Datensicherheit und DSGVO

Es besteht ein wesentlicher Unterschied zwischen der Sicherheit der vom Kunden gehosteten Daten und der Sicherheit der Infrastruktur, auf der diese Informationen gespeichert sind.

Thumbnail

Sicherheit der vom Kunden gehosteten Daten: Der Kunde ist allein für die Sicherheit seiner Ressourcen und Anwendungssysteme verantwortlich, die er im Rahmen der Nutzung seiner Dienstleistungen verwendet. OVH stellt dem Kunden Tools zur Verfügung, um ihn bei der Sicherung seiner Daten zu unterstützen.

Thumbnail

Sicherheit der Infrastrukturen: OVH verpflichtet sich dazu, die optimale Sicherheit seiner Infrastrukturen zu gew?hrleisten ? unter anderem durch die Einführung einer Sicherheitspolitik für Informationssysteme. Au?erdem entsprechen die OVH Infrastrukturen zahlreichen internationalen Standards und sind unter anderem zertifiziert nach PCI DSS, ISO/IEC 27001, SOC 1 TYPE II und SOC 2 TYPE II etc.

Sie finden diese Zertifizierungen und ihre genauen Anforderungen auf der dedizierten OVH Webseite.

Sicherheit der OVH Infrastrukturen

OVH trifft alle notwendigen Vorkehrungen, um die Sicherheit und Vertraulichkeit der verarbeiteten personenbezogenen Daten zu gew?hrleisten und zu verhindern, dass diese verf?lscht oder besch?digt werden, oder unbefugte Dritte Zugriff erhalten.

OVH verpflichtet sich zur Einführung folgender Ma?nahmen:

Sicherheitsmanagementsystem

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Es wird eine Sicherheitspolitik für Informationssysteme (intern auch als PSSI bezeichnet) umgesetzt, die alle unsere Ma?nahmen auf diesem Gebiet beschreibt. Unsere PSSI wird mindestens einmal im Jahr oder bei wesentlichen ?nderungen, die Auswirkungen auf ihren Inhalt haben, aktualisiert. Die Sicherheit unserer L?sungen selbst wird innerhalb der formalen Informationssicherheitsmanagementsysteme geregelt.

Unsere Ma?nahmen für die Sicherheit der Umgebung werden von verschiedenen Rollen koordiniert:

  • Dem Verantwortlichen für die Sicherheit der Informationssysteme (CISO oder intern RSSI)
  • Dem Sicherheitsverantwortlichen, der für Prozesse und Projekte in Verbindung mit der Umgebungssicherheit zust?ndig ist
  • Dem Datenschutzbeauftragten (DSB), der den Schutz personenbezogener Daten gew?hrleistet
  • Dem Risikomanager, der das Sicherheitsrisikomanagement und die geeigneten Aktionspl?ne koordiniert
  • Dem Verantwortlichen für Sicherheitsma?nahmen, der die Vorschriften hinsichtlich der identifizierten Risiken umsetzt und anwendet
Compliance und Zertifizierung

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Um die Einhaltung der Compliance sicherzustellen und die Wirksamkeit unserer Systeme zu bewerten, werden regelm??ig Sicherheitsüberprüfungen durchgeführt. Von diesen gibt es fünf Arten:

  • Externe überprüfungen (Zertifizierungen, Bescheinigungen, Kundenaudits)
  • Von internen oder externen Prüfern durchgeführte interne überprüfungen
  • Von internen oder externen Prüfern durchgeführte technische überprüfungen (Penetrationstests, Vulnerability Scans, Code-Reviews)
  • überprüfungen der Aktivit?ten Dritter, durchgeführt von dem Verantwortlichen für die Verwaltung Dritter
  • Von internen Prüfern durchgeführte überprüfungen der Rechenzentren. Die Art und H?ufigkeit der überprüfungen h?ngt von den L?sungen und den Bereichen ab. Wenn eine nicht den Richtlinien entsprechende Situation festgestellt wird, wird für diese eine Korrekturma?nahme zu den Aktionspl?nen hinzugefügt. All diese Ma?nahmen werden formal überwacht, ihr Verlauf aufgezeichnet und bei einer regelm??igen Kontrolle erneut auf ihre Wirksamkeit überprüft.
Kundenaudit

Empfehlungen für den für die Verarbeitung verantwortlichen Kunden

Der Kunde kann seinerseits technische überprüfungen (Penetrationstests) an den gehosteten Diensten seines Accounts sowie an den Verwaltungseinheiten des Dienstes durchführen. Die Durchführungsbedingungen der überprüfungen sind vertraglich festgelegt oder werden auf Wunsch auf Ad-hoc-Basis geregelt.

