diff --git a/docs/de/guides/account-and-service-management/account-information/information-system-security-policy.mdx b/docs/de/guides/account-and-service-management/account-information/information-system-security-policy.mdx deleted file mode 120000 index 7bf7d26ba..000000000 --- a/docs/de/guides/account-and-service-management/account-information/information-system-security-policy.mdx +++ /dev/null @@ -1 +0,0 @@ -../../../../en/guides/account-and-service-management/account-information/information-system-security-policy.mdx \ No newline at end of file diff --git a/docs/de/guides/account-and-service-management/account-information/information-system-security-policy.mdx b/docs/de/guides/account-and-service-management/account-information/information-system-security-policy.mdx new file mode 100644 index 000000000..d2b0fc703 --- /dev/null +++ b/docs/de/guides/account-and-service-management/account-information/information-system-security-policy.mdx @@ -0,0 +1,624 @@ +--- +title: OVHcloud Informationssicherheitsrichtlinie +description: Erfahren Sie, wie OVHcloud seine Informationssicherheitsrichtlinie (ISSP) aufbaut – von der Cybersicherheits-Governance und dem Risikomanagement bis hin zum Datenschutz und der Sicherheit der Rechenzentren. +lastUpdated: 2026-05-27 +--- + +## Zweck dieses Dokuments + +Bei OVHcloud setzen wir ein detailliertes globales Managementsystem für Cybersicherheit ein. Dieses Dokument erläutert, wie dieses System aufgebaut ist und wie es funktioniert. Es umfasst Folgendes: + +- Eine Zusammenfassung des betrieblichen Umfelds von OVHcloud. Dies hilft dabei, die wichtigsten Cybersicherheitsrisiken, zentralen Anliegen und Herausforderungen zu identifizieren. + +- Unsere Sicherheitsverpflichtungen gegenüber den Beteiligten. Es beschreibt außerdem die wichtigsten Grundsätze, die wir befolgen, um unsere Informationssysteme zu schützen und zu verwalten. + +- Die Struktur, mit der wir Strategie, tägliche Abläufe und künftige Verbesserungen miteinander verbinden. Dies stellt sicher, dass unser Ansatz für Cybersicherheit sowohl konsistent als auch wirksam ist. + +Dieses Dokument wird als "Informationssicherheitsrichtlinie" bezeichnet. Es wird jährlich sowie im Falle von Ereignissen mit größeren Auswirkungen überprüft und aktualisiert. Es ersetzt eine breite Palette von Sicherheitsrichtlinien und Implementierungsleitfäden, die über individuelle Lebenszyklen verwaltet werden. + +Dieser Text ist bewusst in einfacher Sprache verfasst, um ihn auch für Nichtfachleute verständlicher zu machen. + +## Kontext der Cybersicherheits-Governance + +Als bedeutende Alternative in einem etablierten Markt steht OVHcloud vor einer komplexen Herausforderung. Unsere Kunden erwarten, dass unsere Cloud-Services den Branchenstandards entsprechen. Gleichzeitig möchten sie von unseren einzigartigen Wettbewerbsvorteilen profitieren. Im Bereich der Cybersicherheit arbeiten wir daran, das richtige Gleichgewicht zu finden. Wir streben danach, Branchenstandards einzuhalten und zugleich Strategien zur Risikominderung anzuwenden, die zu unserem spezifischen Geschäftsmodell passen. + +OVHcloud agiert in einem sich schnell verändernden Umfeld. Bedrohungen, Technologien und Kundenerwartungen entwickeln sich ständig weiter. Wir müssen daher flexibel bleiben und in der Lage sein, uns rasch anzupassen. + +### Was ist Informationssicherheit? + +Sicherheit bedeutet, unsere Informationssysteme und Services vor potenziellen Bedrohungen zu schützen. Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit der Daten und Cloud-Services unserer Kunden zu gewährleisten. + +Als Cloud-Service-Provider muss OVHcloud stets sicherstellen, dass die Systeme verfügbar bleiben und die Daten geschützt sind. Dies ist eine zentrale Verantwortung, die jeder Mitarbeitende von OVHcloud teilt. + +Die Cybersicherheits-Governance konzentriert sich vor allem auf Risiken, die durch böswillige Handlungen entstehen. Sie gewährleistet außerdem eine enge Abstimmung mit allen Teams, die an der Erbringung der Services beteiligt sind. Diese Abstimmung trägt dazu bei, einen vollständigen und konsistenten Ansatz für das Risikomanagement zu schaffen. + +Der Sicherheitsansatz von OVHcloud umfasst zudem klare Regeln für den Datenschutz und die Nachvollziehbarkeit. Dies ist besonders wichtig, wenn es um den Schutz der Privatsphäre geht. Diese Verpflichtungen sind formell in unseren Sicherheitsrichtlinien verankert. + +Die Informationssicherheitsrichtlinie (ISSP) deckt die folgenden fünf Sicherheitskriterien ab: + +- Verfügbarkeit (A) + +- Integrität (I) + +- Vertraulichkeit (C) + +- Nachvollziehbarkeit (T) + +- Schutz der Privatsphäre (P) + +Diese Kriterien helfen dabei, die Sicherheitsanforderungen für geschützte Assets zu definieren. Sie werden außerdem verwendet, um die Auswirkungen eines Sicherheitsrisikos oder -vorfalls zu bewerten. + +### Welche Assets schützen wir? + +#### Infrastruktur, Plattformen, Anwendungen + +OVHcloud betreibt eine globale, hochwertige Infrastruktur. Dazu gehören mehrere Rechenzentren, Hardware und Server. Diese Komponenten sind über ein Hochleistungsnetzwerk miteinander verbunden. Das Netzwerk ermöglicht eine sichere und zuverlässige Kommunikation zwischen den Services sowie mit öffentlichen oder privaten Netzwerken. + +Diese Infrastruktur ist für unser Geschäft von zentraler Bedeutung. Sie unterstützt alle Produkte und Services von OVHcloud. + +Unser Informationssystem wird ebenfalls von OVHcloud verwaltet. Es umfasst kundenseitige Services, interne Abläufe, Automatisierungswerkzeuge und Plattformen für die Zusammenarbeit. Es umfasst außerdem die Werkzeuge und Schnittstellen, mit denen Kunden ihre Services verwalten und mit den Teams von OVHcloud kommunizieren. + +Unser Serviceportfolio ist breit gefächert. Es umfasst Infrastructure as a Service (IaaS), Platform as a Service (PaaS), Software as a Service (SaaS) sowie Telekommunikationsdienste. Diese Services basieren auf unserer leistungsstarken Infrastruktur und unseren Informationssystemen. Sie werden zudem durch zusätzliche Services unterstützt, die entweder von OVHcloud oder von unseren Partnern bereitgestellt werden. + +Dieser integrierte Aufbau ermöglicht es uns, ein konsistentes und skalierbares Spektrum an Services anzubieten. Er hilft uns, den sich wandelnden Anforderungen unserer Kunden gerecht zu werden. + +#### Informationen + +OVHcloud behandelt Kundendaten als die sensibelste und kritischste Art von Informationen. Diese Daten werden im Rahmen der von uns erbrachten Services gehostet. In diesem Fall ist der Kunde der Verantwortliche für die Datenverarbeitung und für die Verwendung der Daten zuständig. OVHcloud handelt als Unterauftragsverarbeiter. + +Als Unterauftragsverarbeiter handelt OVHcloud auf Anweisung des Kunden. Wir halten uns an die im Servicevertrag festgelegten Bedingungen und respektieren die Richtlinien und Vorgaben des Kunden. + +OVHcloud schützt außerdem seine eigenen internen Daten. Diese Daten sind erforderlich, um unseren Betrieb zu unterstützen. Für diese Art von Daten ist OVHcloud der Verantwortliche. + +Zu den internen Daten gehören technische und administrative Informationen. Sie werden genutzt, um Services zu erbringen, Geschäftsbeziehungen zu verwalten und rechtliche Anforderungen zu erfüllen. + +### Wer sind die Beteiligten im Bereich Cybersicherheit? + +#### Kunden und Partner + +OVHcloud spielt eine zentrale Rolle beim Betrieb und der Verwaltung der Infrastruktur, der Plattformen und der Software, die digitale Abläufe unterstützen. + +Diese Services sind für die Informationssysteme und Geschäftsaktivitäten unserer Kunden von entscheidender Bedeutung. Viele unserer Kunden stellen ihrerseits Services für andere Parteien bereit, wodurch ein komplexes und sich ständig veränderndes Umfeld entsteht. + +Als vertrauenswürdiger Cloud-Anbieter wird von OVHcloud erwartet, fundiertes technisches Wissen und eine umfassende Kontrolle über die Art und Weise der Erbringung unserer Services nachzuweisen. + +Wir müssen sicherstellen, dass unsere Services hohen Standards in Bezug auf Zuverlässigkeit, Sicherheit und Leistung entsprechen. Diese Standards werden sowohl von unseren Kunden als auch von deren eigenen Endnutzern gefordert. + +#### Branchenspezifische Behörden und Regulierungsstellen + +Regulierungsbehörden erlassen Regeln, um Bürger und Unternehmen in ihren Regionen zu schützen. Diese Regeln umfassen Anforderungen an die Datensicherung und die Kontrolle der Datenverarbeitung. + +OVHcloud befolgt diese Regeln in jeder Region, in der wir tätig sind. Wir stellen sicher, dass unsere Services den spezifischen Anforderungen und Bedingungen jedes lokalen Umfelds entsprechen. + +Darüber hinaus legen einige Regulierungsstellen zusätzliche Regeln für bestimmte Branchen fest. Diese Regeln gelten für bestimmte Arten von Daten und Verarbeitungsaktivitäten, die mit höheren Risiken verbunden sind. + +Um diesen Anforderungen gerecht zu werden, bietet OVHcloud Services an, die auf die Einhaltung branchenspezifischer Regeln ausgelegt sind. Wir verpflichten uns, diese Standards einzuhalten und die damit verbundenen Risiken zu bewältigen. + +#### Mitarbeitende, Management von OVHcloud und Aktionäre + +Die Mitarbeitenden von OVHcloud sind für die Konzeption, Wartung und den Betrieb der Systeme und Prozesse verantwortlich, die unsere Services unterstützen. + +Jeder Sicherheitsvorfall kann unserem Betrieb unmittelbar schaden. Er kann außerdem den Wert unserer Services mindern und dem Ansehen sowie der Professionalität unserer Teams schaden. + +Andererseits stärkt der Betrieb sicherer Informationssysteme die Innovationsfähigkeit von OVHcloud. Er fördert zudem eine Kultur der Zusammenarbeit und des Engagements, was zu einer besseren Servicequalität führt. + +OVHcloud agiert in einem hart umkämpften Markt. Um erfolgreich zu sein, müssen wir schnell wachsen, um Innovationen zu unterstützen und international zu expandieren. Gleichzeitig müssen wir unsere Glaubwürdigkeit weiter ausbauen. + +Das Vertrauen der Kunden ist der wichtigste Faktor hinter diesem Wachstum. Dieses Vertrauen hängt von unserer Fähigkeit ab, ihre Daten und Workloads zu schützen. + +Aus diesem Grund ist Cybersicherheit ein zentraler Bestandteil der Wachstumsstrategie von OVHcloud. Sie wird von unserem Management und unseren Aktionären uneingeschränkt unterstützt. + +Indem wir der Cybersicherheit Priorität einräumen, können wir das Vertrauen und die Treue unserer Kunden schützen. Dies ist entscheidend, um unsere Geschäftsziele zu erreichen und unsere Position als führender Cloud-Anbieter zu behaupten. + +#### Subunternehmer und Outsourcing + +OVHcloud arbeitet mit Subunternehmern zusammen, um verschiedene Prozesse und Projekte zu verwalten. Diese Subunternehmer können Zugriff auf die Informationssysteme und physischen Standorte von OVHcloud haben. + +Darüber hinaus nutzt OVHcloud externe Anwendungen und Systeme, die in seine Hauptinfrastruktur integriert sind. Diese ausgelagerten Systeme unterstützen wesentliche Teile des Betriebs von OVHcloud. Sie sind ein wichtiger Bestandteil des gesamten Sicherheitskonzepts des Unternehmens. + +OVHcloud weitet seine Sicherheitsmaßnahmen aus, um diese Subunternehmer und ausgelagerten Systeme abzudecken. Da sie für unseren Betrieb von wesentlicher Bedeutung sind, ist es wichtig, dass sie dieselben Sicherheitsstandards und -regeln einhalten. + +## Risiken und Chancen im Zusammenhang mit Cybersicherheit + +### Risikomanagement / Compliance + +Ein wirksames Risikomanagement erfordert eine formale Methode, um für jede Situation die besten Sicherheitsmaßnahmen auszuwählen. Richtig angewendet, kann diese Methode wirksam sein. Sie ist jedoch auch mit Herausforderungen verbunden. + +Eine einzelne Sicherheitsmaßnahme kann mehrere Risiken gleichzeitig verringern. Ebenso erfordert jedes Risiko häufig mehrere Maßnahmen, um vollständig bewältigt zu werden. + +Für jede einzelne Sicherheitsentscheidung eine detaillierte, strukturierte Bewertung durchzuführen, kann ineffizient sein. Es kann zudem zu unnötiger Komplexität führen. + +In vielen Fällen ist ein einfacherer Ansatz praktikabler. OVHcloud nutzt häufig eine auf Compliance basierende Methode und folgt dabei einem Satz von Sicherheitsregeln, der auf 25 Jahren Erfahrung im Bereich der Cloud-Services aufbaut. Sie wird zudem durch internationale Standards, branchenspezifische Vorschriften und Kundenerwartungen geprägt. Das Sicherheitsteam überwacht diesen Prozess sorgfältig. + +Um diese Grundlage zu stärken, verfolgt unser Prozess für das Cybersicherheits-Risikomanagement drei Hauptziele: + +- **Identifizierung und Steuerung der größten Cyberrisiken** + Dies hilft dabei, unsere Strategien zur Risikominderung den Beteiligten zu erläutern. Es verfolgt außerdem Veränderungen der Risikoniveaus im gesamten Unternehmen und innerhalb bestimmter Produktlinien. Dieser Ansatz verschafft einen klaren Überblick über unsere zentralen Anliegen und zeigt, dass unsere Prioritäten und Maßnahmen angemessen sind. + +- **Unterstützung der operativen Aktivitäten durch risikobasierte Bewertungen** + Das Sicherheitsteam stellt Werkzeuge, Methoden und Kennzahlen bereit, um den Fachteams bessere Entscheidungen zu ermöglichen. Diese Ressourcen helfen den Teams, Prioritäten zu setzen, alltägliche Probleme zu lösen und etwaige Abweichungen von etablierten Standards zu erklären. Dadurch werden Sicherheitsentscheidungen konsistenter, relevanter und nachvollziehbarer. + +- **Begleitung komplexer Entscheidungen durch eingehende Analysen** + Bei schwierigeren Entscheidungen nutzen wir einen strukturierten Prozess, um Sicherheitsrisiken zu identifizieren, zu bewerten und zu verringern. Dies verbessert die Ausgewogenheit, Tiefe, Transparenz und Konsistenz von Entscheidungen, die für bestimmte Projekte oder Geschäftssituationen getroffen werden. + +### Risikokontext + +#### Als bedeutender Infrastrukturbetreiber + +Als führender Cloud-Anbieter ist OVHcloud ein Unternehmen mit hoher Sichtbarkeit. Wir betreiben eine globale Infrastruktur in großem Maßstab und betreuen Millionen direkter und indirekter Kunden. + +Aufgrund dieser Sichtbarkeit sind unsere Systeme einer Vielzahl von Risiken ausgesetzt. Diese Risiken gehen häufig von hochentwickelten Bedrohungsakteuren aus, darunter: + +- staatlich geförderte Gruppen + +- Nachrichtendienste + +- organisierte cyberkriminelle Gruppen + +- aktivistische Gruppen + +- die mit ihnen verbundenen Lieferketten + +Diese Bedrohungsakteure verfolgen mehrere zentrale Ziele: + +- Verursachung weitreichender Störungen, die OVHcloud und alle seine Kunden betreffen + +- Schwächung der Cloud-Infrastruktur, die eine bestimmte wirtschaftliche oder politische Region unterstützt + +- Angriffe auf Kunden aus bestimmten Branchen oder geografischen Gebieten + +- Erlangung langfristigen Zugriffs für weitere böswillige Handlungen wie Angriffe auf die Lieferkette oder Datendiebstahl + +- Erprobung ihrer Werkzeuge und Techniken an robusten, modernen Systemen, die fortschrittliche Technologien einsetzen + +#### Als Cloud-Service-Provider + +Als Cloud-Anbieter, der Millionen von Systemen und Services hostet, ist OVHcloud vielen Arten von Angriffen ausgesetzt. Diese Angriffe richten sich häufig gegen unsere Kunden und sind von unterschiedlichen Motiven getrieben. + +Da unser Kundenstamm äußerst vielfältig ist, lässt sich nur schwer eindeutig bestimmen, um welche Arten von Angreifern es sich genau handelt oder welche Ziele sie verfolgen. Stattdessen klassifizieren wir Bedrohungen danach, wie die Angriffe durchgeführt werden. Dies hilft uns, unseren Sicherheitsansatz anzupassen. + +Wir gruppieren die wichtigsten Angriffswege in drei Kategorien: + +- **Direkte Angriffe auf die Cloud-Assets von Kunden.** Diese erfolgen über die Exposition im öffentlichen Netzwerk. + +- **Nutzung legitimer Kundenzugänge.** In diesem Fall versuchen Angreifer, Isolationsmechanismen zu umgehen und Systeme anderer Kunden zu erreichen. + +- **Angriffe auf die gemeinsam genutzte Infrastruktur von OVHcloud.** Dazu gehören Systeme wie Verwaltungsschnittstellen für Kunden oder interne Werkzeuge. Das Ziel besteht häufig darin, sich seitlich zu bewegen und indirekt auf Kundensysteme zuzugreifen. + +Angriffe können von verschiedenen Quellen ausgehen. Dazu gehören externe Netzwerke, ein kompromittiertes Kundensystem oder ein System, das bei OVHcloud oder einem unserer Partner abonniert wurde. + +#### Als Unternehmen + +Wie jede Organisation ist OVHcloud vielen Arten von Cyberbedrohungen ausgesetzt. Dazu gehören Datenschutzverletzungen, der Missbrauch von Ressourcen, Ransomware, Phishing und andere Formen böswilliger Aktivitäten. + +Solche Angriffe können die Sicherheit unserer Systeme und Daten beeinträchtigen. Sie können außerdem unseren Betrieb stören oder als Teil komplexerer Angriffe auf unsere Kunden oder unsere Infrastruktur genutzt werden. + +Die meisten Bedrohungen, denen OVHcloud ausgesetzt ist, kommen von außerhalb des Unternehmens. Allerdings bergen die Größe und das schnelle Wachstum unserer internationalen Teams auch Risiken von innen. Dazu zählen menschliche Fehler und Insider-Bedrohungen. Aus diesem Grund muss unser Risikomanagement-Ansatz auch Insider-Bedrohungen berücksichtigen. Dies geschieht zusätzlich zur Bewältigung externer Bedrohungen und üblicher operativer Risiken. + +### Wesentliche operative Risiken + +Auch wenn unsere Strategie zur Minderung von Sicherheitsrisiken überwiegend bewährten Branchenpraktiken folgt, werden bestimmte Risiken in unserem Sicherheitsmanagementprozess besonders beachtet. Dazu gehören: + +- Kompromittierung des Arbeitsplatzrechners eines Mitarbeitenden mit weitreichendem Systemzugriff + +- Ausnutzung von Schwachstellen in Steuerungsebenen von Produkten oder gemeinsam genutzten Infrastruktur-Assets + +- Abfluss von Authentifizierungsdaten wie Passwörtern, Tokens oder privaten Schlüsseln + +- Nutzung von Lieferantenzugängen, um einen Angriff durchzuführen (Angriff auf die Lieferkette) + +- Ausnutzung bekannter Schwachstellen in Systemen, die dem Internet ausgesetzt sind + +- Böswillige Handlungen, die mit gültigen Benutzeranmeldedaten durchgeführt werden (Insider-Bedrohung) + +- Physischer Zugriff auf Daten durch kompromittierte Abläufe im Rechenzentrum + +- Ausnutzung unbekannter Schwachstellen (Zero-Day) in Produktivsystemen + +- Denial-of-Service-Angriffe (DoS) auf Infrastrukturebene + +- Denial-of-Service-Angriffe (DoS) auf Anwendungsebene gegen Verwaltungsschnittstellen + +- Versagen der Systemisolation, das zu unrechtmäßigem Zugriff auf Kundendaten führt + +- Ausnutzung einer Schwachstelle in der Zugriffskontrolle auf Netzwerk- oder Anwendungsebene + +- Missbrauch von Mitarbeitenden oder Lieferanten durch einen Social-Engineering-Angriff + +- Verspätete Erkennung von Sicherheitsereignissen aufgrund fehlerhafter Sicherheitskontrollen + +- Ein Service oder eine Anwendung gerät außer Kontrolle und wird nicht gemäß den Richtlinien verwaltet, was zur Offenlegung von Daten führt + +- Missbrauch von Rollen mit gebündelten Rechten, um Sicherheitsregeln zu umgehen + +- Menschlicher Fehler oder Fehlkonfiguration, der zu einer unbeabsichtigten Offenlegung von Daten führt + +- Verletzung der physischen Sicherheit oder der Zugangskontrolle in unseren Rechenzentren + +### Wesentliche Auswirkungen im Zusammenhang mit Cybersicherheit + +#### Negative Auswirkungen (Risiken) + +Cybersicherheitsereignisse und -vorfälle können für OVHcloud mehrere negative Folgen haben. Dazu gehören: + +- Verlust des Kundenvertrauens in die Services von OVHcloud + +- Finanzielle Verantwortung für etwaige geschäftliche Auswirkungen, die Kunden entstehen + +- Nichterfüllung vertraglicher Verpflichtungen + +- Rechtliche oder regulatorische Folgen, die aus einer Sicherheitsverletzung resultieren + +- Schädigung des Ansehens von OVHcloud als zuverlässiger und vertrauenswürdiger Anbieter + +- Erhöhte Betriebskosten, die zur Bewältigung des Vorfalls und zur Wiederherstellung des normalen Servicebetriebs erforderlich sind + +- Indirekte finanzielle Auswirkungen wie geringere Umsätze, höhere Versicherungskosten und ein niedrigerer Marktwert + +#### Positive Auswirkungen (Chancen) + +Die Umsetzung eines konsistenten Sicherheitsansatzes, der vollständig auf die Strategie, den täglichen Betrieb und die Produktentwicklung von OVHcloud abgestimmt ist, bringt mehrere Vorteile mit sich: + +- Verringerung der Anzahl von Sicherheitsvorfällen + +- Fähigkeit, strenge Sicherheitsanforderungen von Kunden zu erfüllen und die Einhaltung nachzuweisen + +- Höherer Wert der Produkte und Services, die Kunden angeboten werden + +- Stärkeres Kundenvertrauen in das Serviceportfolio von OVHcloud + +- Geringere operative Auswirkungen von Sicherheitsvorfällen dank schnellerer Erkennung und besserer Reaktionsprozesse + +- Positive finanzielle Auswirkungen wie geringere Kosten für die Bewältigung von Vorfällen, höhere Umsätze und eine stärkere Kundentreue + +## Sicherheitsverpflichtungen von OVHcloud zum Aufbau vertrauenswürdiger Cloud-Services + +### Konsistente Grundlagen, die mit einem industriellen Ansatz verwaltet werden + +Unser Ansatz beruht auf standardisierten Bausteinen, sicheren Architekturen sowie formalen, bewährten und hochgradig automatisierten Prozessen. Ziel ist es, Sicherheit zu einem Treiber für Effizienz und Konsistenz innerhalb des Informationssystems zu machen. + +Um dies zu unterstützen, haben wir Werkzeuge, Prozesse und produktionsreife Komponenten entwickelt, die alle Teams nutzen können, um bewährte Sicherheitspraktiken anzuwenden. + +Sicherheit ist nicht der einzige Vorteil dieses strukturierten Ansatzes, aber sie ist wesentlich. Er ermöglicht "Security by Design" und trägt dazu bei, die Sicherheit über die Zeit konsistent aufrechtzuerhalten. Indem wir Sicherheit von Anfang an integrieren, vermeiden wir es, sie nachträglich zu behandeln. + +Formale Sicherheitsprüfungen werden im Projekt- und Änderungsmanagement durchgeführt. Diese Prüfungen stellen sicher, dass die Sicherheitsgrundsätze von der Entwurfsphase über den gesamten Lebenszyklus jedes Systems oder jeder Anwendung hinweg eingehalten werden. + +Jedes Team ist für die Sicherheit der Systeme verantwortlich, die es verwaltet. Wir arbeiten kontinuierlich daran, zwei Ziele in Einklang zu bringen: + +- Durchsetzung der gemeinsamen Sicherheitsregeln von OVHcloud + +- Den Systemverantwortlichen die Freiheit zu geben, ihr technisches Fachwissen einzubringen + +Dieses Gleichgewicht ist für unseren Sicherheitsansatz von wesentlicher Bedeutung. Wir arbeiten eng mit den Fachteams zusammen, um sicherzustellen, dass die Sicherheitsgrundsätze im gesamten Unternehmen konsistent angewendet werden. + +### Unterstützung aller Kundentypen bei ihrem Wachstum in der Cloud + +Die Produkte von OVHcloud werden mit Open-Source-Technologien und etablierten Technologiestandards entwickelt. Dies erleichtert es Kunden, ihre Systeme in der Cloud einzuführen und zu verwalten. + +Sicherheit ist ein zentraler Bestandteil unseres Produktentwicklungsprozesses. Das Sicherheitsteam ist in jede Entscheidung eingebunden, die sich auf die Sicherheit auswirken könnte. Dies stellt sicher, dass Sicherheit von Anfang an berücksichtigt wird. + +Unser Ansatz für die Produktsicherheit ist risikobasiert. Wir berücksichtigen dabei: + +- Den Umfang und die Geschwindigkeit der Bereitstellung + +- Die Sicherheitskultur unserer Kunden + +- Die spezifischen Anwendungsfälle und Technologien jedes Produkts + +Dies ermöglicht es uns, unsere Sicherheitsmaßnahmen an die Bedürfnisse unterschiedlicher Kundengruppen anzupassen. + +Die Anwendung bewährter Praktiken für die Konfiguration und die Verwaltung des gesamten Sicherheitslebenszyklus ist von wesentlicher Bedeutung. Sie schafft einen Mehrwert für unsere Kunden und ist ein wichtiger Grund, warum sie sich für den Umstieg in die Cloud entscheiden. Diese Verantwortung ist vollständig in den Produktlebenszyklus integriert. + +Auch wenn die Sicherheitslage je nach Produkt unterschiedlich sein kann, verwalten wir alle Sicherheitsereignisse, -vorfälle, Schwachstellen, Bedrohungen und sicherheitsrelevanten Informationen auf einheitliche und konsistente Weise. + +### Unterstützung jedes Kunden bei der Steuerung seiner eigenen spezifischen Risiken + +OVHcloud bietet seine Lösungen einem breiten Spektrum von Kunden aus zahlreichen Branchen an. Dazu gehören: + +- Start-ups + +- Kleine und mittlere Unternehmen (KMU) + +- Großunternehmen + +- Behörden + +- Multinationale Konzerne + +Jeder Kunde verfolgt einen anderen Sicherheitsansatz. Dieser richtet sich nach seinen geschäftlichen Anforderungen und seinem betrieblichen Kontext, was OVHcloud berücksichtigt. + +Im Cloud-Computing ist Sicherheit eine geteilte Verantwortung. OVHcloud und seine Kunden haben jeweils klar definierte Rollen. Letztlich sind die Kunden für die Sicherheit ihrer Informationssysteme in der Cloud verantwortlich. Um Risiken durch Missverständnisse zu vermeiden, erläutern wir klar, wofür jede Partei verantwortlich ist. + +Um Kunden dabei zu unterstützen, ihre Systeme abzusichern, stellt OVHcloud Folgendes bereit: + +- Eine Reihe von Werkzeugen und Funktionen zur Verbesserung der Sicherheit + +- Standard-Sicherheitsfunktionen, die allen Kunden zur Verfügung stehen + +- Optionale Funktionen zur Steuerung spezifischer Risiken + +Kunden haben zudem die Freiheit, ihre eigenen Sicherheitswerkzeuge und -lösungen hinzuzufügen. Unsere Plattform ist darauf ausgelegt, diese Flexibilität zu unterstützen. + +Wir bieten ein breites Spektrum integrierter Sicherheitsservices an. Diese sind über unseren Lösungskatalog verfügbar und werden durch Technologien und Services unserer Partner unterstützt. Unsere Produkte unterstützen außerdem Lösungen von Drittanbietern und der Community. Dies ermöglicht es Kunden, ihre eigenen Sicherheitsstrategien zu entwickeln und sie an ihre spezifischen Bedürfnisse anzupassen. + +## Cybersicherheits-Governance + +Die Unternehmensleitung von OVHcloud bekennt sich langfristig zur Cybersicherheit. Dies zeigt sich in der Festlegung klarer Regeln für das Risikomanagement. Dazu gehört auch die Zuweisung von Verantwortlichkeiten, die Bereitstellung der erforderlichen Ressourcen und die Überwachung der Leistung. + +Der Chief Information Security Officer (CISO) definiert und implementiert die Cybersicherheits-Governance. Diese Arbeit wird vom Chief Information Officer (CIO) beaufsichtigt, der innerhalb des Vorstands als Sponsor für dieses Thema fungiert. Diese Governance wird jährlich überprüft und aktualisiert, um sie an die strategischen Ziele von OVHcloud und das unternehmensweite Risikomanagement anzupassen. + +Die Verantwortung für die Systeme ist ein zentrales Prinzip bei der Festlegung der Sicherheitsverantwortlichkeiten bei OVHcloud. Jedes Team ist für die Sicherheit der Systeme verantwortlich, die es aufbaut und verwaltet, und stützt sich dabei auf drei Grundprinzipien: + +- Verantwortung des Teams + +- Industrialisierung + +- Fundiertes technisches Fachwissen + +Das Sicherheitsteam pflegt enge Beziehungen zu allen systembetreibenden Teams. Dies trägt dazu bei, einen konsistenten Sicherheitsansatz im gesamten Unternehmen OVHcloud sicherzustellen. + +Diese Governance gilt für alle Unternehmen der OVHcloud-Gruppe. Sie umfasst außerdem Mitarbeitende, Lieferanten, Service-Provider, Subunternehmer und Nutzer des Informationssystems. + +Die Services von OVHcloud basieren auf einem Cybersicherheits-Framework, das darauf ausgelegt ist: + +- Die langfristige Strategie mit einem effizienten Tagesbetrieb in Einklang zu bringen + +- Unsere Sicherheitsbemühungen fokussiert zu halten + +- Sicherzustellen, dass wir wirksam auf neue Bedrohungen und Schwachstellen reagieren + +Das Sicherheitsteam von OVHcloud betreibt innerhalb seines Information System Management System – intern als OneISMS bekannt – einen einheitlichen und umfassenden Satz von Sicherheitskontrollen. Das OneISMS-Programm ist um drei Hauptebenen strukturiert, die alle vom Sicherheitsteam verwaltet werden: + +- **Ebene des Anforderungsmanagements** + Diese Ebene fasst alle Sicherheitsanforderungen aus verschiedenen Quellen zusammen und ordnet sie. Sie vereinheitlicht sie zu einem konsistenten Framework und definiert klare Kriterien für ihre Anwendbarkeit. + +- **Implementierungsebene** + Diese Ebene bietet einen formalen Ansatz für die Verwaltung und den Betrieb von Sicherheitskontrollen. Sie stellt die Abstimmung zwischen den Kontrollen und den Sicherheitszielen sicher, verwaltet die Dokumentation der Kontrollen und deren operative Nachverfolgung und koordiniert das Risikomanagement innerhalb eines einheitlichen Frameworks. + +- **Ebene der Sicherheitsbewertung** + Diese Ebene umfasst sowohl interne als auch externe Kontrollmechanismen. Sie konzentriert sich darauf, das Erreichen der Sicherheitsziele zu überprüfen und die Wirksamkeit der für die Sicherheit bereitgestellten Ressourcen zu bewerten. Sie deckt außerdem Audits durch Dritte ab, sei es zu Zertifizierungszwecken oder auf Anfrage von Kunden. + +Gemeinsam stellen diese Ebenen sicher, dass OVHcloud eine konsistente, wirksame und transparente Sicherheitslage über seine Informationssysteme hinweg aufrechterhält. + +**Wesentliche Leistungskennzahlen:** + +- Anteil der in OneISMS abgedeckten Produkte + +- Anzahl der für Sicherheitsbewertungen aufgewendeten Personentage + +## Beziehungen zu externen Sicherheitsexperten + +Unser Sicherheitsteam und unsere technischen Experten pflegen enge Arbeitsbeziehungen zu externen Sicherheits-Communities, Behörden, Softwareherstellern und Hardwareherstellern. Diese Kooperationen helfen uns, über neue Bedrohungen und Schwachstellen informiert zu bleiben, und ermöglichen es uns, frühzeitig Maßnahmen zu ergreifen, um die damit verbundenen Risiken zu verringern. + +Wir leisten einen aktiven Beitrag zur Sicherheits-Community, indem wir unser Wissen und unsere Innovationen teilen. Wir unterstützen außerdem Praktiken der verantwortungsvollen Offenlegung, um einen offenen und ethischen Umgang mit Sicherheitsfunden zu fördern. + +Um unsere Sicherheitslage weiter zu stärken, betreiben wir ein öffentliches Bug-Bounty-Programm. Dieses Programm ermöglicht es externen Sicherheitsforschern, Schwachstellen zu melden, und hilft uns, die Sicherheit unserer Systeme kontinuierlich zu verbessern. + +**Wesentliche Leistungskennzahlen:** + +- Ausgezahlte Bug-Bounty-Prämien + +## Compliance-Programm + +Die Verpflichtung von OVHcloud gegenüber seinen Kunden und Partnern ist durch eine formale vertragliche Beziehung definiert. Dieser Vertrag legt unsere Pflichten klar dar. + +Wir stellen eine detaillierte und leicht verständliche Matrix der sicherheitsbezogenen Rollen und Verantwortlichkeiten bereit. Dies stellt sicher, dass alle Parteien ihre jeweiligen Pflichten verstehen. + +OVHcloud hält in jedem Land, in dem wir tätig sind, alle geltenden Gesetze und Vorschriften ein. Wir befolgen außerdem branchenspezifische Vorschriften, etwa für Informationssysteme im Gesundheitswesen und im Finanzbereich. + +Unser Sicherheitsmanagementsystem basiert auf internationalen Standards, darunter **ISO/IEC 27001**. Dieser Standard hebt die Bedeutung von Sicherheitsgrundsätzen hervor. + +Wir bewerten unsere Sicherheitsfunktionen regelmäßig durch: + +- Unabhängige Audits durch Dritte + +- Anerkannte Audit-Benchmarks + +- Compliance-Berichte und Zertifikate, die gegebenenfalls mit Kunden geteilt werden + +Das Sicherheitsteam von OVHcloud betreibt ein strukturiertes Programm, das Folgendes umfasst: + +- Interne und externe Überprüfungen + +- Sicherheitskontrollen + +- Regelmäßige Audits + +Dieses Programm hilft uns, unsere Sicherheitslage zu testen, und stellt sicher, dass wir unsere Verpflichtungen weiterhin erfüllen. + +Wir vergleichen unsere Praktiken mit weit verbreiteten Frameworks für Sicherheits-Compliance. Ein eigens dafür zuständiges Team treibt die kontinuierliche Verbesserung voran. Dieses Team arbeitet eng mit den Systemverantwortlichen zusammen, um: + +- Verbesserungen umzusetzen + +- Das allgemeine Sicherheitsniveau zu erhöhen + +- Risiken zu verringern + +- Im Einklang mit unseren Sicherheitsverpflichtungen zu bleiben + +Über unsere rechtlichen und vertraglichen Verpflichtungen hinaus engagiert sich OVHcloud aktiv in seinem Ökosystem. Dazu gehören Kunden, Partner und Interessenten. + +Wir legen Wert auf Klarheit und Transparenz in jeder Kommunikation. Unser Ziel ist es, offene und ehrliche Beziehungen zu den Beteiligten aufzubauen. Wir stellen genaue und zeitnahe Informationen über unsere Sicherheitspraktiken bereit, damit die Beteiligten unsere Sicherheitslage vollständig nachvollziehen und fundierte Entscheidungen treffen können. + +**Wesentliche Leistungskennzahlen:** + +- Anzahl der für Sicherheitsbewertungen aufgewendeten Personentage + +## Security by Design + +Wir konzipieren und bauen unsere Produktivsysteme nach den folgenden Grundsätzen: + +- **Anforderungen auf Produktionsniveau** + Jedes System ist darauf ausgelegt, hohen Datenverkehr zu bewältigen und schnell zu skalieren. + +- **Sichere Schnittstellen und Gateways** + Systeme sind so konzipiert, dass sie externen Bedrohungen ausgesetzt sein können. Die Begrenzung dieser Exposition wird als zusätzliche Sicherheitsebene