Nederland

  • Nederlands

Beveiligingsbeleid en ISO 27001

Bij OCLC zijn uw bibliotheekdiensten altijd goed beveiligd. Wij beschermen uw gegevens terwijl u uw collecties deelt.

FAQ's over databeveiliging

image: ISO 27001 certificaat

OCLC begrijpt dat vertrouwelijkheid, integriteit en beschikbaarheid van de informatie essentieel zijn voor onze leden—voor hun bedrijfsvoering en voor ons eigen succes. We gebruiken meerdere beveiligingslagen om belangrijke informatie te beschermen door onze toepassingen, systemen en processen continu te controleren en te verbeteren.

Zo blijven we voldoen aan de steeds hogere eisen en uitdagingen van dynamische beveiligingsrisico's. Als erkenning voor onze goede beveiliging voldoet OCLC nu aan de beveiligingsnormen van ISO 27001 en staat het als zodanig geregistreerd.

Informatiebeveiliging en risicobeheer voor ondernemingen

  • Voorzien van een managementsysteem voor informatiebeveiliging conform ISO/IEC 27001:2005
  • Gekwalificeerde deskundigen in informatiebeveiliging, controleurs van informatietechnologie en deskundigen op het gebied van bedrijfscontinuïteitsplanning en herstel in geval van calamiteiten

Controlemaatregelen voor de apparatuur zelf en de omgeving

  • 24 uur per dag bemande beveiliging
  • Beperkte toegang via contactloze chipkaarten
  • Computerapparatuur staat in ruimten met gecontroleerde toegang
  • Videobewaking in en om de gehele faciliteit
  • Vochtigheidsgraad- en temperatuurregeling
  • Verhoogde vloeren om constante luchtcirculatie mogelijk te maken
  • Ondergrondse netspanningstoevoer
  • Noodstroomvoeding (UPS-systeem)
  • Redundante voedingsdistributie-eenheden (PDU's)
  • Dieselgeneratoren met dieselopslag op locatie
  • Rook- en brandbeveiliging overal in de datacenters
  • Het Dublin Service Delivery Center (DSDC) is beveiligd met een Halonsysteem met voldoende reserves voor meerdere gebruikscycli
  • Het Columbus Service Delivery Center (CSDC) is beveiligd met een DuPont FM-200 brandbestrijdingssysteem
  • De datacenters zijn bovendien beveiligd met sprinklersystemen (natte installatie)
  • Overal in het DSDC en het CSDC zijn brandblussers aanwezig

Logische toegangscontroles

Identificatie van gebruikers en toegangsbeheer

  • Koppelingen met gebruikersgegevens via SSL 3.0/TLS 1.0 op basis van wereldwijde opwaardeerbare certificaten van Thawte. Dit garandeert dat gebruikers een veilige verbinding tussen hun browsers en onze dienst hebben
  • Identificatie en verificatie per transactie van individuele gebruikersessies met in XML gecodeerde 'security assertions' via SAML 2.0
  • Afhankelijk van de diensten waar u gebruik van maakt

Beveiligingscontroles tijdens gebruik

  • Met internet verbonden via redundante, via verschillende routes lopende koppelingen vanaf meerdere internetproviders, bediend vanuit 'points of presence' (aanwezigheidspunten) van meerdere telecommunicatieaanbieders
  • Netwerkfirewalls en edge routers blokkeren ongebruikte protocollen
  • Interne firewalls scheiden het verkeer tussen de toepassings- en de databaselaag
  • Load balancers bieden proxy's voor intern verkeer
  • OCLC maakt gebruik van diverse methoden om schadelijke software tegen te gaan, op te sporen en uit te schakelen
  • Ook worden periodiek onafhankelijke beveiligingsbeoordelingen door derden uitgevoerd
  • Alle gegevens worden in elk datacenter ook naar tape gekopieerd
  • De back-ups worden over beveiligde verbindingen naar een beveiligd tape-archief gekloond
  • De tapes worden naar een externe locatie gebracht en op veilige wijze vernietigd wanneer ze niet langer worden gebruikt
  • De informatiebeveiligingsmedewerkers van OCLC controleren meldingen van diverse bronnen en waarschuwingen van interne systemen om bedreigingen te identificeren en onder controle te krijgen

Ontwikkeling en onderhoud van systemen

  • OCLC test alle code op beveiligingslekken voordat deze wordt uitgebracht en scant regelmatig het netwerk en de systemen op beveiligingslekken
  • Controle van het netwerk op beveiligingslekken
  • Geselecteerde penetratietests en evaluatie van code
  • Evaluatie en tests van het beveiligingsbeheerkader

Bedrijfscontinuïteit en herstel bij calamiteiten

  • De OCLC dienst voert in elk datacenter realtime replicatie op schijf uit, en near-realtime datareplicatie tussen het productiedatacenter en de herstellocatie voor calamiteiten
  • Vertrouwelijke gegevens worden verzonden via koppelingen die uitsluitend voor die gegevens worden gebruikt
  • Bij calamiteitenhersteltests worden de door ons verwachte hersteltijden en de integriteit van de klantgegevens gecontroleerd

Reactie op, melding van en herstel van incidenten

  • Incidentenbeheerproces voor beveiligingsincidenten die van invloed kunnen zijn op de vertrouwelijkheid, integriteit of beschikbaarheid van systemen of data
  • Het informatiebeveiligingsteam is opgeleid in forensisch onderzoek en het omgaan met bewijsmateriaal als voorbereiding op een incident, inclusief het gebruik van bedrijfseigen software en software van derden

Naleving

  • Informatie kan alleen door derden worden verkregen via juridische procedures zoals huiszoekingsbevelen, gerechtelijke bevelen, dagvaardingen, via een wettelijke vrijstelling of met toestemming van de gebruiker
  • OCLC hanteert een streng privacybeleid ter bescherming van zijn klant- en gebruikersgegevens.

De diensten van OCLC voldoen ruimschoots aan de aanbevelingen van de Gartner Group1 (Tabel 1) en de "Security Guidance for Critical Areas of Focus in Cloud Computing" van de Cloud Security Alliance.

Tabel 1. Gartner: 7 beveiligingsrisico's bij cloudcomputing

Aanbevelingen van Gartner van OCLC Microsoft
Cloud (BPOS)
Google Apps
Enterprise
Toegangsbeheer gemachtigde gebruiker X X X
Voldoen aan wet- en regelgeving X X X
Locatie van de data X X X (geen openbaarmaking)
Scheiding van data X X X
Herstel X X X
Ondersteuning door onderzoek X X X
Haalbaarheid op de lange termijn X X X

1 Jay Heiser en Mark Nicolett, "Assessing the Security Risks of Cloud Computing", Gartner Group, 3 juni 2008

Wij zijn een samenwerkingsverband van bibliotheken over de hele wereld, dat sinds 1967 eigendom is van, bestuurd en onderhouden wordt door onze leden. Ons publieke doel is een toezegging aan elkaar—samen zorgen voor betere toegang tot de informatie in bibliotheken wereldwijd en manieren vinden om de kosten voor bibliotheken te reduceren door middel van samenwerking.