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Die Durchführungsbedingungen der überprüfungen sind vertraglich festgelegt oder werden auf Wunsch auf Ad-hoc-Basis geregelt.

Risikomanagement

Empfehlungen für den für die Verarbeitung verantwortlichen Kunden

Der Kunde muss sich vergewissern, dass die von OVH eingesetzten Sicherheitsma?nahmen für die mit seiner Nutzung der Infrastruktur verbundenen Risiken relevant sind.

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Es wird eine formale Risikomanagementmethodik eingesetzt. Diese wird mindestens einmal im Jahr oder bei wesentlichen ?nderungen überprüft. Sie betrifft sowohl personenbezogene als auch sensible Daten (Gesundheitsdaten, Zahlungsdaten etc.).

Diese Methodik formalisiert die durchgeführten Analysen: Erkennung von Aktiva, kritischen Gesch?ftsprozessen, Bedrohungen und Schwachstellen.

Sie beruht auf der ISO-Norm 27005. Am Ende jeder Analyse wird ein Behandlungsplan für die identifizierten Risiken entwickelt. Dieser wird innerhalb von maximal 12 Monaten umgesetzt. Er dokumentiert die Analyse im Detail und gliedert die durchzuführenden Ma?nahmen hierarchisch auf. Jede korrektive Ma?nahme wird zu den Aktionspl?nen hinzugefügt sowie formal überwacht, ihr Verlauf aufgezeichnet und bei einer regelm??igen Kontrolle erneut auf ihre Wirksamkeit überprüft.

?nderungsmanagement

Empfehlungen für den für die Verarbeitung verantwortlichen Kunden

Der Kunde muss die Richtigkeit seiner Kontaktdaten sicherstellen, damit OVH ihn über ?nderungen benachrichtigen kann, die m?glicherweise Auswirkungen auf seine L?sungen haben. Gegebenenfalls obliegt es dem Kunden, erforderliche Ma?nahmen an der Konfiguration seiner Dienste durchzuführen, um diese ?nderungen zu berücksichtigen.

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Ein formales ?nderungsmanagementverfahren wird eingesetzt:

  • Die Rollen und Verantwortlichkeiten werden klar definiert.
  • Klassifizierungskriterien werden genau festgelegt, um alle bei der ?nderungsumsetzung zu befolgenden Schritte zu bestimmen.
  • Priorit?ten werden verwaltet : Es wird eine Risikoanalyse für die ?nderungen durchgeführt (wird ein Risiko festgestellt, arbeiten der Sicherheitsverantwortliche und der Risikomanager gemeinsam an der Validierung der ?nderung).
  • Die ?nderung wird gegebenenfalls mit den Kunden geplant und programmiert.
  • Die Implementierung findet schrittweise statt (1/10/100/1000), und im Fall eines Risikos ist ein Umkehrverfahren vorgesehen.
  • Es wird eine nachtr?gliche überprüfung der verschiedenen von der ?nderung betroffenen Aktiva durchgeführt.
  • Alle Schritte werden in einem ?nderungsmanagement-Tool dokumentiert.
Entwicklungskonzept für Systeme und Anwendungen

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Für OVH Softwareentwickler werden Prozesse umgesetzt und dokumentiert. Sie enthalten Richtlinien für sichere Softwareentwicklung, ?Privacy by Design“-Ma?nahmen sowie eine Code-Review-Policy (Erkennung von Sicherheitslücken, Fehlerbehandlung, Zugriffs- und Eingabeverwaltung, Speicher- und Kommunikationssicherung).

