Compromisso da OCLC com a segurança de serviços bibliotecários
Proteção de seus dados ao compartilhar suas coleções
A OCLC compreende que a confidencialidade, integridade e disponibilidade das informações de nossos membros são vitais para suas operações comerciais e nosso próprio sucesso. Usamos um método com diversas camadas para proteger informações essenciais que monitora e aprimora constantemente nossos aplicativos, sistemas e processos, a fim de satisfazer os crescentes desafios e demandas das ameaças de segurança dinâmicas. Em reconhecimento aos nossos esforços de segurança, a OCLC cumpriu os padrões de segurança da Norma ISO 27001 e recebeu os registros.
Gerenciamento de segurança das informações e riscos empresariais
- Foi implementado um Sistema de gerenciamento de segurança das informações em conformidade com a Norma ISO/IEC 27001:2005
- Equipe com profissionais certificados em segurança das informações e auditoria de tecnologia da informação, além de um especialista dedicado em período integral ao Planejamento de continuidade de negócios e recuperação de desastres
Controles físicos e ambientais
- Equipe de segurança 24 horas
- Acesso restrito por cartões de proximidade
- Equipamentos de computação em áreas de acesso controlado
- Vigilância por vídeo em toda a instalação e perímetro
- Controle de umidade e temperatura
- Piso elevado para facilitar a circulação contínua de ar
- Alimentação de energia subterrânea
- No-Breaks
- Unidades de distribuição de energia (PDUs) redundantes
- Geradores a diesel com armazenamento de diesel no local
- Sensores de detecção de fumaça e fogo em todos os centros de dados
- O Dublin Service Delivery Center (DSDC) é protegido por um sistema Halon com reservas suficientes para diversas descargas
- O Columbus Service Delivery Center (CSDC) é protegido por um sistema de supressão de incêndios DuPont FM-200
- Os centros de dados também são protegidos por sistemas de sprinklers de tubulação molhada
- São mantidos extintores de incêndio em todo o DSDC e CSDC
Controles de acesso lógico
- Gerenciamento de identificação e acesso de usuários
*Conexões a dados de usuários via SSL 3.0/TLS 1.0, usando certificados de configuração globais da Thawte, que garantem que nossos usuários tenham uma conexão segura ao nosso serviço a partir de seus navegadores
*As sessões de usuários individuais são identificadas e verificadas novamente a cada transação usando declarações de segurança com criptografia XML via SAML 2.0
*Depende dos serviços específicos utilizados
Controles de segurança operacional
- Conexão à Internet por meio de links redundantes e com diversos roteamentos a partir de vários Provedores de serviços de Internet atendidos por diversos Pontos de presença de provedores de telecomunicação
- Firewalls de perímetro e roteadores de borda bloqueiam protocolos não utilizados
- Firewalls internos separam o tráfego entre as camadas de aplicativos e de bancos de dados
- Balanceadores de carga fornecem proxies para o tráfego interno
- A OCLC usa vários métodos para prevenir, detectar e erradicar malware
- Também há avaliações de segurança realizadas periodicamente por terceiros independentes
- É feito backup de todos os dados em fita em cada centro de dados
- Os backups são clonados por meio de links seguros em um arquivo de fita seguro
- As fitas são transportadas para fora do local e destruídas com segurança quando não são mais necessárias
- A equipe de Segurança de informações da OCLC monitora notificações de diversas fontes e alertas de sistemas internos para identificar e gerenciar ameaças
Desenvolvimento e manutenção de sistemas
- A OCLC testa todos os códigos em busca de vulnerabilidades de segurança antes do lançamento e verifica regularmente nossa rede e sistemas em busca de vulnerabilidades
- Avaliações de vulnerabilidade da rede
- Testes de penetração e análise de código selecionados
- Análise e testes da estrutura de controle de segurança
Continuidade de negócios e recuperação de desastres
- O serviço da OCLC realiza a replicação em tempo real em disco em cada centro de dados, além de replicação de dados em tempo quase real entre o centro de dados de produção e o local de recuperação de desastres
- Os dados confidenciais são transmitidos por meio de links dedicados
- Os testes de recuperação de desastres verificam nossos tempos de recuperação projetados e a integridade dos dados de clientes
Resposta, notificação e remediação de incidentes
- Processo de gerenciamento de incidentes para eventos de segurança que possam afetar a confidencialidade, integridade ou disponibilidade de sistemas ou dados
- A Equipe de segurança de informações é treinada em investigação criminal e para lidar com evidências na preparação para um evento, incluindo o uso de ferramentas de terceiros e proprietárias
Conformidade
- Informações somente podem ser obtidas por terceiros por meio de processos legais, como mandados de busca, ordens judiciais e intimações, por uma isenção legal ou com consentimento do usuário
- A OCLC mantém uma política de privacidade rígida para ajudar a proteger os dados de clientes e usuários.
Os serviços da OCLC cumprem ou superam as recomendações do Gartner Group 1 (Tabela 1.) e da "Security Guidance for Critical Areas of Focus in Cloud Computing" (Orientação de segurança para áreas críticas de foco na computação em nuvem) da Cloud Security Alliance.
Tabela 1. Gartner: Sete riscos de segurança da computação em nuvem| Recomendações do Gartner | OCLC | Microsoft Nuvem (BPOS) | Google Apps Empresarial |
|---|---|---|---|
| Controle de acesso de usuários privilegiados | X | X | X |
| Conformidade regulatória | X | X | X |
| Localização de dados | X | X | X (sem divulgação) |
| Segregação de dados | X | X | X |
| Recuperação | X | X | X |
| Suporte investigativo | X | X | X |
| Viabilidade de longo prazo | X | X | X |
1 Jay Heiser e Mark Nicolett. "Assessing the Security Risks of Cloud Computing." Gartner Group. 3 de junho de 2008