Segurança dos dados e RGPD

É essencial fazer a distinção entre a segurança dos dados armazenados pelos clientes e a segurança das infraestruturas nas quais estas informações estão armazenadas.

Thumbnail

Segurança dos dados armazenados pelo cliente: o cliente é o único responsável pela segurança dos recursos e dos sistemas aplicativos a que recorre no quadro da utilização dos nossos serviços. Todavia, a OVH disponibiliza ferramentas de modo a acompanhar os clientes na proteção dos seus dados.

Thumbnail

Segurança das infraestruturas: A OVH preocupa-se com a segurança da sua infraestrutura, tendo implementado uma política de segurança dos sistemas de informação e tendo atendido aos requisitos de diversas normas e certificações (certificado PCI - DSS, certificação ISO/IEC 27001, certificados SOC 1 tipo II e SOC 2 tipo II, etc.).

Pode encontrar o conjunto destas certificações, bem como o seu perímetro preciso, no espaço dedicado da OVH.

Segurança das infraestruturas OVH

A OVH toma precauções pertinentes para preservar a segurança e a confidencialidade dos dados pessoais tratados, nomeadamente a fim de evitar que sejam deturpados, prejudicados ou acedidos por terceiros não autorizados.

A OVH está particularmente empenhada em implementar:

Sistema de gestão da segurança

Compromissos da OVH na sua qualidade de fornecedor de serviços de armazenamento

Aplicamos uma política de segurança dos sistemas de informação (PSSI), que descreve o conjunto dos nossos dispositivos nesta matéria. A nossa PSSI é atualizada, no mínimo, todos os anos ou em caso de grandes alterações que acarretem consequências ao seu conteúdo. No que diz respeito à segurança das nossas soluções, esta é regida no seio de sistemas formais de gestão da segurança da informação.

Há diferentes funções para coordenar as nossas ações relacionadas com a segurança do perímetro:

  • O responsável pela segurança dos sistemas de informação (RSSI);
  • O responsável pela segurança, encarregue dos processos e projetos associados à segurança do perímetro;
  • O responsável pela proteção dos dados (DPO), que garante a preservação das informações pessoais;
  • O gestor de riscos, que coordena a gestão dos riscos de segurança e os planos de ação adequados;
  • O responsável pelas medidas de segurança, que implementa e aplica as disposições relacionadas com os riscos identificados.
Conformidade e certificação

Compromissos da OVH na sua qualidade de fornecedor de serviços de armazenamento

De modo a assegurar a manutenção da conformidade e avaliar o desempenho dos nossos sistemas, realizam-se regularmente auditorias de segurança. Há cinco tipos:

  • As auditorias externas (certificações, atestados, clientes);
  • As auditorias internas, realizadas por auditores internos ou externos;
  • As auditorias técnicas (testes de intrusão, varreduras de vulnerabilidade, revisão de código), realizadas por auditores internos ou externos;
  • As auditorias das atividades de terceiros, realizadas pelo responsável pela gestão de terceiros;
  • As auditorias dos datacenters, realizadas por auditores internos. A natureza e a frequência das auditorias feitas dependem das soluções e dos perímetros. Quando se identifica uma situação não conforme, esta é objeto de uma medida corretiva acrescentada aos planos de ação. Todas estas medidas são alvo de um protocolo formal, traçado, bem como de uma revisão regular na qual a sua eficácia é reexaminada.
Auditorias por parte do cliente

Recomendações destinadas ao cliente responsável pelo tratamento

O cliente pode realizar auditorias técnicas (testes de intrusão) aos serviços utilizados por sua conta, assim como aos instrumentos de gestão do serviço. As condições de realização das auditorias estão previstas nos contratos ou são geridas numa base ad hoc sob pedido.

Compromissos da OVH na sua qualidade de fornecedor de serviços de armazenamento

As condições de realização das auditorias estão previstas nos contratos ou são geridas numa base ad hoc sob pedido.

Gestão dos riscos

Recomendações destinadas ao cliente responsável pelo tratamento

O cliente deve assegurar-se de que as medidas de segurança aplicadas pela OVH são pertinentes relativamente aos riscos associados à utilização da infraestrutura.