  • Es werden auch regelm??ig Code-Reviews durchgeführt:
  • Validierung neuer Funktionen vor ihrer Einführung, gegebenenfalls Praxistests zur Validierung sowie schrittweise Implementierung (1/10/100/1000)
  • Trennung der Rollen und Verantwortlichkeiten zwischen den Entwicklern und den für die Inbetriebnahme verantwortlichen Personen.
Monitoring der Dienstleistungen und Infrastrukturen

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Für alle OVH Dienstleistungen ist eine Monitoring-Infrastruktur im Einsatz. Diese hat mehrere Ziele:

  • Erkennen von Produktions- und Sicherheitsvorf?llen
  • überwachung kritischer Funktionen und Ausl?sen von Alarmen an das überwachungssystem
  • Benachrichtigung der Verantwortlichen und Ingangsetzung der entsprechenden Vorgehensweisen
  • Gew?hrleistung der Dienstkontinuit?t bei Durchführung automatisierter Aufgaben
  • Prüfung der Integrit?t der überwachten Ressourcen
St?rungsmanagement

Empfehlungen für den für die Verarbeitung verantwortlichen Kunden

Der Kunde muss die Richtigkeit seiner Kontaktdaten sicherstellen, damit OVH ihn im Fall einer St?rung benachrichtigen kann. Er muss au?erdem St?rungsmanagementprozesse für St?rungen einrichten, die sein Informationssystem betreffen, und OVH als m?gliche Warnungsquelle miteinbeziehen.

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Ein St?rungsmanagementprozess ist im Einsatz. Durch ihn k?nnen diese Ereignisse in den Infrastrukturen der Dienstverwaltung und des Dienstes selbst verhindert, entdeckt und gel?st werden. Dieser Prozess beinhaltet:

  • Einen Leitfaden zur Einstufung von Sicherheitsereignissen
  • Die Behandlung von Sicherheitsereignissen
  • Simulationsübungen für den Krisenstab
  • Tests des Reaktionsplans für St?rungen
  • Kundenkommunikation im Rahmen eines Krisenstabs

Diese Verfahren unterliegen einem kontinuierlichen Verbesserungsprozess für überwachung und Bewertung von St?rungen, das gesamte St?rungsmanagement sowie dessen korrektive Ma?nahmen.

Sicherheitslückenmanagement

Empfehlungen für den für die Verarbeitung verantwortlichen Kunden

Der Kunde muss die Richtigkeit seiner Kontaktdaten sicherstellen, damit OVH ihn im Fall einer auf seinem Informationssystem entdeckten Sicherheitslücke benachrichtigen kann.

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Eine Technologiebeobachtung auf neue Sicherheitslücken erfolgt durch den Sicherheitsbeauftragten und seine Mitarbeiter. Diese werden über folgende Wege identifiziert:

  • ?ffentliche Informationsseiten
  • Warnungen der Hersteller und Herausgeber der verwendeten L?sungen
  • Von unserem Betriebspersonal, Dritten oder Kunden berichtete St?rungen und Beobachtungen
  • Regelm??ig durchgeführte interne und externe Scans auf Sicherheitslücken
  • Technische überprüfungen sowie Code-Reviews und Konfigurationsüberprüfungen

Wenn eine Sicherheitslücke entdeckt wird, wird von dedizierten Teams eine Analyse durchgeführt, um ihre Auswirkungen auf die Systeme und m?gliche Betriebsszenarien festzustellen.

Wenn n?tig werden Schadenminderungsma?nahmen umgesetzt, anschlie?end wird ein Plan für Korrekturma?nahmen definiert.

Jede durchgeführte Ma?nahme wird zu den Aktionspl?nen hinzugefügt sowie formal überwacht, ihr Verlauf aufgezeichnet und bei einer regelm??igen Kontrolle erneut auf ihre Wirksamkeit überprüft.

Betriebskontinuit?tsmanagement

Empfehlungen für den für die Verarbeitung verantwortlichen Kunden

Die Kontinuit?t des Informationssystems liegt in der Verantwortung des Kunden. Er muss sicherstellen, dass er mit den von OVH eingesetzten Standardma?nahmen, den Vertragsoptionen und den von ihm eingesetzten Zusatzma?nahmen seine Ziele erreichen kann.

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Die Betriebskontinuit?t der Infrastrukturen (Verfügbarkeit von Ger?ten, Anwendungen und Betriebsprozessen) wird durch verschiedene Ma?nahmen gew?hrleistet:

  • Kontinuierliche Flüssigkeits- und Luftkühlung
  • Kontinuierliche und redundante Stromversorgung
  • Kapazit?tsmanagement für die Ger?te unter der Verantwortung von OVH
  • Technischer Support des Dienstes
  • Redundanz der für die Systemadministration verwendeten Ger?te und Server

Erg?nzend gew?hrleisten weitere Mechanismen wie beispielsweise das Backup der Konfigurationen der Netzwerkger?te die Wiederaufnahme im Fall einer St?rung.

