OVH e la protezione dei dati personali

È essenziale distinguere tra la sicurezza dei dati ospitati dal cliente e la sicurezza delle infrastrutture che ospitano questi dati

Thumbnail

Sicurezza dei dati ospitati dal cliente: il cliente è l'unico responsabile della sicurezza delle proprie risorse e dei sistemi applicativi implementati per l'utilizzo dei servizi. OVH mette a disposizione degli strumenti per supportare il cliente nella protezione dei propri dati.

Thumbnail

Sicurezza delle infrastrutture: OVH si impegna a garantire la massima sicurezza delle proprie infrastrutture, in particolare implementando una politica di sicurezza dei sistemi informativi e rispondendo alle esigenze di numerose leggi e certificazioni (PCI-DSS, ISO/IEC 27001 e attestati SOC 1 tipo II e SOC 2 tipo II, ecc...).

È possibile consultare tutte le certificazioni ed il loro perimetro nella sezione 'Certificazioni' del nostro sito.

Sicurezza delle infrastrutture OVH

OVH adotta le misure necessarie per preservare la sicurezza e la riservatezza dei dati personali trattati, in particolare per impedire che vengano violati, danneggiati o che soggetti terzi non autorizzati vi accedano.

OVH si impegna in particolare a implementare:

Sistema di gestione della sicurezza

Impegni assunti da OVH in qualità di hosting provider

È stata implementata una policy di sicurezza dei sistemi informativi (a cui OVH si riferisce con l’acronimo PSSI - Politique de Sécurité du Système d'Information) che descrive l’insieme dei nostri provvedimenti in materia, che viene solitamente aggiornata almeno una volta all’anno, oppure in caso di modifiche importanti relative al contenuto. I nostri servizi sono a loro volta regolati da sistemi formali di gestione della sicurezza delle informazioni.

Diverse figure coordinano le nostre azioni relative alla sicurezza del perimetro:

  • il responsabile della sicurezza dei sistemi informativi (RSSI);
  • il Security Manager, responsabile dei processi e dei progetti relativi alla sicurezza del perimetro;
  • il Data Protection Officer (DPO), responsabile della sicurezza dei dati personali;
  • il Risk Manager, che coordina la gestione dei rischi per la sicurezza e i relativi piani d'azione;
  • il Responsabile delle Misure di Sicurezza, che implementa e applica le disposizioni in base ai rischi identificati.
Conformità e certificazione

Impegni assunti da OVH in qualità di hosting provider

Per garantire il mantenimento della conformità e valutare le prestazioni dei nostri sistemi, vengono eseguiti regolarmente audit di sicurezza. Esistono cinque tipi di audit :

  • audit esterni (certificazioni, attestati, clienti);
  • audit interni, effettuati da auditor interni o esterni;
  • audit tecnici (test di intrusione, scansioni di vulnerabilità, revisioni del codice) effettuati da auditor interni o esterni;
  • audit delle attività svolte da terzi, effettuati dal Responsabile della gestione di terzi;
  • audit dei datacenter, effettuati da auditor interni. La natura e la frequenza degli audit effettuati dipendono dai servizi e dai perimetri. Quando si identifica una situazione non conforme, viene applicata una misura correttiva e successivamente aggiunta ai piani di azione. Tutte queste misure sono soggette a un monitoraggio formale e tracciato, nonché a una revisione periodica per riesaminarne la l’efficacia.
Audit del cliente

Raccomandazioni destinate al cliente responsabile del trattamento dei dati

Il cliente può eseguire verifiche tecniche (test d’intrusione) sui propri servizi ospitati da OVH, così come sui relativi componenti di gestione. Le condizioni per lo svolgimento delle verifiche sono previste nei contratti o gestite su una base ad hoc su richiesta.

Impegni assunti da OVH in qualità di hosting provider

Le condizioni per lo svolgimento delle verifiche sono previste nei contratti o gestite su una base ad hoc su richiesta.

Gestione dei rischi

Raccomandazioni destinate al cliente responsabile del trattamento dei dati

Il cliente deve assicurarsi che le misure di sicurezza messe in atto da OVH siano adeguate agli eventuali rischi relativi all’utilizzo dell'infrastruttura.