Compromissos da OVH na sua qualidade de fornecedor de serviços de armazenamento

É implementada uma metodologia formal de gestão de risco. Esta é revista, no mínimo, todos os anos ou em caso de alterações de monta. Diz igualmente respeito às informações pessoais e aos dados confidenciais (saúde, pagamentos, etc.).

Esta metodologia formaliza as análises efetuadas: identificação dos bens, dos processos de negócios críticos, das ameaças e das vulnerabilidades.

Baseia-se na norma ISO 27005. É implementado um plano de tratamento dos riscos identificados no fim de cada análise. Este é aplicado dentro de, no máximo, 12 meses; documenta pormenorizadamente a análise e hierarquiza as ações a efetuar. Cada medida corretiva é acrescentada aos planos de ação e é objeto de um protocolo formal, traçado, bem como de uma revisão regular na qual a sua eficácia é reexaminada.

Gestão das alterações

Recomendações destinadas ao cliente responsável pelo tratamento

O cliente deve assegurar-se da correção dos seus dados de contacto, de modo que a OVH possa notificá-lo a respeito das alterações que possam ter impacto sobre as soluções. Se for caso disso, compete ao cliente efetuar as ações necessárias na configuração dos serviços para refletir estas evoluções.

Compromissos da OVH na sua qualidade de fornecedor de serviços de armazenamento

É implementado um procedimento formal de gestão das alterações:

  • Os papéis e as responsabilidades são claramente definidos;
  • São especificados critérios de classificação para identificar as etapas a seguir na implementação das alterações;
  • São geridas as prioridades; realiza-se uma análise dos riscos associados às alterações (se for identificado um risco, o responsável pela segurança e o gestor de risco participam na validação da alteração);
  • Eventualmente, fazem-se testes de intrusão (se aplicável); a alteração é planeada e programada junto dos clientes (se aplicável);
  • A implementação é progressiva (1/10/100/1000) e, em caso de risco, está previsto um procedimento de anulação;
  • É efetuada uma revisão posterior dos diferentes ativos afetados pela alteração;
  • Todas as etapas são documentadas na ferramenta de gestão das alterações.
Política de desenvolvimento dos sistemas e aplicações

Compromissos da OVH na sua qualidade de fornecedor de serviços de armazenamento

São aplicados e documentados processos para uso dos desenvolvedores da OVH. Contêm os princípios para desenvolver, de forma segura, as medidas de "privacy by design", bem como uma política de revisão de código (deteção de vulnerabilidades, tratamento de erros, gestão dos acessos e das entradas, proteção do armazenamento e das comunicações).

  • São também realizadas regularmente revisões de código;
  • Validação das novas funcionalidades antes do lançamento, testes em ambiente de validação (se aplicável) e implementação progressiva (1, 10, 100, 1000);
  • Separação das funções e das responsabilidades entre os desenvolvedores e os responsáveis pelo arranque da produção.
Monitoramento dos serviços e das infraestruturas

Compromissos da OVH na sua qualidade de fornecedor de serviços de armazenamento

É implementada uma infraestrutura de monitoramento do conjunto dos serviços da OVH. Os objetivos são vários:

  • Detetar os incidentes de produção e de segurança;
  • Monitorizar as funções críticas, com um envio de alerta ao sistema de supervisão;
  • Avisar os responsáveis e desencadear os procedimentos adequados;
  • Assegurar a continuidade do serviço no desempenho das tarefas automatizadas;
  • Garantir a integridade dos recursos monitorizados.
Gestão dos incidentes

Recomendações destinadas ao cliente responsável pelo tratamento

O cliente deve assegurar-se da correção dos seus dados de contacto, de modo que a OVH possa notificá-lo em caso de incidente. Deve igualmente implementar processos de gestão de incidentes que afetem o seu sistema de informação, incluindo a OVH como uma potencial fonte de alerta.

Compromissos da OVH na sua qualidade de fornecedor de serviços de armazenamento

É implementado um processo de gestão de incidentes. Permite prevenir, detetar e resolver estas ocorrências nas infraestruturas de gestão do serviço e no serviço em si. Este processo inclui:

  • Um guia para a qualificação das ocorrências de segurança;
  • O tratamento das ocorrências de segurança;
  • Exercícios de simulação para a unidade de crise;
  • Testes do plano de resposta aos incidentes;
  • A comunicação com o cliente no contexto de uma unidade de crise.