behandelt. + +- **Robuste und bewährte Technologien** + Wir setzen sowohl Open-Source- als auch proprietäre Technologien ein, die strenge Standards für Leistung und Ausfallsicherheit erfüllen. + +- **Deterministisches Verhalten** + Systeme werden für einen konsistenten und sicheren Betrieb konfiguriert. Wir bauen umfassendes Fachwissen durch schrittweise Einführung, detaillierte Tests und ein hohes Maß an Automatisierung auf. Dazu gehört der Einsatz eines "As-Code"-Modells und die Verwaltung jedes Systems über seinen gesamten Lebenszyklus. + +- **Intern entwickelte Software** + Maßgeschneiderte Software wird nach strengen Prozessen entwickelt, um spezifische Anforderungen zu erfüllen, etwa hohe Leistung oder fortschrittliche Sicherheitskontrollen. + +## Datenschutz + +OVHcloud wendet eine strenge Regel an: Kundendaten werden niemals für geschäftliche Zwecke verwendet. + +Die Mitarbeitenden kennen die Art der von Kunden gehosteten Daten nicht und dürfen nicht darauf zugreifen. Bei technischen Eingriffen an Systemen, die Kundendaten speichern, können Mitarbeitende jedoch technisch in die Lage versetzt werden, auf diese Daten zuzugreifen. Ein solcher Zugriff ist streng untersagt. OVHcloud hat strenge Sicherheitskontrollen eingerichtet, um jeden unbefugten Zugriff zu erkennen, die Nachvollziehbarkeit von Handlungen sicherzustellen und zu gewährleisten, dass diese Regel jederzeit eingehalten wird. + +Neben den Kundendaten verwaltet OVHcloud interne Daten, die sich auf Kunden, Mitarbeitende, Service-Provider oder Partner beziehen können. Sofern rechtlich zulässig, können diese Daten an Dritte weitergegeben werden. Für diese internen Daten handelt OVHcloud als Verantwortlicher und wendet angemessene Sicherheitsmaßnahmen an, die sich nach der Art der Daten, ihrer Sensibilität und der Phase ihres Lebenszyklus richten – unabhängig davon, ob sie gespeichert, verwendet, übertragen oder gelöscht werden. + +**Wesentliche Leistungskennzahlen:** + +- Anzahl der den Behörden gemeldeten Verstöße + +## Menschen + +Teamarbeit, die Trennung von Aufgaben, individuelle Verantwortung und schrittweise aufgebautes Vertrauen sind zentrale Prinzipien im Sicherheitsmodell von OVHcloud. Unsere Teams tragen gemeinsam die Verantwortung für die Verwaltung tausender Kundenumgebungen. Das aktive Mitwirken aller ist erforderlich, um eine durchgängige Sicherheit über alle Services hinweg aufrechtzuerhalten. + +Alle Mitarbeitenden von OVHcloud durchlaufen ein formales Programm zur Sensibilisierung und Schulung im Bereich Cybersicherheit. Dieser Prozess beginnt bereits vor der Einstellung, durch Hintergrundprüfungen, die an die Verantwortlichkeiten der jeweiligen Position angepasst sind. Diese Prüfungen helfen dabei, potenzielle Risiken zu erkennen, etwa die Möglichkeit böswilligen Verhaltens oder die Anfälligkeit für äußeren Druck. + +An ihrem ersten Arbeitstag erhalten neue Mitarbeitende eine Einführung in die Cybersicherheit. Diese Einführung erläutert die Bedeutung der Cybersicherheit bei der Erbringung unserer Services und betont, wie die individuelle Verantwortung in der gesamten Organisation angewendet wird. Diese erste Sensibilisierung wird durch regelmäßige interne Kommunikation verstärkt, durch das Teilen von operativem Feedback und aktuellen Cybersicherheitsthemen, um alle Mitarbeitenden wachsam und engagiert zu halten. Für sensible Positionen werden regelmäßig zusätzliche Schulungen angeboten. + +Wir testen außerdem die Fähigkeit unserer Teams, Cybersicherheitsrisiken zu erkennen und auf sie zu reagieren. Es werden regelmäßig Übungen und Simulationen zur Vorfallsreaktion durchgeführt, um sicherzustellen, dass die Mitarbeitenden gut darauf vorbereitet sind, reale Sicherheitsereignisse schnell und wirksam zu bewältigen. + +**Wesentliche Leistungskennzahlen:** + +- Anzahl der in Cybersicherheit geschulten Mitarbeitenden + +- Ergebnisse von Phishing-Tests + +- Einhaltung der Offboarding-Verfahren + +## Arbeitsumgebung + +Die meisten operativen Aktivitäten bei OVHcloud werden über zentralisierte Services wie Ticketing, Dokumentation, Systementwurf, Automatisierung, Codeverwaltung, Softwareerstellung und Servicebetrieb durchgeführt. Die Mitarbeitenden nutzen ihre Arbeitsplatzrechner, um auf diese Services zuzugreifen. + +Ein hohes Maß an Kontrolle über die Arbeitsplatzrechner aufrechtzuerhalten, ist von wesentlicher Bedeutung, um zu verhindern, dass diese zu einem Einfallstor für Angriffe werden. Gleichzeitig benötigen die Mitarbeitenden von OVHcloud häufig Zugriff auf eine breite Palette von Werkzeugen, systemnahe Interaktionen und umfassende Konnektivität zu offenen Netzwerken. Diese Möglichkeiten sind wichtig für Experimente, Entwicklung und Fehlerbehebung. + +Diese betrieblichen Anforderungen mit strengen Sicherheitsanforderungen in Einklang zu bringen, ist eine fortwährende Herausforderung. + +Um dem zu begegnen, setzen wir Folgendes um: + +- Strenge Zugriffskontrolle für interne Netzwerke, Systeme und Anwendungen. Der Zugriff basiert auf geschäftlichen Rollen und wird über sichere Gateways oder Bastion-Hosts verwaltet, um die Nachvollziehbarkeit zu gewährleisten + +- Überwachung interner Netzwerke, des Zugriffs auf externe Ressourcen, von Kommunikationswerkzeugen und internen Anwendungen, um ungewöhnliche oder unbefugte Aktivitäten zu erkennen + +- Strenge Kontrolle der Konfiguration der Arbeitsplatzrechner, einschließlich Systemhärtung, automatisiertem Konfigurationsmanagement, Entzug lokaler Administratorrechte, zentralisierter Überwachung mit EDR und Schutz vor Schadsoftware sowie Werkzeugen zur Untersuchung von Vorfällen + +- Dedizierte Arbeitsplatzrechner mit individuellen Konfigurationen für sensible Positionen und kritische Umgebungen + +- Strenge Kontrolle des Anwendungszugriffs über mobile Geräte + +**Wesentliche Leistungskennzahlen:** + +- Anzahl der Sicherheitswarnungen im Zusammenhang mit Fehlverhalten + +- Anzahl der technischen Fehlverhalten + +## Identitäts- und Zugriffsmanagement + +Das interne System für das Identitäts- und Zugriffsmanagement (IAM) von OVHcloud ist darauf ausgelegt, den gesamten Lebenszyklus von Benutzeridentitäten zu verwalten, von der Erstellung bis zur Beendigung. + +Zugriffsanfragen folgen einem strukturierten Prozess, der formale Prüf- und Genehmigungsschritte umfasst. Der Zugriff wird nur autorisierten Personen auf Grundlage geschäftlicher Erfordernisse gewährt. Wir unterstützen sowohl individuelle Konten als auch Servicekonten und halten eine strikte Trennung zwischen Standard-Benutzerkonten und administrativen Konten aufrecht, um das Risiko unbefugten Zugriffs zu verringern. + +Authentifizierungsdaten werden über ihren gesamten Lebenszyklus hinweg verwaltet – Erstellung, Aktualisierung und Löschung. Wir setzen verschiedene Authentifizierungsmethoden ein, darunter Passwörter, digitale Zertifikate, physische Tokens und biometrische Authentifizierung. Wir unterstützen außerdem Single Sign-On (SSO), um den Zugriff für Benutzer zu vereinfachen, und nutzen Bastion-Hosts, um administrative Aktionen abzusichern. + +Um die individuelle Verantwortung sicherzustellen, führen wir regelmäßige Zugriffsüberprüfungen durch und überwachen die Nutzung der Konten, um zu verifizieren, dass die Zugriffsrechte mit den internen Richtlinien und Verfahren übereinstimmen. Unser System für die rollenbasierte Zugriffskontrolle (RBAC) definiert Zugriffsebenen auf Grundlage der Rolle des Benutzers, und wir pflegen ein breites Spektrum an Rollen, um unterschiedlichen operativen Kontexten gerecht zu werden. + +Der Zugriff auf Netzwerkservices ist durch sichere Authentifizierungsmechanismen geschützt. Wir empfehlen dringend die Verwendung der Multi-Faktor-Authentifizierung, um eine zusätzliche Sicherheitsebene zu schaffen. Unsere Passwortrichtlinien setzen Komplexitätsanforderungen durch, und alle Passwörter werden mithilfe von Verschlüsselung sicher gespeichert. + +Wir überwachen außerdem den Status der Anmeldedaten ehemaliger Benutzer, um sicherzustellen, dass nach der Beendigung kein unbefugter Zugriff bestehen bleibt. Insgesamt folgt unser IAM-System dem Prinzip der minimalen Rechtevergabe und gewährt Zugriff nur Benutzern, die ihn tatsächlich benötigen. + +**Wesentliche Leistungskennzahlen:** + +- Genauigkeit der Zugriffsrechte + +- Anteil der Anwendungen, die SSO verwenden + +## Sichere kontinuierliche Bereitstellung + +Bei OVHcloud umfassen unsere Entwicklungsteams über tausend Entwickler, die mit mehreren Technologie-Stacks arbeiten. Diese Vielfalt erschwert es, einen einzigen, einheitlichen Entwicklungsprozess anzuwenden. + +Um dem zu begegnen, haben wir eine Reihe von Entwicklungsarchetypen definiert. Diese dienen als grundlegende Modelle für unterschiedliche Projekttypen. Wir zentralisieren außerdem den gesamten Quellcode in einem gemeinsam genutzten Repository, um einen konsistenten Zugriff sicherzustellen und eine wirksame Zusammenarbeit zwischen den Teams zu ermöglichen. + +Unsere Entwicklungs-Toolchain unterstützt ein breites Spektrum an Technologien und Workflows. Sie umfasst ein System für die kontinuierliche Bereitstellung, das das Erstellen und Testen automatisiert. Entwickler haben zudem Zugriff auf dedizierte Umgebungen und Labore für Tests und Validierung. Die Codesignatur wird genutzt, um die Authentizität und Integrität der Software zu gewährleisten. + +Um eine sichere und effiziente Entwicklung zu unterstützen, stellen wir systemnahe Primitive wie Protokollierung, Secret-Management und Container-Ausführung bereit. Unsere APIs sind RESTful und sicher gestaltet und werden durch Reverse-Proxys geschützt, die als sichere Gateways fungieren. + +Der Zugriff auf Systeme und Daten wird über intern entwickelte Werkzeuge für das Identitäts- und Zugriffsmanagement verwaltet. Diese Werkzeuge bieten ein hohes Maß an Zugriffskontrolle und Nachvollziehbarkeit. Wir nutzen außerdem Werkzeuge für das Abhängigkeitsmanagement, um sicherzustellen, dass externe Komponenten auf dem neuesten Stand und frei von bekannten Schwachstellen sind. + +Indem OVHcloud ein flexibles und skalierbares Framework anbietet, ist es in der Lage, den vielfältigen Anforderungen seiner Entwicklungsteams gerecht zu werden und gleichzeitig eine robuste Sicherheitslage aufrechtzuerhalten. + +## Sichere Zustandsverwaltung + +Die Härtung ist ein zentraler Bestandteil der Sicherheitslage von OVHcloud. Sie umfasst das systematische Entfernen unnötiger Funktionen, das Konfigurieren von Systemen mit sicheren Einstellungen und das Anwenden der neuesten Sicherheitspatches, um Schwachstellen zu verringern. + +Das Management der kryptografischen Konfiguration ist ebenfalls von wesentlicher Bedeutung. OVHcloud folgt bewährten Branchenpraktiken für eine sichere Verschlüsselung und verwendet empfohlene Algorithmen und Protokolle, um die Vertraulichkeit und Integrität der Daten zu schützen. + +System- und Anwendungskonfigurationen werden streng kontrolliert. Alle Änderungen werden sorgfältig nachverfolgt und verwaltet. Die Bestandskontrolle wird strikt durchgesetzt. Alle IT-Assets – einschließlich Hardware, Software und Daten – werden registriert und überwacht, um Sichtbarkeit und Kontrolle aufrechtzuerhalten. + +Das Management der Exposition ist ein weiterer wichtiger Bestandteil unseres Ansatzes. OVHcloud identifiziert und behebt regelmäßig Sicherheitsrisiken durch: + +- Bewertungen von Schwachstellen + +- Aktivitäten zur Behebung + +- Kontinuierliche Verbesserung der Systemkonfigurationen + +Diese kombinierten Bemühungen stellen sicher, dass unsere Infrastruktur sicher, gut verwaltet und auf die Branchenstandards abgestimmt bleibt. + +**Wesentliche Leistungskennzahlen:** + +- CMDB-Abdeckung + +## Überwachung, Erkennung und Reaktion auf Vorfälle + +Wir betreiben ein Framework zur kontinuierlichen Bedrohungsanalyse, das direkt mit unseren Überwachungssystemen verbunden ist. Dies ermöglicht es uns, unsere operativen Praktiken in Echtzeit anzupassen, um aktuellen Risiken zu begegnen und schnell und wirksam auf Sicherheitsvorfälle zu reagieren. + +Die Struktur unseres Sicherheitsteams ermöglicht es, bei Bedarf rasch Experten zu mobilisieren. Dies stellt sicher, dass Vorfälle effizient untersucht und behoben werden, wobei Korrekturmaßnahmen schnell und nachhaltig umgesetzt werden, um künftige Risiken zu verringern. + +Die operative Überwachung und die Protokollierung von Ereignissen liegen in der Verantwortung jedes Systemverantwortlichen. Darüber hinaus bietet unser System für das Security Information and Event Management (SIEM) Funktionen zur Echtzeitüberwachung, zur Korrelation von Ereignissen und zur Erkennung von Bedrohungen. Wir sammeln und analysieren relevante Protokolldaten sowie externe Threat-Intelligence, um potenzielle Sicherheitsrisiken zu erkennen. + +Unser Prozess für das Vorfallsmanagement umfasst klare Definitionen von Vorfallstypen, Schweregraden und Reaktionsverfahren. Ein etablierter Eskalationsprozess stellt sicher, dass Vorfälle in jeder Phase von den geeigneten Teams bearbeitet werden. + +Wir verfügen über ein dediziertes Computer Emergency Response Team (CERT), das für die Bewältigung von Sicherheitsvorfällen geschult ist. Der Prozess zur Reaktion auf Vorfälle umfasst die vollständige Analyse, Eindämmung, Beseitigung und Wiederherstellung. Nach einem Vorfall wird eine Überprüfung durchgeführt, um die gewonnenen Erkenntnisse festzuhalten und künftige Reaktionsmaßnahmen zu verbessern. + +Wir pflegen außerdem einen klaren Kommunikationsplan, um sicherzustellen, dass die Beteiligten während Sicherheitsvorfällen informiert und auf dem Laufenden gehalten werden. Es werden regelmäßig Übungen und Simulationen durchgeführt, um unsere Fähigkeiten zur Reaktion auf Vorfälle zu testen und zu stärken. + +**Wesentliche Leistungskennzahlen:** + +- Abdeckung des SIEM + +- Anzahl der Vorfälle mit Auswirkungen auf Kundendaten + +- Anzahl der Vorfälle mit Auswirkungen auf die Finanzberichte + +## Sicherheit der Rechenzentren + +Die Rechenzentren von OVHcloud werden als Anlagen industriellen Niveaus konzipiert und betrieben. Jeder Standort wird auf Grundlage einer Risikoanalyse geplant, die geografische, technische und gesellschaftliche Faktoren berücksichtigt. Diese Faktoren beeinflussen die Art und Weise, wie jedes Rechenzentrum verwaltet und betrieben wird. + +Alle Abläufe innerhalb der Rechenzentren folgen formalen Verfahren, um menschliche Fehler zu minimieren und Nachvollziehbarkeit sowie Verantwortlichkeit sicherzustellen. Jede Änderung wird über einen strukturierten und zentral koordinierten Prozess abgewickelt, der dabei hilft, Risiken vorwegzunehmen und potenzielle Auswirkungen zu bewerten. + +Auch Routineabläufe unterliegen strengen, formalen Verfahren. Diese Verfahren werden durch Werkzeuge für die Verwaltung der Rechenzentren und durch automatisierte Systeme zur Datenerfassung unterstützt, die mit der Infrastruktur verbunden sind. Dies gewährleistet betriebliche Konsistenz und verringert Risiken, insbesondere beim Umgang mit Datenträgern, die Kundendaten enthalten. + +Der Zugang zu den Rechenzentren von OVHcloud ist eingeschränkt und basiert auf individueller Identifizierung sowie einem strengen geschäftlichen Erfordernis. Die Zugangskontrolle wird durch ein Zonenmodell definiert, bei dem jede Zone über spezifische Zugangsregeln verfügt, die sich nach ihrer Kritikalität und geschäftlichen Funktion richten. + +Um diese Zugangsrichtlinie zu unterstützen, setzt OVHcloud auf: + +- Fortschrittliche Videoüberwachungssysteme + +- Dedizierte Informationssysteme für die Rechenzentren + +- Zentralisierte Koordination und Überwachung der Sicherheits- und Betriebsaktivitäten + +Diese Systeme tragen dazu bei, sicherzustellen, dass lokale Abläufe sicher sind und mit dem globalen Sicherheits- und Überwachungsframework von OVHcloud im Einklang stehen. + +**Wesentliche Leistungskennzahlen:** + +- Anzahl der innerhalb der letzten 12 Monate auditierten Rechenzentren + +- Anzahl der nicht innerhalb der letzten 36 Monate auditierten Rechenzentren diff --git a/docs/en/guides/account-and-service-management/account-information/information-system-security-policy.mdx b/docs/en/guides/account-and-service-management/account-information/information-system-security-policy.mdx index 3d50c9595..4c24e225a 100644 --- a/docs/en/guides/account-and-service-management/account-information/information-system-security-policy.mdx +++ b/docs/en/guides/account-and-service-management/account-information/information-system-security-policy.mdx @@ -1,191 +1,624 @@ --- -title: Information System Security Policy (ISSP) -lastUpdated: 2023-09-29 +title: OVHcloud Information System Security Policy +description: Learn how OVHcloud structures its Information System Security Policy (ISSP), from cybersecurity governance and risk management to data protection and datacentre security. +lastUpdated: 2026-05-27 --- -## Objective +## Purpose of this document -The Information System Security Policy (ISSP) provides the reference framework in cybersecurity for OVHcloud. ISSP defines the concepts necessary to understand OVHcloud's approach to security and links the context of operations with the means and resources used to ensure security. It defines: +At OVHcloud, we use a detailed global management system for cybersecurity. This document explains how that system is structured and how it works. It includes the following: -- The context of OVHcloud operations to understand the main security risks of OVHcloud. -- Security commitments to OVHcloud stakeholders and the principles for implementing and maintaining the security of information systems. -- How these principles are operated within OVHcloud. +- A summary of OVHcloud’s operating environment. This helps identify the main cybersecurity risks, key concerns, and challenges. -OVHcloud operates within a dynamic ecosystem in a context that is constantly evolving. Security practices must therefore evolve rapidly to remain relevant. ISSP is the sign of a management commitment over time. It aims to define the criteria for risk assessment, the principles guiding the establishment of security measures to be implemented and the management of security within OVHcloud. +- Our security commitments to stakeholders. It also describes the main principles we follow to protect and manage our information systems. -ISSP is under the responsibility of the CISO which consults with the Executive Committee (ComEx) on its content and suitability for the strategic objectives of OVHcloud. It is reviewed annually. It comes in a set of security policies and detailed implementation guides. These documents have their own life cycles, adapted to their contents. +- The structure we use to connect strategy, daily operations, and future improvements. This ensures our approach to cybersecurity is both consistent and effective. -ISSP applies to all companies in the group, employees, suppliers, providers, subcontractors and users of the information system, regardless of their activities. +This document shall be referred to as the "Information System Security Policy". It is reviewed and updated on a yearly basis and in case of events with major impact. It supersedes a broad set of security policies and implementation guides, which are managed through individual lifecycles. -## Implementation context of the ISSP +This text is intentionally written in plain English to make it easier to understand for non-experts. + +## Context of the cybersecurity governance + +As a major alternative in a well-established market, OVHcloud faces a complex challenge. Our customers expect our cloud services to meet industry standards. At the same time, they want to benefit from our unique competitive strengths. In cybersecurity, we work to find the right balance. We aim to follow industry standards while also applying risk mitigation strategies that fit our specific business model. + +OVHcloud operates in a fast-changing environment. Threats, technology, and customer expectations are always evolving. We must therefore remain flexible and able to adapt quickly. ### What is information security? -Security is the protection of the availability, integrity and confidentiality of a system. Within OVHcloud, managing security consists in defining, implementing, operating and improving all human, organisational, technical and legal means to protect OVHcloud's information systems and services against these criteria. Protecting data confidentiality in all circumstances is at the heart of OVHcloud's security approach. Ensuring the availability and integrity of services and data is OVHcloud's first mission and is beyond the scope of the ISSP. On those last two criterias, the security approach focuses on risks of malicious origin. +Security means protecting our information systems and services from potential threats. The goal is to ensure the confidentiality, integrity, and availability of our customers' data and cloud services. + +As a cloud service provider, OVHcloud must always ensure that systems remain available and data stays protected. This is a core responsibility shared by every OVHcloud employee. + +Cybersecurity governance focuses mainly on risks that come from malicious actions. It also ensures strong coordination with all teams involved in delivering services. This coordination helps create a complete and consistent approach to managing risks. + +OVHcloud’s security approach also includes clear rules for data protection and traceability. This is especially important when it comes to privacy. These commitments are formally included in our security policies. + +The Information System Security Policy (ISSP) covers the following five security criteria: + +- Availability (A) -In accordance with OVHcloud's security commitments, the criteria of traceability and respect for privacy are also formally taken into account in our security approach. +- Integrity (I) -The security criteria covered by the ISSP are therefore availability (A), integrity (I), confidentiality (C), traceability (T) and privacy (P). These criteria are used to highlight the security needs of protected assets, and the impacts associated with a security risk or incident. +- Confidentiality (C) + +- Traceability (T) + +- Privacy (P) + +These criteria help define the security requirements for protected assets. They are also used to assess the impact of a security risk or incident. ### What assets do we protect? #### Infrastructure, platforms, applications -OVHcloud operates a global infrastructure. This infrastructure consists of a set of data centres, equipment and servers hosted on it as well as a global network of interconnection. OVHcloud also operates an information system that supports this infrastructure. This information system supports operations, automation and ensures collaborative work within OVHcloud. It also includes the tools available to customers for the administration of their services and communication with OVHcloud teams. +OVHcloud operates a global, high-quality infrastructure. This includes multiple datacentres, hardware, and servers. These components are connected by a high-performance network. The network allows for secure and reliable communication between services, as well as with public or private networks. -OVHcloud offers infrastructure services (IaaS), platform services (PaaS) and application services (SaaS) as well as telecommunication services. Each of these services is based on OVHcloud's infrastructure, information system and possibly other services provided by OVHcloud or partners. +This infrastructure is essential to our business. It supports all OVHcloud products and services. -#### Information +Our information system is also managed by OVHcloud. It includes customer-facing services, internal operations, automation tools, and collaboration platforms. It also includes the tools and interfaces that customers use to manage their services and communicate with OVHcloud teams. -The data considered most sensitive by OVHcloud is the data belonging to the clients. For this data hosted as part of the services, the client is responsible for processing and OVHcloud is a subcontractor. OVHcloud employees generally do not know the type of data hosted and do not access it. The client, as a processing manager, must ensure that the level of service offered is appropriate to the sensitivity of the data. OVHcloud, as a subcontractor, acts on instructions from the customer in the contractual framework of the services. +Our service portfolio is broad. It includes Infrastructure as a Service (IaaS), Platform as a Service (PaaS), Software as a Service (SaaS), and telecommunications services. These services are built on our strong infrastructure and information systems. They are also supported by additional services provided either by OVHcloud or by our partners. -OVHcloud also protects internal data in support of operations. In this context, OVHcloud is the processing manager. This covers the technical and administrative data necessary for the provision of the service, the commercial relationship and compliance with legal obligations. OVHcloud's internal data used for business management and development are also covered. This data may be directly or indirectly related to OVHcloud's customers, employees, service providers and partners. They may be transmitted to third parties in accordance with the regulations in force. As a processing manager, OVHcloud defines the security measures adapted to each type of data for each stage of their life cycle, in line with their sensitivity. +This integrated setup allows us to offer a consistent and scalable range of services. It helps us meet the changing needs of our customers. -### What threats are we facing? +#### Information -As a company, OVHcloud is affected by the attacks that any company is subjected to: data theft, resource theft, blackmail, fraud, extortion, malware, compromising exposed systems, etc. These attacks, whether targeted or not, can jeopardise the data managed by OVHcloud and impact operations. +OVHcloud treats client data as the most sensitive and critical type of information. This data is hosted as part of the services we provide. In this case, the client is the data controller and is responsible for how the data is used. OVHcloud acts as a subprocessor. -As a major player in the cloud, OVHcloud operates Internet-wide infrastructure. This positioning exposes OVHcloud to specific threats whose motivations may be to reach the reputation of a high visibility player in a dynamic competitive environment, to challenge innovative technologies or their specific implementation by OVHcloud for technical interest or to reach wide and highly connected infrastructure in an attempt to use computing power and connectivity resources for malicious purposes. +As a subprocessor, OVHcloud works under the client’s instructions. We follow the terms set out in the service contract and respect the client’s policies and guidelines. -Finally, as providers of infrastructure, platforms, and solutions, we must also anticipate threats that target our customers or third parties: +OVHcloud also protects its own internal data. This data is needed to support our operations. For this type of data, OVHcloud is the data controller. -- Attacks on our customers' data and processing through our infrastructure -- Attacks that exploit a weakness in the logical or physical isolation between the environments of different clients related to resource pooling -- The use of resources made available by OVHcloud as a third-party attack vector +Internal data includes technical and administrative information. It is used to deliver services, manage business relationships, and meet legal requirements. -The motivations and paths of attack to target our clients' infrastructure are as varied as the types of systems they operate. They cannot be listed completely. So we need to be prepared for any possible attack targeting one of our customers or OVHcloud. +### Who are the cybersecurity stakeholders? -The threats targeting OVHcloud are primarily of external origin. However, our teams are numerous, deployed internationally and growing rapidly. In addition to the possibility of human errors in operations, we must include the risk of insider threat in our risk management approach. +#### Customers and partners -### Who is concerned by security? +OVHcloud plays a key role in running and managing the infrastructure, platforms, and software that support digital operations. -#### Customers and partners +These services are critical for the information systems and business activities of our clients. Many of our clients also provide services to other parties, creating a complex and constantly changing environment. -OVHcloud is responsible for operating infrastructure, platforms and software within our data centers, on behalf of our customers and partners. The proper functioning of these services is key for their information systems and digital activities. OVHcloud's customers operate their own services to third parties in a rich and complex ecosystem. The players involved in this supply chain and the end users expect OVHcloud to have the expertise and operational control of the services provided. +As a trusted cloud provider, OVHcloud is expected to show strong technical knowledge and control over how our services are delivered. + +We must ensure that our services meet high standards for reliability, security, and performance. These standards are required by both our customers and their own end users. #### Industry specific authorities and regulators -The authorities define the framework for the protection of citizens and businesses under their jurisdiction. This protection extends to data and processing of citizens and businesses. OVHcloud takes these requirements into account in all geographies where the service is operated to ensure a service adapted to local ecosystems. Industry specific regulators also set requirements for the hosting of certain types of data and treatments, associated with particular risks. OVHcloud can offer services specifically adapted to these requirements. In this case, OVHcloud is committed to covering industry-specific requirements and risks. +Regulatory authorities create rules to protect citizens and businesses in their regions. These rules include requirements for securing data and controlling how it is processed. + +OVHcloud follows these rules in every region where we operate. We make sure our services match the specific needs and conditions of each local environment. + +In addition, some regulators set extra rules for certain industries. These rules apply to specific types of data and processing activities that carry higher risks. + +To meet these needs, OVHcloud offers services designed to comply with industry-specific rules. We are committed to meeting these standards and addressing the related risks. #### Employees, management of OVHcloud and shareholders -OVHcloud employees design, maintain and operate systems and processes in support of OVHcloud services. Any security incident has a direct negative impact on operations, but also challenge the value of the services, the expertise and professionalism of teams. Operating secure information systems enhances OVHcloud's innovation, passion, team engagement and service quality. +OVHcloud employees are responsible for designing, maintaining, and operating the systems and processes that support our services. + +Any security incident can cause direct harm to our operations. It can also reduce the value of our services and damage the reputation and professionalism of our teams. + +On the other hand, running secure information systems strengthens OVHcloud’s ability to innovate. It also supports a culture of teamwork and dedication, which leads to better service quality. + +OVHcloud operates in a highly competitive market. To succeed, we must grow rapidly to support innovation and expand internationally. At the same time, we must continue building our credibility. -OVHcloud, as an alternative cloud provider in a very competitive environment, must ensure strong growth to support innovation and development internationally strengthening its credibility. Our customers' confidence, the main driver of this growth, is directly linked to OVHcloud's ability to protect their data workloads. Cyber-security is therefore one of the pillars in support of the development strategy carried out by the management and shareholders of OVHcloud. +Customer trust is the main factor behind this growth. That trust depends on our ability to protect their data and workloads. + +Because of this, cybersecurity is a key part of OVHcloud’s growth strategy. It is fully supported by our management and shareholders. + +By making cybersecurity a priority, we can protect customer trust and loyalty. This is essential for reaching our business goals and keeping our place as a leading cloud provider. #### Subcontractors and outsourcing -OVHcloud is managing certain processes and projects with the assistance of subcontractors accessing OVHcloud information systems and OVHcloud premises. Moreover, OVHcloud Information System is also composed with outsourced applications and systems interconnected to its core. Those actors and systems are in support of OVHcloud operations and are importantly linked to the security. +OVHcloud works with subcontractors to manage different processes and projects. These subcontractors may have access to OVHcloud’s information systems and physical locations. + +In addition, OVHcloud uses external applications and systems that are integrated into its main infrastructure. These outsourced systems support key parts of OVHcloud’s operations. They are an important part of the company’s overall security setup. + +OVHcloud extends its security measures to cover these subcontractors and outsourced systems. Since they are essential to our operations, it is important that they follow the same security standards and rules. + +## Risks and opportunities related to cybersecurity + +### Risk management / Compliance + +Effective risk management requires a formal method to choose the best security measures for each situation. When done properly, this method can be effective. However, it also comes with challenges. + +One security measure can reduce several risks at the same time. Likewise, each risk often requires multiple measures to be fully addressed. + +Using a detailed, structured assessment for every security decision can be inefficient. It may also create unnecessary complexity. + +For many situations, a simpler approach is more practical. OVHcloud often uses a compliance-based method, following a set of security rules built on 25 years of experience in cloud services. It is also informed by international standards, industry regulations, and customer expectations. The security team carefully oversees this process. + +To strengthen this foundation, our cybersecurity risk management process includes three main goals: + +- **Identifying and managing top cyber risks** + This helps explain our risk mitigation strategies to stakeholders. It also tracks changes in risk levels across the company and within specific product lines. This approach gives a clear overview of our key concerns and shows that our priorities and actions are appropriate. + +- **Supporting operational activities through risk-based assessments** + The security team provides tools, methods, and metrics to help business teams make better decisions. These resources help teams set priorities, resolve day-to-day issues, and explain any differences from established standards. This makes security decisions more consistent, relevant, and accountable. + +- **Guiding complex decisions with in-depth analysis** + When facing more difficult decisions, we use a structured process to identify, assess, and reduce security risks. This improves the fairness, depth, transparency, and consistency of decisions made for specific projects or business situations. + +### Risk context + +#### As a major infrastructure operator + +As a leading cloud provider, OVHcloud is a high-profile company. We operate a large-scale, global infrastructure and serve millions of direct and indirect customers. + +Because of this visibility, our systems are exposed to a wide range of risks. These risks often come from advanced threat actors, including: + +- nation-state sponsored groups + +- intelligence agencies + +- organised cybercriminal groups + +- activist groups + +- their related supply chains + +These threat actors have several key goals: + +- Causing widespread disruption that affects OVHcloud and all of its customers + +- Undermining cloud infrastructure that supports a particular economic or political region + +- Attacking customers from specific sectors or geographic areas + +- Gaining long-term access for further malicious actions, such as supply chain attacks or data theft + +- Testing their tools and techniques against strong, modern systems that use advanced technologies + +#### As a cloud services provider + +As a cloud provider hosting millions of systems and services, OVHcloud is exposed to many types of attacks. These attacks often target our customers and are driven by a variety of motivations. + +Because our customer base is highly diverse, it is difficult to clearly identify the exact types of attackers or their goals. Instead, we classify threats based on how the attacks are carried out. This helps us adjust our security approach. + +We group the main attack paths into three categories: + +- **Direct attacks on customer cloud assets.