Impegni assunti da OVH in qualità di hosting provider

OVH applica un metodo formale di gestione del rischio che viene aggiornato almeno una volta all’anno o in caso di modifiche importanti, relativo anche al trattamento di dati personali e informazioni sensibili.

Questo metodo ha l’obiettivo di rendere formali le analisi eseguite, come l’identificazione delle risorse, dei processi aziendali critici, delle minacce e delle vulnerabilità, e si basa sulla norma ISO 27005. Alla fine di ogni analisi viene messo in atto un piano di trattamento del rischio identificato. Questo è implementato entro un massimo di 12 mesi, documenta in dettaglio l'analisi e assegna la priorità delle azioni da eseguire. Ogni misura correttiva viene aggiunta ai piani di azione ed è soggetta a ripetuti controlli formali e pianificati, nonché a una revisione periodica per riesaminarne l'efficacia.

Gestione delle modifiche

Raccomandazioni destinate al cliente responsabile del trattamento dei dati

Il cliente deve assicurarsi che le informazioni inserite siano corrette, affinché OVH possa comunicargli eventuali modifiche sui servizi utilizzati. Laddove richiesto, spetta al cliente implementare le azioni necessarie relative alla configurazione dei propri servizi per adattarsi a queste evoluzioni.

Impegni assunti da OVH in qualità di hosting provider

OVH applica una procedura formale di gestione delle modifiche:

  • i ruoli e le responsabilità sono definiti in modo chiaro;
  • esistono determinati criteri di classificazione per identificare gli step da seguire quando si eseguono modifiche;
  • vengono gestite le priorità; si effettua un'analisi dei rischi relativi alle modifiche (se viene identificato un rischio, il Responsabile della Sicurezza e il Risk Manager collaborano per convalidare la modifica);
  • prima di ogni rilascio, gli aggiornamenti software sono regolarmente oggetto di una code review da parte di terzi; si possono eseguire eventuali test di intrusione (se applicabili); la modifica è pianificata e programmata con i clienti (se applicabile);
  • viene lanciata gradualmente (1/10/100/1000) e, in caso di rischio, è prevista un’operazione di rollback;
  • viene effettuata una revisione a posteriori delle diverse risorse interessate dalla modifica;
  • l’insieme dei passaggi è documentato nello strumento di gestione delle modifiche.
Policy di sviluppo dei sistemi e delle applicazioni

Impegni assunti da OVH in qualità di hosting provider

I processi destinati agli sviluppatori OVH vengono configurati e documentati. Contengono i principi per un processo di sviluppo sicuro, le misure di 'privacy by design', nonché una code review policy (rilevamento di vulnerabilità, trattamento degli errori, gestione degli accessi e delle entrate, protezione dello storage e delle comunicazioni).

  • vengono eseguite regolarmente anche 'code review':
  • rilettura sistematica e indipendente dal codice prima del rilascio; Verifica delle nuove funzionalità prima del rilascio eseguendo test nell'ambiente di convalida (se applicabile), e lancio graduale (1/10/100/1000);
  • separazione dei ruoli e delle responsabilità tra gli sviluppatori e i responsabili del rilascio.
Monitoraggio dei servizi e delle infrastrutture

Impegni assunti da OVH in qualità di hosting provider

Tutti i servizi OVH sono monitorati da un’apposita infrastruttura, con i seguenti obiettivi:

  • individuare gli incidenti di produzione e di sicurezza;
  • monitorare le funzioni critiche attraverso l’inoltro di alert al sistema di supervisione;
  • avvisare i responsabili e avviare le procedure necessarie;
  • assicurare la continuità del servizio nello svolgimento delle operazioni automatizzate;
  • garantire l'integrità delle risorse monitorate.
Gestione degli incidenti

Raccomandazioni destinate al cliente responsabile del trattamento dei dati

Il cliente deve assicurarsi che le informazioni inserite siano corrette, in modo che OVH possa avvisarlo in caso di incidenti; inoltre, deve implementare processi di gestione degli incidenti che interessano il proprio sistema informativo, includendo OVH come potenziale fonte di allarme.