Estes procedimentos beneficiam de um processo de melhoria contínua para a vigilância, a avaliação, bem como a gestão global dos incidentes e das respetivas ações corretivas.

Gestão das vulnerabilidades

Recomendações destinadas ao cliente responsável pelo tratamento

O cliente deve assegurar-se da correção dos seus dados de contacto, de modo que a OVH possa notificá-lo em caso de deteção de vulnerabilidades no seu sistema de informação.

Compromissos da OVH na sua qualidade de fornecedor de serviços de armazenamento

O responsável pela segurança e as suas equipas asseguram uma vigilância tecnológica das novas vulnerabilidades. Estas são identificadas através de:

  • Sites de informação públicos;
  • Alertas dos fabricantes e dos editores das soluções implantadas;
  • Incidentes e observações feitas pelas nossas equipas de exploração, pelos clientes ou por terceiros;
  • Varreduras de vulnerabilidade internas e externas, realizadas regularmente;
  • Auditorias técnicas, bem como revisões de código e de configuração.

Se se detetar uma vulnerabilidade, equipas dedicadas realizam uma análise para determinar o impacto sobre os sistemas e as possíveis situações de exploração.

São imediatamente implementadas ações de mitigação, se necessário, e a seguir é definido um plano corretivo.

Cada medida tomada é acrescentada aos planos de ação e é objeto de um protocolo formal, traçado, bem como de uma revisão regular na qual a sua eficácia é reexaminada.

Gestão da continuidade de atividade

Recomendações destinadas ao cliente responsável pelo tratamento

A continuidade do sistema de informação é da responsabilidade do cliente. Este deve certificar-se de que os dispositivos padronizados implementados pela OVH, as opções subscritas e os dispositivos complementares a que recorre permitem atingir os seus objetivos.

Compromissos da OVH na sua qualidade de fornecedor de serviços de armazenamento

A continuidade da atividade das infraestruturas (disponibilidade dos equipamentos, das aplicações e dos processos operacionais) é asegurada por diferentes dispositivos:

  • A continuidade do arrefecimento por líquido e por ar;
  • A continuidade e a redundância do fornecimento de eletricidade;
  • A gestão da capacidade quanto aos equipamentos sob a responsabilidade da OVH;
  • O apoio técnico do serviço;
  • A redundância dos equipamentos e servidores utilizados para a administração dos sistemas.

Ao mesmo tempo, outros mecanismos, como a salvaguarda da rede e a configuração dos equipamentos, asseguram a retoma do serviço em caso de incidente.

Em função do serviço, a OVH pode sugerir recursos de salvaguarda e de restauro que o cliente pode usar, seja enquanto funcionalidades integradas na oferta de base, seja enquanto opções pagas.

Riscos naturais e ambientais

Compromissos da OVH na sua qualidade de fornecedor de serviços de armazenamento

Estão a ser implementadas medidas para evitar os riscos naturais e ambientais:

  • A instalação de para-raios, de modo a reduzir a onda eletromagnética concomitante;
  • A localização das instalações da OVH em áreas não inundáveis e sem risco sísmico;
  • A presença de fontes de alimentação ininterrupta (UPS) de capacidade suficiente e de transformadores de recurso com failover automático da carga;
  • O failover automático para geradores com uma autonomia mínima de 24 horas;
  • A implementação de um sistema de refrigeração líquida dos servidores (98% das salas de armazenamento são desprovidas de aparelhos de ar condicionado);
  • A implementação de unidades de aquecimento, ventilação e ar condicionado (AVAC) para manter a temperatura e a humidade a um nível constante;
  • A gestão de um sistema de deteção de incêndios (de 6 em 6 meses são realizados exercícios de combate a incêndios nos datacenters).
Medidas gerais quanto à segurança das instalações físicas

Compromissos da OVH na sua qualidade de fornecedor de serviços de armazenamento

O acesso físico às instalações da OVH assenta numa segurança perimétrica restritiva, aplicada logo na zona de entrada. Cada local é classificado como se segue:

  • Áreas de circulação privadas;
  • Gabinetes acessíveis a todos os funcionários e visitantes registados;
  • Gabinetes confidenciais, restringidos a certos funcionários;
  • Áreas que albergam os equipamentos dos datacenters;
  • Áreas confidenciais dos datacenters;
  • Áreas dos datacenters que albergam serviços críticos.
Medidas gerais quanto à segurança das instalações físicas

Compromissos da OVH na sua qualidade de fornecedor de serviços de armazenamento

São implementadas medidas de segurança para controlar o acesso às instalações físicas da OVH:

  • Uma política de autorizações de acesso;
  • Paredes (ou dispositivos equivalentes) entre cada zona;
  • Câmaras localizadas nas entradas e saídas das instalações, bem como nas salas dos servidores;
  • Acessos protegidos, controlados por leitores de cartões;
  • Barreiras laser nos parques de estacionamento;
  • Um sistema de deteção de movimentos;
  • Mecanismos antiarrombamento nas entradas e saídas dos datacenters;
  • Mecanismos de deteção de intrusão (vigilância 24 horas por dia, física e por vídeo);
  • Um centro de monitoramento permanente para controlar as aberturas das portas de entrada e saída.
Acesso às instalações da OVH

Compromissos da OVH na sua qualidade de fornecedor de serviços de armazenamento

Os controlos dos acessos físicos baseiam-se num sistema de leitura de cartões. Cada cartão está ligado a uma conta OVH, a qual se encontra associada a um indivíduo. Este dispositivo permite identificar qualquer pessoa nas instalações e validar os mecanismos de controlo:

  • Todos os indivíduos que entrem nas instalações da OVH devem ter um cartão de identificação pessoal associado à sua identidade;
  • Todas as identidades devem ser verificadas antes da entrega de um cartão de identificação;
  • Nas instalações, o cartão de identificação deve ser usado de forma visível;
  • Os cartões não devem mencionar o nome do seu proprietário ou o nome da empresa;
  • Os cartões devem permitir identificar imediatamente as categorias das pessoas presentes (funcionários, terceiros, acesso temporário, visitantes);
  • O cartão é desativado assim que o seu proprietário perde a autorização de acesso às instalações;
  • O cartão dos funcionários da OVH fica ativo enquanto durar o contrato de trabalho; quanto às outras categorias, é automaticamente desativado após um período definido;
  • Um cartão não utilizado durante três semanas é desativado automaticamente.
Gestão dos acessos às zonas

Compromissos da OVH na sua qualidade de fornecedor de serviços de armazenamento

Acesso às portas com cartões de identificação

Trata-se do controlo de acesso padrão no seio das instalações da OVH:

  • A porta está conectada ao sistema centralizado de gestão de autorizações de acesso;
  • A pessoa deve usar o seu cartão no leitor dedicado para a abertura da porta;
  • Os acessos são verificados no momento da leitura, a fim de assegurar que os indivíduos têm autorizações de acesso adequadas;
  • Em caso de falha do sistema de gestão de autorizações de acesso, as autorizações configuradas no momento do incidente são válidas enquanto durar a ocorrência;
  • As fechaduras das portas são protegidas contra falhas de energia e permanecem fechadas nestas situações.

Acesso às portas com chaves

Algumas áreas ou equipamentos estão protegidos por meio de fechaduras:

  • Em cada instalação, as chaves são armazenadas num local centralizado e restrito, com uma referência;
  • Todas as chaves são identificadas com uma etiqueta;
  • É mantido um inventário das chaves;
  • Qualquer utilização das chaves é rastreável através de um mecanismo de entrega ou de um livro de registo;
  • A referência das chaves é verificada diariamente de acordo com o inventário.

Acesso aos datacenters por meio de antecâmaras unipessoais

O acesso aos nossos datacenters é feito exclusivamente através de antecâmaras unipessoais:

  • Cada antecâmara tem duas portas e uma área confinada entre os controlos, de modo a garantir que passa apenas uma pessoa de cada vez;
  • Uma porta só pode ser aberta se a outra for fechada (mantrap);
  • As antecâmaras usam o mesmo sistema de leitura de cartões de identificação que as outras portas, com as mesmas regras aplicáveis;
  • Mecanismos de deteção verificam que apenas uma pessoa está presente na antecâmara (anti-piggybacking);
  • O sistema está configurado para impedir o uso do cartão mais de uma vez no mesmo sentido (anti-passback);
  • Um dispositivo de vídeo sobre a antecâmara permite vigiar as entradas.