** These occur through public network exposure. + +- **Use of legitimate customer access.** In this case, attackers try to bypass isolation mechanisms and reach systems belonging to other customers. + +- **Targeting OVHcloud's shared infrastructure.** This includes systems like customer management interfaces or internal tools. The goal is often to move laterally and indirectly access customer systems. + +Attacks can start from several sources. These include external networks, a compromised customer system, or a system that has been subscribed to OVHcloud or one of our partners. + +#### As a company + +Like any organisation, OVHcloud faces many types of cyber threats. These include data breaches, misuse of resources, ransomware, phishing, and other forms of malicious activity. + +Such attacks can harm the security of our systems and data. They can also disrupt our operations or be used as part of more complex attacks against our customers or infrastructure. + +Most of the threats OVHcloud faces come from outside the company. However, the size and fast growth of our international teams also create risks from within. These include human errors and insider threats. For this reason, our risk management approach must address insider threats. This is in addition to managing external threats and normal operational risks. + +### Major operational risks + +Although our security risk mitigation strategy mainly follows industry best practices, certain risks are given special attention in our security management process. These include: + +- Compromise of an employee's workstation with high-level system access + +- Vulnerability exploitation on product control planes or shared infrastructure assets + +- Leakage of authentication credentials, such as passwords, tokens, or private keys + +- Use of supplier access to leverage an attack (supply chain attack) + +- Exploitation of known vulnerabilities on systems exposed to the Internet + +- Malicious actions carried out using valid user credentials (insider threat) + +- Physical access to data through compromised datacentre operations + +- Exploitation of unknown vulnerabilities (zero-day) in production systems + +- Denial of Service (DoS) attacks at infrastructure level + +- Denial of Service (DoS) attacks at applicative level on administration interface + +- System isolation failure leading to illegitimate access to customer data + +- Exploitation of a weakness in network or applicative access controls + +- Employee or supplier abuse by social engineering attack + +- Late detection of security events because of faulty security controls + +- A service or application is out of control and not managed according to policies, leading to data exposure + +- Abuse of concentrated roles to bypass security rules + +- Human error or misconfiguration leading to unintended data exposure + +- Breach of physical security or access control in our datacentres + +### Material impacts related to cybersecurity + +#### Negative impacts (risks) + +Cybersecurity events and incidents can lead to several negative consequences for OVHcloud. These include: + +- Loss of customer trust in OVHcloud services + +- Financial responsibility for any business impacts experienced by customers + +- Failure to meet contractual obligations + +- Legal or regulatory consequences resulting from a security breach + +- Harm to OVHcloud's reputation as a reliable and trusted provider + +- Increased operational costs needed to handle the incident and restore normal service + +- Indirect financial effects, such as reduced revenue, higher insurance costs, and lower market value + +#### Positive impacts (opportunities) + +Implementing a consistent security approach that is fully aligned with OVHcloud’s strategy, daily operations, and product development brings several benefits: + +- Reduction in the number of security incidents + +- Ability to meet strict customer security requirements and prove compliance + +- Increased value of the products and services offered to customers + +- Stronger customer trust in OVHcloud’s service portfolio + +- Lower operational impact of security incidents due to faster detection and better response processes + +- Positive financial effects, such as lower costs for handling incidents, higher revenue, and stronger customer loyalty + +## OVHcloud Security Commitments to build trustable cloud services + +### Consistent foundations managed with an industrial approach + +Our approach is based on standardised building blocks, secure architectures, and formal, proven, and highly automated processes. The goal is to make security a driver of efficiency and consistency within the Information System. + +To support this, we have developed tools, processes, and production-ready components that all teams can use to apply security best practices. + +Security is not the only benefit of this structured approach, but it is essential. It enables "security by design" and helps maintain consistent security over time. By integrating security from the start, we avoid treating it as an afterthought. + +Formal security checks are performed in project and change management. These checks ensure that security principles are respected from the design phase through the entire lifecycle of each system or application. + +Every team is responsible for the security of the systems they manage. We work continuously to balance two goals: + +- Enforcing OVHcloud’s common security rules + +- Giving system owners the freedom to apply their technical expertise + +This balance is essential to our security approach. We work closely with business teams to make sure security principles are consistently applied across the company. + +### Support every type of customers in their growth in the cloud + +OVHcloud’s products are built using open-source technologies and established technology standards. This makes it easier for customers to adopt and manage their systems in the cloud. + +Security is a key part of our product development process. The security team is involved in every decision that may affect security. This ensures that security is considered from the beginning. + +Our approach to product security is based on risk. We take into account: + +- The scale and speed of deployment + +- The security culture of our customers + +- The specific use cases and technologies for each product + +This allows us to adapt our security measures to meet the needs of different customer groups. + +Applying best practices for configuration and managing the full security lifecycle is essential. It adds value for our customers and is a major reason why they choose to move to the cloud. This responsibility is fully integrated into the product lifecycle. + +Even though the security posture may differ by product, we manage all security events, incidents, vulnerabilities, threats, and security-related information in a unified and consistent way. + +### Support every customer to manage their own specific risks + +OVHcloud offers its solutions to a wide range of customers across many industries. These include: + +- Startups + +- Small and medium-sized enterprises (SMEs) + +- Large companies + +- Government agencies + +- Multinational corporations + +Each customer has a different approach to security. This is based on their business needs and operational context, and OVHcloud takes this into account. + +In cloud computing, security is a shared responsibility. OVHcloud and its customers each have defined roles. Customers are ultimately responsible for the security of their information systems in the cloud. To avoid risks caused by confusion, we clearly explain what each party is responsible for. + +To help customers secure their systems, OVHcloud provides: + +- A set of tools and features to improve security + +- Standard security features available to all customers + +- Optional features for managing specific risks + +Customers also have the freedom to add their own security tools and solutions. Our platform is designed to support this flexibility. + +We offer a wide range of built-in security services. These are available through our solutions catalogue and are supported by technologies and services from our partners. Our products also support third-party and community solutions. This allows customers to build their own security strategies and adapt them to their specific needs. + +## Cybersecurity governance + +OVHcloud's leadership is committed to cybersecurity for the long term. This is shown through the creation of clear rules for managing risks. It also includes assigning responsibilities, providing the necessary resources, and monitoring performance. + +The Chief Information Security Officer (CISO) defines and implements cybersecurity governance. This work is overseen by the Chief Information Officer (CIO), who acts as the executive sponsor on this topic within the Executive Committee. This governance is reviewed and updated every year to align with OVHcloud’s strategic objectives and its company-wide risk management. + +Ownership of systems is a key principle in defining security responsibilities at OVHcloud. Each team is responsible for the security of the systems they build and manage based on three core principles: + +- Team accountability + +- Industrialisation + +- In-depth technical expertise + +The security team maintains strong relationships with all system-operating teams. This helps ensure a consistent approach to security across OVHcloud. + +This governance applies to all companies in the OVHcloud group. It also includes employees, suppliers, service providers, subcontractors, and users of the information system. + +OVHcloud's services are built on a cybersecurity framework that is designed to: + +- Balance long-term strategy with efficient day-to-day operations + +- Keep our security efforts focused + +- Ensure we respond effectively to new threats and vulnerabilities + +The OVHcloud security team operates a unified and comprehensive set of security controls within its Information System Management System, internally known as OneISMS. The OneISMS program is structured around three main layers, all managed by the security team: + +- **Requirements management layer** + This layer consolidates and organises all security requirements from various sources. It standardises them into a consistent framework and defines clear applicability criteria. + +- **Implementation layer** + This layer provides a formal approach to managing and operating security controls. It ensures alignment between controls and security objectives, manages control documentation and operational follow-up, and coordinates risk management within a unified framework. + +- **Security assessment layer** + This layer handles both internal and external control mechanisms. It focuses on verifying the achievement of security objectives and assessing the effectiveness of resources allocated to security. It also covers third-party audits, whether for certification purposes or at the request of customers. + +Together, these layers ensure that OVHcloud maintains a consistent, effective, and transparent security posture across its information systems. + +**Key performance indicators:** + +- Ratio of products covered in OneISMS + +- Number of man-days spent on security assessments + +## Relations with external security experts + +Our security team and technical experts maintain strong working relationships with external security communities, public authorities, software publishers, and hardware manufacturers. These collaborations help us stay informed about emerging threats and vulnerabilities, and allow us to take early action to reduce the associated risks. + +We actively contribute to the security community by sharing our knowledge and innovations. We also support responsible disclosure practices to encourage open and ethical handling of security findings. + +To further strengthen our security posture, we operate a public bug bounty program. This program allows external security researchers to report vulnerabilities, helping us continuously improve the security of our systems. + +**Key performance indicators:** + +- Bug bounty rewards paid out + +## Compliance program + +OVHcloud’s commitment to its customers and partners is defined through a formal contractual relationship. This contract clearly outlines our obligations. + +We provide a detailed and easy-to-understand matrix of security roles and responsibilities. This ensures that all parties understand their respective duties. + +OVHcloud complies with all applicable laws and regulations in every country where we operate. We also follow industry-specific regulations, such as those for healthcare and financial information systems. + +Our security management system is based on international standards, including **ISO/IEC 27001**. This standard highlights the importance of security principles. + +We regularly evaluate our security features through: + +- Independent third-party audits + +- Recognised audit benchmarks + +- Compliance reports and certificates shared with customers when relevant + +The OVHcloud security team runs a structured program that includes: + +- Internal and external reviews + +- Security controls + +- Regular audits + +This program helps us test our security posture and ensures that we continue to meet our commitments. + +We compare our practices to widely used security compliance frameworks. A dedicated team is responsible for driving continuous improvement. This team works closely with system owners to: + +- Apply improvements + +- Increase the overall security level + +- Reduce risk + +- Stay aligned with our security commitments + +Beyond our legal and contractual obligations, OVHcloud actively engages with its ecosystem. This includes customers, partners, and prospects. + +We prioritise clarity and transparency in all communications. Our goal is to build open and honest relationships with our stakeholders. We provide accurate and timely information about our security practices, so that stakeholders can fully understand our security posture and make informed decisions. + +**Key performance indicators:** + +- Number of man-days spent on security assessments + +## Security by design + +We design and build our production systems using the following principles: + +- **Production-grade requirements** + Each system is designed to support high traffic and to scale quickly. + +- **Secure interfaces and gateways** + Systems are designed to be exposed to external threats. Limiting exposure is treated as an additional security layer. + +- **Robust and proven technologies** + We use both open-source and proprietary technologies that meet strict standards for performance and resilience. + +- **Deterministic behaviour** + Systems are configured for consistent and secure operation. We build strong expertise through gradual adoption, detailed testing, and high levels of automation. This includes using an "as-code" model and managing each system through its full lifecycle. + +- **Internally developed software** + Custom software is developed using strict processes to meet specific needs, such as high performance or advanced security controls. + +## Data protection + +OVHcloud applies a strict rule: customer data is never used for business purposes. + +Employees do not know the nature of the data hosted by customers and are not allowed to access it. However, during technical operations on systems that store customer data, employees may technically be in a position to access this data. Such access is strictly forbidden. OVHcloud has implemented strong security controls to detect any unauthorised access, ensure traceability of actions, and guarantee that this rule is respected at all times. + +In addition to customer data, OVHcloud manages internal data, which may relate to customers, employees, service providers, or partners. When legally permitted, this data may be shared with third parties. OVHcloud acts as the data controller for this internal data and applies appropriate security measures based on the type of data, its sensitivity, and the phase of its lifecycle—whether it is being stored, used, transmitted, or deleted. + +**Key performance indicators:** + +- Number of violations reported to authorities + +## People + +Teamwork, segregation of duties, individual accountability, and progressive trust are key principles in OVHcloud's security model. Our teams are collectively responsible for managing thousands of customer environments. Everyone’s active involvement is necessary to maintain end-to-end security across all services. + +All OVHcloud employees follow a formal cybersecurity awareness and training program. This process begins even before hiring, through background checks adapted to the responsibilities of the role. These checks help identify potential risks, such as the possibility of malicious behaviour or exposure to external pressures. + +On their first day, new employees receive cybersecurity onboarding. This introduction explains the importance of cybersecurity in our service delivery and emphasises how individual responsibility is applied throughout the organisation. This initial awareness is reinforced through regular internal communication, sharing operational feedback and current cybersecurity concerns to keep all staff alert and engaged. For sensitive positions, additional training is provided on a regular basis. + +We also test our teams’ ability to recognise and respond to cybersecurity risks. Regular exercises and incident response simulations are conducted to ensure that employees are well prepared to handle real security events quickly and effectively. + +**Key performance indicators:** + +- Number of employees trained in cybersecurity + +- Phishing test results + +- Respect of offboarding procedures + +## Work environment + +Most operational activities at OVHcloud are carried out using centralised services such as ticketing, documentation, system design, automation, code management, software building, and service operations. Employees use their workstations to access these services. + +Maintaining a high level of control over workstations is essential to prevent them from becoming an entry point for attacks. At the same time, OVHcloud employees often need access to a wide range of tools, low-level system interactions, and broad connectivity to open networks. These capabilities are important for experimentation, development, and troubleshooting. + +Balancing these operational needs with strict security requirements is a continuous challenge. + +To address this, we implement: + +- Strict access control to internal networks, systems, and applications. Access is based on business roles and managed through secure gateways or bastions to ensure traceability + +- Monitoring of internal networks, access to external resources, communication tools, and internal applications to detect unusual or unauthorised activity + +- Strict control over workstation configuration, including system hardening, automated configuration management, removal of local administrator rights, centralised monitoring with EDR and malware protection, and incident investigation tools + +- Dedicated workstations with custom configurations for sensitive roles and critical environments + +- Strict control of application access through mobile devices + +**Key performance indicators:** + +- Number of security alerts related to misbehaviours + +- Number of technical misbehaviours + +## Identity and access management + +OVHcloud's internal Identity and Access Management (IAM) system is designed to manage the entire lifecycle of user identities, from creation to termination. + +Access requests follow a structured process, including formal review and approval steps. Access is granted only to authorised individuals, based on business needs. We support both individual and service accounts, and maintain a strict separation between standard user accounts and administrative accounts to reduce the risk of unauthorised access. + +Authentication credentials are managed throughout their lifecycle—creation, updates, and deletion. We use various authentication methods, including passwords, digital certificates, physical tokens, and biometric authentication. We also support Single Sign-On (SSO) to simplify user access and use bastion hosts to secure administrative actions. + +To ensure individual accountability, we conduct regular access reviews and monitor account usage to verify that access rights are aligned with internal policies and procedures. Our Role-Based Access Control (RBAC) system defines access levels based on the user's role, and we maintain a wide range of roles to suit different operational contexts. + +Access to network services is protected by secure authentication mechanisms. We strongly recommend the use of multifactor authentication to add an additional layer of security. Our password policies enforce complexity requirements, and all passwords are stored securely using encryption. + +We also monitor the status of credentials belonging to former users to ensure that no unauthorised access remains after termination. Overall, our IAM system follows the principle of least privilege, granting access only to users who genuinely need it. + +**Key performance indicators:** + +- Accuracy of access rights + +- Ratio of applications using SSO + +## Secure continuous delivery -## OVHcloud security commitments +At OVHcloud, our development teams include over a thousand developers working across multiple technology stacks. This diversity makes it difficult to apply a single, uniform development process. -OVHcloud's services are built on a human, physical, technological and organisational cybersecurity framework that supports all the company’s activities in support of OVHcloud services. The guiding principles are industrialisation, in-depth knowledge of technologies and team's accountability. +To address this, we have defined a set of development archetypes. These serve as foundational models for different types of projects. We also centralise all source code in a shared repository to ensure consistent access and enable effective collaboration across teams. -Our security approach targets to primarily protect customers data and workloads, but also to protect OVHcloud's information system that continuously evolves to support OVHcloud's business. Our efforts are prioritised according to a structured model balanced between a long term approach and efficient operations at tactical level. +Our development toolchain supports a wide range of technologies and workflows. It includes a continuous delivery system that automates building and testing. Developers also have access to dedicated environments and labs for testing and validation. Code signing is used to guarantee the authenticity and integrity of software. -### Build trustable cloud services +To support secure and efficient development, we provide low-level primitives such as logging, secret management, and container execution. Our APIs are designed to be RESTful and secure, and are protected by reverse proxies that act as secure gateways. -#### Consistent foundations managed with an industrial approach +Access to systems and data is managed through internally developed Identity and Access Management tools. These tools provide a high level of access control and auditability. We also use dependency management tools to ensure that external components are up to date and free of known vulnerabilities. -Our approach is based on standardised secure building blocks and security measures, in-depth secure architectures by design and formal, proven, highly automated processes. We want this security approach to be an enabler for information system efficiency and consistency, so we build a set of tools and processes to be used by every team to ease security adoption. +By offering a flexible and scalable framework, OVHcloud is able to meet the diverse needs of its development teams while maintaining a strong security posture. -We build our systems: +## Secure state management -- On robust proven technologies, either open source or proprietary to meet our very demanding needs for performance and resiliency. Our systems in support for productions shall be as deterministic as possible, and configured to optimize security. We seek this goal by developing for every technology we use strong expertise by a progressive adoption and in-depth testing, a high level of automation with "as-code" operational model, and life-cycle management to ensure the software is maintained and supported. -- On internally built software assets, developed according to strict processes to meet specific needs in terms of functionalities, performances or in-depth controls in OVHcloud's context. +Hardening is a key part of OVHcloud’s security posture. It involves systematically removing unnecessary features, configuring systems with secure settings, and applying the latest security patches to reduce vulnerabilities. -Security is not the only outcome of this very structured approach. However, it is a strong enabler for security by design and capability to manage security consistently over time. +Cryptographic configuration management is also essential. OVHcloud follows industry best practices for secure encryption, using recommended algorithms and protocols to protect the confidentiality and integrity of data. -#### Support every type of customer in their growth in the cloud +System and application configurations are tightly controlled. Any changes are carefully tracked and managed. Inventory control is strictly enforced. All IT assets—including hardware, software, and data—are registered and monitored to maintain visibility and control. -OVHcloud's products use open-source technologies and proven technology standards to facilitate adoption and reversibility for our customers when managing their systems in the cloud. +Exposure management is another important component of our approach. OVHcloud regularly identifies and addresses security risks through: -Security is integrated into the life cycle of product development. The security team is constantly involved in challenging and assisting all decisions that may have an impact on security. Our product security approach is risk-driven, based on deployment scale and adoption pace. We take into account the security culture of our customer's persona to meet common uses cases associated to each product. This way, we enrich our standard security framework with specific security measures adapted to technologies specificities and customer use cases. +- Vulnerability assessments -Implementing configuration best practices and security lifecycle management for the technologies in support of our products is key in the value delivered to our customer and a strong incentive for them to move to cloud. This duty is fully embedded in the product lifecycle. +- Remediation activities -While the security posture may vary depending on the products specificities, the management of events, incidents, vulnerabilities, threats and gathering of security information remains standardised within a unified approach. Moreover, we are building a compliance program to unify and standardise security assurance to ease appropriation by customers. +- Continuous improvement of system configurations -#### Support every customer to manage their own specific risks +These combined efforts ensure that our infrastructure remains secure, well-managed, and aligned with industry standards. -OVHcloud offers its solutions to any type of customer in all fields of activity: startup, SME, large business, administration, multinational. Every OVHcloud customer has a particular security approach, depending on its business or operation context that we need to take into account. +**Key performance indicators:** -The security of a system in the cloud is a shared responsibility between the cloud provider and the customer. Our customers are ultimately responsible for the security of their information systems in the cloud. We clearly define their areas of operational responsibilities to avoid any vulnerability arising from insufficient awareness. +- CMDB coverage -OVHcloud provides and develops a set of tools, features and configurations to improve the security of client systems in the cloud. Most security features are included for all customers. Additional security features are also available to help our customers to reduce the specific risks they face. +## Monitoring, detection and incident response -Customers should be able to add their own security solutions and tools. We develop a wide range of security solutions and services within our solutions catalog. This catalog is completed with a large range of technological means or services provided by OVHcloud partners within a rich ecosystem. Our products are designed