Je nach Dienstleistung bietet OVH gegebenenfalls Backup- und Wiederherstellungsma?nahmen an, die dem Kunden entweder als im Basisangebot integrierte Funktionen oder als kostenpflichtige Optionen zur Verfügung stehen.

Natur- und Umweltgefahren

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Folgende Ma?nahmen werden zur Verhütung von Natur- und Umweltgefahren umgesetzt:

  • Installation von Blitzableitern, um die begleitende elektromagnetische Welle zu reduzieren
  • Einrichtung der R?umlichkeiten von OVH in nicht überschwemmungs- oder erdbebengef?hrdeten Gebieten
  • Eine unterbrechungsfreie Stromversorgung (USV) mit ausreichender Kapazit?t und Hilfstransformatoren mit automatischer Lastumschaltung
  • Automatische Umschaltung auf Stromaggregate mit einer Mindestleistung von 24 Stunden
  • Einrichtung eines Flüssigkeitskühlsystems für die Server (98 % der Serverr?ume haben keine Klimaanlage)
  • Einsatz von Heizungs-, Lüftungs- und Klimatechnik-Einheiten (HVAC), die Temperatur und Luftfeuchtigkeit konstant halten
  • Verwaltung eines Brandmeldesystems (in den Rechenzentren werden alle 6 Monate Brandschutzübungen durchgeführt)
Allgemeine Sicherheitsma?nahmen der physischen Standorte

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Der physische Zugang beruht auf einer restriktiven Umgebungssicherheit, die ab dem Eingangsbereich wirksam ist. Jeder Standort ist folgenderma?en unterteilt:

  • Private Verkehrsfl?chen
  • Büros, die für alle Mitarbeiter und angemeldeten Besucher zug?nglich sind
  • Private Büros, die nur befugtem Personal zug?nglich sind
  • Bereiche mit Rechenzentrumsger?ten
  • Private Rechenzentrumsbereiche
  • Rechenzentrumsbereiche, in denen kritische Dienste untergebracht sind
Allgemeine Sicherheitsma?nahmen der physischen Standorte

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Folgende Sicherheitsma?nahmen werden umgesetzt, um den Zugang zu den physischen Standorten von OVH zu kontrollieren:

  • Eine Policy für Zutrittsberechtigungen
  • W?nde (oder ?hnliche Vorrichtungen) zwischen jedem Bereich
  • Kameras an den Ein- und Ausg?ngen der R?umlichkeiten sowie in den Serverr?umen
  • Gesicherte Zug?nge, kontrolliert durch Badge-Leseger?te
  • Laserbarrieren auf den Parkpl?tzen
  • Bewegungsmeldesystem
  • Einbruchhemmende Mechanismen an Ein- und Ausg?ngen der Rechenzentren
  • Mechanismen zur Erkennung unerlaubten Eindringens (Wachdienst und Videoüberwachung rund um die Uhr)
  • St?ndiges überwachungszentrum, das Ein- und Ausgangstüren auf ?ffnen überwacht
Zutritt zu den Standorten von OVH

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Die physischen Zutrittskontrollen erfolgen durch ein Badge-System. Jeder Badge ist mit einem OVH Account verknüpft, und dieser wiederum mit einer bestimmten Person. Dank dieser Ma?nahme k?nnen jede Person innerhalb der Anlagen identifiziert und die Kontrollmechanismen authentifiziert werden:

  • Jede Person, die Standorte von OVH betritt, muss einen mit ihrer Identit?t verknüpften pers?nlichen Badge besitzen.
  • Jede Identit?t muss vor der Ausgabe eines Badge überprüft werden.
  • Der Badge muss innerhalb der R?umlichkeiten stets sichtbar getragen werden.
  • Badges dürfen weder den Namen ihrer Inhaber noch den Namen des Unternehmens zeigen.
  • Es muss m?glich sein, die Kategorie der anwesenden Personen anhand des Badge sofort zu identifizieren (Mitarbeiter, Dritter, tempor?rer Zutritt, Besucher).
  • Der Badge wird deaktiviert, sobald der Inhaber nicht l?nger zum Zutritt zu den R?umlichkeiten berechtigt ist.
  • Badges von OVH Mitarbeitern werden für die Dauer des Arbeitsvertrages aktiviert; für die anderen Kategorien wird der Badge nach einem festgelegten Zeitraum automatisch deaktiviert.
  • Badges, die drei Wochen lang nicht verwendet werden, werden automatisch deaktiviert.
Zutrittsmanagement zu den Bereichen