Acesso à antecâmara de mercadorias

  • O acesso de mercadorias aos datacenters faz-se exclusivamente por passarelas dedicadas:
  • O vestíbulo de entrega tem a mesma configuração que uma antecâmara unipessoal, só que com um espaço maior, nenhum controlo de volume e peso, bem como com leitores de cartões apenas no exterior;
  • Apenas o artigo entregue passa pelo vestíbulo: os indivíduos devem entrar através das antecâmaras unipessoais;
  • No vestíbulo encontra-se uma câmara, sem ângulos mortos.
Gestão dos acessos físicos por parte de terceiros

Recomendações destinadas ao cliente responsável pelo tratamento

A OVH nunca intervém nas instalações dos clientes. Estes são responsáveis pela segurança das próprias instalações.

Compromissos da OVH na sua qualidade de fornecedor de serviços de armazenamento

A circulação dos visitantes e prestadores ocasionais é estritamente enquadrada. Estas pessoas são registadas assim que chegam às instalações e recebem um cartão de identificação de visitante ou de prestador de serviços:

  • Cada visita deve ser comunicada previamente;
  • Os terceiros ficam sob a responsabilidade de um funcionário e são sempre acompanhados;
  • Todas as identidades são verificadas antes do acesso às instalações;
  • cada terceiro tem um cartão pessoal atribuído para o dia da visita, que deve devolver antes de abandonar as instalações;
  • Todos os cartões devem ser usados de forma visível;
  • Os cartões são desativados automaticamente no final da visita.
Sensibilização e formação das equipas

Compromissos da OVH na sua qualidade de fornecedor de serviços de armazenamento

Os funcionários da OVH são sensibilizados para a segurança, bem como para as regras de conformidade do tratamento de dados pessoais:

  • Anualmente, são dispensadas às equipas envolvidas sessões de formação acerca destas temáticas;
  • Anualmente, são dispensadas às equipas envolvidas sessões de formação acerca da realização das auditorias;
  • Anualmente, são dispensadas às equipas envolvidas sessões de formação acerca dos serviços técnicos;
  • É organizada uma sensibilização para a segurança do sistema de informação (SI) aquando da integração de novos funcionários;
  • São enviadas regularmente a todos os funcionários comunicações relativas à segurança;
  • São organizadas campanhas de testes para assegurar que os funcionários tenham os reflexos apropriados em caso de ameaça.
Gestão dos acessos lógicos ao sistema de informação OVH

Compromissos da OVH na sua qualidade de fornecedor de serviços de armazenamento

É implementada uma política rigorosa de gestão dos acessos lógicos para os funcionários:

  • As autorizações são atribuídas e seguidas pelos superiores, de acordo com a regra do menor privilégio e o princípio da aquisição gradual de confiança;
  • Na medida do possível, todas as autorizações são baseadas em funções e não em direitos unitários;
  • A gestão das autorizações de acesso e das habilitações atribuídas a um utilizador ou a um sistema baseia-se num procedimento de registo, modificação e anulação de inscrição que envolve os superiores, a informática interna e os recursos humanos;
  • Todos os funcionários usam contas de utilizador nominativas;
  • As sessões de conexão têm sistematicamente uma duração de expiração adaptada a cada aplicação;
  • A identidade dos utilizadores é verificada antes de qualquer alteração nos meios de autenticação;
  • Em caso de esquecimento da palavra-passe, apenas o superior do funcionário e o responsável pela segurança podem renová-la;
  • As contas de utilizador são desativadas automaticamente se a palavra-passe não for renovada ao fim de 90 dias;
  • É proibida a utilização de contas por defeito, genéricas e anónimas;
  • É implementada uma política rigorosa em matéria de palavras-passe;
  • Graças ao uso de um gerador automático, o utilizador não escolhe a própria palavra-passe;
  • O tamanho mínimo de uma palavra-passe é de 10 caracteres alfanuméricos;
  • A frequência de renovação de palavras-passe é de 3 meses;
  • É proibido o armazenamento de palavras-passe em arquivos não encriptados, em papel ou em navegadores web;
  • É obrigatório o uso de um programa local de gestão de palavras-passe, validado pelas equipas de segurança;
  • Qualquer acesso remoto ao sistema de informação (SI) da OVH é realizado através de um VPN, necessitando de uma palavra-passe conhecida apenas pelo usuário, bem como de um segredo partilhado configurado no posto de trabalho.
Gestão dos acessos administrativos às plataformas de produção