to facilitate the use of third parties or community solutions to help our customers to customise their risk mitigation means. +We operate a continuous threat analysis framework that is directly connected to our monitoring systems. This allows us to adjust our operational practices in real time to address current risks and respond quickly and effectively to security incidents. -### Cybersecurity in support of information systems and transformation +Our security team structure enables the rapid mobilisation of experts when needed. This ensures that incidents are investigated and resolved efficiently, with corrective actions implemented quickly and in a sustainable way to reduce future risk. -Building a production environment for our customers and their systems in the cloud is at the center of our cybersecurity commitment. This approach should be consistently cascaded into every OVHcloud information system, even if not directly in support to the service delivered to our customers. +Operational monitoring and event logging are the responsibility of each system owner. In addition, our Security Information and Event Management (SIEM) system provides real-time monitoring, event correlation, and threat detection capabilities. We collect and analyse relevant log data, along with external threat intelligence, to identify potential security risks. -We follow the same methodology for any information systems under the responsibility of OVHcloud. Security of all IT assets is a key to ensure the data related to our customer and OVHcloud data and information are protected. +Our incident management process includes clear definitions of incident types, severity levels, and response procedures. An established escalation process ensures that incidents are handled by the appropriate teams at each stage. -OVHcloud security teams implement a structured program of reviews, controls and audits, both internal and external to constantly challenge our security. We challenge our security implementation against commonly used security compliance schemes. Continuous improvement is strictly followed by a dedicated team in direct support of systems owners to ensure the adequate implementation of improvement to increase security level continuously to ensure risks mitigation and compliance to our commitments. +We have a dedicated Computer Emergency Response Team (CERT) trained to manage security incidents. The incident response process covers full incident analysis, containment, eradication, and recovery. A post-incident review is conducted to capture lessons learned and improve future response efforts. -Security teams provide security tools to project teams and system owners to ease implementation of security practices in the systems, ensuring consistency across the systems on most critical security topics. +We also maintain a clear communication plan to ensure that stakeholders are informed and updated during security incidents. Regular drills and simulations are conducted to test and strengthen our incident response capabilities. -We manage the security of all production systems in support of operations with a strong support of security teams: +**Key performance indicators:** -- Improving the coverage of security controls to cover all sensitive data and workloads at OVHcloud. -- Ensuring security is included in the full lifecycle of our information systems and specifically taken into account during projects gates. -- The security teams work permanently with all systems owners to ensure the coordination is built over time and to ensure the follow-up of decisions related to security. +- Coverage of SIEM -As OVHcloud is evolving in a very dynamic context, information system transformation is a permanent challenge to address all the issues related to our market positioning. -Within the objective to grow geographically, technically and in terms of customer base, we integrate into our security posture the strategic decision of OVHcloud to ensure the necessary information system transformations are planned and deploy in respect of the security principles we follow. +- Number of incidents with impact on customer data -### An operational security culture +- Number of incidents with impact on financial statements -OVHcloud's security framework is constantly evolving to align with our operating model and services on one side and to adapt to the threat environment and new attack methods on the other side. +## Datacentre security -OVHcloud operates a permanent threat analysis framework linked to continuous monitoring system. This way, we systematically adapt operational practices to immediate risks and respond effectively to security incidents. The organisation of the security teams allows the rapid mobilisation of experts to investigate and resolve security incidents. In this way, we minimise potential impacts and implement corrective actions as quickly as possible sustainably. +OVHcloud datacentres are designed and operated as industrial-grade facilities. Each site is planned based on a risk analysis that considers geographical, technical, and societal factors. These factors influence the way each datacentre is managed and operated. -OVHcloud’s security team and technical experts maintain strong operational relationships with security expert communities, authorities, software publishers, and hardware manufacturers. This way, we anticipate new threats and vulnerabilities and mitigate the associated risks. We share our innovations and knowledge with the security community and promote responsible disclosure. We are running a public bug bounty program to leverage security community expertise to improve our systems. +All operations within datacentres follow formal procedures to minimise human error and ensure traceability and accountability. Any change is handled through a structured and centrally coordinated process, which helps anticipate risks and assess potential impacts. -Tactical and ad-hoc decisions to mitigate risks in day-to-day operations are consolidated within our management framework to extend best practices across the company and build an effective continuous improvement cycle. +Routine operations are also subject to strict, formal procedures. These procedures are supported by datacentre management tools and automated data collection systems connected to the infrastructure. This ensures operational consistency and reduces risks, especially during handling of media containing customer data. -OVHcloud's teams are regularly trained to the security framework and to adopt the best practices in every situation that could generate a security risk, immediate or future in their work. OVHcloud's security team is continuously monitoring critical systems to detect misbehaviour and to ensure a quick response to deviation. +Access to OVHcloud datacentres is restricted and based on individual identification and a strict business need. Access control is defined by a zoning model, in which each zone has specific access rules based on its criticality and business function. -## How does OVHcloud commit? +To support this access policy, OVHcloud relies on: -OVHcloud's commitment to its customers and partners is primarily driven by the contractual relationship that formalises and articulates it. We document and communicate security roles and responsibility matrixes for our services. +- Advanced video surveillance systems -OVHcloud respects the laws and regulations applicable in the provision of services in each country. OVHcloud is also committed to compliance with specific industry specific regulations, for example for health and financial information systems. +- Dedicated datacentre information systems -Our security management organisation is based on internationally recognised standards, in particular ISO/IEC 27001 which highlights these principles. We regularly evaluate our security features using trusted third parties and recognised audit benchmarks, and we communicate the compliance reports and certificates to our customers when appropriate. +- Centralised coordination and monitoring of security and operational activities -Beyond contractual links, OVHcloud engages with its ecosystem, its customers and prospects, ensuring clarity and transparency of messages in all circumstances. +These systems help ensure that local operations are secure and aligned with OVHcloud’s global security and monitoring framework. -## OVHcloud security implementation +**Key performance indicators:** -OVHcloud is maintaining its own security framework in support of the ISMS federating all requirements from our interested parties. This framework is based on different industry standards, and adapted to OVHcloud organisation and operations. +- Number of datacentres audited within the last 12 months -1. Define and maintain security governance (Security Governance) -2. Maintain consistent security principles and documentation (Security Model) -3. Provide to customer appropriate security features to manage their risks (Customer Security Features) -4. Implement appropriate data protection for any data managed or hosted (Data Protection) -5. Demonstrate compliance with OVHcloud commitments (Security Compliance) -6. Promote risk-based decisions (Security Risks Management) -7. Build, develop and maintain relationship with security ecosystem (Security Ecosystem) -8. Protect customer's cloud usage (Security Protection for Customer) -9. Protect OVHcloud technical reputation (External Technical Reputation) -10. Assess security and implement continuous improvement (Audits and Controls) -11. Assets management -12. Ensure alignment of resources with security objectives and develop a security culture (Human Resources, Awareness and Training) -13. Identity, authentication and access Management -14. Protect end user information system (End User Information System) -15. Supply chain and service provider management -16. Support IT and product developments (Project Management) -17. Manage security in IS evolution (Change Management) -18. Secure continuous delivery -19. Use strong cryptography (Cryptography) -20. Deploy and maintain secure configuration and hardening (Configuration and Hardening) -21. Ensure network security (Network Security) -22. Operations and maintenance in security conditions -23. Logging, security monitoring and detection -24. Vulnerability and patch management -25. Security incident management -26. Datacenter security -27. Office security -28. Resilience +- Number of datacentres not audited within the last 36 months diff --git a/docs/es/guides/account-and-service-management/account-information/information-system-security-policy.mdx b/docs/es/guides/account-and-service-management/account-information/information-system-security-policy.mdx deleted file mode 120000 index 7bf7d26ba..000000000 --- a/docs/es/guides/account-and-service-management/account-information/information-system-security-policy.mdx +++ /dev/null @@ -1 +0,0 @@ -../../../../en/guides/account-and-service-management/account-information/information-system-security-policy.mdx \ No newline at end of file diff --git a/docs/es/guides/account-and-service-management/account-information/information-system-security-policy.mdx b/docs/es/guides/account-and-service-management/account-information/information-system-security-policy.mdx new file mode 100644 index 000000000..8b0e542cf --- /dev/null +++ b/docs/es/guides/account-and-service-management/account-information/information-system-security-policy.mdx @@ -0,0 +1,624 @@ +--- +title: Política de seguridad del sistema de información de OVHcloud +description: Descubra cómo OVHcloud estructura su Política de seguridad del sistema de información (PSSI), desde la gobernanza de la ciberseguridad y la gestión de riesgos hasta la protección de datos y la seguridad de los centros de datos. +lastUpdated: 2026-05-27 +--- + +## Objeto de este documento + +En OVHcloud utilizamos un sistema de gestión global y detallado para la ciberseguridad. Este documento explica cómo se estructura este sistema y cómo funciona. Incluye los siguientes elementos: + +- Un resumen del entorno operativo de OVHcloud. Esto permite identificar los principales riesgos de ciberseguridad, los retos clave y los desafíos que es necesario afrontar. + +- Nuestros compromisos de seguridad con las partes interesadas. También describe los grandes principios que seguimos para proteger y gestionar nuestros sistemas de información. + +- La estructura que utilizamos para conectar la estrategia, las operaciones diarias y las mejoras futuras. Esto garantiza que nuestro enfoque de la ciberseguridad sea coherente y eficaz a la vez. + +Este documento se denomina "Política de seguridad del sistema de información". Se revisa y actualiza cada año, así como en caso de acontecimientos de gran impacto. Reemplaza un amplio conjunto de políticas de seguridad y de guías de implementación, que se gestionan según sus propios ciclos de vida. + +Este texto está redactado intencionadamente en un lenguaje sencillo para facilitar su comprensión por parte de personas que no son expertas. + +## Contexto de la gobernanza de la ciberseguridad + +Como alternativa importante en un mercado bien establecido, OVHcloud se enfrenta a un reto complejo. Nuestros clientes esperan que nuestros servicios cloud cumplan los estándares del sector. Al mismo tiempo, desean beneficiarse de nuestras ventajas competitivas únicas. En materia de ciberseguridad, buscamos encontrar el equilibrio adecuado. Nuestro objetivo es respetar los estándares del sector aplicando, a la vez, estrategias de mitigación de riesgos adaptadas a nuestro modelo de negocio específico. + +OVHcloud opera en un entorno que cambia rápidamente. Las amenazas, las tecnologías y las expectativas de los clientes evolucionan constantemente. Por ello, debemos seguir siendo flexibles y capaces de adaptarnos con rapidez. + +### ¿Qué es la seguridad de la información? + +La seguridad consiste en proteger nuestros sistemas de información y nuestros servicios frente a posibles amenazas. El objetivo es garantizar la confidencialidad, la integridad y la disponibilidad de los datos y los servicios cloud de nuestros clientes. + +Como proveedor de servicios cloud, OVHcloud debe velar siempre por que los sistemas permanezcan disponibles y por que los datos sigan protegidos. Se trata de una responsabilidad fundamental, compartida por cada uno de los empleados de OVHcloud. + +La gobernanza de la ciberseguridad se centra principalmente en los riesgos relacionados con acciones malintencionadas. Asimismo, garantiza una coordinación estrecha con todos los equipos implicados en la prestación de los servicios. Esta coordinación contribuye a establecer un enfoque completo y coherente de la gestión de riesgos. + +El enfoque de seguridad de OVHcloud incluye también reglas claras en materia de protección y trazabilidad de los datos. Este aspecto es especialmente importante cuando se trata de la privacidad. Estos compromisos están integrados formalmente en nuestras políticas de seguridad. + +La Política de seguridad del sistema de información (PSSI) cubre los cinco criterios de seguridad siguientes: + +- Disponibilidad (A) + +- Integridad (I) + +- Confidencialidad (C) + +- Trazabilidad (T) + +- Privacidad (P) + +Estos criterios ayudan a definir los requisitos de seguridad aplicables a los activos que se deben proteger. También se utilizan para evaluar el impacto de un riesgo o de un incidente de seguridad. + +### ¿Qué activos protegemos? + +#### Infraestructuras, plataformas, aplicaciones + +OVHcloud opera una infraestructura mundial de alta calidad. Esta incluye múltiples centros de datos, hardware y servidores. Estos componentes están conectados mediante una red de alto rendimiento. Esta red permite una comunicación segura y fiable entre los servicios, así como con redes públicas o privadas. + +Esta infraestructura es esencial para nuestra actividad. Da soporte al conjunto de los productos y servicios de OVHcloud. + +Nuestro sistema de información también está gestionado por OVHcloud. Abarca los servicios destinados a los clientes, las operaciones internas, las herramientas de automatización y las plataformas colaborativas. Incluye asimismo las herramientas e interfaces que los clientes utilizan para gestionar sus servicios y comunicarse con los equipos de OVHcloud. + +Nuestro catálogo de servicios es amplio. Incluye servicios de infraestructura (IaaS), de plataforma (PaaS), de software (SaaS) y de telecomunicaciones. Estos servicios se apoyan en la solidez de nuestra infraestructura y de nuestros sistemas de información. También se complementan con servicios adicionales prestados por OVHcloud o por nuestros partners. + +Este conjunto integrado nos permite ofrecer una gama de servicios coherente y escalable. Nos ayuda a responder a las necesidades cambiantes de nuestros clientes. + +#### Información + +OVHcloud considera los datos de los clientes como el tipo de información más sensible y crítico. Estos datos se alojan en el marco de los servicios que prestamos. En este caso, el cliente es el responsable del tratamiento y es responsable del uso que se hace de ellos. OVHcloud actúa como subencargado del tratamiento. + +Como subencargado del tratamiento, OVHcloud actúa según las instrucciones del cliente. Respetamos los términos definidos en el contrato de servicio, así como las políticas y directrices del cliente. + +OVHcloud protege también sus propios datos internos. Estos datos son necesarios para dar soporte a nuestras operaciones. Para este tipo de datos, OVHcloud es el responsable del tratamiento. + +Los datos internos incluyen información técnica y administrativa. Sirven para prestar los servicios, gestionar las relaciones comerciales y responder a los requisitos legales. + +### ¿Quiénes son las partes interesadas de la ciberseguridad? + +#### Clientes y partners + +OVHcloud desempeña un papel clave en la explotación y la gestión de las infraestructuras, las plataformas y el software que dan soporte a las operaciones digitales. + +Estos servicios son esenciales para los sistemas de información y las actividades comerciales de nuestros clientes. Muchos de nuestros clientes prestan, a su vez, servicios a terceros, lo que crea un entorno complejo y en constante evolución. + +Como proveedor cloud de confianza, OVHcloud debe demostrar una sólida experiencia técnica y un dominio de la forma en que se prestan sus servicios. + +Debemos garantizar que nuestros servicios cumplan estándares elevados de fiabilidad, seguridad y rendimiento. Estos estándares son exigidos tanto por nuestros clientes como por sus propios usuarios finales. + +#### Autoridades y reguladores sectoriales + +Las autoridades reguladoras dictan normas destinadas a proteger a los ciudadanos y a las empresas en sus regiones. Estas normas incluyen requisitos relativos a la protección de los datos y al control de su tratamiento. + +OVHcloud cumple estas normas en cada región donde operamos. Velamos por que nuestros servicios se ajusten a las necesidades y condiciones específicas de cada entorno local. + +Además, algunos reguladores establecen normas adicionales para determinados sectores. Estas normas se aplican a tipos de datos y a actividades de tratamiento específicos que presentan riesgos más elevados. + +Para responder a estas necesidades, OVHcloud ofrece servicios diseñados para cumplir las normas propias de cada sector. Nos comprometemos a respetar estos estándares y a tratar los riesgos asociados. + +#### Empleados, dirección de OVHcloud y accionistas + +Los empleados de OVHcloud son responsables del diseño, el mantenimiento y la explotación de los sistemas y procesos que dan soporte a nuestros servicios. + +Cualquier incidente de seguridad puede causar un perjuicio directo a nuestras operaciones. También puede reducir el valor de nuestros servicios y dañar la reputación y la profesionalidad de nuestros equipos. + +A la inversa, la explotación de sistemas de información seguros refuerza la capacidad de innovación de OVHcloud. Asimismo, favorece una cultura del trabajo en equipo y del compromiso, que conduce a una mejor calidad de servicio. + +OVHcloud opera en un mercado muy competitivo. Para tener éxito, debemos crecer rápidamente con el fin de impulsar la innovación y expandirnos a escala internacional. Al mismo tiempo, debemos seguir construyendo nuestra credibilidad. + +La confianza de los clientes es el principal motor de este crecimiento. Esta confianza depende de nuestra capacidad para proteger sus datos y sus cargas de trabajo. + +Por ello, la ciberseguridad constituye un elemento clave de la estrategia de crecimiento de OVHcloud. Cuenta con el pleno respaldo de nuestra dirección y de nuestros accionistas. + +Al hacer de la ciberseguridad una prioridad, podemos preservar la confianza y la fidelidad de nuestros clientes. Esto es esencial para alcanzar nuestros objetivos comerciales y conservar nuestra posición como proveedor cloud de primer nivel. + +#### Subcontratistas y externalización + +OVHcloud colabora con subcontratistas para gestionar diferentes procesos y proyectos. Estos subcontratistas pueden tener acceso a los sistemas de información y a los emplazamientos físicos de OVHcloud. + +Por otra parte, OVHcloud utiliza aplicaciones y sistemas externos integrados en su infraestructura principal. Estos sistemas externalizados dan soporte a partes esenciales de las operaciones de OVHcloud. Constituyen un elemento importante del dispositivo de seguridad global de la empresa. + +OVHcloud amplía sus medidas de seguridad con el fin de cubrir a estos subcontratistas y sistemas externalizados. Como son esenciales para nuestras operaciones, es importante que respeten los mismos estándares y normas de seguridad. + +## Riesgos y oportunidades relacionados con la ciberseguridad + +### Gestión de riesgos / Cumplimiento + +Una gestión eficaz de los riesgos requiere un método formal para elegir las mejores medidas de seguridad en cada situación. Cuando se aplica correctamente, este método puede resultar eficaz. No obstante, también conlleva dificultades. + +Una misma medida de seguridad puede reducir varios riesgos a la vez. Del mismo modo, cada riesgo requiere a menudo varias medidas para ser tratado plenamente. + +Recurrir a una evaluación detallada y estructurada para cada decisión de seguridad puede resultar ineficaz. También puede generar una complejidad innecesaria. + +En muchas situaciones, un enfoque más sencillo es más práctico. OVHcloud utiliza a menudo un método basado en el cumplimiento, siguiendo un conjunto de normas de seguridad construidas sobre 25 años de experiencia en servicios cloud. Este método se apoya también en los estándares internacionales, las regulaciones sectoriales y las expectativas de los clientes. El equipo de seguridad supervisa este proceso con rigor. + +Para reforzar estos cimientos, nuestro proceso de gestión de los riesgos de ciberseguridad persigue tres grandes objetivos: + +- **Identificar y gestionar los principales ciberriesgos** + Esto ayuda a explicar nuestras estrategias de mitigación de riesgos a las partes interesadas. También permite seguir la evolución de los niveles de riesgo a escala de la empresa y dentro de gamas de productos específicas. Este enfoque ofrece una visión de conjunto clara de nuestros principales retos y demuestra que nuestras prioridades y nuestras acciones son adecuadas. + +- **Dar soporte a las actividades operativas mediante evaluaciones basadas en los riesgos** + El equipo de seguridad proporciona herramientas, métodos e indicadores para ayudar a los equipos de negocio a tomar mejores decisiones. Estos recursos ayudan a los equipos a definir sus prioridades, a resolver los problemas diarios y a justificar cualquier desviación con respecto a los estándares establecidos. Esto hace que las decisiones de seguridad sean más coherentes, más pertinentes y más responsables. + +- **Orientar las decisiones complejas mediante un análisis en profundidad** + Ante decisiones más difíciles, seguimos un proceso estructurado para identificar, evaluar y reducir los riesgos de seguridad. Esto mejora la equidad, la profundidad, la transparencia y la coherencia de las decisiones tomadas para proyectos o situaciones comerciales específicos. + +### Contexto de riesgo + +#### Como operador de infraestructura importante + +Como proveedor cloud de primer nivel, OVHcloud es una empresa muy expuesta. Operamos una infraestructura mundial a gran escala y damos servicio a millones de clientes directos e indirectos. + +Debido a esta visibilidad, nuestros sistemas están expuestos a una amplia variedad de riesgos. Estos riesgos proceden a menudo de actores de la amenaza avanzados, en particular: + +- grupos patrocinados por Estados + +- agencias de inteligencia + +- grupos cibercriminales organizados + +- grupos activistas + +- sus cadenas de suministro asociadas + +Estos actores de la amenaza persiguen varios objetivos clave: + +- Provocar una perturbación a gran escala que afecte a OVHcloud y al conjunto de sus clientes + +- Debilitar una infraestructura cloud que da soporte a una región económica o política concreta + +- Atacar a clientes de sectores o de zonas geográficas específicos + +- Obtener un acceso duradero con vistas a otras acciones malintencionadas, como ataques a la cadena de suministro o el robo de datos + +- Probar sus herramientas y técnicas contra sistemas robustos y modernos que utilizan tecnologías avanzadas + +#### Como proveedor de servicios cloud + +Como proveedor cloud que aloja millones de sistemas y servicios, OVHcloud está expuesto a numerosos tipos de ataques. Estos ataques se dirigen a menudo a nuestros clientes y obedecen a motivaciones diversas. + +Como nuestra base de clientes es muy diversa, resulta difícil identificar claramente los tipos de atacantes o sus objetivos precisos. Por ello, clasificamos las amenazas en función de la manera en que se llevan a cabo los ataques. Esto nos ayuda a ajustar nuestro enfoque de seguridad. + +Agrupamos los principales vectores de ataque en tres categorías: + +- **Ataques directos a los activos cloud de los clientes.** Se producen a través de la exposición a la red pública. + +- **Uso de un acceso de cliente legítimo.** En este caso, los atacantes intentan eludir los mecanismos de aislamiento y alcanzar sistemas pertenecientes a otros clientes. + +- **Ataque a la infraestructura compartida de OVHcloud.** Esto incluye sistemas como las interfaces de gestión de los clientes o las herramientas internas. El objetivo es a menudo desplazarse lateralmente y acceder indirectamente a los sistemas de los clientes. + +Los ataques pueden proceder de varias fuentes. Pueden originarse en redes externas, en un sistema de cliente comprometido o en un sistema contratado con OVHcloud o con uno de nuestros partners. + +#### Como empresa + +Como cualquier organización, OVHcloud se enfrenta a numerosos tipos de ciberamenazas. Estas incluyen las violaciones de datos, el uso abusivo de los recursos, el ransomware, el phishing y otras formas de actividad malintencionada. + +Tales ataques pueden comprometer la seguridad de nuestros sistemas y de nuestros datos. También pueden perturbar nuestras operaciones o utilizarse en el marco de ataques más complejos contra nuestros clientes o nuestra infraestructura. + +La mayoría de las amenazas a las que se enfrenta OVHcloud provienen del exterior de la empresa. Sin embargo, el tamaño y el rápido crecimiento de nuestros equipos internacionales también crean riesgos internos. Estos incluyen los errores humanos y las amenazas internas. Por esta razón, nuestro enfoque de la gestión de riesgos debe tratar las amenazas internas. Esto se suma a la gestión de las amenazas externas y de los riesgos operativos habituales. + +### Principales riesgos operativos + +Aunque nuestra estrategia de mitigación de los riesgos de seguridad sigue principalmente las buenas prácticas del sector, algunos riesgos son objeto de una atención particular en nuestro proceso de gestión de la seguridad. Estos incluyen: + +- El compromiso del puesto de trabajo de un empleado que dispone de un acceso al sistema de alto nivel + +- La explotación de vulnerabilidades en los planos de control de los productos o en activos de infraestructura compartida + +- La fuga de credenciales de autenticación, como contraseñas, tokens o claves privadas + +- El uso del acceso de un proveedor para llevar a cabo un ataque (ataque a la cadena de suministro) + +- La explotación de vulnerabilidades conocidas en sistemas expuestos a Internet + +- Acciones malintencionadas llevadas a cabo mediante credenciales de usuario válidas (amenaza interna) + +- El acceso físico a los datos a través de operaciones comprometidas en un centro de datos + +- La explotación de vulnerabilidades desconocidas (zero-day) en los sistemas de producción + +- Ataques por denegación de servicio (DoS) a nivel de la infraestructura + +- Ataques por denegación de servicio (DoS) a nivel aplicativo sobre una interfaz de administración + +- Un fallo de aislamiento de los sistemas que conduzca a un acceso ilegítimo a los datos de los clientes + +- La explotación de una debilidad de los controles de acceso de red o aplicativos + +- El abuso de un empleado o de un proveedor mediante un ataque de ingeniería social + +- La detección tardía de eventos de seguridad debido a controles de seguridad defectuosos + +- Un servicio o una aplicación fuera de control y no gestionado conforme a las políticas, que conduzca a una exposición de datos + +- El abuso de roles concentrados para eludir las normas de seguridad + +- Un error humano o una mala configuración que conduzca a una exposición involuntaria de datos + +- Una vulneración de la seguridad física o del control de acceso en nuestros centros de datos + +### Impactos materiales relacionados con la ciberseguridad + +#### Impactos negativos (riesgos) + +Los eventos e incidentes de ciberseguridad pueden acarrear varias consecuencias negativas para OVHcloud. Estas incluyen: + +- La pérdida de confianza de los clientes en los servicios de OVHcloud + +- La responsabilidad financiera por los impactos comerciales sufridos por los clientes + +- El incumplimiento de las obligaciones contractuales + +- Consecuencias jurídicas o reglamentarias derivadas de una violación de seguridad + +- Un daño a la reputación de OVHcloud como proveedor fiable y de confianza + +- Un aumento de los costes operativos necesarios para gestionar el incidente y restablecer el servicio normal + +- Efectos financieros indirectos, como una reducción del volumen de negocio, un aumento de los costes de seguro y una disminución del valor de mercado + +#### Impactos positivos (oportunidades) + +La implementación de un enfoque de seguridad coherente, plenamente alineado con la estrategia, las operaciones diarias y el desarrollo de productos de OVHcloud, aporta varias ventajas: + +- Una reducción del número de incidentes de seguridad + +- La capacidad de responder a los estrictos requisitos de seguridad de los clientes y de demostrar nuestro cumplimiento + +- Una mayor valorización de los productos y servicios ofrecidos a los clientes + +- Una confianza reforzada de los clientes en el catálogo de servicios de OVHcloud + +- Un menor impacto operativo de los incidentes de seguridad gracias a una detección más rápida y a mejores procesos de respuesta + +- Efectos financieros positivos, como una reducción de los costes de gestión de los incidentes, un aumento del volumen de negocio y una mayor fidelidad de los clientes + +## Los compromisos de seguridad de OVHcloud para construir servicios cloud de confianza + +### Unos cimientos coherentes gestionados según un enfoque industrial + +Nuestro enfoque se basa en bloques de construcción estandarizados, arquitecturas seguras y procesos formales, probados y altamente automatizados. El objetivo es hacer de la seguridad un motor de eficacia y de coherencia dentro del sistema de información. + +Para ello, hemos desarrollado herramientas, procesos y componentes listos para la producción que todos los equipos pueden utilizar con el fin de aplicar las buenas prácticas de seguridad. + +La seguridad no es la única ventaja de este enfoque estructurado, pero es esencial. Permite la "seguridad desde el diseño" y ayuda a mantener una seguridad coherente a lo largo del tiempo. Al integrar la seguridad desde el principio, evitamos tratarla como una reflexión posterior. + +Se realizan controles de seguridad formales en el marco de la gestión de los proyectos y los cambios. Estos controles garantizan que los principios de seguridad se respeten desde la fase de diseño hasta el conjunto del ciclo de vida de cada sistema o aplicación. + +Cada equipo es responsable de la seguridad de los sistemas que gestiona. Trabajamos permanentemente para equilibrar dos objetivos: + +- Hacer respetar las normas de seguridad comunes de OVHcloud + +- Dejar a los propietarios de sistemas la libertad de aplicar su experiencia técnica + +Este equilibrio es esencial para nuestro enfoque de seguridad. Trabajamos en estrecha colaboración con los equipos de negocio con el fin de garantizar que los principios de seguridad se apliquen