamekanismit murtojen estämiseksi konesalien uloskäynneillä
  • tunkeutumisenhavaitsemismekanismit (ympärivuorokautinen vartiointi ja kameravalvonta)
  • pysyvä valvontakeskus, joka säätelee sisääntuloporttien avautumista.
Kulku OVH:n tiloihin

OVH:n sitoumukset palveluntarjoajana

Fyysinen kulunvalvonta perustuu kulkukorttijärjestelmään. Jokainen kulkukortti on yhdistetty OVH-tiliin, joka puolestaan on liitetty yhteen henkilöön. Näin jokainen tiloissa oleva henkilö voidaan tunnistaa ja valvontamekanismit voidaan todentaa:

  • jokaisella OVH:n tiloihin saapuvalla henkilöllä on oltava henkilökohtainen kulkukortti
  • henkilöllisyys tarkistetaan aina ennen kulkukortin antamista
  • tilojen sisällä kulkukorttia on kannettava näkyvästi
  • kulkukortissa ei tule näkyä kortin haltijan tai yrityksen nimeä
  • kulkukorttien avulla voidaan tunnistaa välittömästi läsnä olevien henkilöiden kategoria (työntekijä, ulkopuolinen, tilapäinen kulkulupa, vierailija)
  • kulkukortti poistetaan käytöstä, kun haltijan kulkulupa tiloihin päättyy
  • OVH:n työntekijöiden kulkulupa aktivoidaan työsopimuksen voimassaolon ajaksi, muissa kategorioissa se poistetaan automaattisesti käytöstä määrätyn jakson loputtua
  • kolme viikkoa käyttämättä ollut kulkukortti poistetaan automaattisesti käytöstä.
Alueiden kulunhallinta

OVH:n sitoumukset palveluntarjoajana

Kulku ovista kulkukortilla

Kyse on normaalista kulunvalvonnasta OVH:n tiloissa:

  • ovi on yhteydessä keskitettyyn kulunhallintajärjestelmään
  • henkilön on leimattava kulkukorttinsa lukijassa oven avaamiseksi
  • kulkulupa tarkistetaan lukuhetkellä, jotta varmistetaan henkilön asianmukaiset kulkuoikeudet
  • mikäli keskitetty kulunhallintajärjestelmä on epäkunnossa, häiriötilanteen hetkellä konfiguroidut luvat ovat voimassa tilanteen ajan
  • ovien lukot on suojattu sähkökatkoksilta ja ne pysyvät suljettuina sähkökatkon sattuessa.

Kulku ovista avaimilla

Tietyt alueet tai laitteet on lukittu avaimella:

avaimia säilytetään jokaisessa sijaintipaikassa keskitetyssä ja rajoitetussa paikassa, viitedokumentilla varustettuna,
jokainen avain voidaan tunnistaa etiketin avulla, avaimille tehdään inventaario,
avainten käyttö voidaan jäljittää toimitusmekanismin tai paperikirjanpidon kautta,
avainten viitedokumentit tarkistetaan päivittäin inventaarion mukaan.

Kulku konesaleihin turvasulkujen kautta

Kulku konesaleihimme tapahtuu ainoastaan turvasulkujen kautta:

  • jokaisessa sulussa on valvontakohtien välissä kaksi ovea ja suljettu alue, millä varmistetaan vain yhden henkilön kulku kerrallaan
  • ovea ei voida avata ennen kuin toinen on sulkeutunut (mantrap)
  • turvasulut käyttävät samaa kulkukorttijärjestelmää ja samoin säännöin kuin muutkin ovet
  • tunnistusjärjestelmät varmistavat, että vain yksi henkilö kulkee kerrallaan sulun läpi (anti-piggybacking)
  • järjestelmä on konfiguroitu estämään kortin käyttäminen useampaan kertaan samaan suuntaan (anti-passback)
  • sulun yläpuolelle on asennettu kamera, jolla sisääntuloa valvotaan.

Tavaroiden kulku turvasulkujen kautta

Tavaroiden kulku konesaleihin tapahtuu ainoastaan tarkoitukseen määrättyjen käytävien kautta:

  • toimitusten eteisalue on konfiguroitu samoin kuin henkilöiden kulkuun tarkoitettu turvasulku, ainoastaan tila on suurempi, painoa ja volyymiä ei kontrolloida sekä leimauslaite on ainoastaan ulkopuolella
  • vain toimitettava tavara kulkee eteistilan kautta, henkilöiden on kuljettava turvasulkujen kautta
  • tilassa on valvontakamera sijoitettuna niin, ettei kuolleita kulmia synny.
Kolmansien osapuolten kulunhallinta

Suositukset tietojenkäsittelystä vastaaville asiakkaille

OVH ei puutu asiakkaidensa tilojen turvallisuuteen. Asiakkaat ovat vastuussa omien tilojensa turvallisuudessa.