Compromissos da OVH na sua qualidade de fornecedor de serviços de armazenamento

É implementada uma política de gestão dos acessos de administração das plataformas:

  • Qualquer acesso de administração a um sistema em produção é realizado através de um bastião;
  • Os administradores conectam-se aos bastiões via SSH, utilizando pares de chaves públicas e privadas individuais e nominativas;
  • A ligação ao sistema-alvo é realizada seja por conta de serviço partilhado, seja por conta nominativa via bastiões;
  • É proibido o uso de contas por defeito nos sistemas e equipamentos;
  • A autenticação de duplo fator é obrigatória para os acessos dos administradores remotos, bem como para os acessos dos funcionários nos perímetros sensíveis, com um rastreamento completo;
  • Além da sua conta de utilizador, os administradores têm uma conta dedicada exclusivamente às tarefas de administração;
  • As habilitações são atribuídas e seguidas pelos gestores, de acordo com a regra do menor privilégio e o princípio da aquisição de confiança;
  • As chaves SSH são protegidas por uma palavra-passe que responde às exigências da política de palavras-passe;
  • Realiza-se uma revisão regular das autorizações e dos acessos, em colaboração com os departamentos pertinentes.
Controlo dos acessos à Área de Cliente

Recomendações destinadas ao cliente responsável pelo tratamento

O cliente é responsável pela gestão e pela segurança dos seus meios de autenticação. De forma a melhor proteger os acessos à sua conta, tem a possibilidade de:

  • Ativar a autenticação em dois passos na Área de Cliente OVH;
  • Restringir as ligações a uma lista de endereços IP declarados a montante.

Compromissos da OVH na sua qualidade de fornecedor de serviços de armazenamento

O cliente gere os serviços OVH a partir da Área de Cliente ou da API. O acesso por defeito é efetuado através de uma conta nominativa (NIC handle) e de uma palavra-passe:

  • A palavra-passe é escolhida pelo cliente e deve satisfazer os critérios de complexidade impostos pela interface;
  • Só os condensados das palavras-passe são armazenados nos servidores da OVH;
  • A OVH oferece a possibilidade de ativar a autenticação de dois fatores a partir da Área de Cliente, através de um sistema de palavras-passe de uso único (OTP) enviadas por SMS, a utilização de uma aplicação móvel ou o uso de uma chave compatível com U2F;
  • O cliente pode restringir o acesso à Área de Cliente a endereços IP predefinidos;
  • Os tokens de acesso à API são utilizáveis enquanto durar a sua validade, sem ter de passar por controlos específicos;
  • É registado o conjunto das atividades dos clientes na Área de Cliente ou na API;
  • O cliente pode separar as tarefas técnicas e administrativas ligadas à gestão dos serviços.
Segurança dos postos de trabalho e dos equipamentos móveis

Recomendações destinadas ao cliente responsável pelo tratamento

O cliente deve assegurar-se da segurança dos postos de trabalho e dos equipamentos móveis que permitem a administração do serviço e dos sistemas.

Compromissos da OVH na sua qualidade de fornecedor de serviços de armazenamento

Proteção dos postos de trabalho padrão

São implementadas medidas para garantir a segurança dos postos de trabalho padrão dos funcionários da OVH:

  • Gestão automática das atualizações;
  • Instalação e atualização dos antivírus, com varreduras regulares;
  • Instalação apenas das aplicações oriundas de catálogos validados;
  • Encriptação sistemática dos discos rígidos;
  • Ausência de autorizações de administração para os funcionários no seu posto de trabalho;
  • Procedimento de tratamento de um posto de trabalho potencialmente comprometido;
  • Padronização dos equipamentos;
  • Procedimento de supressão das sessões e de reinicialização dos postos aquando da partida dos funcionários.