de manera coherente en toda la empresa. + +### Acompañar a todos los tipos de clientes en su crecimiento en el cloud + +Los productos de OVHcloud se construyen a partir de tecnologías open source y de estándares tecnológicos establecidos. Esto facilita la adopción y la gestión de los sistemas de los clientes en el cloud. + +La seguridad es un elemento clave de nuestro proceso de desarrollo de productos. El equipo de seguridad participa en cada decisión que pueda afectar a la seguridad. Esto garantiza que la seguridad se tenga en cuenta desde el principio. + +Nuestro enfoque de la seguridad de los productos se basa en el riesgo. Tenemos en cuenta: + +- La magnitud y la rapidez del despliegue + +- La cultura de seguridad de nuestros clientes + +- Los casos de uso y las tecnologías propios de cada producto + +Esto nos permite adaptar nuestras medidas de seguridad a las necesidades de los diferentes grupos de clientes. + +La aplicación de las buenas prácticas de configuración y la gestión del conjunto del ciclo de vida de la seguridad son esenciales. Esto aporta valor a nuestros clientes y constituye una razón importante de su migración al cloud. Esta responsabilidad está plenamente integrada en el ciclo de vida del producto. + +Aunque la postura de seguridad puede variar de un producto a otro, gestionamos el conjunto de los eventos, incidentes, vulnerabilidades, amenazas e información relativa a la seguridad de manera unificada y coherente. + +### Acompañar a cada cliente en la gestión de sus propios riesgos específicos + +OVHcloud ofrece sus soluciones a una amplia variedad de clientes de numerosos sectores. Estos incluyen: + +- Las startups + +- Las pequeñas y medianas empresas (pymes) + +- Las grandes empresas + +- Las administraciones públicas + +- Las multinacionales + +Cada cliente tiene un enfoque diferente de la seguridad. Este depende de sus necesidades de negocio y de su contexto operativo, y OVHcloud lo tiene en cuenta. + +En el cloud computing, la seguridad es una responsabilidad compartida. OVHcloud y sus clientes tienen, cada uno, roles definidos. Los clientes son, en última instancia, responsables de la seguridad de sus sistemas de información en el cloud. Para evitar los riesgos relacionados con la confusión, explicamos claramente de qué es responsable cada parte. + +Para ayudar a los clientes a proteger sus sistemas, OVHcloud proporciona: + +- Un conjunto de herramientas y funcionalidades para mejorar la seguridad + +- Funcionalidades de seguridad estándar disponibles para todos los clientes + +- Funcionalidades opcionales para gestionar riesgos específicos + +Los clientes también tienen la libertad de añadir sus propias herramientas y soluciones de seguridad. Nuestra plataforma está diseñada para dar soporte a esta flexibilidad. + +Ofrecemos una amplia gama de servicios de seguridad integrados. Están disponibles en nuestro catálogo de soluciones y se complementan con tecnologías y servicios de nuestros partners. Nuestros productos también admiten soluciones de terceros y comunitarias. Esto permite a los clientes construir sus propias estrategias de seguridad y adaptarlas a sus necesidades específicas. + +## Gobernanza de la ciberseguridad + +La dirección de OVHcloud se compromete con la ciberseguridad a largo plazo. Esto se traduce en la definición de normas claras de gestión de riesgos. Incluye también la atribución de las responsabilidades, la puesta a disposición de los recursos necesarios y el seguimiento del rendimiento. + +El responsable de la seguridad de los sistemas de información (CISO) define e implementa la gobernanza de la ciberseguridad. Este trabajo es supervisado por el director de los sistemas de información (CIO), que actúa como patrocinador ejecutivo de este tema en el seno del Comité Ejecutivo. Esta gobernanza se revisa y actualiza cada año con el fin de mantenerse alineada con los objetivos estratégicos de OVHcloud y con su gestión de riesgos a escala de la empresa. + +La propiedad de los sistemas es un principio clave en la definición de las responsabilidades de seguridad en OVHcloud. Cada equipo es responsable de la seguridad de los sistemas que diseña y gestiona, apoyándose en tres principios fundamentales: + +- La responsabilidad de los equipos + +- La industrialización + +- La experiencia técnica profunda + +El equipo de seguridad mantiene relaciones estrechas con todos los equipos que operan sistemas. Esto contribuye a garantizar un enfoque coherente de la seguridad en todo OVHcloud. + +Esta gobernanza se aplica a todas las sociedades del grupo OVHcloud. También afecta a los empleados, los proveedores, los prestadores de servicios, los subcontratistas y los usuarios del sistema de información. + +Los servicios de OVHcloud se apoyan en un marco de ciberseguridad diseñado para: + +- Equilibrar la estrategia a largo plazo y la eficacia de las operaciones diarias + +- Mantener nuestros esfuerzos de seguridad enfocados + +- Garantizar una respuesta eficaz frente a las nuevas amenazas y vulnerabilidades + +El equipo de seguridad de OVHcloud opera un conjunto unificado y completo de controles de seguridad dentro de su sistema de gestión de la seguridad de la información, conocido internamente con el nombre de OneISMS. El programa OneISMS se articula en torno a tres grandes capas, todas ellas gestionadas por el equipo de seguridad: + +- **Capa de gestión de los requisitos** + Esta capa consolida y organiza el conjunto de los requisitos de seguridad procedentes de diversas fuentes. Los estandariza dentro de un marco coherente y define criterios de aplicabilidad claros. + +- **Capa de implementación** + Esta capa proporciona un enfoque formal de la gestión y la explotación de los controles de seguridad. Garantiza la alineación entre los controles y los objetivos de seguridad, gestiona la documentación de los controles y su seguimiento operativo, y coordina la gestión de riesgos dentro de un marco unificado. + +- **Capa de evaluación de la seguridad** + Esta capa gestiona tanto los mecanismos de control internos como externos. Se centra en la verificación del cumplimiento de los objetivos de seguridad y en la evaluación de la eficacia de los recursos asignados a la seguridad. Cubre también las auditorías de terceros, ya sea que se lleven a cabo con fines de certificación o a petición de los clientes. + +En conjunto, estas capas garantizan que OVHcloud mantenga una postura de seguridad coherente, eficaz y transparente en el conjunto de sus sistemas de información. + +**Indicadores clave de rendimiento:** + +- Tasa de productos cubiertos por OneISMS + +- Número de días-hombre dedicados a las evaluaciones de seguridad + +## Relaciones con los expertos en seguridad externos + +Nuestro equipo de seguridad y nuestros expertos técnicos mantienen relaciones de trabajo estrechas con las comunidades de seguridad externas, las autoridades públicas, los editores de software y los fabricantes de hardware. Estas colaboraciones nos ayudan a mantenernos informados sobre las amenazas y vulnerabilidades emergentes, y nos permiten actuar de forma temprana para reducir los riesgos asociados. + +Contribuimos activamente a la comunidad de la seguridad compartiendo nuestros conocimientos y nuestras innovaciones. También respaldamos las prácticas de divulgación responsable con el fin de fomentar una gestión abierta y ética de los descubrimientos de seguridad. + +Para reforzar aún más nuestra postura de seguridad, operamos un programa público de bug bounty. Este programa permite a investigadores en seguridad externos notificar vulnerabilidades, lo que nos ayuda a mejorar de forma continua la seguridad de nuestros sistemas. + +**Indicadores clave de rendimiento:** + +- Recompensas de bug bounty abonadas + +## Programa de cumplimiento + +El compromiso de OVHcloud con sus clientes y partners se define en el marco de una relación contractual formal. Este contrato precisa claramente nuestras obligaciones. + +Proporcionamos una matriz detallada y fácil de comprender de los roles y responsabilidades en materia de seguridad. Esto garantiza que todas las partes comprendan sus respectivos deberes. + +OVHcloud cumple el conjunto de las leyes y regulaciones aplicables en cada país donde operamos. También seguimos las regulaciones sectoriales, como las aplicables a los sistemas de información sanitarios y financieros. + +Nuestro sistema de gestión de la seguridad se apoya en estándares internacionales, entre ellos la norma **ISO/IEC 27001**. Esta norma subraya la importancia de los principios de seguridad. + +Evaluamos regularmente nuestras funcionalidades de seguridad mediante: + +- Auditorías independientes realizadas por terceros + +- Referenciales de auditoría reconocidos + +- Informes y certificados de cumplimiento compartidos con los clientes cuando resulta pertinente + +El equipo de seguridad de OVHcloud dirige un programa estructurado que comprende: + +- Revisiones internas y externas + +- Controles de seguridad + +- Auditorías periódicas + +Este programa nos ayuda a poner a prueba nuestra postura de seguridad y garantiza que seguimos respetando nuestros compromisos. + +Comparamos nuestras prácticas con los referenciales de cumplimiento de seguridad ampliamente utilizados. Un equipo dedicado se encarga de impulsar la mejora continua. Este equipo trabaja en estrecha colaboración con los propietarios de sistemas con el fin de: + +- Aplicar las mejoras + +- Elevar el nivel de seguridad global + +- Reducir los riesgos + +- Mantenerse alineados con nuestros compromisos de seguridad + +Más allá de nuestras obligaciones legales y contractuales, OVHcloud se implica activamente con su ecosistema. Este incluye a los clientes, los partners y los clientes potenciales. + +Priorizamos la claridad y la transparencia en todas nuestras comunicaciones. Nuestro objetivo es construir relaciones abiertas y honestas con nuestras partes interesadas. Proporcionamos información exacta y facilitada a su debido tiempo sobre nuestras prácticas de seguridad, para que las partes interesadas puedan comprender plenamente nuestra postura de seguridad y tomar decisiones informadas. + +**Indicadores clave de rendimiento:** + +- Número de días-hombre dedicados a las evaluaciones de seguridad + +## Seguridad desde el diseño + +Diseñamos y construimos nuestros sistemas de producción según los siguientes principios: + +- **Requisitos de nivel de producción** + Cada sistema está diseñado para soportar un tráfico elevado y para escalar rápidamente. + +- **Interfaces y pasarelas seguras** + Los sistemas están diseñados para estar expuestos a amenazas externas. La limitación de la exposición se trata como una capa de seguridad adicional. + +- **Tecnologías robustas y probadas** + Utilizamos tecnologías open source y propietarias que cumplen estrictos estándares de rendimiento y de resiliencia. + +- **Comportamiento determinista** + Los sistemas están configurados para un funcionamiento coherente y seguro. Desarrollamos una sólida experiencia gracias a una adopción progresiva, a pruebas detalladas y a un alto nivel de automatización. Esto incluye el uso de un modelo "as-code" y la gestión de cada sistema a lo largo de todo su ciclo de vida. + +- **Software desarrollado internamente** + El software a medida se desarrolla según procesos estrictos con el fin de responder a necesidades específicas, como un alto rendimiento o controles de seguridad avanzados. + +## Protección de datos + +OVHcloud aplica una regla estricta: los datos de los clientes nunca se utilizan con fines comerciales. + +Los empleados no conocen la naturaleza de los datos alojados por los clientes y no están autorizados a acceder a ellos. Sin embargo, durante operaciones técnicas en sistemas que almacenan datos de clientes, los empleados pueden encontrarse técnicamente en condiciones de acceder a ellos. Tal acceso está estrictamente prohibido. OVHcloud ha implementado sólidos controles de seguridad para detectar cualquier acceso no autorizado, garantizar la trazabilidad de las acciones y asegurar el respeto permanente de esta regla. + +Además de los datos de los clientes, OVHcloud gestiona datos internos, que pueden afectar a clientes, empleados, prestadores de servicios o partners. Cuando la ley lo permite, estos datos pueden compartirse con terceros. OVHcloud actúa como responsable del tratamiento de estos datos internos y aplica medidas de seguridad adecuadas en función del tipo de datos, de su sensibilidad y de la fase de su ciclo de vida, ya estén almacenados, en uso, en transmisión o eliminados. + +**Indicadores clave de rendimiento:** + +- Número de violaciones notificadas a las autoridades + +## Las personas + +El trabajo en equipo, la separación de tareas, la responsabilidad individual y la confianza progresiva son principios clave del modelo de seguridad de OVHcloud. Nuestros equipos son colectivamente responsables de la gestión de miles de entornos de clientes. La implicación activa de cada persona es necesaria para mantener una seguridad de extremo a extremo en el conjunto de los servicios. + +Todos los empleados de OVHcloud siguen un programa formal de concienciación y formación en ciberseguridad. Este proceso comienza incluso antes de la contratación, mediante verificaciones de antecedentes adaptadas a las responsabilidades del puesto. Estas verificaciones ayudan a identificar los riesgos potenciales, como la posibilidad de un comportamiento malintencionado o la exposición a presiones externas. + +Desde su primer día, los nuevos empleados se benefician de un itinerario de incorporación a la ciberseguridad. Esta presentación explica la importancia de la ciberseguridad en la prestación de nuestros servicios y hace hincapié en la manera en que la responsabilidad individual se aplica en toda la organización. Esta concienciación inicial se refuerza mediante una comunicación interna regular, que comparte los aprendizajes operativos y los retos actuales de ciberseguridad con el fin de mantener al conjunto del personal atento e implicado. Para los puestos sensibles, se imparten formaciones adicionales de manera regular. + +También ponemos a prueba la capacidad de nuestros equipos para reconocer los riesgos de ciberseguridad y responder a ellos. Se llevan a cabo ejercicios regulares y simulaciones de respuesta a incidentes con el fin de garantizar que los empleados estén bien preparados para gestionar eventos de seguridad reales, de forma rápida y eficaz. + +**Indicadores clave de rendimiento:** + +- Número de empleados formados en ciberseguridad + +- Resultados de las pruebas de phishing + +- Cumplimiento de los procedimientos de baja + +## Entorno de trabajo + +La mayoría de las actividades operativas en OVHcloud se realizan mediante servicios centralizados como la gestión de tickets, la documentación, el diseño de los sistemas, la automatización, la gestión del código, la construcción de software y la explotación de los servicios. Los empleados utilizan sus puestos de trabajo para acceder a estos servicios. + +Mantener un alto nivel de control sobre los puestos de trabajo es esencial para evitar que se conviertan en un punto de entrada para los ataques. Al mismo tiempo, los empleados de OVHcloud a menudo necesitan acceder a una amplia variedad de herramientas, a interacciones de sistema de bajo nivel y a una conectividad extensa hacia redes abiertas. Estas capacidades son importantes para la experimentación, el desarrollo y la resolución de problemas. + +Conciliar estas necesidades operativas con requisitos de seguridad estrictos constituye un reto permanente. + +Para responder a ello, implementamos: + +- Un control de acceso estricto a las redes, sistemas y aplicaciones internos. El acceso se basa en los roles de negocio y se gestiona a través de pasarelas o bastiones seguros con el fin de garantizar la trazabilidad + +- Una supervisión de las redes internas, de los accesos a los recursos externos, de las herramientas de comunicación y de las aplicaciones internas con el fin de detectar cualquier actividad inusual o no autorizada + +- Un control estricto de la configuración de los puestos de trabajo, que incluye el endurecimiento de los sistemas, la gestión automatizada de la configuración, la supresión de los derechos de administrador local, la supervisión centralizada con EDR y protección contra el software malicioso, así como herramientas de investigación de incidentes + +- Puestos de trabajo dedicados, dotados de configuraciones personalizadas, para los roles sensibles y los entornos críticos + +- Un control estricto del acceso a las aplicaciones a través de los dispositivos móviles + +**Indicadores clave de rendimiento:** + +- Número de alertas de seguridad relacionadas con comportamientos inapropiados + +- Número de comportamientos técnicos inapropiados + +## Gestión de identidades y accesos + +El sistema interno de gestión de identidades y accesos (IAM) de OVHcloud está diseñado para gestionar el conjunto del ciclo de vida de las identidades de los usuarios, desde su creación hasta su eliminación. + +Las solicitudes de acceso siguen un proceso estructurado, que incluye etapas formales de revisión y aprobación. El acceso solo se concede a las personas autorizadas, en función de las necesidades de negocio. Damos soporte a las cuentas individuales y a las cuentas de servicio, y mantenemos una separación estricta entre las cuentas de usuario estándar y las cuentas de administrador con el fin de reducir el riesgo de acceso no autorizado. + +Las credenciales de autenticación se gestionan a lo largo de todo su ciclo de vida: creación, actualizaciones y eliminación. Utilizamos diversos métodos de autenticación, en particular las contraseñas, los certificados digitales, los tokens físicos y la autenticación biométrica. También damos soporte a la autenticación única (SSO) para simplificar el acceso de los usuarios y utilizamos hosts bastión para proteger las acciones de administración. + +Para garantizar la responsabilidad individual, llevamos a cabo revisiones de acceso regulares y supervisamos el uso de las cuentas con el fin de verificar que los derechos de acceso estén alineados con las políticas y procedimientos internos. Nuestro sistema de control de acceso basado en roles (RBAC) define los niveles de acceso en función del rol del usuario, y mantenemos una amplia variedad de roles adaptados a los diferentes contextos operativos. + +El acceso a los servicios de red está protegido por mecanismos de autenticación seguros. Recomendamos encarecidamente el uso de la autenticación multifactor para añadir una capa de seguridad adicional. Nuestras políticas de contraseñas imponen requisitos de complejidad, y todas las contraseñas se almacenan de forma segura mediante cifrado. + +También supervisamos el estado de las credenciales pertenecientes a antiguos usuarios con el fin de garantizar que no subsista ningún acceso no autorizado tras su baja. En conjunto, nuestro sistema IAM aplica el principio del mínimo privilegio, concediendo el acceso únicamente a los usuarios que realmente lo necesitan. + +**Indicadores clave de rendimiento:** + +- Exactitud de los derechos de acceso + +- Tasa de aplicaciones que utilizan el SSO + +## Entrega continua segura + +En OVHcloud, nuestros equipos de desarrollo cuentan con más de un millar de desarrolladores que trabajan en múltiples pilas tecnológicas. Esta diversidad dificulta la aplicación de un proceso de desarrollo único y uniforme. + +Para solucionarlo, hemos definido un conjunto de arquetipos de desarrollo. Sirven de modelos de referencia para diferentes tipos de proyectos. También centralizamos el conjunto del código fuente en un repositorio compartido con el fin de garantizar un acceso coherente y permitir una colaboración eficaz entre los equipos. + +Nuestra cadena de herramientas de desarrollo da soporte a una amplia variedad de tecnologías y flujos de trabajo. Incluye un sistema de entrega continua que automatiza la construcción y las pruebas. Los desarrolladores también tienen acceso a entornos y laboratorios dedicados a las pruebas y a la validación. La firma de código se utiliza para garantizar la autenticidad y la integridad del software. + +Para dar soporte a un desarrollo seguro y eficaz, proporcionamos primitivas de bajo nivel como el registro de eventos, la gestión de secretos y la ejecución de contenedores. Nuestras API están diseñadas para ser RESTful y seguras, y están protegidas por reverse proxies que actúan como pasarelas seguras. + +El acceso a los sistemas y a los datos se gestiona mediante herramientas de gestión de identidades y accesos desarrolladas internamente. Estas herramientas ofrecen un alto nivel de control de acceso y de trazabilidad. También utilizamos herramientas de gestión de dependencias para garantizar que los componentes externos estén actualizados y libres de vulnerabilidades conocidas. + +Al ofrecer un marco flexible y escalable, OVHcloud es capaz de responder a las diversas necesidades de sus equipos de desarrollo manteniendo, al mismo tiempo, una postura de seguridad sólida. + +## Gestión segura del estado de los sistemas + +El endurecimiento es un elemento clave de la postura de seguridad de OVHcloud. Consiste en suprimir sistemáticamente las funcionalidades innecesarias, configurar los sistemas con parámetros seguros y aplicar los últimos parches de seguridad con el fin de reducir las vulnerabilidades. + +La gestión de la configuración criptográfica también es esencial. OVHcloud sigue las buenas prácticas del sector en materia de cifrado seguro, utilizando algoritmos y protocolos recomendados para proteger la confidencialidad y la integridad de los datos. + +Las configuraciones de los sistemas y de las aplicaciones se controlan estrechamente. Cualquier cambio se rastrea y gestiona cuidadosamente. El control del inventario se aplica de manera estricta. Todos los activos informáticos, incluidos el hardware, el software y los datos, se registran y supervisan con el fin de mantener la visibilidad y el control. + +La gestión de la exposición es otro componente importante de nuestro enfoque. OVHcloud identifica y trata regularmente los riesgos de seguridad mediante: + +- Evaluaciones de vulnerabilidades + +- Actividades de remediación + +- Mejora continua de las configuraciones de los sistemas + +Estos esfuerzos combinados garantizan que nuestra infraestructura siga siendo segura, esté bien gestionada y alineada con los estándares del sector. + +**Indicadores clave de rendimiento:** + +- Cobertura de la CMDB + +## Supervisión, detección y respuesta a incidentes + +Operamos un marco de análisis continuo de las amenazas directamente conectado a nuestros sistemas de supervisión. Esto nos permite ajustar nuestras prácticas operativas en tiempo real con el fin de tratar los riesgos actuales y responder de forma rápida y eficaz a los incidentes de seguridad. + +La estructura de nuestro equipo de seguridad permite la movilización rápida de expertos cuando es necesario. Esto garantiza que los incidentes se analicen y resuelvan de forma eficaz, con la implementación rápida y duradera de acciones correctivas con el fin de reducir los riesgos futuros. + +La supervisión operativa y el registro de los eventos son responsabilidad de cada propietario de sistema. Además, nuestro sistema de gestión de la información y los eventos de seguridad (SIEM) ofrece capacidades de supervisión en tiempo real, de correlación de eventos y de detección de amenazas. Recopilamos y analizamos los datos de registro pertinentes, así como información externa sobre las amenazas, con el fin de identificar los riesgos de seguridad potenciales. + +Nuestro proceso de gestión de incidentes incluye definiciones claras de los tipos de incidentes, los niveles de gravedad y los procedimientos de respuesta. Un proceso de escalado establecido garantiza que los incidentes sean atendidos por los equipos adecuados en cada etapa. + +Disponemos de un equipo dedicado de respuesta a emergencias informáticas (CERT) formado en la gestión de los incidentes de seguridad. El proceso de respuesta a incidentes cubre el análisis completo del incidente, la contención, la erradicación y la restauración. Se lleva a cabo una revisión posterior al incidente con el fin de capitalizar los aprendizajes obtenidos y mejorar los esfuerzos de respuesta futuros. + +También mantenemos un plan de comunicación claro con el fin de garantizar que las partes interesadas estén informadas y al corriente durante los incidentes de seguridad. Se llevan a cabo ejercicios y simulaciones regulares para poner a prueba y reforzar nuestras capacidades de respuesta a incidentes. + +**Indicadores clave de rendimiento:** + +- Cobertura del SIEM + +- Número de incidentes con impacto en los datos de los clientes + +- Número de incidentes con impacto en los estados financieros + +## Seguridad de los centros de datos + +Los centros de datos de OVHcloud están diseñados y operados como instalaciones de nivel industrial. Cada emplazamiento se planifica sobre la base de un análisis de riesgos que tiene en cuenta factores geográficos, técnicos y sociales. Estos factores influyen en la manera en que se gestiona y opera cada centro de datos. + +Todas las operaciones dentro de los centros de datos siguen procedimientos formales con el fin de minimizar los errores humanos y garantizar la trazabilidad y la responsabilidad. Cualquier cambio se trata mediante un proceso estructurado y coordinado de manera centralizada, lo que ayuda a anticipar los riesgos y a evaluar los impactos potenciales. + +Las operaciones corrientes también están sujetas a procedimientos estrictos y formales. Estos procedimientos se apoyan en herramientas de gestión de los centros de datos y en sistemas automatizados de recopilación de datos conectados a la infraestructura. Esto garantiza la coherencia operativa y reduce los riesgos, en particular durante la manipulación de soportes que contienen datos de clientes. + +El acceso a los centros de datos de OVHcloud es restringido y se basa en una identificación individual y en una necesidad de negocio estricta. El control de acceso se define mediante un modelo de zonificación, en el que cada zona dispone de reglas de acceso específicas en función de su criticidad y de su función de negocio. + +Para dar soporte a esta política de acceso, OVHcloud se apoya en: + +- Sistemas de videovigilancia avanzados + +- Sistemas de información dedicados a los centros de datos + +- Una coordinación y una supervisión centralizadas de las actividades de seguridad y de explotación + +Estos sistemas contribuyen a garantizar que las operaciones locales sean seguras y estén alineadas con el marco global de seguridad y de supervisión de OVHcloud. + +**Indicadores clave de rendimiento:** + +- Número de centros de datos auditados en los últimos 12 meses + +- Número de centros de datos no auditados en los últimos 36 meses diff --git a/docs/fr/guides/account-and-service-management/account-information/information-system-security-policy.mdx b/docs/fr/guides/account-and-service-management/account-information/information-system-security-policy.mdx index ce30731d5..a30a7bb07 100644 --- a/docs/fr/guides/account-and-service-management/account-information/information-system-security-policy.mdx +++ b/docs/fr/guides/account-and-service-management/account-information/information-system-security-policy.mdx @@ -1,147 +1,624 @@ --- -title: "Politique de sécurité du système d'information (PSSI)" -lastUpdated: 2023-09-29 +title: Politique de sécurité du système d'information d'OVHcloud +description: Découvrez comment OVHcloud structure sa Politique de sécurité du système d'information (PSSI), de la gouvernance de la cybersécurité et de la gestion des risques à la protection des données et à la sécurité des datacentres. +lastUpdated: 2026-05-27 --- -## Objectifs +## Objet de ce document -La Politique de Sécurité du Système d'Information (PSSI) fournit le cadre de référence en matière de cybersécurité pour OVHcloud. La PSSI définit les notions nécessaires pour comprendre l'approche d'OVHcloud en termes de sécurité et établit le lien entre le contexte des opérations et les moyens mis en œuvre pour assurer la sécurité. Elle précise : +Chez OVHcloud, nous utilisons un système de management global et détaillé pour la cybersécurité. Ce document explique comment ce système est structuré et comment il fonctionne. Il comprend les éléments suivants : -- Le contexte des opérations d'OVHcloud permettant de comprendre les principaux risques de sécurité d'OVHcloud. -- Les engagements en matière de sécurité vis-à-vis des parties intéressées d'OVHcloud et les principes de mise en œuvre et de maintien en condition de sécurité des systèmes d'information. -- La déclinaison de ces principes au sein d'OVHcloud. +- Un résumé de l'environnement d'exploitation d'OVHcloud. Cela permet d'identifier les principaux risques de cybersécurité, les enjeux clés et les défis à relever. -OVHcloud opère au sein d'un écosystème dynamique dans un contexte qui évolue continuellement. Les pratiques visant à assurer la sécurité doivent donc évoluer rapidement pour rester pertinentes. La PSSI est la marque d'un engagement dans la durée de la direction générale. Elle vise à définir les critères permettant l'évaluation des risques, les principes guidant l'établissement des mesures de sécurité à mettre en place et la gestion de la sécurité au sein d'OVHcloud. +- Nos engagements de sécurité envers les parties prenantes. Il décrit également les grands principes que nous suivons pour protéger et gérer nos systèmes d'information. -La PSSI est sous la responsabilité du CISO qui consulte le Comité Exécutif (ComEx) sur son contenu et l'adéquation aux objectifs stratégiques d'OVHcloud. Elle est revue annuellement. Elle se décline dans un ensemble de politiques de sécurité et de guides d'implémentation détaillés. Ces documents ont leurs cycles de vie propres, adaptés à leurs contenus. +- La structure que nous utilisons pour relier la stratégie, les opérations quotidiennes et les améliorations futures. Cela garantit que notre approche de la cybersécurité est à la fois cohérente et efficace. -La PSSI s'applique à toutes les sociétés du groupe, aux salariés, fournisseurs, prestataires, sous-traitants et utilisateurs du système d’information, quelles que soient leurs activités. +Ce document est désigné sous le nom de « Politique de sécurité du système d'information ». Il est revu et mis à jour chaque année, ainsi qu'en cas d'événements à fort impact. Il remplace un large ensemble de politiques de sécurité et de guides de mise en œuvre, qui sont gérés selon leurs propres cycles de vie. -## Contexte de mise en oeuvre de la PSSI +Ce texte est intentionnellement rédigé dans un langage simple afin d'en faciliter la compréhension par les non-experts. -### Qu'est ce que la sécurité de l'information ? +## Contexte de la gouvernance de la cybersécurité -La sécurité consiste à protéger la disponibilité, l'intégrité et la confidentialité d'un système. Au sein d'OVHcloud, gérer la sécurité consiste à définir, mettre en œuvre, opérer et améliorer tous les moyens humains, organisationnels, techniques et légaux permettant de protéger les services et systèmes d'information d'OVHcloud sur ces critères. Protéger la confidentialité des données en toutes circonstances est au cœur de la démarche sécurité d'OVHcloud. Assurer la disponibilité et l'intégrité des services et des données est la première mission d'OVHcloud et dépasse le cadre de la PSSI. Sur ces deux critères, la démarche sécurité se concentre sur les risques d'origine malveillante. +En tant qu'alternative majeure sur un marché bien établi, OVHcloud fait face à un défi complexe. Nos clients attendent de nos services cloud qu'ils respectent les standards du secteur. Dans le même temps, ils souhaitent bénéficier de nos atouts concurrentiels uniques. En matière de cybersécurité, nous cherchons à trouver le juste équilibre. Nous visons à respecter les standards du secteur tout en appliquant des stratégies d'atténuation des risques adaptées à notre modèle économique spécifique. -En accord avec les engagements sécurité d'OVHcloud, les critères de traçabilité et de respect de la vie privée sont également pris en compte de manière formelle dans notre démarche sécurité. +OVHcloud évolue dans un environnement en rapide mutation. Les menaces, les technologies et les attentes des clients évoluent en permanence. Nous devons donc rester flexibles et capables de nous adapter rapidement. -Les critères de sécurité couverts par la PSSI sont donc la disponibilité (A), l'intégrité (I), la confidentialité (C), la traçabilité (T) et le respect de la vie privée (P). Ces critères sont utilisés pour valoriser les besoins en sécurité des actifs protégés, et les impacts associés à un risque ou un incident de sécurité. +### Qu'est-ce que la sécurité de l'information ? -### Quels actifs protégeons nous ? +La sécurité consiste à protéger nos systèmes d'information et nos services contre les menaces potentielles. L'objectif est de garantir la confidentialité, l'intégrité et la disponibilité des données et des services cloud de nos clients. -#### Les infrastructures, les plateformes, les