OVH:n sitoumukset palveluntarjoajana

Satunnaisten vierailijoiden ja palveluntarjoajien liikkuminen on tiukasti rajattua. Henkilöt rekisteröidään heti heidän saavuttuaan paikalle, ja heille annetaan vierailijan tai palveluntarjoajan kulkukortti:

  • jokaisesta vierailusta on ilmoitettava etukäteen
  • ulkopuoliset ovat jonkun henkilökunnan edustajan vastuulla ja aina saatettuja
  • kaikkien henkilöllisyys tarkastetaan ennen pääsyä alueelle
  • jokaisella ulkopuolisella on päivän ajaksi henkilökohtainen kulkukortti, joka on palautettava ennen alueelta poistumista
  • kulkukorttia on kannettava näkyvästi esillä
  • kortit poistetaan käytöstä automaattisesti jokaisen vierailun päätteeksi.
Henkilökunnan tietoisuuden lisääminen ja koulutus

OVH:n sitoumukset palveluntarjoajana

OVH:n henkilökuntaa on valistettu tietoturva-asioista sekä henkilötietojen käsittelyn vaatimuksenmukaisuutta koskevista säännöistä:

  • asianosaisille tiimeille järjestetään tietoturva- ja henkilötietojen käsittelyä koskevia koulutuksia vuosittain
  • asianosaisille tiimeille järjestetään vuosittain koulutuksia auditointien toteuttamisesta
  • asianosaisille tiimeille järjestetään vuosittain koulutuksia teknisistä palveluista
  • tietojärjestelmien tietoturvasta järjestetään valistusta uusille työntekijöille perehdytyksen yhteydessä
  • tietoturvaan liittyvistä asioista kerrotaan säännöllisesti koko henkilöstölle
  • testikampanjoilla varmistutaan, että työntekijät osaavat reagoida oikein uhkaavissa tilanteissa.
OVH:n tietojärjestelmien loogisen pääsyn hallinta

OVH:n sitoumukset palveluntarjoajana

Olemme ottaneet käyttöön työntekijöiden tiukan loogisen pääsyoikeuksien hallinnan:

  •  esimiehet jakavat ja seuraavat valtuuksia suppeiden käyttöoikeuksien säännön mukaisesti sekä asteittaisen luottamuksen saavuttamisen periaatteella
  • mahdollisuuksien rajoissa kaikki valtuudet perustuvat käyttäjärooleihin eivätkä yksittäisiin oikeuksiin
  • pääsyoikeudet ja käyttäjälle tai järjestelmälle annettavien valtuuksien hallinta perustuu rekisteröinti-, muokkaus- ja poistamismenettelyyn, johon liittyvät esimiehet, sisäinen tietojärjestelmä sekä henkilöstöresurssit
  • kaikki työntekijät käyttävät henkilökohtaisia käyttäjätilejä
  • istunnoilla on järjestelmällisesti vanhentumisaika, joka on mukautettu jokaiseen sovellukseen
  • käyttäjien henkilöllisyys varmistetaan ennen muutosten tekoa todentamismenetelmiin
  • salasanan unohtuessa ainoastaan työntekijän esimies tai turvallisuusvastaava voi nollata salasanan
  • käyttäjätilit poistetaan automaattisesti käytöstä, jos salasanaa ei uusita 90 päivän kuluessa
  • oletustilien, yleisten tai anonyymien tilien käyttö on kielletty
  • salasanoja koskevat tiukat tietoturvakäytännöt
  • automaattisen salasanageneraattorin ansiosta käyttäjä ei valitse itse salasanaansa
  • salasanan vähimmäispituus on 10 alfanumeerista merkkiä
  • salasana uusitaan kolmen kuukauden välein
  • salasanojen säilytys salaamattomissa tiedostoissa, paperilla tai verkkoselaimissa on kielletty
  • tietoturvatiimien hyväksymän paikallisen salasanojenhallintasovelluksen käyttö on pakollista
  • etäyhteydet OVH:n tietojärjestelmään toteutetaan VPN-yhteydellä, joka edellyttää ainoastaan käyttäjän tiedossa olevaa salasanaa sekä työpöydälle konfiguroitua käyttäjän ja VPN-palveluntarjoajan tiedossa olevaa salausavainta (shared secret).
Tuotantoalustojen järjestelmänvalvojan käyttöoikeuksien hallinta

OVH:n sitoumukset palveluntarjoajana

Olemme ottaneet käyttöön alustojen järjestelmänvalvojan käyttöoikeuksien hallintakäytäntöjä:

  • järjestelmänvalvojan pääsy tuotannossa olevaan järjestelmään tapahtuu vallikoneen (bastion host) kautta
  • järjestelmänvalvojat kirjautuvat vallikoneeseen SSH-yhteydellä käyttäen julkisia ja yksityisiä yksilöllisiä ja henkilökohtaisia avainpareja
  • yhteys kohdejärjestelmään tapahtuu joko jaetun palvelutilin kautta tai henkilökohtaisella tilillä vallikoneiden kautta, oletustilien käyttö järjestelmissä ja laitteissa on kiellettyä
  • kaksoistodentaminen on pakollista järjestelmänvalvojien etäyhteyksissä samoin kuin työntekijöiden kirjautumisissa arkaluontoisille toimialueille kattavalla jäljityksellä
  • järjestelmänvalvojilla on yksinomaan järjestelmänvalvontatehtäville osoitettu tili oman käyttäjätilin lisäksi
  • esimiehet jakavat ja seuraavat valtuuksia suppeiden käyttöoikeuksien säännön mukaisesti sekä asteittaisen luottamuksen saavuttamisen periaatteella
  • SSH-avaimet on suojattu salasanakäytäntöjä noudattavalla salasanalla, käyttöoikeudet tarkistetaan säännöllisesti yhteistyössä kyseessä olevien osastojen kanssa.
Hallintapaneeliin käyttöoikeuksien valvonta

Suositukset tietojenkäsittelystä vastaaville asiakkaille

Asiakas on vastuussa tunnistautumistapojen turvallisuudesta sekä hallinnasta. Asiakkaalla on mahdollisuus parantaa tilinsä käyttöoikeuksien suojausta: aktivoimalla kaksoistunnistautuminen OVH:n hallintapaneelissa, rajoittamalla yhteydet etukäteen määritettyyn IP-osoitteiden listaan.

OVH:n sitoumukset palveluntarjoajana

Asiakkaan tekemä OVH:n palveluiden hallinta tapahtuu hallintapaneelissa tai API-ohjelmistossa. Kirjautuminen tapahtuu oletuksena henkilökohtaisen asiakastilin ja salasanan avulla:

  • asiakkaan valitseman salasanan on noudatettava käyttöliittymän asettamia monimutkaisuutta koskevia ehtoja
  • ainoastaan salasanan tiivisteet säilytetään OVH:n palvelimilla
  • OVH tarjoaa mahdollisuuden ottaa käyttöön kaksoistodennus hallintapaneelissa kertakäyttöisten salasanojen järjestelmällä (OTP), joka toimittaa salasanan joko tekstiviestitse tai käyttäen mobiilisovellusta tai U2F-yhteensopivaa avainta
  • asiakas voi rajata pääsyn hallintapaneeliinsa vain etukäteen määritellyille IP-osoitteille
  • APIn kirjautumistunnisteita voidaan käyttää niiden voimassaolon ajan ilman tarvetta erityisille tarkistuksille
  • asiakkaan hallintapaneelissa ja APIssa tekemät toimenpiteet kirjataan
  • asiakas voi erottaa tekniset tehtävät palvelun hallintaan liittyvistä hallinnollisista tehtävistä.
Työpisteiden ja mobiililaitteiden tietoturva

Suositukset tietojenkäsittelystä vastaaville asiakkaille

Asiakkaan on varmistettava tietojärjestelmiensä hallinnoinnin mahdollistavien työpisteidensä sekä mobiililaitteidensa turvallisuus.

OVH:n sitoumukset palveluntarjoajana

Perustyöpisteiden suojaaminen

Olemme tehneet toimenpiteitä työntekijöiden perustyöpisteiden turvallisuuden varmistamiseksi:

 

  • automaattinen päivitysten hallinta
  • virustorjuntaohjelmien asennus ja päivitys sekä säännölliset tarkistukset, ainoastaan hyväksyttyyn valikoimaan sisältyvien sovellusten asennus
  • kovalevyjen järjestelmällinen salaus
  • työntekijöillä ei ole järjestelmänvalvojan oikeuksia työkoneisiinsa
  • menettely mahdollisesti vaarantuneen työpöydän käsittelyyn
  • laitteistojen standardisointi
  • istuntojen poistamis- ja nollausmenettely työntekijöiden lähtiessä yrityksestä.