Proteção dos terminais móveis

São implementadas medidas para garantir a segurança dos terminais móveis pessoais ou fornecidos pela OVH:

  • Registo obrigatório dos terminais no sistema de gestão centralizado, antes de aceder aos recursos internos (Wi-Fi, e-mails, calendários, anuário, etc.);
  • Verificação da política de segurança implementada no terminal (código de desbloqueio, prazo de bloqueio, encriptação do armazenamento);
  • Procedimento de limpeza à distância dos terminais em caso de roubo ou perda.
Segurança da rede

Recomendações destinadas ao cliente responsável pelo tratamento

O cliente é o único responsável pela encriptação do conteúdo a comunicar através da rede OVH.

Compromissos da OVH na sua qualidade de fornecedor de serviços de armazenamento

A OVH dispõe da sua própria rede de fibra ótica de alto desempenho, interconectada com numerosos operadores e transitários. O nosso backbone é gerido por nós; distribui a conectividade às redes locais de cada datacenter e interliga-os.

Todos estes equipamentos são protegidos pelas seguintes medidas:

  • Realização de um inventário no seio de uma base de gestão das configurações;
  • A implementação de um processo de consolidação, com guias a descrever os parâmetros a modificar para garantir uma configuração segura;
  • Os acessos às funções administrativas dos equipamentos são restritos através de listas de controlo;
  • Todos os equipamentos são administrados através de um bastião que aplica o princípio do menor privilégio;
  • Todas as configurações dos equipamentos de rede são salvaguardadas;
  • Os logs são reunidos, centralizados e monitorizados em permanência pela equipa de exploração de rede;
  • A implementação das configurações é automatizada e baseada em modelos validados.
Gestão da continuidade de atividade

Compromissos da OVH na sua qualidade de fornecedor de serviços de armazenamento

É implementada uma política de salvaguarda dos servidores e dos equipamentos utilizados pela OVH no fornecimento dos seus serviços:

  • Todos os sistemas e dados necessários à continuidade dos serviços, à reconstrução do sistema de informação ou à análise pós-incidente são salvaguardados (ficheiros de bases de dados técnicas e administrativas, logs de atividade, códigos-fonte das aplicações desenvolvidas internamente, configuração dos servidores, das aplicações e dos equipamentos, etc.);
  • As frequências, os períodos de retenção e as modalidades das salvaguardas são definidos em consonância com as necessidades de cada ativo salvaguardado; a realização das salvaguardas é sujeita a monitorização, bem como a uma gestão dos alertas e erros.
Registo de atualizações

Recomendações destinadas ao cliente responsável pelo tratamento

O cliente é o único responsável pela política de salvaguarda dos seus próprios sistemas e aplicações.

Compromissos da OVH na sua qualidade de fornecedor de serviços de armazenamento

É implementada uma política de registo quanto aos servidores e equipamentos utilizados pela OVH no fornecimento dos seus serviços:

  • Salvaguarda e conservação centralizada de logs;
  • Consulta e análise dos logs por um número limitado de agentes autorizados, em conformidade com a política de habilitação e de gestão dos acessos;
  • Divisão de funções entre as equipas responsáveis pela exploração da infraestrutura de monitoramento e os responsáveis pela exploração do serviço. Eis a lista das atividades sujeitas a registo:
  • Logs dos servidores de armazenamento com os dados dos clientes;
  • Logs das máquinas que gerem a infraestrutura do cliente;
  • Logs das máquinas que monitoram as infraestruturas;
  • Logs dos antivírus instalados em todas as máquinas equipadas;
  • Verificação da integridade dos logs e sistemas, se aplicável;
  • Tarefas e ocorrências da responsabilidade do cliente na sua infraestrutura;
  • Logs e alertas de deteção de intrusão na rede, se aplicável;
  • Logs dos equipamentos de rede;
  • Logs da infraestrutura das câmaras de vigilância;
  • Logs das máquinas dos administradores;
  • Logs dos servidores de tempo;
  • Logs dos terminais de leitura de cartões de identificação;
  • Logs dos bastiões.