applications +En tant que fournisseur de services cloud, OVHcloud doit toujours veiller à ce que les systèmes restent disponibles et que les données restent protégées. Il s'agit d'une responsabilité fondamentale, partagée par chaque collaborateur d'OVHcloud. -OVHcloud opère une infrastructure mondiale. Cette infrastructure consiste en un ensemble de datacentres, d'équipements et de serveurs qui y sont hébergés ainsi qu'un réseau mondial d'interconnexion. OVHcloud opère également un système d'information supportant cette infrastructure. Ce système d'information supporte les opérations, porte l'automatisation et assure le travail collaboratif au sein d'OVHcloud. Il porte également les outils mis à disposition des clients pour l'administration de leurs services et la communication avec les équipes d'OVHcloud. +La gouvernance de la cybersécurité se concentre principalement sur les risques liés aux actions malveillantes. Elle assure également une coordination étroite avec toutes les équipes impliquées dans la fourniture des services. Cette coordination contribue à mettre en place une approche complète et cohérente de la gestion des risques. -OVHcloud propose des services d'infrastructure (IaaS), de plateforme (PaaS) et d'application (SaaS) ainsi que des services de télécommunication. Chacun de ces services s'appuie sur les infrastructures, le système d'information d'OVHcloud et éventuellement d'autres services fournis par OVHcloud ou des partenaires. +L'approche de sécurité d'OVHcloud comprend également des règles claires en matière de protection et de traçabilité des données. Ce point est particulièrement important lorsqu'il s'agit de la vie privée. Ces engagements sont formellement intégrés à nos politiques de sécurité. -#### Les informations +La Politique de sécurité du système d'information (PSSI) couvre les cinq critères de sécurité suivants : -Les données considérées comme les plus sensibles par OVHcloud sont les données appartenant aux clients. Concernant ces données hébergées dans le cadre des services, le client est responsable de traitement et OVHcloud est sous-traitant. De manière générale, les salariés d'OVHcloud ne connaissent pas le type de données hébergées et n'y accèdent pas. Le client, en tant que responsable de traitement, doit s'assurer de l'adéquation entre le niveau de service proposé et la sensibilité des données. OVHcloud, en tant que sous-traitant, agit sur instructions du client dans le cadre contractuel des services. +- Disponibilité (A) -OVHcloud protège également les données internes en support des opérations. Dans ce cadre, OVHcloud est le responsable de traitement. Ces données couvrent les données techniques et administratives nécessaires à la fourniture du service, à la relation commerciale et au respect des obligations légales. Les données internes d'OVHcloud utilisées pour la gestion et le développement de l'entreprise sont également couvertes. Ces données peuvent concerner directement ou indirectement les clients, les salariés, les prestataires et les partenaires d'OVHcloud. Elles peuvent éventuellement être transmises à des tiers dans le respect des réglementations en vigueur. En tant que responsable de traitement, OVHcloud définit les mesures de sécurité adaptées à chaque type de données pour chaque étape de leur cycle de vie, en adéquation avec leur sensibilité. +- Intégrité (I) -### A quelles menaces sommes-nous confrontés ? +- Confidentialité (C) -En tant qu'entreprise, OVHcloud est concernée par les attaques auxquelles toute entreprise est soumise : vol de données, vol de ressources, chantage, fraude, extorsion, logiciels malveillants, compromission des systèmes exposés, etc. Ces attaques, ciblées ou non, peuvent mettre en péril les données gérées par OVHcloud et impacter les opérations. +- Traçabilité (T) -En tant qu'acteur majeur du cloud, OVHcloud opère des infrastructures à l'échelle d'Internet. Ce positionnement expose OVHcloud à des menaces spécifiques dont les motivations peuvent être d'atteindre la réputation d'un acteur à forte visibilité dans un contexte concurrentiel dynamique, de challenger des technologies innovantes ou leur mise en œuvre spécifique par OVHcloud par intérêt technique ou d'atteindre des infrastructures larges et fortement connectés pour tenter d'utiliser à des fins malveillantes les ressources de puissance de calcul et de connectivité. +- Vie privée (P) -Enfin, en tant que fournisseurs d'infrastructures, de plateformes et de solutions, nous devons également anticiper les menaces ciblant nos clients ou des tiers : +Ces critères aident à définir les exigences de sécurité applicables aux actifs à protéger. Ils sont également utilisés pour évaluer l'impact d'un risque ou d'un incident de sécurité. -- Les attaques visant les données et traitements de nos clients via nos infrastructures, -- Les attaques exploitant une faiblesse dans l'isolation logique ou physique entre les environnements des différents clients liés à la mutualisation de ressources, -- L'utilisation des ressources mises à disposition par OVHcloud en tant que vecteur d'attaque sur des tiers. +### Quels actifs protégeons-nous ? -Les motivations et les chemins d'attaques pour cibler les infrastructures de nos clients sont aussi variés que les typologies des systèmes qu’ils opèrent. Elles ne peuvent être listées exhaustivement. Nous devons donc être préparés à toute éventualité d'attaque ciblant un de nos clients ou OVHcloud. +#### Infrastructures, plateformes, applications -Les menaces ciblant OVHcloud sont principalement d'origine externe. Cependant, nos équipes sont nombreuses, déployées à l'international et en croissance rapide. Outre la possibilité d'erreurs humaines dans les opérations, nous devons inclure le risque de malveillances internes dans notre démarche de gestion des risques. +OVHcloud exploite une infrastructure mondiale de haute qualité. Celle-ci comprend de multiples datacentres, du matériel et des serveurs. Ces composants sont reliés par un réseau haute performance. Ce réseau permet une communication sécurisée et fiable entre les services, ainsi qu'avec des réseaux publics ou privés. -### Qui est concerné par la sécurité ? +Cette infrastructure est essentielle à notre activité. Elle prend en charge l'ensemble des produits et services d'OVHcloud. -#### Les clients et les partenaires +Notre système d'information est également géré par OVHcloud. Il englobe les services destinés aux clients, les opérations internes, les outils d'automatisation et les plateformes collaboratives. Il inclut aussi les outils et interfaces que les clients utilisent pour gérer leurs services et communiquer avec les équipes d'OVHcloud. -Les clients et partenaires d'OVHcloud nous confient la responsabilité d'opérer au sein de nos datacentres des infrastructures, des plateformes et des logiciels. Du bon fonctionnement de ces services dépendent leurs systèmes d'information et de leurs activités numériques. Les clients d'OVHcloud opèrent eux-mêmes des services qu'ils proposent à des tiers au sein d'un écosystème riche et complexe. Les acteurs impliqués dans cette chaîne d'approvisionnement et les utilisateurs finaux attendent d'OVHcloud l'expertise et la maîtrise opérationnelle des services fournis. Notre engagement à assurer la sécurité des données et des traitements hébergés doit être entier et permanent. +Notre catalogue de services est vaste. Il comprend des services d'infrastructure (IaaS), de plateforme (PaaS), de logiciel (SaaS) et de télécommunications. Ces services reposent sur la solidité de notre infrastructure et de nos systèmes d'information. Ils sont également complétés par des services additionnels fournis soit par OVHcloud, soit par nos partenaires. -#### Les autorités et les régulateurs sectoriels +Cet ensemble intégré nous permet de proposer une gamme de services cohérente et évolutive. Il nous aide à répondre aux besoins changeants de nos clients. -Les autorités définissent le cadre assurant la protection des citoyens et des entreprises sous leurs juridictions. Cette protection s’étend aux données et traitements des citoyens et des entreprises. OVHcloud prend en compte ces exigences dans toutes les géographies où le service est opéré pour assurer un service adapté aux écosystèmes locaux. Les régulateurs sectoriels formulent également des exigences pour l'hébergement de certains types de données et de traitements, associés à des risques particuliers. OVHcloud peut proposer des services spécifiquement adaptés à ces exigences. Dans ce cas, OVHcloud s'engage sur la couverture des exigences sectorielles et des risques spécifiques au secteur. +#### Informations -#### Les employés, la direction d'OVHcloud et les actionnaires +OVHcloud considère les données des clients comme le type d'information le plus sensible et le plus critique. Ces données sont hébergées dans le cadre des services que nous fournissons. Dans ce cas, le client est le responsable du traitement et est responsable de l'utilisation qui en est faite. OVHcloud agit en tant que sous-traitant ultérieur. -Les salariés d'OVHcloud conçoivent, maintiennent et opèrent les systèmes et processus en support des services d'OVHcloud. Tout incident de sécurité a un impact négatif direct sur les opérations. Il peut également remettre en question la valeur du service, l'expertise et le professionnalisme des équipes. Opérer des systèmes d'information sécurisés permet de mettre en valeur les innovations, la passion, l'engagement des équipes et la qualité des services d'OVHcloud. +En tant que sous-traitant ultérieur, OVHcloud agit selon les instructions du client. Nous respectons les termes définis dans le contrat de service ainsi que les politiques et directives du client. -OVHcloud, en tant que fournisseur de cloud alternatif dans un environnement très compétitif, doit assurer une croissance forte pour soutenir l'innovation et le développement à l'international renforçant sa crédibilité. La confiance de nos clients, principal vecteur de cette croissance, est directement liée à la capacité d'OVHcloud à protéger leurs données et charges de traitements. La cybersécurité est donc un des piliers en support de la stratégie de développement portée par la direction et les actionnaires d'OVHcloud. +OVHcloud protège également ses propres données internes. Ces données sont nécessaires au soutien de nos opérations. Pour ce type de données, OVHcloud est le responsable du traitement. -## Nos engagements sécurité +Les données internes comprennent des informations techniques et administratives. Elles servent à fournir les services, à gérer les relations commerciales et à répondre aux exigences légales. -### Déployer une approche industrielle à grande échelle de la sécurité +### Qui sont les parties prenantes de la cybersécurité ? -Les équipes d'OVHcloud s'engagent à innover de manière permanente pour répondre aux besoins en constante évolution des clients en termes de technologie, de fonctionnalités et de performances. La sécurité est intégrée dans le cycle de vie du développement des produits. L'équipe de sécurité est constamment impliquée pour challenger et aider toutes les décisions susceptibles d'avoir un impact sur la sécurité. +#### Clients et partenaires -La sécurité d'OVHcloud repose sur la responsabilité de chaque employé en matière de sécurité des données. Nos développeurs et administrateurs sont choisis pour leur expertise technologique. L'équipe sécurité assure la cohérence des outils, des processus et des connaissances de sécurité avec la politique de sécurité d'OVHcloud. +OVHcloud joue un rôle clé dans l'exploitation et la gestion des infrastructures, des plateformes et des logiciels qui soutiennent les opérations numériques. -Nous mettons en œuvre et opérons des mesures de sécurité adaptées pour prévenir et réduire les risques de sécurité. Nous voulons que cette approche soit directe et transparente afin de renforcer la confiance de nos clients et partenaires. Nous concevons et exploitons un grand nombre de systèmes. Notre démarche s'appuie sur des mesures de sécurité normalisées, sur des architectures sécurisées dès leur conception et sur des processus formels, éprouvés, fortement automatisés. Ces mesures de sécurité sont issues de l'expérience d'OVHcloud, de nos engagements contractuels, des obligations légales et réglementaires et des bonnes pratiques métier reconnues. Elles nous permettent d’assurer la sécurité à l’échelle d'OVHcloud. +Ces services sont essentiels aux systèmes d'information et aux activités commerciales de nos clients. Nombre de nos clients fournissent eux-mêmes des services à des tiers, créant ainsi un environnement complexe et en constante évolution. -Une gestion formelle des risques de sécurité permet de prendre en compte les spécificités liées à chaque projet. Nous complétons ainsi nos mesures de sécurité normalisées avec des mesures spécifiques à ces projets. Les démarches de gestion des évènements, des incidents, des vulnérabilités, des menaces et de remontées d'information de sécurité demeurent normalisées au sein d'une approche unifiée. +En tant que fournisseur cloud de confiance, OVHcloud se doit de démontrer une solide expertise technique et une maîtrise de la façon dont ses services sont fournis. -Enfin, OVHcloud opère un dispositif d'analyse permanent des menaces lié à une surveillance permanente des systèmes. Ainsi, nous adaptons systématiquement les pratiques opérationnelles aux risques immédiats et réagissons efficacement aux incidents de sécurité. L'organisation des équipes sécurité permet de mobiliser au plus vite les experts pour investiguer et résoudre les incidents de sécurité. De cette manière, nous minimisons les impacts potentiels et mettons en place les actions correctives au plus vite de manière pérenne. +Nous devons garantir que nos services répondent à des standards élevés de fiabilité, de sécurité et de performance. Ces standards sont exigés à la fois par nos clients et par leurs propres utilisateurs finaux. -### Positionner OVHcloud comme un acteur de confiance au sein de l'écosystème +#### Autorités et régulateurs sectoriels -En tant que fournisseur mondial de cloud, OVHcloud a une grande responsabilité dans la lutte contre les menaces de sécurité. Nous déployons des outils de protection à grande échelle. Nous automatisons la protection des systèmes de nos clients contre ces menaces. Nous détectons les systèmes vulnérables. Nous partageons nos innovations et nos connaissances avec la communauté de la sécurité. Nous gérons plusieurs millions d'adresses IP publiques pour le compte de nos clients. Ces adresses sont des actifs essentiels des systèmes d'informations dans le cloud et leurs réputations est l'une de nos préoccupations. +Les autorités de régulation édictent des règles destinées à protéger les citoyens et les entreprises dans leurs régions. Ces règles comprennent des exigences relatives à la sécurisation des données et au contrôle de leur traitement. -L'équipe sécurité et les experts techniques d'OVHcloud entretiennent des relations opérationnelles solides avec les communautés d'experts en sécurité, les autorités, les éditeurs de logiciels et les fabricants de matériel. De cette manière, nous anticipons les nouvelles menaces et les nouvelles vulnérabilités. Ainsi, nous réduisons les risques associés. Nous partageons nos innovations et nos connaissances avec la communauté de la sécurité et nous promouvons la divulgation responsable. +OVHcloud respecte ces règles dans chaque région où nous opérons. Nous veillons à ce que nos services correspondent aux besoins et conditions spécifiques de chaque environnement local. -Nous challengeons continuellement notre sécurité. Nous mettons en œuvre un programme structuré de revues, de tests et de contrôles, tant internes qu'externes. Notre organisation de la gestion de la sécurité est basée sur des normes internationales reconnues, et en particulier l'ISO/IEC 27001 qui met en évidence ces principes. Nous évaluons nos dispositifs de sécurité régulièrement en nous appuyant sur des tiers de confiance et des référentiels d'audit reconnus. +En outre, certains régulateurs établissent des règles supplémentaires pour certains secteurs. Ces règles s'appliquent à des types de données et à des activités de traitement spécifiques qui présentent des risques plus élevés. -### Opérer un cloud de confiance pour tous +Pour répondre à ces besoins, OVHcloud propose des services conçus pour se conformer aux règles propres à chaque secteur. Nous nous engageons à respecter ces standards et à traiter les risques associés. -OVHcloud propose ses solutions à tout type de client dans tous les domaines d'activités : startup, PME, grande entreprise, administration, multinationale. Chaque client d'OVHcloud a une approche de la sécurité particulière dépendante de son contexte métier ou de ses besoins de souveraineté que nous devons prendre en compte. La sécurité est un des pilliers de la confiance de nos clients. +#### Collaborateurs, direction d'OVHcloud et actionnaires -La sécurité d'un système dans le cloud est une responsabilité partagée entre le fournisseur de cloud et le client. OVHcloud assure la sécurité des services fournis et des infrastructures sous-jacentes. Nos clients sont toutefois responsables de la sécurité de leurs systèmes d'information dans le cloud. Nous leur offrons un haut niveau de transparence sur les mesures de sécurité implémentées par OVHcloud pour les aider dans leur plan global de mitigation des risques sécurité. Nous définissons clairement leurs domaines de responsabilité afin d'éviter toute vulnérabilité découlant d'une prise de conscience insuffisante. +Les collaborateurs d'OVHcloud sont responsables de la conception, de la maintenance et de l'exploitation des systèmes et processus qui soutiennent nos services. -OVHcloud fournit et développe un ensemble d'outils, de fonctionnalités et de configurations afin d'améliorer la sécurité des systèmes des clients dans le cloud. La plupart des fonctions de sécurité sont incluses pour tous les clients. Des fonctions de sécurité supplémentaires sont également proposées pour aider nos clients à réduire les risques spécifiques auxquels ils sont confrontés. +Tout incident de sécurité peut causer un préjudice direct à nos opérations. Il peut également réduire la valeur de nos services et nuire à la réputation et au professionnalisme de nos équipes. -OVHcloud s'engage également sur la protection des données à caractère personnel, en tant que responsable de traitement pour les données relatives à nos clients et en tant que sous-traitant de données à caractère personnel dans le cas où nos clients sont eux-mêmes responsables de traitement. La politique de sécurité des systèmes d'information porte notamment cet engagement par la définition, la mise en œuvre et l'amélioration des dispositifs de sécurité assurant la protection des données à caractère personnel hébergées. +À l'inverse, l'exploitation de systèmes d'information sécurisés renforce la capacité d'innovation d'OVHcloud. Elle favorise aussi une culture du travail d'équipe et de l'engagement, qui conduit à une meilleure qualité de service. -Les produits conçus chez OVHcloud utilisent des technologies open source et/ou des standards technologiques éprouvés. L'adoption et la réversibilité du produit s’en trouvent facilitées. Ce choix stratégique garantit à nos clients le déploiement de systèmes standards dans le cloud. Ils peuvent ajouter leurs propres solutions de sécurité, tirer parti des compétences et des outils usuels de leurs équipes. Une large offre de solutions et de services de sécurité est disponible avec les partenaires OVHcloud ainsi que d'autres fournisseurs. +OVHcloud évolue sur un marché très concurrentiel. Pour réussir, nous devons croître rapidement afin de soutenir l'innovation et de nous développer à l'international. Dans le même temps, nous devons continuer à construire notre crédibilité. -### Comment OVHcloud s'engage ? +La confiance des clients est le principal moteur de cette croissance. Cette confiance dépend de notre capacité à protéger leurs données et leurs charges de travail. -L'engagement d'OVHcloud vis-à-vis des clients et partenaires est avant tout porté par la relation contractuelle qui le formalise et l'explicite. +C'est pourquoi la cybersécurité constitue un élément clé de la stratégie de croissance d'OVHcloud. Elle est pleinement soutenue par notre direction et nos actionnaires. -OVHcloud respecte les lois et réglementations applicables dans le cadre de la fourniture des services dans chaque pays. Aussi, OVHcloud s'engage contractuellement à respecter certaines réglementations sectorielles spécifiques, par exemple pour les systèmes d'information de santé ou financiers. +En faisant de la cybersécurité une priorité, nous pouvons préserver la confiance et la fidélité de nos clients. Cela est essentiel pour atteindre nos objectifs commerciaux et conserver notre position de fournisseur cloud de premier plan. -Au-delà des liens contractuels, OVHcloud s'engage auprès de son écosystème, ses clients et prospects en s’assurant de la clarté et de la transparence des messages en toutes circonstances. +#### Sous-traitants et externalisation -### Implémentation de la sécurité +OVHcloud collabore avec des sous-traitants pour gérer différents processus et projets. Ces sous-traitants peuvent avoir accès aux systèmes d'information et aux sites physiques d'OVHcloud. -1. Gouvernance de la sécurité -2. Modèle de sécurité -3. Fonctionnalité sécurité pour les clients -4. Protection des données -5. Conformité en sécurité -6. Gestion des risques de sécurité -7. Ecosystème de la sécurité -8. Sécurité pour les clients -9. Réputation technique à l'externe -10. Audit et contrôle -11. Gestion des actifs -12. Ressources humaines, sensibilisation et formation -13. Identification, authentification et gestion des accès -14. Utilisateur final du système d'information -15. Chaine d'approvisionnement et gestion des fournisseurs de service -16. Gestion de projet -17. Gestion des changements -18. Sécurité du continuous delivery (développements et environnements de développement). -19. Cryptographie -20. Configuration et durcissement -21. Sécurité réseau -22. Opérations et maintien en condition de sécurité -23. Journalisation, surveillance et détection -24. Gestion des vulnérabilités et des correctifs -25. Gestion des incidents de sécurité -26. Sécurité physique -27. Sécurité du matériel -28. Résilience +Par ailleurs, OVHcloud utilise des applications et des systèmes externes intégrés à son infrastructure principale. Ces systèmes externalisés soutiennent des parties essentielles des opérations d'OVHcloud. Ils constituent un élément important du dispositif de sécurité global de l'entreprise. + +OVHcloud étend ses mesures de sécurité afin de couvrir ces sous-traitants et systèmes externalisés. Comme ils sont essentiels à nos opérations, il est important qu'ils respectent les mêmes standards et règles de sécurité. + +## Risques et opportunités liés à la cybersécurité + +### Gestion des risques / Conformité + +Une gestion efficace des risques nécessite une méthode formelle pour choisir les meilleures mesures de sécurité dans chaque situation. Lorsqu'elle est correctement appliquée, cette méthode peut s'avérer efficace. Elle comporte toutefois aussi des difficultés. + +Une même mesure de sécurité peut réduire plusieurs risques à la fois. De même, chaque risque nécessite souvent plusieurs mesures pour être pleinement traité. + +Recourir à une évaluation détaillée et structurée pour chaque décision de sécurité peut s'avérer inefficace. Cela peut également engendrer une complexité inutile. + +Dans de nombreuses situations, une approche plus simple est plus pratique. OVHcloud utilise souvent une méthode fondée sur la conformité, en suivant un ensemble de règles de sécurité construites sur 25 ans d'expérience dans les services cloud. Cette méthode s'appuie également sur les standards internationaux, les réglementations sectorielles et les attentes des clients. L'équipe de sécurité supervise ce processus avec rigueur. + +Pour renforcer ces fondations, notre processus de gestion des risques de cybersécurité poursuit trois grands objectifs : + +- **Identifier et gérer les principaux cyber-risques** + Cela aide à expliquer nos stratégies d'atténuation des risques aux parties prenantes. Cela permet aussi de suivre l'évolution des niveaux de risque à l'échelle de l'entreprise et au sein de gammes de produits spécifiques. Cette approche offre une vue d'ensemble claire de nos principaux enjeux et démontre que nos priorités et nos actions sont appropriées. + +- **Soutenir les activités opérationnelles grâce à des évaluations fondées sur les risques** + L'équipe de sécurité fournit des outils, des méthodes et des indicateurs pour aider les équipes métier à prendre de meilleures décisions. Ces ressources aident les équipes à définir leurs priorités, à résoudre les problèmes quotidiens et à justifier tout écart par rapport aux standards établis. Cela rend les décisions de sécurité plus cohérentes, plus pertinentes et plus responsables. + +- **Guider les décisions complexes grâce à une analyse approfondie** + Face à des décisions plus difficiles, nous suivons un processus structuré pour identifier, évaluer et réduire les risques de sécurité. Cela améliore l'équité, la profondeur, la transparence et la cohérence des décisions prises pour des projets ou des situations commerciales spécifiques. + +### Contexte de risque + +#### En tant qu'opérateur d'infrastructure majeur + +En tant que fournisseur cloud de premier plan, OVHcloud est une entreprise très exposée. Nous exploitons une infrastructure mondiale à grande échelle et servons des millions de clients directs et indirects. + +En raison de cette visibilité, nos systèmes sont exposés à un large éventail de risques. Ces risques proviennent souvent d'acteurs de la menace avancés, notamment : + +- des groupes parrainés par des États + +- des agences de renseignement + +- des groupes cybercriminels organisés + +- des groupes activistes + +- leurs chaînes d'approvisionnement associées + +Ces acteurs de la menace poursuivent plusieurs objectifs clés : + +- Provoquer une perturbation à grande échelle affectant OVHcloud et l'ensemble de ses clients + +- Affaiblir une infrastructure cloud qui soutient une région économique ou politique particulière + +- Attaquer des clients de secteurs ou de zones géographiques spécifiques + +- Obtenir un accès durable en vue d'autres actions malveillantes, telles que des attaques sur la chaîne d'approvisionnement ou le vol de données + +- Tester leurs outils et techniques contre des systèmes robustes et modernes utilisant des technologies avancées + +#### En tant que fournisseur de services cloud + +En tant que fournisseur cloud hébergeant des millions de systèmes et de services, OVHcloud est exposé à de nombreux types d'attaques. Ces attaques visent souvent nos clients et obéissent à des motivations variées. + +Comme notre base de clients est très diversifiée, il est difficile d'identifier clairement les types d'attaquants ou leurs objectifs précis. Nous classons donc les menaces en fonction de la manière dont les attaques sont menées. Cela nous aide à ajuster notre approche de sécurité. + +Nous regroupons les principaux vecteurs d'attaque en trois catégories : + +- **Attaques directes sur les actifs cloud des clients.** Elles surviennent via l'exposition au réseau public. + +- **Utilisation d'un accès client légitime.** Dans ce cas, les attaquants tentent de contourner les mécanismes d'isolation et d'atteindre des systèmes appartenant à d'autres clients. + +- **Ciblage de l'infrastructure mutualisée d'OVHcloud.** Cela inclut des systèmes tels que les interfaces de gestion des clients ou les outils internes. L'objectif est souvent de se déplacer latéralement et d'accéder indirectement aux systèmes des clients. + +Les attaques peuvent provenir de plusieurs sources. Il peut s'agir de réseaux externes, d'un système client compromis ou d'un système souscrit auprès d'OVHcloud ou de l'un de nos partenaires. + +#### En tant qu'entreprise + +Comme toute organisation, OVHcloud est confronté à de nombreux types de cybermenaces. Celles-ci incluent les violations de données, l'usage abusif des ressources, les rançongiciels, l'hameçonnage et d'autres formes d'activité malveillante. + +De telles attaques peuvent compromettre la sécurité de nos systèmes et de nos données. Elles peuvent également perturber nos opérations ou être utilisées dans le cadre d'attaques plus complexes contre nos clients ou notre infrastructure. + +La plupart des menaces auxquelles OVHcloud est confronté proviennent de l'extérieur de l'entreprise. Cependant, la taille et la croissance rapide de nos équipes internationales créent aussi des risques internes. Ceux-ci incluent les erreurs humaines et les menaces internes. Pour cette raison, notre approche de la gestion des risques doit traiter les menaces internes. Cela s'ajoute à la gestion des menaces externes et des risques opérationnels habituels. + +### Principaux risques opérationnels + +Bien que notre stratégie d'atténuation des risques de sécurité suive principalement les bonnes pratiques du secteur, certains risques font l'objet d'une attention particulière dans notre processus de management de la sécurité. Ceux-ci incluent : + +- La compromission du poste de travail d'un collaborateur disposant d'un accès système de haut niveau + +- L'exploitation de vulnérabilités sur les plans de contrôle des produits ou sur des actifs d'infrastructure mutualisée + +- La fuite d'identifiants d'authentification, tels que mots de passe, jetons ou clés privées + +- L'utilisation de l'accès d'un fournisseur pour mener une attaque (attaque sur la chaîne d'approvisionnement) + +- L'exploitation de vulnérabilités connues sur des systèmes exposés à Internet + +- Des actions malveillantes menées à l'aide d'identifiants utilisateur valides (menace interne) + +- L'accès physique aux données par le biais d'opérations compromises dans un datacentre + +- L'exploitation de vulnérabilités inconnues (zero-day) dans les systèmes de production + +- Des attaques par déni de service (DoS) au niveau de l'infrastructure + +- Des attaques par déni de service (DoS) au niveau applicatif sur une interface d'administration + +- Une défaillance d'isolation des systèmes conduisant à un accès illégitime aux données des clients + +- L'exploitation d'une faiblesse des contrôles d'accès réseau ou applicatifs + +- L'abus d'un collaborateur ou d'un fournisseur par une attaque d'ingénierie sociale + +- La détection tardive d'événements de sécurité en raison de contrôles de sécurité défaillants + +- Un service ou une application hors de contrôle et non géré conformément aux politiques, conduisant à une exposition de données + +- L'abus de rôles concentrés pour contourner les règles de sécurité + +- Une erreur humaine ou une mauvaise configuration conduisant à une exposition involontaire de données + +- Une atteinte à la sécurité physique ou au contrôle d'accès dans nos datacentres + +### Impacts matériels liés à la cybersécurité + +#### Impacts négatifs (risques) + +Les événements et incidents de cybersécurité peuvent entraîner plusieurs conséquences négatives pour OVHcloud. Celles-ci incluent : + +- La perte de confiance des clients dans les services OVHcloud + +- La responsabilité financière au titre des impacts commerciaux subis par les clients + +- Le non-respect des obligations contractuelles + +- Des conséquences juridiques ou réglementaires résultant d'une violation de sécurité + +- Une atteinte à la réputation d'OVHcloud en tant que fournisseur fiable et de confiance + +- Une hausse des coûts opérationnels nécessaires pour gérer l'incident et rétablir le service normal + +- Des effets financiers indirects, tels qu'une baisse du chiffre d'affaires, une hausse des coûts d'assurance et une diminution de la valeur de marché + +#### Impacts positifs (opportunités) + +La mise en œuvre d'une approche de sécurité cohérente, pleinement alignée sur la stratégie, les opérations quotidiennes et le développement produit d'OVHcloud, apporte plusieurs bénéfices : + +- Une réduction du nombre d'incidents de sécurité + +- La capacité à répondre aux exigences de sécurité strictes des clients et à prouver notre conformité + +- Une valorisation accrue des produits et services proposés aux clients + +- Une confiance renforcée des clients dans le catalogue de services d'OVHcloud + +- Un impact opérationnel moindre des incidents de sécurité grâce à une détection plus rapide et à de meilleurs processus de réponse + +- Des effets financiers positifs, tels qu'une baisse des coûts de gestion des incidents, une hausse du chiffre d'affaires et une fidélité client renforcée + +## Les engagements de sécurité d'OVHcloud pour construire des services cloud de confiance + +### Des fondations cohérentes gérées selon une approche industrielle + +Notre approche repose sur des blocs de construction standardisés, des architectures sécurisées et des processus formels, éprouvés et fortement automatisés. L'objectif est de faire de la sécurité un moteur d'efficacité et de cohérence au sein du