Latin America and Caribbean

Compromisso da OCLC com a segurança de serviços bibliotecários

Proteção de seus dados ao compartilhar suas coleções

imagen:  Certificado ISO 27001

A OCLC compreende que a confidencialidade, integridade e disponibilidade das informações de nossos membros são vitais para suas operações comerciais e nosso próprio sucesso. Usamos um método com diversas camadas para proteger informações essenciais que monitora e aprimora constantemente nossos aplicativos, sistemas e processos, a fim de satisfazer os crescentes desafios e demandas das ameaças de segurança dinâmicas. Em reconhecimento aos nossos esforços de segurança, a OCLC cumpriu os padrões de segurança da Norma ISO 27001 e recebeu os registros.

Gerenciamento de segurança das informações e riscos empresariais

  • Foi implementado um Sistema de gerenciamento de segurança das informações em conformidade com a Norma ISO/IEC 27001:2005
  • Equipe com profissionais certificados em segurança das informações e auditoria de tecnologia da informação, além de um especialista dedicado em período integral ao Planejamento de continuidade de negócios e recuperação de desastres

Controles físicos e ambientais

  • Equipe de segurança 24 horas
  • Acesso restrito por cartões de proximidade
  • Equipamentos de computação em áreas de acesso controlado
  • Vigilância por vídeo em toda a instalação e perímetro
  • Controle de umidade e temperatura
  • Piso elevado para facilitar a circulação contínua de ar
  • Alimentação de energia subterrânea
  • No-Breaks
  • Unidades de distribuição de energia (PDUs) redundantes
  • Geradores a diesel com armazenamento de diesel no local
  • Sensores de detecção de fumaça e fogo em todos os centros de dados
  • O Dublin Service Delivery Center (DSDC) é protegido por um sistema Halon com reservas suficientes para diversas descargas
  • O Columbus Service Delivery Center (CSDC) é protegido por um sistema de supressão de incêndios DuPont FM-200
  • Os centros de dados também são protegidos por sistemas de sprinklers de tubulação molhada
  • São mantidos extintores de incêndio em todo o DSDC e CSDC

Controles de acesso lógico

  • Gerenciamento de identificação e acesso de usuários

    *Conexões a dados de usuários via SSL 3.0/TLS 1.0, usando certificados de configuração globais da Thawte, que garantem que nossos usuários tenham uma conexão segura ao nosso serviço a partir de seus navegadores

    *As sessões de usuários individuais são identificadas e verificadas novamente a cada transação usando declarações de segurança com criptografia XML via SAML 2.0

    *Depende dos serviços específicos utilizados

Controles de segurança operacional

  • Conexão à Internet por meio de links redundantes e com diversos roteamentos a partir de vários Provedores de serviços de Internet atendidos por diversos Pontos de presença de provedores de telecomunicação
  • Firewalls de perímetro e roteadores de borda bloqueiam protocolos não utilizados
  • Firewalls internos separam o tráfego entre as camadas de aplicativos e de bancos de dados
  • Balanceadores de carga fornecem proxies para o tráfego interno
  • A OCLC usa vários métodos para prevenir, detectar e erradicar malware
  • Também há avaliações de segurança realizadas periodicamente por terceiros independentes
  • É feito backup de todos os dados em fita em cada centro de dados
  • Os backups são clonados por meio de links seguros em um arquivo de fita seguro
  • As fitas são transportadas para fora do local e destruídas com segurança quando não são mais necessárias
  • A equipe de Segurança de informações da OCLC monitora notificações de diversas fontes e alertas de sistemas internos para identificar e gerenciar ameaças

Desenvolvimento e manutenção de sistemas

  • A OCLC testa todos os códigos em busca de vulnerabilidades de segurança antes do lançamento e verifica regularmente nossa rede e sistemas em busca de vulnerabilidades
  • Avaliações de vulnerabilidade da rede
  • Testes de penetração e análise de código selecionados
  • Análise e testes da estrutura de controle de segurança

Continuidade de negócios e recuperação de desastres

  • O serviço da OCLC realiza a replicação em tempo real em disco em cada centro de dados, além de replicação de dados em tempo quase real entre o centro de dados de produção e o local de recuperação de desastres
  • Os dados confidenciais são transmitidos por meio de links dedicados
  • Os testes de recuperação de desastres verificam nossos tempos de recuperação projetados e a integridade dos dados de clientes

Resposta, notificação e remediação de incidentes

  • Processo de gerenciamento de incidentes para eventos de segurança que possam afetar a confidencialidade, integridade ou disponibilidade de sistemas ou dados
  • A Equipe de segurança de informações é treinada em investigação criminal e para lidar com evidências na preparação para um evento, incluindo o uso de ferramentas de terceiros e proprietárias

Conformidade

  • Informações somente podem ser obtidas por terceiros por meio de processos legais, como mandados de busca, ordens judiciais e intimações, por uma isenção legal ou com consentimento do usuário
  • A OCLC mantém uma política de privacidade rígida para ajudar a proteger os dados de clientes e usuários.

Os serviços da OCLC cumprem ou superam as recomendações do Gartner Group 1 (Tabela 1.) e da "Security Guidance for Critical Areas of Focus in Cloud Computing" (Orientação de segurança para áreas críticas de foco na computação em nuvem) da Cloud Security Alliance.

Tabela 1. Gartner: Sete riscos de segurança da computação em nuvem
Recomendações do Gartner OCLC Microsoft

Nuvem (BPOS)
Google Apps

Empresarial
Controle de acesso de usuários privilegiados X X X
Conformidade regulatória X X X
Localização de dados X X X (sem divulgação)
Segregação de dados X X X
Recuperação X X X
Suporte investigativo X X X
Viabilidade de longo prazo X X X

1 Jay Heiser e Mark Nicolett. "Assessing the Security Risks of Cloud Computing." Gartner Group. 3 de junho de 2008

Somos uma cooperativa mundial de bibliotecas mantida, administrada e de propriedade de nossos membros desde 1967. Nossa finalidade pública é uma declaração de compromisso mútuo — que vamos trabalhar juntos para melhorar o acesso às informações contidas em bibliotecas de todo o mundo, e encontrar formas de reduzir os custos para as bibliotecas por meio da colaboração. Saiba mais »