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Zutritt an den Türen per Badges

Dies ist die Standard-Zutrittskontrolle in den R?umlichkeiten von OVH:

  • Die Tür ist mit dem zentralen Managementsystem für Zutrittsberechtigungen verbunden.
  • Die Person muss ihren Badge an das spezielle Leseger?t halten, um die Tür zu entsperren.
  • Jeder Zutritt wird beim Auslesen überprüft, um sicherzustellen, dass die Person über die entsprechenden Berechtigungen verfügt.
  • Bei einem Ausfall des zentralen Managementsystems für die Zutrittsberechtigungen gelten die zum Zeitpunkt der St?rung konfigurierten Berechtigungen für die gesamte Dauer des Vorfalls.
  • Die Türschl?sser sind gegen Stromausf?lle geschützt und bleiben in diesen Situationen geschlossen.

Zutritt an den Türen per Schlüssel

Bestimmte Bereiche oder Ger?te sind mit per Schlüssel verschlie?baren Schl?ssern abgesperrt:

  • Die Schlüssel werden für jeden Standort in einem zentralisierten Bereich mit eingeschr?nktem Zutritt aufbewahrt und in einer Inventarliste dokumentiert.
  • Jeder Schlüssel ist mit einem Etikett zur Identifikation versehen.
  • Es wird ein Bestandsverzeichnis über die Schlüssel geführt.
  • Jede Verwendung der Schlüssel kann mittels eines Bereitstellungsmechanismus oder Journals auf Papier zurückverfolgt werden.
  • Die Inventarliste der Schlüssel wird t?glich mit dem Bestandsverzeichnis abgeglichen.

Zutritt zu den Rechenzentren durch Einpersonenschleusen

Der Zutritt zu unseren Rechenzentren erfolgt ausschlie?lich über Einpersonenschleusen:

  • Jede Schleuse besteht aus zwei Türen und einem abgeschlossenen Bereich zwischen den Kontrollen, um sicherzustellen, dass nur eine Person auf einmal passiert.
  • Eine Tür kann nur offen sein, wenn die andere geschlossen ist (Mantrap).
  • Die Schleusen verwenden dasselbe Badge-System wie die anderen Türen, und es gelten dieselben Regeln.
  • Erkennungsmechanismen prüfen, dass sich nur eine Person in der Schleuse befindet (Anti-Piggybacking).
  • Die Konfiguration des Systems verhindert, dass der Badge mehr als einmal in dieselbe Richtung verwendet werden kann (Anti-Passback).
  • Mit einer Kamera im Bereich der Schleuse k?nnen die Zutritte überwacht werden.

Zutritt zu den Warenschleusen

  • Der Wareneingang in die Rechenzentren erfolgt ausschlie?lich über die speziell dafür vorgesehenen Durchg?nge:
  • Die Lieferzone ist genauso konfiguriert wie eine Einpersonenschleuse, jedoch mit mehr Platz, ohne Volumen- und Gewichtskontrollen sowie mit Badge-Leseger?ten nur au?erhalb der Schleuse.
  • Nur der gelieferte Artikel passiert die Lieferzone, Personen müssen über die Einpersonenschleusen eintreten.
  • In der Lieferzone befindet sich eine Kamera ohne toten Winkel.
Verwaltung des physischen Zutritts Dritter

Empfehlungen für den für die Verarbeitung verantwortlichen Kunden

OVH greift niemals bei seinen Kunden ein. Diese sind selbst für die Sicherheit ihrer R?umlichkeiten verantwortlich.