système d'information. + +Pour cela, nous avons développé des outils, des processus et des composants prêts pour la production que toutes les équipes peuvent utiliser afin d'appliquer les bonnes pratiques de sécurité. + +La sécurité n'est pas le seul bénéfice de cette approche structurée, mais elle est essentielle. Elle permet la « sécurité dès la conception » et aide à maintenir une sécurité cohérente dans la durée. En intégrant la sécurité dès le départ, nous évitons de la traiter comme une réflexion après coup. + +Des contrôles de sécurité formels sont réalisés dans le cadre de la gestion des projets et des changements. Ces contrôles garantissent que les principes de sécurité sont respectés depuis la phase de conception jusqu'à l'ensemble du cycle de vie de chaque système ou application. + +Chaque équipe est responsable de la sécurité des systèmes qu'elle gère. Nous travaillons en permanence à équilibrer deux objectifs : + +- Faire respecter les règles de sécurité communes d'OVHcloud + +- Laisser aux propriétaires de systèmes la liberté d'appliquer leur expertise technique + +Cet équilibre est essentiel à notre approche de sécurité. Nous travaillons en étroite collaboration avec les équipes métier afin de garantir que les principes de sécurité sont appliqués de manière cohérente dans toute l'entreprise. + +### Accompagner tous les types de clients dans leur croissance dans le cloud + +Les produits d'OVHcloud sont construits à partir de technologies open source et de standards technologiques établis. Cela facilite l'adoption et la gestion des systèmes des clients dans le cloud. + +La sécurité est un élément clé de notre processus de développement produit. L'équipe de sécurité est impliquée dans chaque décision susceptible d'affecter la sécurité. Cela garantit que la sécurité est prise en compte dès le départ. + +Notre approche de la sécurité des produits est fondée sur le risque. Nous prenons en compte : + +- L'ampleur et la rapidité du déploiement + +- La culture de sécurité de nos clients + +- Les cas d'usage et les technologies propres à chaque produit + +Cela nous permet d'adapter nos mesures de sécurité aux besoins des différents groupes de clients. + +L'application des bonnes pratiques de configuration et la gestion de l'ensemble du cycle de vie de la sécurité sont essentielles. Cela apporte de la valeur à nos clients et constitue une raison majeure de leur migration vers le cloud. Cette responsabilité est pleinement intégrée au cycle de vie du produit. + +Même si la posture de sécurité peut varier d'un produit à l'autre, nous gérons l'ensemble des événements, incidents, vulnérabilités, menaces et informations relatives à la sécurité de manière unifiée et cohérente. + +### Accompagner chaque client dans la gestion de ses propres risques spécifiques + +OVHcloud propose ses solutions à un large éventail de clients dans de nombreux secteurs. Ceux-ci incluent : + +- Les startups + +- Les petites et moyennes entreprises (PME) + +- Les grandes entreprises + +- Les administrations publiques + +- Les multinationales + +Chaque client a une approche différente de la sécurité. Celle-ci dépend de ses besoins métier et de son contexte opérationnel, et OVHcloud en tient compte. + +Dans le cloud computing, la sécurité est une responsabilité partagée. OVHcloud et ses clients ont chacun des rôles définis. Les clients sont, en dernier ressort, responsables de la sécurité de leurs systèmes d'information dans le cloud. Pour éviter les risques liés à la confusion, nous expliquons clairement ce dont chaque partie est responsable. + +Pour aider les clients à sécuriser leurs systèmes, OVHcloud fournit : + +- Un ensemble d'outils et de fonctionnalités pour améliorer la sécurité + +- Des fonctionnalités de sécurité standard disponibles pour tous les clients + +- Des fonctionnalités optionnelles pour gérer des risques spécifiques + +Les clients ont aussi la liberté d'ajouter leurs propres outils et solutions de sécurité. Notre plateforme est conçue pour prendre en charge cette flexibilité. + +Nous proposons une large gamme de services de sécurité intégrés. Ils sont disponibles dans notre catalogue de solutions et sont complétés par des technologies et services de nos partenaires. Nos produits prennent également en charge des solutions tierces et communautaires. Cela permet aux clients de bâtir leurs propres stratégies de sécurité et de les adapter à leurs besoins spécifiques. + +## Gouvernance de la cybersécurité + +La direction d'OVHcloud s'engage en faveur de la cybersécurité sur le long terme. Cela se traduit par la définition de règles claires de gestion des risques. Cela inclut également l'attribution des responsabilités, la mise à disposition des ressources nécessaires et le suivi des performances. + +Le Responsable de la sécurité des systèmes d'information (CISO) définit et met en œuvre la gouvernance de la cybersécurité. Ce travail est supervisé par le Directeur des systèmes d'information (CIO), qui agit comme sponsor exécutif sur ce sujet au sein du Comité exécutif. Cette gouvernance est revue et mise à jour chaque année afin de rester alignée sur les objectifs stratégiques d'OVHcloud et sur sa gestion des risques à l'échelle de l'entreprise. + +La propriété des systèmes est un principe clé dans la définition des responsabilités de sécurité chez OVHcloud. Chaque équipe est responsable de la sécurité des systèmes qu'elle conçoit et gère, en s'appuyant sur trois principes fondamentaux : + +- La responsabilité des équipes + +- L'industrialisation + +- L'expertise technique approfondie + +L'équipe de sécurité entretient des relations étroites avec toutes les équipes exploitant des systèmes. Cela contribue à garantir une approche cohérente de la sécurité dans tout OVHcloud. + +Cette gouvernance s'applique à toutes les sociétés du groupe OVHcloud. Elle concerne également les collaborateurs, les fournisseurs, les prestataires de services, les sous-traitants et les utilisateurs du système d'information. + +Les services d'OVHcloud reposent sur un cadre de cybersécurité conçu pour : + +- Équilibrer la stratégie à long terme et l'efficacité des opérations quotidiennes + +- Maintenir nos efforts de sécurité ciblés + +- Garantir une réponse efficace face aux nouvelles menaces et vulnérabilités + +L'équipe de sécurité d'OVHcloud exploite un ensemble unifié et complet de contrôles de sécurité au sein de son système de management de la sécurité de l'information, connu en interne sous le nom de OneISMS. Le programme OneISMS s'articule autour de trois grandes couches, toutes gérées par l'équipe de sécurité : + +- **Couche de gestion des exigences** + Cette couche consolide et organise l'ensemble des exigences de sécurité issues de diverses sources. Elle les standardise au sein d'un cadre cohérent et définit des critères d'applicabilité clairs. + +- **Couche de mise en œuvre** + Cette couche fournit une approche formelle de la gestion et de l'exploitation des contrôles de sécurité. Elle garantit l'alignement entre les contrôles et les objectifs de sécurité, gère la documentation des contrôles et leur suivi opérationnel, et coordonne la gestion des risques au sein d'un cadre unifié. + +- **Couche d'évaluation de la sécurité** + Cette couche gère à la fois les mécanismes de contrôle internes et externes. Elle se concentre sur la vérification de l'atteinte des objectifs de sécurité et sur l'évaluation de l'efficacité des ressources allouées à la sécurité. Elle couvre également les audits de tiers, qu'ils soient menés à des fins de certification ou à la demande des clients. + +Ensemble, ces couches garantissent qu'OVHcloud maintient une posture de sécurité cohérente, efficace et transparente sur l'ensemble de ses systèmes d'information. + +**Indicateurs clés de performance :** + +- Taux de produits couverts par OneISMS + +- Nombre de jours-homme consacrés aux évaluations de sécurité + +## Relations avec les experts en sécurité externes + +Notre équipe de sécurité et nos experts techniques entretiennent des relations de travail étroites avec les communautés de sécurité externes, les autorités publiques, les éditeurs de logiciels et les fabricants de matériel. Ces collaborations nous aident à rester informés des menaces et vulnérabilités émergentes, et nous permettent d'agir de manière précoce pour réduire les risques associés. + +Nous contribuons activement à la communauté de la sécurité en partageant nos connaissances et nos innovations. Nous soutenons également les pratiques de divulgation responsable afin d'encourager une gestion ouverte et éthique des découvertes de sécurité. + +Pour renforcer encore notre posture de sécurité, nous exploitons un programme public de bug bounty. Ce programme permet à des chercheurs en sécurité externes de signaler des vulnérabilités, ce qui nous aide à améliorer en continu la sécurité de nos systèmes. + +**Indicateurs clés de performance :** + +- Récompenses de bug bounty versées + +## Programme de conformité + +L'engagement d'OVHcloud envers ses clients et partenaires est défini dans le cadre d'une relation contractuelle formelle. Ce contrat précise clairement nos obligations. + +Nous fournissons une matrice détaillée et facile à comprendre des rôles et responsabilités en matière de sécurité. Cela garantit que toutes les parties comprennent leurs devoirs respectifs. + +OVHcloud se conforme à l'ensemble des lois et réglementations applicables dans chaque pays où nous opérons. Nous suivons également les réglementations sectorielles, telles que celles applicables aux systèmes d'information de santé et financiers. + +Notre système de management de la sécurité repose sur des standards internationaux, dont la norme **ISO/IEC 27001**. Cette norme souligne l'importance des principes de sécurité. + +Nous évaluons régulièrement nos fonctionnalités de sécurité au moyen de : + +- Audits indépendants réalisés par des tiers + +- Référentiels d'audit reconnus + +- Rapports et certificats de conformité partagés avec les clients lorsque cela est pertinent + +L'équipe de sécurité d'OVHcloud pilote un programme structuré comprenant : + +- Des revues internes et externes + +- Des contrôles de sécurité + +- Des audits réguliers + +Ce programme nous aide à tester notre posture de sécurité et garantit que nous continuons à respecter nos engagements. + +Nous comparons nos pratiques aux référentiels de conformité de sécurité largement utilisés. Une équipe dédiée est chargée de piloter l'amélioration continue. Cette équipe travaille en étroite collaboration avec les propriétaires de systèmes afin de : + +- Appliquer les améliorations + +- Élever le niveau de sécurité global + +- Réduire les risques + +- Rester alignés sur nos engagements de sécurité + +Au-delà de nos obligations légales et contractuelles, OVHcloud s'investit activement auprès de son écosystème. Celui-ci inclut les clients, les partenaires et les prospects. + +Nous privilégions la clarté et la transparence dans toutes nos communications. Notre objectif est de construire des relations ouvertes et honnêtes avec nos parties prenantes. Nous fournissons des informations exactes et communiquées en temps utile sur nos pratiques de sécurité, afin que les parties prenantes puissent pleinement comprendre notre posture de sécurité et prendre des décisions éclairées. + +**Indicateurs clés de performance :** + +- Nombre de jours-homme consacrés aux évaluations de sécurité + +## Sécurité dès la conception + +Nous concevons et construisons nos systèmes de production selon les principes suivants : + +- **Exigences de niveau production** + Chaque système est conçu pour supporter un trafic élevé et pour monter en charge rapidement. + +- **Interfaces et passerelles sécurisées** + Les systèmes sont conçus pour être exposés à des menaces externes. La limitation de l'exposition est traitée comme une couche de sécurité supplémentaire. + +- **Technologies robustes et éprouvées** + Nous utilisons des technologies open source et propriétaires qui répondent à des standards stricts de performance et de résilience. + +- **Comportement déterministe** + Les systèmes sont configurés pour un fonctionnement cohérent et sécurisé. Nous développons une solide expertise grâce à une adoption progressive, à des tests détaillés et à un haut niveau d'automatisation. Cela inclut l'utilisation d'un modèle « as-code » et la gestion de chaque système tout au long de son cycle de vie. + +- **Logiciels développés en interne** + Les logiciels sur mesure sont développés selon des processus stricts afin de répondre à des besoins spécifiques, tels qu'une haute performance ou des contrôles de sécurité avancés. + +## Protection des données + +OVHcloud applique une règle stricte : les données des clients ne sont jamais utilisées à des fins commerciales. + +Les collaborateurs ne connaissent pas la nature des données hébergées par les clients et ne sont pas autorisés à y accéder. Cependant, lors d'opérations techniques sur des systèmes qui stockent des données clients, les collaborateurs peuvent techniquement se trouver en mesure d'y accéder. Un tel accès est strictement interdit. OVHcloud a mis en place de solides contrôles de sécurité pour détecter tout accès non autorisé, garantir la traçabilité des actions et assurer le respect permanent de cette règle. + +Outre les données des clients, OVHcloud gère des données internes, qui peuvent concerner des clients, des collaborateurs, des prestataires de services ou des partenaires. Lorsque la loi le permet, ces données peuvent être partagées avec des tiers. OVHcloud agit en tant que responsable du traitement pour ces données internes et applique des mesures de sécurité appropriées en fonction du type de données, de leur sensibilité et de la phase de leur cycle de vie, qu'elles soient stockées, utilisées, transmises ou supprimées. + +**Indicateurs clés de performance :** + +- Nombre de violations signalées aux autorités + +## Les personnes + +Le travail d'équipe, la séparation des tâches, la responsabilité individuelle et la confiance progressive sont des principes clés du modèle de sécurité d'OVHcloud. Nos équipes sont collectivement responsables de la gestion de milliers d'environnements clients. L'implication active de chacun est nécessaire pour maintenir une sécurité de bout en bout sur l'ensemble des services. + +Tous les collaborateurs d'OVHcloud suivent un programme formel de sensibilisation et de formation à la cybersécurité. Ce processus commence même avant l'embauche, par des vérifications d'antécédents adaptées aux responsabilités du poste. Ces vérifications aident à identifier les risques potentiels, comme la possibilité d'un comportement malveillant ou l'exposition à des pressions extérieures. + +Dès leur premier jour, les nouveaux collaborateurs bénéficient d'un parcours d'intégration à la cybersécurité. Cette présentation explique l'importance de la cybersécurité dans la fourniture de nos services et met l'accent sur la manière dont la responsabilité individuelle s'applique dans toute l'organisation. Cette sensibilisation initiale est renforcée par une communication interne régulière, qui partage les retours d'expérience opérationnels et les enjeux actuels de cybersécurité afin de maintenir l'ensemble du personnel attentif et impliqué. Pour les postes sensibles, des formations supplémentaires sont dispensées de manière régulière. + +Nous testons également la capacité de nos équipes à reconnaître les risques de cybersécurité et à y répondre. Des exercices réguliers et des simulations de réponse à incident sont menés afin de garantir que les collaborateurs sont bien préparés à gérer des événements de sécurité réels, rapidement et efficacement. + +**Indicateurs clés de performance :** + +- Nombre de collaborateurs formés à la cybersécurité + +- Résultats des tests d'hameçonnage + +- Respect des procédures de départ + +## Environnement de travail + +La plupart des activités opérationnelles chez OVHcloud sont réalisées à l'aide de services centralisés tels que la gestion des tickets, la documentation, la conception des systèmes, l'automatisation, la gestion du code, la construction logicielle et l'exploitation des services. Les collaborateurs utilisent leurs postes de travail pour accéder à ces services. + +Maintenir un haut niveau de contrôle sur les postes de travail est essentiel pour éviter qu'ils ne deviennent un point d'entrée pour des attaques. Dans le même temps, les collaborateurs d'OVHcloud ont souvent besoin d'accéder à un large éventail d'outils, d'interactions système de bas niveau et d'une connectivité étendue vers des réseaux ouverts. Ces capacités sont importantes pour l'expérimentation, le développement et le dépannage. + +Concilier ces besoins opérationnels avec des exigences de sécurité strictes constitue un défi permanent. + +Pour y répondre, nous mettons en œuvre : + +- Un contrôle d'accès strict aux réseaux, systèmes et applications internes. L'accès est fondé sur les rôles métier et géré via des passerelles ou des bastions sécurisés afin de garantir la traçabilité + +- Une surveillance des réseaux internes, des accès aux ressources externes, des outils de communication et des applications internes afin de détecter toute activité inhabituelle ou non autorisée + +- Un contrôle strict de la configuration des postes de travail, comprenant le durcissement des systèmes, la gestion automatisée de la configuration, la suppression des droits d'administrateur local, la surveillance centralisée avec EDR et protection contre les logiciels malveillants, ainsi que des outils d'investigation des incidents + +- Des postes de travail dédiés, dotés de configurations personnalisées, pour les rôles sensibles et les environnements critiques + +- Un contrôle strict de l'accès aux applications via les appareils mobiles + +**Indicateurs clés de performance :** + +- Nombre d'alertes de sécurité liées à des comportements inappropriés + +- Nombre de comportements techniques inappropriés + +## Gestion des identités et des accès + +Le système interne de gestion des identités et des accès (IAM) d'OVHcloud est conçu pour gérer l'ensemble du cycle de vie des identités des utilisateurs, de leur création à leur suppression. + +Les demandes d'accès suivent un processus structuré, comprenant des étapes formelles de revue et d'approbation. L'accès n'est accordé qu'aux personnes autorisées, en fonction des besoins métier. Nous prenons en charge les comptes individuels et les comptes de service, et maintenons une séparation stricte entre les comptes utilisateur standard et les comptes administrateur afin de réduire le risque d'accès non autorisé. + +Les identifiants d'authentification sont gérés tout au long de leur cycle de vie : création, mises à jour et suppression. Nous utilisons diverses méthodes d'authentification, notamment les mots de passe, les certificats numériques, les jetons physiques et l'authentification biométrique. Nous prenons également en charge l'authentification unique (SSO) pour simplifier l'accès des utilisateurs et utilisons des hôtes bastion pour sécuriser les actions d'administration. + +Pour garantir la responsabilité individuelle, nous menons des revues d'accès régulières et surveillons l'utilisation des comptes afin de vérifier que les droits d'accès sont alignés sur les politiques et procédures internes. Notre système de contrôle d'accès basé sur les rôles (RBAC) définit les niveaux d'accès en fonction du rôle de l'utilisateur, et nous maintenons un large éventail de rôles adaptés aux différents contextes opérationnels. + +L'accès aux services réseau est protégé par des mécanismes d'authentification sécurisés. Nous recommandons vivement l'utilisation de l'authentification multifacteur pour ajouter une couche de sécurité supplémentaire. Nos politiques de mots de passe imposent des exigences de complexité, et tous les mots de passe sont stockés de manière sécurisée par chiffrement. + +Nous surveillons également l'état des identifiants appartenant aux anciens utilisateurs afin de garantir qu'aucun accès non autorisé ne subsiste après leur départ. Globalement, notre système IAM applique le principe du moindre privilège, en n'accordant l'accès qu'aux utilisateurs qui en ont réellement besoin. + +**Indicateurs clés de performance :** + +- Exactitude des droits d'accès + +- Taux d'applications utilisant le SSO + +## Livraison continue sécurisée + +Chez OVHcloud, nos équipes de développement comptent plus d'un millier de développeurs travaillant sur de multiples piles technologiques. Cette diversité rend difficile l'application d'un processus de développement unique et uniforme. + +Pour y remédier, nous avons défini un ensemble d'archétypes de développement. Ils servent de modèles de référence pour différents types de projets. Nous centralisons également l'ensemble du code source dans un dépôt partagé afin de garantir un accès cohérent et de permettre une collaboration efficace entre les équipes. + +Notre chaîne d'outils de développement prend en charge un large éventail de technologies et de flux de travail. Elle inclut un système de livraison continue qui automatise la construction et les tests. Les développeurs ont également accès à des environnements et des laboratoires dédiés aux tests et à la validation. La signature de code est utilisée pour garantir l'authenticité et l'intégrité des logiciels. + +Pour soutenir un développement sécurisé et efficace, nous fournissons des primitives de bas niveau telles que la journalisation, la gestion des secrets et l'exécution de conteneurs. Nos API sont conçues pour être RESTful et sécurisées, et sont protégées par des reverse proxies qui font office de passerelles sécurisées. + +L'accès aux systèmes et aux données est géré au moyen d'outils de gestion des identités et des accès développés en interne. Ces outils offrent un haut niveau de contrôle d'accès et de traçabilité. Nous utilisons également des outils de gestion des dépendances pour garantir que les composants externes sont à jour et exempts de vulnérabilités connues. + +En proposant un cadre flexible et évolutif, OVHcloud est en mesure de répondre aux besoins variés de ses équipes de développement tout en maintenant une posture de sécurité solide. + +## Gestion sécurisée de l'état des systèmes + +Le durcissement est un élément clé de la posture de sécurité d'OVHcloud. Il consiste à supprimer systématiquement les fonctionnalités inutiles, à configurer les systèmes avec des paramètres sécurisés et à appliquer les derniers correctifs de sécurité afin de réduire les vulnérabilités. + +La gestion de la configuration cryptographique est également essentielle. OVHcloud suit les bonnes pratiques du secteur en matière de chiffrement sécurisé, en utilisant des algorithmes et des protocoles recommandés pour protéger la confidentialité et l'intégrité des données. + +Les configurations des systèmes et des applications sont étroitement contrôlées. Tout changement est soigneusement suivi et géré. Le contrôle de l'inventaire est appliqué de manière stricte. Tous les actifs informatiques, y compris le matériel, les logiciels et les données, sont enregistrés et surveillés afin de maintenir la visibilité et le contrôle. + +La gestion de l'exposition est un autre composant important de notre approche. OVHcloud identifie et traite régulièrement les risques de sécurité au moyen de : + +- Évaluations de vulnérabilités + +- Activités de remédiation + +- Amélioration continue des configurations des systèmes + +Ces efforts combinés garantissent que notre infrastructure reste sécurisée, bien gérée et alignée sur les standards du secteur. + +**Indicateurs clés de performance :** + +- Couverture de la CMDB + +## Surveillance, détection et réponse aux incidents + +Nous exploitons un cadre d'analyse continue des menaces directement connecté à nos systèmes de surveillance. Cela nous permet d'ajuster nos pratiques opérationnelles en temps réel afin de traiter les risques actuels et de répondre rapidement et efficacement aux incidents de sécurité. + +La structure de notre équipe de sécurité permet la mobilisation rapide d'experts en cas de besoin. Cela garantit que les incidents sont analysés et résolus efficacement, avec la mise en œuvre rapide et durable d'actions correctives afin de réduire les risques futurs. + +La surveillance opérationnelle et la journalisation des événements relèvent de la responsabilité de chaque propriétaire de système. En outre, notre système de gestion des informations et des événements de sécurité (SIEM) offre des capacités de surveillance en temps réel, de corrélation d'événements et de détection des menaces. Nous collectons et analysons les données de journalisation pertinentes, ainsi que des renseignements externes sur les menaces, afin d'identifier les risques de sécurité potentiels. + +Notre processus de gestion des incidents comprend des définitions claires des types d'incidents, des niveaux de gravité et des procédures de réponse. Un processus d'escalade établi garantit que les incidents sont pris en charge par les équipes appropriées à chaque étape. + +Nous disposons d'une équipe dédiée de réponse aux urgences informatiques (CERT) formée à la gestion des incidents de sécurité. Le processus de réponse aux incidents couvre l'analyse complète de l'incident, le confinement, l'éradication et la restauration. Une revue post-incident est menée afin de capitaliser sur les enseignements tirés et d'améliorer les efforts de réponse futurs. + +Nous maintenons également un plan de communication clair afin de garantir que les parties prenantes sont informées et tenues au courant pendant les incidents de sécurité. Des exercices et des simulations réguliers sont menés pour tester et renforcer nos capacités de réponse aux incidents. + +**Indicateurs clés de performance :** + +- Couverture du SIEM + +- Nombre d'incidents ayant un impact sur les données des clients + +- Nombre d'incidents ayant un impact sur les états financiers + +## Sécurité des datacentres + +Les datacentres d'OVHcloud sont conçus et exploités comme des installations de niveau industriel. Chaque site est planifié sur la base d'une analyse de risques qui prend en compte des facteurs géographiques, techniques et sociétaux. Ces facteurs influencent la manière dont chaque datacentre est géré et exploité. + +Toutes les opérations au sein des datacentres suivent des procédures formelles afin de minimiser les erreurs humaines et de garantir la traçabilité et la responsabilité. Tout changement est traité au moyen d'un processus structuré et coordonné de manière centralisée, ce qui aide à anticiper les risques et à évaluer les impacts potentiels. + +Les opérations courantes sont également soumises à des procédures strictes et formelles. Ces procédures s'appuient sur des outils de gestion des datacentres et des systèmes automatisés de collecte de données connectés à l'infrastructure. Cela garantit la cohérence opérationnelle et réduit les risques, en particulier lors de la manipulation de supports contenant des données clients. + +L'accès aux datacentres d'OVHcloud est restreint et fondé sur une identification individuelle et un besoin métier strict. Le contrôle d'accès est défini par un modèle de zonage, dans lequel chaque zone dispose de règles d'accès spécifiques en fonction de sa criticité et de sa fonction métier. + +Pour soutenir cette politique d'accès, OVHcloud s'appuie sur : + +- Des systèmes de vidéosurveillance avancés + +- Des systèmes d'information dédiés aux datacentres + +- Une coordination et une surveillance centralisées des activités de sécurité et d'exploitation + +Ces systèmes contribuent à garantir que les opérations locales sont sécurisées et alignées sur le cadre global de sécurité et de surveillance d'OVHcloud. + +**Indicateurs clés de performance :** + +- Nombre de datacentres audités au cours des 12 derniers mois + +- Nombre de datacentres non audités au cours des 36 derniers mois diff --git a/docs/it/guides/account-and-service-management/account-information/information-system-security-policy.mdx b/docs/it/guides/account-and-service-management/account-information/information-system-security-policy.mdx deleted file mode 120000 index 7bf7d26ba..000000000 --- a/docs/it/guides/account-and-service-management/account-information/information-system-security-policy.mdx +++ /dev/null @@ -1 +0,0 @@ -../../../../en/guides/account-and-service-management/account-information/information-system-security-policy.mdx \ No newline at end of file diff --git a/docs/it/guides/account-and-service-management/account-information/information-system-security-policy.mdx b/docs/it/guides/account-and-service-management/account-information/information-system-security-policy.mdx new file mode 100644 index 000000000..8dae61d97 --- /dev/null +++ b/docs/it/guides/account-and-service-management/account-information/information-system-security-policy.mdx @@ -0,0 +1,624 @@ +--- +title: Politica di sicurezza del sistema informativo di OVHcloud +description: Scopri come OVHcloud struttura la propria Politica di sicurezza del sistema informativo (PSSI), dalla governance della cybersecurity e dalla gestione dei rischi fino alla protezione dei dati e alla sicurezza dei datacenter. +lastUpdated: 2026-05-27 +--- + +## Oggetto del presente documento + +In OVHcloud utilizziamo un sistema di gestione globale e dettagliato per la cybersecurity. Questo documento illustra come tale sistema è strutturato e come funziona. Comprende i seguenti elementi: + +- Una sintesi dell'ambiente operativo di OVHcloud. Ciò consente di individuare i principali rischi di cybersecurity, le questioni chiave e le sfide da affrontare. + +- I nostri impegni di sicurezza nei confronti delle parti interessate. Descrive inoltre i grandi principi che seguiamo per proteggere e gestire i nostri sistemi informativi. + +- La struttura che utilizziamo per collegare la strategia, le operazioni quotidiane e i miglioramenti futuri. Ciò garantisce che il nostro approccio alla cybersecurity sia al tempo stesso coerente ed efficace. + +Questo documento è denominato "Politica di sicurezza del sistema informativo". Viene rivisto e aggiornato ogni anno, nonché in caso di eventi ad alto impatto. Sostituisce un ampio insieme di politiche di sicurezza e di guide di attuazione, che sono gestite secondo i propri cicli di vita. + +Questo testo è volutamente redatto in un linguaggio semplice, al fine di facilitarne la comprensione da parte dei non esperti. + +## Contesto della governance della cybersecurity + +In quanto alternativa di rilievo in un mercato consolidato, OVHcloud affronta una sfida complessa. I nostri clienti si aspettano che i nostri servizi cloud rispettino gli standard del settore. Allo stesso tempo, desiderano beneficiare dei nostri punti di forza competitivi unici. In materia di cybersecurity, cerchiamo di trovare il giusto equilibrio. Puntiamo a rispettare gli standard del settore, applicando al contempo strategie di mitigazione dei rischi adatte al nostro specifico modello di business. + +OVHcloud opera in un ambiente in rapida evoluzione. Le minacce, le tecnologie e le aspettative dei clienti cambiano continuamente. Dobbiamo quindi rimanere flessibili e capaci di adattarci rapidamente. + +### Che cos'è la sicurezza delle informazioni? + +La sicurezza consiste nel proteggere i nostri sistemi informativi e i nostri servizi dalle potenziali minacce. L'obiettivo è garantire la riservatezza, l'integrità e la disponibilità dei dati e dei servizi cloud dei nostri clienti. + +In quanto fornitore di servizi cloud, OVHcloud deve sempre assicurare che i sistemi restino disponibili e che i dati restino protetti. Si tratta di una responsabilità fondamentale, condivisa da ogni collaboratore di OVHcloud. + +La governance della cybersecurity si concentra principalmente sui rischi legati alle azioni malevole. Garantisce inoltre uno stretto coordinamento con tutti i team coinvolti nell'erogazione dei servizi. Questo coordinamento contribuisce a mettere in atto un approccio completo e coerente alla gestione dei rischi. + +L'approccio di OVHcloud alla sicurezza comprende anche regole chiare in materia di protezione e tracciabilità dei dati. Questo aspetto è particolarmente importante quando si tratta della vita privata. Tali impegni sono formalmente integrati nelle nostre politiche di sicurezza. + +La Politica di sicurezza del sistema informativo (PSSI) copre i seguenti cinque criteri di sicurezza: + +- Disponibilità (A) + +- Integrità (I) + +- Riservatezza (C) + +- Tracciabilità (T) + +- Privacy (P) + +Questi criteri aiutano a definire i requisiti di sicurezza applicabili agli asset da proteggere. Sono inoltre utilizzati per valutare l'impatto di un rischio o di un incidente di sicurezza. + +### Quali asset proteggiamo? + +#### Infrastrutture, piattaforme, applicazioni + +OVHcloud gestisce un'infrastruttura mondiale di alta qualità. Questa comprende molteplici datacenter, hardware e server. Questi componenti sono collegati da una rete ad alte prestazioni. Tale rete consente una comunicazione sicura e affidabile tra i servizi, nonché con reti pubbliche o private. + +Questa infrastruttura è essenziale per la nostra attività. Supporta l'insieme dei prodotti e dei servizi di OVHcloud. + +Anche