Impegni assunti da OVH in qualità di hosting provider

OVH prevede un processo di gestione degli incidenti che permette di prevenire, rilevare e risolvere questo tipo di eventi nelle infrastrutture di gestione del servizio e nel servizio stesso. Questo processo include:

  • una guida per la classificazione degli eventi di sicurezza;
  • il trattamento degli eventi di sicurezza;
  • esercizi di simulazione per l'unità di crisi;
  • test del piano di risposta agli incidenti;
  • la comunicazione con il cliente come parte del processo di un’unità di crisi.

Queste procedure beneficiano di un processo di miglioramento continuo per il monitoraggio, la valutazione e la gestione globale degli incidenti e delle relative azioni correttive.

Gestione delle vulnerabilità

Raccomandazioni destinate al cliente responsabile del trattamento dei dati

Il cliente deve assicurarsi che le informazioni inserite siano corrette, in modo che OVH possa avvisarlo in caso di vulnerabilità rilevate nel proprio sistema informativo.

Impegni assunti da OVH in qualità di hosting provider

Il Responsabile della Sicurezza e il suo team garantiscono un controllo tecnologico sulle nuove vulnerabilità, identificate tramite:

 

  • siti d’informazione pubblica;
  • alert dei costruttori e degli editori delle soluzioni messe in atto;
  • le osservazioni segnalate dai nostri team operativi, da terzi o dai clienti;
  • scansioni di vulnerabilità interne ed esterne eseguite regolarmente;
  • audit tecnici, nonché code and configuration review.

Se viene rilevata una vulnerabilità, i team dedicati eseguono un'analisi per determinare l'impatto sui sistemi e i potenziali scenari operativi.

Vengono immediatamente implementate delle azioni di mitigazione e, se necessario, viene definito un piano correttivo.

Tutte queste misure sono soggette a un monitoraggio formale tracciato e una revisione periodica per riesaminarne l’efficacia.

Gestione della continuità operativa

Raccomandazioni destinate al cliente responsabile del trattamento dei dati

Il cliente è responsabile della continuità del proprio sistema informativo. Il cliente deve assicurarsi che i dispositivi standard messi a disposizione da OVH, le opzioni selezionate e i dispositivi aggiuntivi da lui implementati, lo mettano in condizione di raggiungere i propri obiettivi.

Impegni assunti da OVH in qualità di hosting provider

La continuità operativa delle infrastrutture (dispositivi, applicazioni e processi operativi) è garantita da diversi meccanismi:

  • la continuità del sistema di watercooling e aircooling;
  • la continuità e la ridondanza della fornitura elettrica;
  • la gestione dei dispositivi sotto la responsabilità di OVH;
  • il supporto tecnico del servizio, distribuito in diversi siti geografici;
  • la ridondanza dei dispositivi e dei server utilizzati per l'amministrazione dei sistemi.

Parallelamente, altri meccanismi come il backup delle configurazioni e dei device di rete, garantiscono il ripristino in caso di incidente.

In base al servizio, OVH metterà a disposizione del cliente funzionalità di backup e ripristino che potrebbero essere sia incluse nell’offerta di base sia opzioni a pagamento.

Rischi naturali e ambientali

Impegni assunti da OVH in qualità di hosting provider

Sono previste misure di sicurezza per prevenire rischi naturali e ambientali:

  • l’installazione di parafulmini, per ridurre le onde elettromagnetiche;
  • la disposizione dei locali OVH in aree non a rischio sismico o di allagamento;
  • la presenza di gruppi di continuità (UPS) con capacità sufficiente e trasformatori di emergenza con commutazione automatica del carico;
  • la commutazione automatica verso generatori con un’autonomia minima di 24 ore;
  • sistema di watercooling per i server (il 98% degli ambienti di hosting non dispone di condizionatori);
  • l’installazione di unità di riscaldamento, ventilazione e condizionamento dell'aria (HVAC) per mantenere la temperatura e l'umidità ad un livello costante;
  • la gestione di un sistema di rilevazione incendi (nei datacenter vengono eseguite delle esercitazioni antincendio ogni 6 mesi).
Misure generali sulla sicurezza dei siti fisici