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Die Bewegungen von Besuchern und gelegentlichen Dienstleistern sind streng geregelt. Diese Personen werden bei ihrer Ankunft am Standort registriert und erhalten einen Besucher- oder Dienstleister-Badge:

  • Jeder Besuch muss zuvor angemeldet werden.
  • Für Dritte ist immer ein Angestellter verantwortlich und sie werden immer begleitet.
  • Jede Identit?t wird vor dem Zutritt zu den Standorten überprüft.
  • Jeder Dritte besitzt einen pers?nlichen Badge für den Tag, den er vor Verlassen des Standorts zurückgeben muss.
  • Alle Badges müssen sichtbar getragen werden.
  • Die Badges werden am Ende des Besuchs automatisch deaktiviert.
Sensibilisierung und Schulung des Personals

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Das Personal von OVH ist für das Thema Sicherheit sowie für die Compliance-Vorschriften bezüglich der Verarbeitung personenbezogener Daten sensibilisiert:

  • Für die betreffenden Teams finden j?hrlich Schulungen zu diesen Themen statt.
  • Für die betreffenden Teams finden j?hrlich Schulungen zur Durchführung von überprüfungen statt.
  • Für die betreffenden Teams finden j?hrlich Schulungen zu den technischen Diensten statt.
  • Bei der Aufnahme neuer Angestellter wird eine Sensibilisierung für die Sicherheit des Informationssystems durchgeführt.
  • Das gesamte Personal erh?lt regelm??ig Mitteilungen bezüglich der Sicherheit.
  • Es werden Testkampagnen organisiert, um sicherzustellen, dass die Angestellten im Fall einer Bedrohung richtig reagieren.
Verwaltung der logischen Zugriffe auf das Informationssystem von OVH

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Bei der Verwaltung der logischen Zugriffe gilt eine strenge Policy für die Angestellten:

  • Zugriffsberechtigungen werden von den Vorgesetzten gem?? der Regel der geringsten Berechtigung und dem Prinzip progressiven Vertrauenserwerbs erteilt und verfolgt.
  • Soweit m?glich basieren alle Zugriffsberechtigungen auf Rollen und nicht auf Einheitsrechten.
  • Die Verwaltung der für einen Nutzer oder ein System bewilligten Zugriffsrechte und Zugriffsbefugnisse erfolgt durch die Registrierung, ?nderung und Abmeldung durch Vorgesetzte, interne IT und Personalabteilung.
  • Alle Angestellten verwenden namentliche Benutzerkonten.
  • Verbindungssitzungen haben systematisch eine für jede Anwendung angepasste Ablaufzeit.
  • Vor jeder ?nderung der Authentifizierungsmethoden wird die Identit?t der Benutzer überprüft.
  • Vergisst ein Benutzer sein Passwort, sind nur der Vorgesetzte des Mitarbeiters und der Sicherheitsbeauftragte berechtigt, es zurückzusetzen.
  • Benutzerkonten werden automatisch deaktiviert, wenn das Passwort nicht nach 90 Tagen ge?ndert wird.
  • Die Nutzung von Standardkonten, generischen und anonymen Konten ist verboten.
  • Es gilt eine strenge Passwortpolitik.
  • Dank eines automatischen Passwortgenerators w?hlt der Benutzer sein Passwort nicht selbst.
  • Die Mindestl?nge eines Passwortes betr?gt 10 alphanumerische Zeichen.
  • Die Passw?rter werden alle 3 Monate ge?ndert.
  • Es ist verboten, Passw?rter in unverschlüsselten Dateien, auf Papier oder in Webbrowsern zu speichern.
  • Die Verwendung einer lokalen, vom Sicherheitsteam genehmigten Passwortverwaltungssoftware ist vorgeschrieben.
  • Jeder Fernzugriff auf das Informationssystem von OVH erfolgt mittels VPN. Hierfür ist ein Passwort erforderlich, das nur der Benutzer kennt, sowie ein auf dem Arbeitsplatz konfiguriertes Shared Secret.
Verwaltung der Administratorzugriffe auf die Produktionsplattformen

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Folgende Policy wird für die Verwaltung der Administratorzugriffe auf die Plattformen umgesetzt:

  • Alle Administratorzugriffe auf ein System in Produktion erfolgen über einen Bastion Host.
  • Administratoren verbinden sich via SSH mit den Bastion Hosts, indem sie individuelle und namentliche Paare ?ffentlicher und privater Schlüssel verwenden.
  • Die Verbindung mit dem Zielsystem erfolgt entweder über ein Shared-Service-Konto oder über ein Namenskonto via Bastion Hosts. ? Die Verwendung von Standardkonten auf den Systemen und Ger?ten ist verboten.
  • Für Administrator-Fernzugriffe sowie für Zugriffe durch Mitarbeiter in sensiblen Umgebungen ist eine Zwei-Faktor-Authentifizierung mit vollst?ndiger Nachverfolgung erforderlich.
  • Administratoren verfügen zus?tzlich zu ihrem Benutzerkonto über ein ausschlie?lich für administrative Aufgaben verwendetes Konto.
  • Zugriffsberechtigungen werden von den Vorgesetzten gem?? der Regel der geringsten Berechtigung und dem Prinzip erworbenen Vertrauens erteilt und verfolgt.
  • die SSH-Schlüssel sind durch ein Passwort geschützt, das die Anforderungen der Passwortpolicy erfüllt.? Berechtigungen und Zugriffe werden regelm??ig in Zusammenarbeit mit den betreffenden Abteilungen überprüft.
Zugriffskontrolle zum Kundencenter

Empfehlungen für den für die Verarbeitung verantwortlichen Kunden

Der Kunde ist selbst für Verwaltung und Sicherheit seiner Authentifizierungsmethoden verantwortlich. Um die Zugriffe auf sein Konto besser zu schützen, kann er:? im Kundencenter von OVH die Zwei-Faktor-Authentifizierung aktivieren,? Verbindungen auf eine zuvor angegebene Liste von IP-Adressen einschr?nken.

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Die Verwaltung der OVH Dienstleistungen durch den Kunden erfolgt über das Kundencenter oder die API. Standardm??ig erfolgt der Zugriff mittels Namenskonto (NIC-Handle) und Passwort:

  • Das Passwort wird vom Kunden festgelegt und muss den vom Interface vorgeschriebenen Komplexit?tskriterien entsprechen.
  • Nur die Hashwerte der Passw?rter werden auf den OVH Servern gespeichert.
  • OVH bietet die M?glichkeit, im Kundencenter die Zwei-Faktor-Authentifizierung zu aktivieren. Diese verwendet ein System per SMS gesendeter Einmalpassw?rter (OTP), eine mobile Anwendung oder einen U2F-kompatiblen Schlüssel.
  • Der Kunde kann die Zugriffe auf sein Kundencenter auf zuvor festgelegte IP-Adressen beschr?nken.
  • API-Zugriffstoken k?nnen für die Dauer ihrer Gültigkeit genutzt werden, ohne dass erneute spezifische Kontrollen notwendig sind.
  • Alle Kundenaktivit?ten im Kundencenter oder der API werden protokolliert.
  • Der Kunde kann bei der Verwaltung der Dienste technische und administrative Aufgaben trennen.
Sicherheit der Arbeitspl?tze und mobilen Ger?te

Empfehlungen für den für die Verarbeitung verantwortlichen Kunden

Der Kunde muss die Sicherheit der Arbeitspl?tze und der mobilen Ger?te gew?hrleisten, mit denen der Dienst und die Systeme verwaltet werden k?nnen.

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Sicherung der Standardarbeitspl?tze

Die folgenden Ma?nahmen werden eingesetzt, um die Sicherheit der Standardarbeitspl?tze des OVH Personals zu gew?hrleisten:

  • Automatische Updateverwaltung
  • Installation und Aktualisierung von Antivirus-Software mit regelm??igen Scans ? Ausschlie?liche Installation von Anwendungen aus einem genehmigten Anwendungskatalog
  • Systematische Verschlüsselung der Festplatten
  • Keine Administratorrechte für Mitarbeiter an ihrem Arbeitsplatz
  • Festgelegte Vorgehensweise zur Behandlung potenziell kompromittierter Arbeitspl?tze
  • Standardisierung der Ger?te
  • L?schen der Sitzungen und Zurücksetzen der Arbeitspl?tze beim Verlassen der Mitarbeiter

Sicherung der mobilen Endger?te

Die folgenden Ma?nahmen werden eingesetzt, um die Sicherheit der privaten oder von OVH zur Verfügung gestellten mobilen Endger?te zu gew?hrleisten:

  • Verpflichtende Registrierung der Ger?te im zentralen Verwaltungssystem, bevor damit auf interne Ressourcen zugegriffen wird (WLAN, E-Mail, Kalender, Telefonbuch etc.)
  • überprüfung der auf dem Ger?t verwendeten Sicherheitspolitik (Freischaltcode, automatische Sperrzeit, Verschlüsselung des Speichers)
  • Fernl?schvorgang von Ger?ten im Fall von Diebstahl oder Verlust
Netzwerksicherheit

Empfehlungen für den für die Verarbeitung verantwortlichen Kunden

Der Kunde ist allein für die Verschlüsselung der Inhalte verantwortlich, die über das OVH Netzwerk übertragen werden.