Mobiililaitteiden suojaaminen

Olemme tehneet toimenpiteitä sekä henkilökohtaisten että OVH:n toimittamien mobiililaitteiden turvallisuuden varmistamiseksi:

  • laitteiden pakollinen rekisteröinti keskitettyyn hallintajärjestelmään ennen niiden pääsyä sisäisiin resursseihin (WiFi, sähköpostit, kalenterit, hakemistot jne.)
  • laitteella käytössä olevien tietoturvakäytäntöjen tarkistus (lukituskoodi, avaamisen viive, tallennustilan salaus)
  • laitteiden etäpyyhintämenettely katoamisen tai varkauden varalta.
Verkon turvallisuus

Suositukset tietojenkäsittelystä vastaaville asiakkaille

OVH:n verkon kautta kulkevan sisällön salaamisesta vastaa yksinomaan asiakas.

OVH:n sitoumukset palveluntarjoajana

OVH hallinnoi lukuisiin operaattoreihin sekä huolitsijoihin yhdistettyä korkean suorituskyvyn kuituverkkoa. OVH hallinnoi itse omaa runkoverkkoaan, joka jakaa verkkoyhteyden jokaiselle konesalille paikallisiksi verkoiksi ja yhdistää ne toisiinsa.

Kaikki laitteet on suojattu seuraavin toimin:

  • inventaarion pitäminen konfiguraatioiden hallintatietokannassa
  • tiukentamisprosessi, jossa kuvataan asetukset, joita on muokattava konfiguraation turvallisuuden varmistamiseksi
  • pääsy laitteiden hallinnollisiin ominaisuuksiin rajatuilla valvontalistoilla
  • kaikkia laitteita hallinnoidaan vallikoneen kautta suppeiden käyttöoikeuksien periaatteella
  • kaikkien verkkolaitteiden konfiguraatiot varmuuskopioidaan
  • verkkokäyttötiimi kerää, keskittää ja monitoroi jatkuvasti lokitietoja
  • konfigurointien käyttöönotto on automatisoitu ja perustuu hyväksyttyihin mallipohjiin.
Toiminnan jatkuvuuden hallinnointi

OVH:n sitoumukset palveluntarjoajana

Olemme ottaneet käyttöön kirjaamiskäytännöt palvelimilla ja laitteilla, joita OVH käyttää palveluidensa toimittamiseen:

  • kaikki järjestelmät ja tiedot, jotka ovat tarpeellisia palveluiden jatkuvuudelle, tietojärjestelmän uudelleenrakentamiselle tai häiriötilanteen jälkeiselle analyysille varmuuskopioidaan (teknisten tietokantojen tiedostot, toimintalokit, sisäisesti kehitettyjen sovellusten lähdekoodit, palvelinten, sovellusten ja laitteiden konfiguraatiot jne.)
  • varmuuskopiointien toistumisvälit, säilytyksen kestot ja varmuuskopioiden säilytyksen säännöt määritetään johdonmukaisesti suhteessa jokaiseen varmuuskopioituun IT-omaisuuteen, varmuuskopiointien toteutusta sekä hälytysten ja virheiden hallintaa monitoroidaan.
Kirjaaminen

Suositukset tietojenkäsittelystä vastaaville asiakkaille

Yksinomaan asiakas vastaa omien järjestelmiensä ja sovellustensa kirjautumiskäytännöistä.

OVH:n sitoumukset palveluntarjoajana

Olemme ottaneet käyttöön kirjaamiskäytännöt palvelimilla ja laitteilla, joita OVH käyttää palveluidensa toimittamiseen:

  • kirjausten varmuuskopiointi ja keskitetty säilytys
  • lokitietojen tarkastelu ja analysointi on sallittua vain rajatuille henkilöille valtuuksia ja pääsyoikeuksia koskevien käytäntöjen mukaisesti
  • Tehtävien jako monitorointi-infrastruktuuritiimin ja palvelun käytöstä vastaavan tiimin välillä. Lista kirjattavista toimista:
  • asiakkaiden tietoja ylläpitävien tallennuspalvelinten lokitiedot
  • asiakkaan infrastruktuuria hallinnoivien koneiden lokitiedot
  • infrastruktuurin monitorointikoneiden lokitiedot
  • kaikkiin koneisiin asennettujen virustorjuntaohjelmien lokitiedot
  • lokitietojen ja järjestelmien eheyden valvonta, kun tarpeellista
  • asiakkaan infrastruktuurissaan suorittamat tehtävät ja tapahtumat
  • lokitiedot ja hälytykset verkkoon tunkeutumisesta, kun tarpeellista
  • verkkolaitteiden lokitiedot
  • valvontakameroiden infrastruktuurin lokitiedot
  • järjestelmänvalvojien koneiden lokitiedot
  • aikapalvelinten lokitiedot
  • kulkukorttien leimauslaitteiden lokitiedot
  • vallikoneiden lokitiedot.