Impegni assunti da OVH in qualità di hosting provider

L'accesso fisico ai siti OVH si basa su una sicurezza perimetrale restrittiva, efficace a partire dall'area di ingresso. Ogni locale viene classificato come segue:

  • zone di circolazione private;
  • uffici accessibili a tutti i dipendenti e i visitatori registrati;
  • uffici riservati, limitati a determinati dipendenti;
  • aree che ospitano i dispositivi di rete dei datacenter;
  • aree riservate dei datacenter;
  • aree dei datacenter che ospitano i servizi critici.
Misure generali sulla sicurezza dei siti fisici

Impegni assunti da OVH in qualità di hosting provider

Sono previste misure di sicurezza per controllare l'accesso ai siti fisici di OVH:

  • una policy di diritti di accesso;
  • pareti divisorie (o dispositivi equivalenti) tra le diverse zone;
  • telecamere alle entrate e alle uscite degli edifici, così come negli ambienti che ospitano i server;
  • accessi sicuri controllati da lettori di badge;
  • barriere laser nei parcheggi;
  • sistema di rilevamento dei movimenti;
  • meccanismi anti-intrusione alle entrate e alle uscite dei datacenter;
  • meccanismi di rilevamento delle intrusioni (sorveglianza 24 ore su 24 e videosorveglianza);
  • un centro di sorveglianza permanente che controlla l’apertura delle porte di entrata e di uscita.
Accesso ai locali OVH

Impegni assunti da OVH in qualità di hosting provider

I controlli degli accessi fisici sono basati su un sistema di badge. Ogni badge è collegato a un account OVH, che a sua volta è collegato a un individuo. Questo dispositivo consente di identificare tutte le persone presenti nelle strutture e di autenticare i meccanismi di controllo:

  • ogni individuo che entra nei locali OVH deve avere un badge personale collegato alla sua identità;
  • ciascuna identità deve essere verificata prima della fornitura di un badge;
  • all’interno delle strutture bisogna indossare il badge in modo visibile;
  • i badge non devono menzionare il nome del proprietario o il nome dell'azienda;
  • i badge devono consentire di identificare immediatamente le categorie delle persone presenti (dipendenti, terzi, accesso temporaneo, visitatori);
  • il badge viene disattivato non appena il proprietario cessa di avere l’autorizzazione per accedere ai locali OVH;
  • il badge dei dipendenti OVH viene attivato per la durata del contratto di lavoro; per le altre categorie, viene automaticamente disattivato dopo un periodo definito;
  • se un badge non viene utilizzato per tre settimane viene automaticamente disattivato.
Gestione degli accessi alle diverse zone

Impegni assunti da OVH in qualità di hosting provider

Accesso alle porte tramite badge

Si tratta di un controllo di accesso standard all'interno dei locali di OVH:

  • la porta è collegata al sistema centralizzato di gestione dei diritti di accesso;
  • è necessario utilizzare i lettori di badge per sbloccare le porte;
  • l’idoneità all’accesso viene verificata al momento della lettura del badge;
  • in caso di guasto del sistema centralizzato di gestione dei diritti di accesso, si ritengono validi i diritti configurati al momento dell'incidente e per tutta la sua durata;
  • le serrature delle porte sono protette da interruzioni di corrente e rimangono chiuse in caso di guasto.

Accesso alle porte tramite chiavi

Alcune aree o dispositivi sono chiusi con serrature a chiave:

  • le chiavi sono tenute in un luogo centralizzato e ad accesso limitato per ciascun locale, con un inventario di riferimento;
  • ogni chiave è identificata da un etichetta; è presente un inventario delle chiavi;
  • ogni utilizzo delle chiavi è rintracciabile tramite un meccanismo di consegna o un registro cartaceo;
  • il registro di riferimento delle chiavi viene controllato quotidianamente in base all'inventario.

Accesso ai datacenter tramite cabine interbloccate

L'accesso ai nostri datacenter avviene esclusivamente tramite cabine con porte interbloccate:

  • ogni cabina ha due porte e un'area limitata tra i controlli, per garantire che passi solo una persona alla volta;
  • una porta può essere aperta solo se l'altra è chiusa (mantrap);
  • le cabine utilizzano lo stesso sistema di badge delle altre porte, nonché le stesse regole;
  • i meccanismi di rilevamento controllano che una sola persona sia presente nella cabina (anti-piggybacking);
  • il sistema è configurato per impedire l'uso del badge più di una volta nella stessa direzione (anti-passback);
  • una telecamera posizionata vicino alla cabina consente di sorvegliare gli accessi.