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

OVH verwaltet ein privates Hochleistungs-Glasfasernetz, das mit zahlreichen Betreibern und Spediteuren verbunden ist. OVH verwaltet seinen eigenen Backbone intern. Er verteilt die Konnektivit?t auf die lokalen Netzwerke jedes Rechenzentrums und verbindet diese untereinander.

Alle Ger?te sind durch die folgenden Ma?nahmen gesichert:

  • Bestandsführung in einer Konfigurationsmanagementdatenbank
  • Umsetzung eines H?rtungsprozesses, mit Anleitungen für die zu ver?ndernden Einstellungen, um eine sichere Konfiguration zu gew?hrleisten
  • Zugriffe auf die Administratorfunktionen der Ger?te sind über Kontrolllisten beschr?nkt
  • Alle Ger?te werden über einen Bastion Host unter Anwendung des Prinzips der geringsten Berechtigung verwaltet
  • Von allen Konfigurationen der Netzwerkger?te werden Backups erstellt
  • Logs werden gesammelt, zentralisiert und st?ndig vom Netzbetriebsteam überwacht
  • Die Implementierung von Konfigurationen erfolgt automatisiert und basiert auf genehmigten Vorlagen
Betriebskontinuit?tsmanagement

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Für die von OVH für die Bereitstellung seiner Dienstleistungen verwendeten Server und Ger?te gilt eine Backup-Policy:

  • Alle für die Betriebskontinuit?t, die Wiederherstellung des Informationssystems oder die Analyse nach einer St?rung erforderlichen Systeme und Daten werden gesichert (technische und administrative Datenbankdateien, Aktivit?tsprotokolle, Quellcodes intern entwickelter Anwendungen, Konfiguration der Server, Anwendungen und Ger?te etc.).
  • Intervall, Aufbewahrungsdauer und Speicherbedingungen der Backups werden entsprechend den Anforderungen jedes gesicherten Aktivums definiert. Die Durchführung von Backups, sowie die Verwaltung von Fehlern und Warnungen unterliegen einem Monitoring.
Protokollierung

Empfehlungen für den für die Verarbeitung verantwortlichen Kunden

Der Kunde ist allein verantwortlich für das Protokollierungskonzept seiner eigenen Systeme und Anwendungen.

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Für die von OVH für die Bereitstellung seiner Dienstleistungen verwendeten Server und Ger?te wird ein Protokollierungskonzept umgesetzt:

  • Zentrales Backup und Aufbewahrung der Protokolle
  • Abfrage und Analyse der Logdateien durch eine beschr?nkte Anzahl berechtigter Akteure gem?? der Policy für Zugriffsberechtigung und Zugriffsverwaltung
  • Aufgabentrennung zwischen den für den Betrieb der Monitoring-Infrastruktur zust?ndigen Teams und den für den Betrieb des Dienstes zust?ndigen Teams. Insbesondere die folgenden Aktivit?ten werden protokolliert:
  • Logdateien der Speicherserver, auf denen sich die Kundendaten befinden
  • Logdateien der Ger?te, die die Infrastruktur des Kunden verwalten
  • Logdateien der Ger?te für das Monitoring der Infrastrukturen
  • Logdateien der Antivirussoftware auf allen damit ausgestatteten Ger?ten
  • Gegebenenfalls Integrit?tsprüfung der Logdateien und Systeme
  • Durch den Kunden auf seiner Infrastruktur ausgeführte Aufgaben und Ereignisse
  • Gegebenenfalls Logdateien und Warnungen, wenn ein Eindringen in das Netzwerk festgestellt wird
  • Logdateien der Netzwerkger?te
  • Logdateien der Infrastruktur der überwachungskameras
  • Logdateien der Administratorger?te
  • Logdateien der Zeitserver
  • Logdateien der Badge-Leseger?te
  • Logdateien der Bastion Hosts
男女做爰高清免费视频