Accesso delle merci alle cabine interbloccate

  • L'accesso delle merci ai datacenter avviene esclusivamente tramite passerelle dedicate:
  • il vestibolo di consegna è configurato allo stesso modo di una cabina con porte interbloccate, ma con maggiore spazio, nessun controllo di volume e di peso, e con lettori di badge posizionati soltanto all’esterno;
  • solo l'oggetto consegnato passa attraverso il vestibolo, mentre le persone devono accedere tramite le cabine interbloccate;
  • nel vestibolo è presente una telecamera senza punti ciechi.
Gestione degli accessi fisici da parte di terzi

Raccomandazioni destinate al cliente responsabile del trattamento dei dati

OVH non interviene mai presso le strutture dei propri clienti, in quanto sono loro i responsabili della sicurezza dei propri locali.

Impegni assunti da OVH in qualità di hosting provider

La circolazione di visitatori e fornitori occasionali è rigorosamente regolamentata. Queste persone vengono registrate non appena arrivano e ricevono un badge da visitatore o da provider:

  • ogni visita deve essere dichiarata con anticipo;
  • i visitatori sono sotto la responsabilità di un dipendente e sono sempre accompagnati;
  • tutte le identità vengono verificate prima dell'accesso ai siti;
  • tutti i visitatori hanno un badge giornaliero personale, che devono restituire prima di lasciare il sito;
  • tutti i badge devono essere indossati in modo visibile;
  • i badge vengono disattivati automaticamente alla fine della visita.
Sensibilizzazione e formazione del personale

Impegni assunti da OVH in qualità di hosting provider

Lo staff di OVH è a conoscenza delle regole di sicurezza e di conformità del trattamento dei dati personali:

  • ogni anno vengono organizzate sessioni di formazione su questi temi, sulla realizzazione degli audit e sui servizi tecnici per i team interessati;
  • sulla realizzazione degli audit e sui servizi tecnici per i team interessati;
  • viene organizzata anche una sensibilizzazione sulla sicurezza del sistema informativo durante l'integrazione dei nuovi dipendenti;
  • viene organizzata anche una sensibilizzazione sulla sicurezza del sistema informativo durante l'integrazione dei nuovi dipendenti;
  • vengono inviate regolarmente a tutto il personale delle comunicazioni riguardo la sicurezza;
  • vengono organizzate campagne di test per garantire che i dipendenti sappiano come reagire in caso di minaccia.
Gestione degli accessi logici al sistema informativo di OVH

Impegni assunti da OVH in qualità di hosting provider

OVH applica una rigorosa politica di gestione degli accessi logici per i dipendenti:

  • le autorizzazioni vengono assegnate e monitorate dai manager, secondo il principio del privilegio minimo e dell’acquisizione graduale della fiducia;
  • per quanto possibile, tutte le autorizzazioni si basano sui ruoli e non sui diritti unitari;
  • la gestione dei diritti di accesso e delle autorizzazioni assegnate a un utente o a un sistema si basa su una procedura di registrazione, modifica e cancellazione che coinvolge i manager, il dipartimento informatico interno e le risorse umane;
  • tutti i dipendenti utilizzano degli account utente nominativi;
  • le sessioni di accesso hanno sempre una scadenza adeguata a ciascuna applicazione;
  • l’identità degli utenti viene verificata prima di ogni modifica relativa ai mezzi di autenticazione;
  • se l’utente dimentica la password, solo il manager del collaboratore e il responsabile della sicurezza sono autorizzati a ripristinarla;
  • gli account utente vengono automaticamente disattivati ​​se la password non viene rinnovata dopo 90 giorni;
  • l'utilizzo di account predefiniti, generici e anonimi è vietato;
  • è stata implementata una politica di password rigorosa;
  • utilizzando un generatore automatico, l'utente non sceglie la propria password;
  • la dimensione minima della password è 10 caratteri alfanumerici;
  • la frequenza di rinnovo della password è di 90 giorni;
  • il salvataggio delle password in file non crittografati, su carta o sui browser web è proibito;
  • è obbligatorio utilizzare un software locale di gestione delle password, convalidato dai team di sicurezza;
  • l’accesso remoto al sistema informativo di OVH avviene tramite VPN e richiede una password conosciuta solo dall'utente e una password segreta condivisa configurata sul posto di lavoro.
Gestione degli accessi amministrativi alle piattaforme di produzione

Impegni assunti da OVH in qualità di hosting provider

OVH applica una politica per la gestione dei diritti di accesso amministravi delle piattaforme:

  • ogni accesso amministrativo a un sistema in produzione avviene tramite un bastion host;
  • gli amministratori si collegano ai bastion host via SSH, utilizzando coppie di chiavi pubbliche e private individuali e nominative;
  • la connessione al sistema di destinazione viene eseguita con un account di servizio condiviso o con un account nominativo tramite un bastion host; l'utilizzo di account predefiniti su sistemi e dispositivi è vietato;
  • l’autenticazione a doppio fattore è obbligatoria per l'accesso degli amministratori in remoto e l'accesso dei dipendenti ai perimetri sensibili, con una tracciatura completa;
  • gli amministratori hanno un account dedicato esclusivamente alle attività di amministrazione, oltre al proprio account utente;
  • le autorizzazioni vengono assegnate e monitorate dai manager, secondo il principio del privilegio minimo e dell’acquisizione graduale della fiducia;
  • le chiavi SSH sono protette da password che soddisfano i requisiti della politica sulle password; viene effettuata una revisione regolare dei diritti e degli accessi in collaborazione con i servizi competenti.
Controllo dell’accesso allo Spazio Cliente

Raccomandazioni destinate al cliente responsabile del trattamento dei dati

Il cliente è responsabile della gestione e della sicurezza dei propri mezzi di autenticazione. Per proteggere nel modo migliore gli accessi al proprio account, ha la possibilità di:

  • attivare l'autenticazione a due fattori nello Spazio Cliente OVH;
  • limitare le connessioni a una lista di indirizzi IP prestabilita.

Impegni assunti da OVH in qualità di hosting provider

La gestione dei servizi OVH da parte del cliente viene effettuata attraverso lo Spazio Cliente o accedendo alle API. L'accesso di default viene effettuato tramite un account nominativo (NIC handle) e una password:

  • la password viene scelta dal cliente e deve rispettare i criteri di complessità imposti dall'interfaccia;
  • solo gli hash delle password vengono salvati sui server di OVH;
  • OVH offre la possibilità di attivare l'autenticazione a doppio fattore dallo Spazio Cliente attraverso un sistema di one-time password (OTP) inviate via SMS, l'utilizzo di un'applicazione mobile o di una chiavetta U2F compatibile;
  • il cliente può limitare gli accessi al proprio Spazio Cliente a indirizzi IP predefiniti;
  • i token di accesso alle API possono essere utilizzati durante il loro periodo di validità, senza dover passare nuovamente attraverso controlli specifici;
  • tutte le attività del cliente nello Spazio Cliente o nelle API sono registrate;
  • il cliente può separare le attività tecniche e amministrative relative alla gestione dei servizi.
Sicurezza delle postazioni di lavoro e dei dispositivi mobili

Raccomandazioni destinate al cliente responsabile del trattamento dei dati

Il cliente deve garantire la sicurezza delle postazioni di lavoro e dei dispositivi mobili che consentono l'amministrazione del servizio e dei sistemi.

Impegni assunti da OVH in qualità di hosting provider

Protezione delle postazioni di lavoro standard

Esistono misure per garantire la sicurezza delle postazioni di lavoro standard per il personale OVH:

  • gestione automatica degli aggiornamenti;
  • installazione e aggiornamento di antivirus, con scansioni regolari; installazione delle sole applicazioni inserite in un catalogo convalidato;
  • crittografia sistematica dei dischi rigidi;
  • assenza di diritti amministrativi per i dipendenti sulla propria postazione di lavoro;
  • procedura di trattamento di una postazione di lavoro potenzialmente compromessa;
  • standardizzazione dei dispositivi;
  • procedura di eliminazione delle sessioni e di ripristino delle postazioni di lavoro in caso di licenziamento dei dipendenti.

Protezione dei terminali mobili

Vengono attuate misure per garantire la sicurezza dei terminali mobili personali o forniti da OVH:

  • registrazione obbligatoria dei terminali nel sistema di gestione centralizzato, prima di accedere alle risorse interne (Wi-Fi, email, calendari, elenchi di indirizzi, ecc...);
  • verifica della politica di sicurezza implementata sul terminale (codice di sblocco, tempo di blocco, crittografia di memorizzazione);
  • procedura di cancellazione remota dei terminali in caso di furto o smarrimento.
Sicurezza della rete

Raccomandazioni destinate al cliente responsabile del trattamento dei dati

Il cliente è l’unico responsabile della crittografia del contenuto da comunicare attraverso la rete OVH.

Impegni assunti da OVH in qualità di hosting provider

OVH gestisce una rete privata in fibra ottica ad alte prestazioni, interconnessa con molti operatori e spedizionieri. La backbone di OVH è gestita in proprio e distribuisce la connettività alle reti locali di ciascun datacenter, permettendone l’interconnessione.

Tutti questi dispositivi sono protetti dalle seguenti misure:

  • mantenimento di un inventario all'interno di un database di gestione delle configurazioni;
  • implementazione di un processo di hardening, con guide che descrivono i parametri da modificare per garantire una configurazione sicura;
  • accessi limitati alle funzioni di amministrazione dei dispositivi tramite liste di controllo;
  • tutti i dispositivi vengono gestiti tramite un bastion host, applicando il principio del privilegio minimo;
  • tutte le configurazioni dei dispositivi di rete vengono salvate;
  • i log vengono raccolti, centralizzati e monitorati continuamente dal team dedicato;
  • l'implementazione delle configurazioni è automatizzata e basata su dei modelli convalidati.
Gestione della continuità operativa

Impegni assunti da OVH in qualità di hosting provider

È stata attuata una politica di backup sui server e sui dispositivi utilizzati da OVH per fornire i propri servizi:

  • tutti i sistemi e i dati necessari alla continuità operativa, alla ricostruzione del sistema informativo o all'analisi successiva agli incidenti vengono memorizzati (file di database tecnici e amministrativi, registri delle attività, codici sorgente per applicazioni sviluppate internamente, configurazione di server, applicazioni e dispositivi, ecc...);
  • le frequenze, i tempi di memorizzazione e i metodi di archiviazione dei backup sono definiti in base alle esigenze di ciascuna risorsa memorizzata; la realizzazione dei backup è soggetta a un monitoraggio e a una gestione degli alert e degli errori.
Journaling

Raccomandazioni destinate al cliente responsabile del trattamento dei dati

Il cliente è l'unico responsabile della politica di registrazione per i propri sistemi e applicazioni.

Impegni assunti da OVH in qualità di hosting provider

È stata attuata una policy di journaling sui server e sui dispositivi utilizzati da OVH per fornire i propri servizi:

  • backup e archiviazione centralizzati dei registri;
  • consultazione e analisi dei log da parte di un numero limitato di figure autorizzate, in conformità con la politica di controllo e di gestione degli accessi;
  • separazione delle attività tra i team responsabili del funzionamento dell'infrastruttura di monitoraggio e quelli responsabili del funzionamento del servizio. Ecco l'elenco delle principali attività registrate:
  • log dei server di archiviazione che ospitano i dati dei clienti;
  • log delle macchine che gestiscono l'infrastruttura dei clienti;
  • log delle macchine per il monitoraggio delle infrastrutture;
  • log degli antivirus installati su tutte le macchine dotate;
  • controllo di integrità dei log e dei sistemi (se applicabile);
  • attività ed eventi eseguiti dal cliente sulla sua infrastruttura;
  • log e allarmi di rilevamento intrusioni di rete (se applicabile);
  • log dei dispositivi di rete;
  • log dell'infrastruttura delle telecamere di sorveglianza;
  • log delle macchine degli amministratori;
  • log dei server del tempo;
  • log dei lettori di badge;
  • log dei bastion host.