il nostro sistema informativo è gestito da OVHcloud. Comprende i servizi destinati ai clienti, le operazioni interne, gli strumenti di automazione e le piattaforme collaborative. Include inoltre gli strumenti e le interfacce che i clienti utilizzano per gestire i propri servizi e comunicare con i team di OVHcloud. + +Il nostro catalogo di servizi è ampio. Comprende servizi di infrastruttura (IaaS), di piattaforma (PaaS), di software (SaaS) e di telecomunicazioni. Questi servizi si basano sulla solidità della nostra infrastruttura e dei nostri sistemi informativi. Sono inoltre completati da servizi aggiuntivi forniti da OVHcloud o dai nostri partner. + +Questo insieme integrato ci consente di proporre una gamma di servizi coerente ed evolutiva. Ci aiuta a rispondere alle esigenze mutevoli dei nostri clienti. + +#### Informazioni + +OVHcloud considera i dati dei clienti come il tipo di informazione più sensibile e più critico. Questi dati sono ospitati nell'ambito dei servizi che forniamo. In questo caso, il cliente è il titolare del trattamento ed è responsabile dell'uso che ne viene fatto. OVHcloud agisce in qualità di sub-responsabile del trattamento. + +In quanto sub-responsabile del trattamento, OVHcloud agisce secondo le istruzioni del cliente. Rispettiamo i termini definiti nel contratto di servizio, nonché le politiche e le direttive del cliente. + +OVHcloud protegge anche i propri dati interni. Questi dati sono necessari a supporto delle nostre operazioni. Per questo tipo di dati, OVHcloud è il titolare del trattamento. + +I dati interni comprendono informazioni tecniche e amministrative. Servono a fornire i servizi, a gestire le relazioni commerciali e a rispondere ai requisiti legali. + +### Chi sono le parti interessate della cybersecurity? + +#### Clienti e partner + +OVHcloud svolge un ruolo chiave nella gestione e nell'esercizio delle infrastrutture, delle piattaforme e dei software che supportano le operazioni digitali. + +Questi servizi sono essenziali per i sistemi informativi e per le attività commerciali dei nostri clienti. Molti dei nostri clienti forniscono a loro volta servizi a terzi, creando così un ambiente complesso e in costante evoluzione. + +In quanto fornitore cloud affidabile, OVHcloud deve dimostrare una solida competenza tecnica e una padronanza del modo in cui i suoi servizi vengono forniti. + +Dobbiamo garantire che i nostri servizi rispondano a standard elevati di affidabilità, sicurezza e prestazioni. Questi standard sono richiesti sia dai nostri clienti sia dai loro stessi utenti finali. + +#### Autorità e regolatori di settore + +Le autorità di regolamentazione emanano regole destinate a proteggere i cittadini e le imprese nelle rispettive regioni. Queste regole comprendono requisiti relativi alla protezione dei dati e al controllo del loro trattamento. + +OVHcloud rispetta tali regole in ciascuna regione in cui operiamo. Ci assicuriamo che i nostri servizi corrispondano alle esigenze e alle condizioni specifiche di ogni ambiente locale. + +Inoltre, alcuni regolatori stabiliscono regole supplementari per determinati settori. Queste regole si applicano a tipi di dati e ad attività di trattamento specifiche che presentano rischi più elevati. + +Per rispondere a queste esigenze, OVHcloud propone servizi concepiti per conformarsi alle regole proprie di ciascun settore. Ci impegniamo a rispettare tali standard e a trattare i rischi associati. + +#### Collaboratori, direzione di OVHcloud e azionisti + +I collaboratori di OVHcloud sono responsabili della progettazione, della manutenzione e dell'esercizio dei sistemi e dei processi che supportano i nostri servizi. + +Qualsiasi incidente di sicurezza può arrecare un danno diretto alle nostre operazioni. Può inoltre ridurre il valore dei nostri servizi e nuocere alla reputazione e alla professionalità dei nostri team. + +Al contrario, l'esercizio di sistemi informativi sicuri rafforza la capacità di innovazione di OVHcloud. Favorisce inoltre una cultura del lavoro di squadra e dell'impegno, che porta a una migliore qualità del servizio. + +OVHcloud opera in un mercato altamente competitivo. Per avere successo, dobbiamo crescere rapidamente al fine di sostenere l'innovazione e di svilupparci a livello internazionale. Allo stesso tempo, dobbiamo continuare a costruire la nostra credibilità. + +La fiducia dei clienti è il principale motore di questa crescita. Tale fiducia dipende dalla nostra capacità di proteggere i loro dati e i loro carichi di lavoro. + +Per questo motivo la cybersecurity costituisce un elemento chiave della strategia di crescita di OVHcloud. È pienamente sostenuta dalla nostra direzione e dai nostri azionisti. + +Facendo della cybersecurity una priorità, possiamo preservare la fiducia e la fedeltà dei nostri clienti. Ciò è essenziale per raggiungere i nostri obiettivi commerciali e per mantenere la nostra posizione di fornitore cloud di primo piano. + +#### Subappaltatori ed esternalizzazione + +OVHcloud collabora con subappaltatori per gestire diversi processi e progetti. Questi subappaltatori possono avere accesso ai sistemi informativi e ai siti fisici di OVHcloud. + +Inoltre, OVHcloud utilizza applicazioni e sistemi esterni integrati nella propria infrastruttura principale. Questi sistemi esternalizzati supportano parti essenziali delle operazioni di OVHcloud. Costituiscono un elemento importante del dispositivo di sicurezza complessivo dell'azienda. + +OVHcloud estende le proprie misure di sicurezza al fine di coprire questi subappaltatori e sistemi esternalizzati. Poiché sono essenziali per le nostre operazioni, è importante che rispettino gli stessi standard e le stesse regole di sicurezza. + +## Rischi e opportunità legati alla cybersecurity + +### Gestione dei rischi / Conformità + +Una gestione efficace dei rischi richiede un metodo formale per scegliere le migliori misure di sicurezza in ciascuna situazione. Se applicato correttamente, questo metodo può rivelarsi efficace. Comporta tuttavia anche delle difficoltà. + +Una stessa misura di sicurezza può ridurre più rischi contemporaneamente. Allo stesso modo, ogni rischio richiede spesso più misure per essere trattato pienamente. + +Ricorrere a una valutazione dettagliata e strutturata per ogni decisione di sicurezza può rivelarsi inefficiente. Ciò può inoltre generare una complessità inutile. + +In molte situazioni, un approccio più semplice è più pratico. OVHcloud utilizza spesso un metodo basato sulla conformità, seguendo un insieme di regole di sicurezza costruite su 25 anni di esperienza nei servizi cloud. Questo metodo si basa inoltre sugli standard internazionali, sulle normative di settore e sulle aspettative dei clienti. Il team di sicurezza supervisiona questo processo con rigore. + +Per rafforzare queste fondamenta, il nostro processo di gestione dei rischi di cybersecurity persegue tre grandi obiettivi: + +- **Individuare e gestire i principali cyber-rischi** + Ciò aiuta a illustrare le nostre strategie di mitigazione dei rischi alle parti interessate. Consente inoltre di monitorare l'evoluzione dei livelli di rischio a livello aziendale e all'interno di specifiche gamme di prodotti. Questo approccio offre una visione d'insieme chiara delle nostre principali questioni e dimostra che le nostre priorità e le nostre azioni sono appropriate. + +- **Supportare le attività operative attraverso valutazioni basate sui rischi** + Il team di sicurezza fornisce strumenti, metodi e indicatori per aiutare i team di business a prendere decisioni migliori. Queste risorse aiutano i team a definire le proprie priorità, a risolvere i problemi quotidiani e a giustificare qualsiasi scostamento rispetto agli standard stabiliti. Ciò rende le decisioni di sicurezza più coerenti, più pertinenti e più responsabili. + +- **Guidare le decisioni complesse attraverso un'analisi approfondita** + Di fronte a decisioni più difficili, seguiamo un processo strutturato per individuare, valutare e ridurre i rischi di sicurezza. Ciò migliora l'equità, la profondità, la trasparenza e la coerenza delle decisioni prese per progetti o situazioni commerciali specifiche. + +### Contesto di rischio + +#### In quanto operatore di infrastrutture di primo piano + +In quanto fornitore cloud di primo piano, OVHcloud è un'azienda molto esposta. Gestiamo un'infrastruttura mondiale su larga scala e serviamo milioni di clienti diretti e indiretti. + +A causa di questa visibilità, i nostri sistemi sono esposti a un'ampia gamma di rischi. Questi rischi provengono spesso da attori della minaccia avanzati, tra cui: + +- gruppi sponsorizzati da Stati + +- agenzie di intelligence + +- gruppi cybercriminali organizzati + +- gruppi di attivisti + +- le relative catene di approvvigionamento associate + +Questi attori della minaccia perseguono diversi obiettivi chiave: + +- Provocare un'interruzione su larga scala che colpisca OVHcloud e l'insieme dei suoi clienti + +- Indebolire un'infrastruttura cloud che supporta una particolare regione economica o politica + +- Attaccare clienti di settori o aree geografiche specifiche + +- Ottenere un accesso duraturo in vista di ulteriori azioni malevole, come attacchi alla catena di approvvigionamento o furto di dati + +- Testare i propri strumenti e tecniche contro sistemi robusti e moderni che utilizzano tecnologie avanzate + +#### In quanto fornitore di servizi cloud + +In quanto fornitore cloud che ospita milioni di sistemi e servizi, OVHcloud è esposto a numerosi tipi di attacchi. Questi attacchi prendono di mira spesso i nostri clienti e rispondono a motivazioni diverse. + +Poiché la nostra base di clienti è molto diversificata, è difficile individuare chiaramente i tipi di attaccanti o i loro obiettivi precisi. Classifichiamo quindi le minacce in base al modo in cui gli attacchi vengono condotti. Ciò ci aiuta ad adeguare il nostro approccio alla sicurezza. + +Raggruppiamo i principali vettori di attacco in tre categorie: + +- **Attacchi diretti agli asset cloud dei clienti.** Si verificano attraverso l'esposizione alla rete pubblica. + +- **Utilizzo di un accesso cliente legittimo.** In questo caso, gli attaccanti tentano di aggirare i meccanismi di isolamento e di raggiungere sistemi appartenenti ad altri clienti. + +- **Attacco all'infrastruttura condivisa di OVHcloud.** Ciò include sistemi quali le interfacce di gestione dei clienti o gli strumenti interni. L'obiettivo è spesso quello di spostarsi lateralmente e di accedere indirettamente ai sistemi dei clienti. + +Gli attacchi possono provenire da diverse fonti. Possono provenire da reti esterne, da un sistema cliente compromesso o da un sistema sottoscritto presso OVHcloud o uno dei nostri partner. + +#### In quanto azienda + +Come qualsiasi organizzazione, OVHcloud è confrontato con numerosi tipi di cyberminacce. Queste includono le violazioni di dati, l'uso improprio delle risorse, i ransomware, il phishing e altre forme di attività malevola. + +Tali attacchi possono compromettere la sicurezza dei nostri sistemi e dei nostri dati. Possono inoltre perturbare le nostre operazioni o essere utilizzati nell'ambito di attacchi più complessi contro i nostri clienti o la nostra infrastruttura. + +La maggior parte delle minacce con cui OVHcloud si confronta proviene dall'esterno dell'azienda. Tuttavia, le dimensioni e la rapida crescita dei nostri team internazionali creano anche rischi interni. Questi includono gli errori umani e le minacce interne. Per questo motivo, il nostro approccio alla gestione dei rischi deve trattare le minacce interne. Ciò si aggiunge alla gestione delle minacce esterne e dei consueti rischi operativi. + +### Principali rischi operativi + +Sebbene la nostra strategia di mitigazione dei rischi di sicurezza segua principalmente le buone pratiche del settore, alcuni rischi sono oggetto di particolare attenzione nel nostro processo di gestione della sicurezza. Questi includono: + +- La compromissione della postazione di lavoro di un collaboratore dotato di un accesso ai sistemi di alto livello + +- Lo sfruttamento di vulnerabilità sui piani di controllo dei prodotti o su asset di infrastruttura condivisa + +- La fuga di credenziali di autenticazione, quali password, token o chiavi private + +- L'utilizzo dell'accesso di un fornitore per condurre un attacco (attacco alla catena di approvvigionamento) + +- Lo sfruttamento di vulnerabilità note su sistemi esposti a Internet + +- Azioni malevole condotte tramite credenziali utente valide (minaccia interna) + +- L'accesso fisico ai dati attraverso operazioni compromesse in un datacenter + +- Lo sfruttamento di vulnerabilità sconosciute (zero-day) nei sistemi di produzione + +- Attacchi di tipo Denial of Service (DoS) a livello di infrastruttura + +- Attacchi di tipo Denial of Service (DoS) a livello applicativo su un'interfaccia di amministrazione + +- Un guasto dell'isolamento dei sistemi che porti a un accesso illegittimo ai dati dei clienti + +- Lo sfruttamento di una debolezza dei controlli di accesso di rete o applicativi + +- L'abuso di un collaboratore o di un fornitore tramite un attacco di ingegneria sociale + +- Il rilevamento tardivo di eventi di sicurezza a causa di controlli di sicurezza difettosi + +- Un servizio o un'applicazione fuori controllo e non gestito in conformità alle politiche, che porti a un'esposizione di dati + +- L'abuso di ruoli concentrati per aggirare le regole di sicurezza + +- Un errore umano o una configurazione errata che porti a un'esposizione involontaria di dati + +- Una compromissione della sicurezza fisica o del controllo degli accessi nei nostri datacenter + +### Impatti significativi legati alla cybersecurity + +#### Impatti negativi (rischi) + +Gli eventi e gli incidenti di cybersecurity possono comportare diverse conseguenze negative per OVHcloud. Queste includono: + +- La perdita di fiducia dei clienti nei servizi OVHcloud + +- La responsabilità finanziaria a titolo degli impatti commerciali subiti dai clienti + +- Il mancato rispetto degli obblighi contrattuali + +- Conseguenze giuridiche o normative derivanti da una violazione di sicurezza + +- Un danno alla reputazione di OVHcloud in quanto fornitore affidabile e di fiducia + +- Un aumento dei costi operativi necessari per gestire l'incidente e ripristinare il servizio normale + +- Effetti finanziari indiretti, quali una diminuzione del fatturato, un aumento dei costi assicurativi e una riduzione del valore di mercato + +#### Impatti positivi (opportunità) + +L'attuazione di un approccio alla sicurezza coerente, pienamente allineato alla strategia, alle operazioni quotidiane e allo sviluppo prodotto di OVHcloud, apporta diversi benefici: + +- Una riduzione del numero di incidenti di sicurezza + +- La capacità di rispondere ai rigorosi requisiti di sicurezza dei clienti e di dimostrare la nostra conformità + +- Una maggiore valorizzazione dei prodotti e dei servizi proposti ai clienti + +- Una fiducia rafforzata dei clienti nel catalogo di servizi di OVHcloud + +- Un minore impatto operativo degli incidenti di sicurezza grazie a un rilevamento più rapido e a migliori processi di risposta + +- Effetti finanziari positivi, quali una diminuzione dei costi di gestione degli incidenti, un aumento del fatturato e una fedeltà dei clienti rafforzata + +## Gli impegni di sicurezza di OVHcloud per costruire servizi cloud di fiducia + +### Fondamenta coerenti gestite secondo un approccio industriale + +Il nostro approccio si basa su blocchi di costruzione standardizzati, architetture sicure e processi formali, comprovati e fortemente automatizzati. L'obiettivo è fare della sicurezza un motore di efficienza e di coerenza all'interno del sistema informativo. + +A tal fine, abbiamo sviluppato strumenti, processi e componenti pronti per la produzione che tutti i team possono utilizzare per applicare le buone pratiche di sicurezza. + +La sicurezza non è il solo beneficio di questo approccio strutturato, ma ne è essenziale. Consente la "sicurezza fin dalla progettazione" e aiuta a mantenere una sicurezza coerente nel tempo. Integrando la sicurezza fin dall'inizio, evitiamo di trattarla come un ripensamento successivo. + +Controlli di sicurezza formali vengono effettuati nell'ambito della gestione dei progetti e dei cambiamenti. Questi controlli garantiscono che i principi di sicurezza siano rispettati dalla fase di progettazione fino all'intero ciclo di vita di ciascun sistema o applicazione. + +Ogni team è responsabile della sicurezza dei sistemi che gestisce. Lavoriamo costantemente per bilanciare due obiettivi: + +- Far rispettare le regole di sicurezza comuni di OVHcloud + +- Lasciare ai proprietari dei sistemi la libertà di applicare la propria competenza tecnica + +Questo equilibrio è essenziale per il nostro approccio alla sicurezza. Lavoriamo a stretto contatto con i team di business al fine di garantire che i principi di sicurezza siano applicati in modo coerente in tutta l'azienda. + +### Accompagnare tutti i tipi di clienti nella loro crescita nel cloud + +I prodotti di OVHcloud sono costruiti a partire da tecnologie open source e da standard tecnologici consolidati. Ciò facilita l'adozione e la gestione dei sistemi dei clienti nel cloud. + +La sicurezza è un elemento chiave del nostro processo di sviluppo prodotto. Il team di sicurezza è coinvolto in ogni decisione suscettibile di influire sulla sicurezza. Ciò garantisce che la sicurezza sia presa in considerazione fin dall'inizio. + +Il nostro approccio alla sicurezza dei prodotti è basato sul rischio. Prendiamo in considerazione: + +- L'ampiezza e la rapidità del rilascio + +- La cultura della sicurezza dei nostri clienti + +- I casi d'uso e le tecnologie proprie di ciascun prodotto + +Ciò ci consente di adattare le nostre misure di sicurezza alle esigenze dei diversi gruppi di clienti. + +L'applicazione delle buone pratiche di configurazione e la gestione dell'intero ciclo di vita della sicurezza sono essenziali. Ciò apporta valore ai nostri clienti e costituisce un motivo importante della loro migrazione verso il cloud. Questa responsabilità è pienamente integrata nel ciclo di vita del prodotto. + +Anche se la postura di sicurezza può variare da un prodotto all'altro, gestiamo l'insieme degli eventi, degli incidenti, delle vulnerabilità, delle minacce e delle informazioni relative alla sicurezza in modo unificato e coerente. + +### Accompagnare ogni cliente nella gestione dei propri rischi specifici + +OVHcloud propone le proprie soluzioni a un'ampia gamma di clienti in numerosi settori. Questi includono: + +- Le startup + +- Le piccole e medie imprese (PMI) + +- Le grandi imprese + +- Le amministrazioni pubbliche + +- Le multinazionali + +Ogni cliente ha un approccio diverso alla sicurezza. Esso dipende dalle proprie esigenze di business e dal proprio contesto operativo, e OVHcloud ne tiene conto. + +Nel cloud computing, la sicurezza è una responsabilità condivisa. OVHcloud e i suoi clienti hanno ciascuno ruoli definiti. I clienti sono, in ultima analisi, responsabili della sicurezza dei propri sistemi informativi nel cloud. Per evitare i rischi legati alla confusione, spieghiamo chiaramente di che cosa è responsabile ciascuna parte. + +Per aiutare i clienti a mettere in sicurezza i propri sistemi, OVHcloud fornisce: + +- Un insieme di strumenti e funzionalità per migliorare la sicurezza + +- Funzionalità di sicurezza standard disponibili per tutti i clienti + +- Funzionalità opzionali per gestire rischi specifici + +I clienti hanno inoltre la libertà di aggiungere i propri strumenti e le proprie soluzioni di sicurezza. La nostra piattaforma è concepita per supportare questa flessibilità. + +Proponiamo un'ampia gamma di servizi di sicurezza integrati. Sono disponibili nel nostro catalogo di soluzioni e sono completati da tecnologie e servizi dei nostri partner. I nostri prodotti supportano anche soluzioni di terze parti e della comunità. Ciò consente ai clienti di costruire le proprie strategie di sicurezza e di adattarle alle proprie esigenze specifiche. + +## Governance della cybersecurity + +La direzione di OVHcloud si impegna a favore della cybersecurity sul lungo termine. Ciò si traduce nella definizione di regole chiare di gestione dei rischi. Include inoltre l'attribuzione delle responsabilità, la messa a disposizione delle risorse necessarie e il monitoraggio delle prestazioni. + +Il Responsabile della sicurezza dei sistemi informativi (CISO) definisce e attua la governance della cybersecurity. Questo lavoro è supervisionato dal Direttore dei sistemi informativi (CIO), che agisce come sponsor esecutivo su questo tema in seno al Comitato esecutivo. Questa governance è rivista e aggiornata ogni anno al fine di rimanere allineata agli obiettivi strategici di OVHcloud e alla sua gestione dei rischi a livello aziendale. + +La proprietà dei sistemi è un principio chiave nella definizione delle responsabilità di sicurezza in OVHcloud. Ogni team è responsabile della sicurezza dei sistemi che progetta e gestisce, basandosi su tre principi fondamentali: + +- La responsabilità dei team + +- L'industrializzazione + +- La competenza tecnica approfondita + +Il team di sicurezza intrattiene relazioni strette con tutti i team che gestiscono sistemi. Ciò contribuisce a garantire un approccio coerente alla sicurezza in tutto OVHcloud. + +Questa governance si applica a tutte le società del gruppo OVHcloud. Riguarda inoltre i collaboratori, i fornitori, i prestatori di servizi, i subappaltatori e gli utenti del sistema informativo. + +I servizi di OVHcloud si basano su un quadro di cybersecurity concepito per: + +- Bilanciare la strategia a lungo termine e l'efficienza delle operazioni quotidiane + +- Mantenere mirati i nostri sforzi di sicurezza + +- Garantire una risposta efficace di fronte alle nuove minacce e vulnerabilità + +Il team di sicurezza di OVHcloud gestisce un insieme unificato e completo di controlli di sicurezza all'interno del proprio sistema di gestione della sicurezza delle informazioni, noto internamente come OneISMS. Il programma OneISMS si articola intorno a tre grandi livelli, tutti gestiti dal team di sicurezza: + +- **Livello di gestione dei requisiti** + Questo livello consolida e organizza l'insieme dei requisiti di sicurezza provenienti da diverse fonti. Li standardizza all'interno di un quadro coerente e definisce criteri di applicabilità chiari. + +- **Livello di attuazione** + Questo livello fornisce un approccio formale alla gestione e all'esercizio dei controlli di sicurezza. Garantisce l'allineamento tra i controlli e gli obiettivi di sicurezza, gestisce la documentazione dei controlli e il loro monitoraggio operativo, e coordina la gestione dei rischi all'interno di un quadro unificato. + +- **Livello di valutazione della sicurezza** + Questo livello gestisce sia i meccanismi di controllo interni sia quelli esterni. Si concentra sulla verifica del raggiungimento degli obiettivi di sicurezza e sulla valutazione dell'efficacia delle risorse allocate alla sicurezza. Copre inoltre gli audit di terze parti, che siano condotti a fini di certificazione o su richiesta dei clienti. + +Insieme, questi livelli garantiscono che OVHcloud mantenga una postura di sicurezza coerente, efficace e trasparente sull'insieme dei suoi sistemi informativi. + +**Indicatori chiave di performance:** + +- Tasso di prodotti coperti da OneISMS + +- Numero di giorni-uomo dedicati alle valutazioni di sicurezza + +## Relazioni con gli esperti di sicurezza esterni + +Il nostro team di sicurezza e i nostri esperti tecnici intrattengono strette relazioni di lavoro con le comunità di sicurezza esterne, le autorità pubbliche, gli editori di software e i produttori di hardware. Queste collaborazioni ci aiutano a rimanere informati sulle minacce e sulle vulnerabilità emergenti, e ci consentono di agire in modo tempestivo per ridurre i rischi associati. + +Contribuiamo attivamente alla comunità della sicurezza condividendo le nostre conoscenze e le nostre innovazioni. Sosteniamo inoltre le pratiche di divulgazione responsabile al fine di incoraggiare una gestione aperta ed etica delle scoperte di sicurezza. + +Per rafforzare ulteriormente la nostra postura di sicurezza, gestiamo un programma pubblico di bug bounty. Questo programma consente a ricercatori di sicurezza esterni di segnalare vulnerabilità, il che ci aiuta a migliorare continuamente la sicurezza dei nostri sistemi. + +**Indicatori chiave di performance:** + +- Ricompense di bug bounty versate + +## Programma di conformità + +L'impegno di OVHcloud nei confronti dei suoi clienti e partner è definito nell'ambito di una relazione contrattuale formale. Questo contratto precisa chiaramente i nostri obblighi. + +Forniamo una matrice dettagliata e facile da comprendere dei ruoli e delle responsabilità in materia di sicurezza. Ciò garantisce che tutte le parti comprendano i rispettivi doveri. + +OVHcloud si conforma all'insieme delle leggi e delle normative applicabili in ciascun paese in cui operiamo. Seguiamo inoltre le normative di settore, quali quelle applicabili ai sistemi informativi sanitari e finanziari. + +Il nostro sistema di gestione della sicurezza si basa su standard internazionali, tra cui la norma **ISO/IEC 27001**. Questa norma sottolinea l'importanza dei principi di sicurezza. + +Valutiamo regolarmente le nostre funzionalità di sicurezza attraverso: + +- Audit indipendenti realizzati da terze parti + +- Framework di audit riconosciuti + +- Report e certificati di conformità condivisi con i clienti quando ciò è pertinente + +Il team di sicurezza di OVHcloud guida un programma strutturato che comprende: + +- Revisioni interne ed esterne + +- Controlli di sicurezza + +- Audit regolari + +Questo programma ci aiuta a testare la nostra postura di sicurezza e garantisce che continuiamo a rispettare i nostri impegni. + +Confrontiamo le nostre pratiche con i framework di conformità di sicurezza ampiamente utilizzati. Un team dedicato è incaricato di guidare il miglioramento continuo. Questo team lavora a stretto contatto con i proprietari dei sistemi al fine di: + +- Applicare i miglioramenti + +- Elevare il livello di sicurezza complessivo + +- Ridurre i rischi + +- Rimanere allineati ai nostri impegni di sicurezza + +Al di là dei nostri obblighi legali e contrattuali, OVHcloud si impegna attivamente con il proprio ecosistema. Questo include i clienti, i partner e i potenziali clienti. + +Privilegiamo la chiarezza e la trasparenza in tutte le nostre comunicazioni. Il nostro obiettivo è costruire relazioni aperte e oneste con le nostre parti interessate. Forniamo informazioni esatte e fornite in tempo utile sulle nostre pratiche di sicurezza, affinché le parti interessate possano comprendere pienamente la nostra postura di sicurezza e prendere decisioni consapevoli. + +**Indicatori chiave di performance:** + +- Numero di giorni-uomo dedicati alle valutazioni di sicurezza + +## Sicurezza fin dalla progettazione + +Progettiamo e costruiamo i nostri sistemi di produzione secondo i seguenti principi: + +- **Requisiti di livello produzione** + Ogni sistema è progettato per supportare un traffico elevato e per scalare rapidamente. + +- **Interfacce e gateway sicuri** + I sistemi sono progettati per essere esposti a minacce esterne. La limitazione dell'esposizione è trattata come un livello di sicurezza supplementare. + +- **Tecnologie robuste e comprovate** + Utilizziamo tecnologie open source e proprietarie che rispondono a rigorosi standard di prestazioni e resilienza. + +- **Comportamento deterministico** + I sistemi sono configurati per un funzionamento coerente e sicuro. Sviluppiamo una solida competenza grazie a un'adozione progressiva, a test dettagliati e a un elevato livello di automazione. Ciò include l'utilizzo di un modello "as-code" e la gestione di ciascun sistema lungo tutto il suo ciclo di vita. + +- **Software sviluppati internamente** + I software su misura sono sviluppati secondo processi rigorosi al fine di rispondere a esigenze specifiche, quali prestazioni elevate o controlli di sicurezza avanzati. + +## Protezione dei dati + +OVHcloud applica una regola rigorosa: i dati dei clienti non vengono mai utilizzati a fini commerciali. + +I collaboratori non conoscono la natura dei dati ospitati dai clienti e non sono autorizzati ad accedervi. Tuttavia, durante operazioni tecniche su sistemi che memorizzano dati dei clienti, i collaboratori possono tecnicamente trovarsi nella condizione di potervi accedere. Tale accesso è severamente vietato. OVHcloud ha messo in atto solidi controlli di sicurezza per rilevare qualsiasi accesso non autorizzato, garantire la tracciabilità delle azioni e assicurare il rispetto permanente di questa regola. + +Oltre ai dati dei clienti, OVHcloud gestisce dati interni, che possono riguardare clienti, collaboratori, prestatori di servizi o partner. Quando la legge lo consente, questi dati possono essere condivisi con terze parti. OVHcloud agisce in qualità di titolare del trattamento per questi dati interni e applica misure di sicurezza adeguate in funzione del tipo di dati, della loro sensibilità e della fase del loro ciclo di vita, che siano memorizzati, utilizzati, trasmessi o eliminati. + +**Indicatori chiave di performance:** + +- Numero di violazioni segnalate alle autorità + +## Le persone + +Il lavoro di squadra, la separazione dei compiti, la responsabilità individuale e la fiducia progressiva sono principi chiave del modello di sicurezza di OVHcloud. I nostri team sono collettivamente responsabili della gestione di migliaia di ambienti dei clienti. Il coinvolgimento attivo di ciascuno è necessario per mantenere una sicurezza end-to-end sull'insieme dei servizi. + +Tutti i collaboratori di OVHcloud seguono un programma formale di sensibilizzazione e di formazione alla cybersecurity. Questo processo inizia ancor prima dell'assunzione, con verifiche dei precedenti adeguate alle responsabilità della posizione. Queste verifiche aiutano a individuare i rischi potenziali, come la possibilità di un comportamento malevolo o l'esposizione a pressioni esterne. + +Fin dal primo giorno, i nuovi collaboratori beneficiano di un percorso di onboarding alla cybersecurity. Questa presentazione illustra l'importanza della cybersecurity nell'erogazione dei nostri servizi e pone l'accento sul modo in cui la responsabilità individuale si applica in tutta l'organizzazione. Questa sensibilizzazione iniziale è rafforzata da una comunicazione interna regolare, che condivide i riscontri operativi e le questioni attuali di cybersecurity al fine di mantenere tutto il personale attento e coinvolto. Per le posizioni sensibili, formazioni supplementari vengono erogate in modo regolare. + +Testiamo inoltre la capacità dei nostri team di riconoscere i rischi di cybersecurity e di rispondervi. Esercizi regolari e simulazioni di risposta agli incidenti vengono condotti al fine di garantire che i collaboratori siano ben preparati a gestire eventi di sicurezza reali, in modo rapido ed efficace. + +**Indicatori chiave di performance:** + +- Numero di collaboratori formati alla cybersecurity + +- Risultati dei test di phishing + +- Rispetto delle procedure di uscita + +## Ambiente di lavoro + +La maggior parte delle attività operative in OVHcloud è realizzata attraverso servizi centralizzati quali la gestione dei ticket, la documentazione, la progettazione dei sistemi, l'automazione, la gestione del codice, la build del software e l'esercizio dei servizi. I collaboratori utilizzano le proprie postazioni di lavoro per accedere a questi servizi. + +Mantenere un elevato livello di controllo sulle postazioni di lavoro è essenziale per evitare che diventino un punto di ingresso per attacchi. Allo stesso tempo, i collaboratori di OVHcloud hanno spesso bisogno di accedere a un'ampia gamma di strumenti, a interazioni di sistema di basso livello e a un'ampia connettività verso reti aperte. Queste capacità sono importanti per la sperimentazione, lo sviluppo e la risoluzione dei problemi. + +Conciliare queste esigenze operative con rigorosi requisiti di sicurezza costituisce una sfida permanente. + +Per rispondervi, mettiamo in atto: + +- Un controllo degli accessi rigoroso alle reti, ai sistemi e alle applicazioni interne. L'accesso è basato sui ruoli di business e gestito tramite gateway o bastion sicuri al fine di garantire la tracciabilità + +- Una sorveglianza delle reti interne, degli accessi alle risorse esterne, degli strumenti di comunicazione e delle applicazioni interne al fine di rilevare qualsiasi attività insolita o non autorizzata + +- Un controllo rigoroso della configurazione delle postazioni di lavoro, che comprende l'hardening dei sistemi, la gestione automatizzata della configurazione, la rimozione dei diritti di amministratore locale, la sorveglianza centralizzata con EDR e protezione contro i software malevoli, nonché strumenti di investigazione degli incidenti + +- Postazioni di lavoro dedicate, dotate di configurazioni personalizzate, per i ruoli sensibili e gli ambienti critici + +- Un controllo rigoroso dell'accesso alle applicazioni tramite i dispositivi mobili + +**Indicatori chiave di performance:** + +- Numero di allerte di sicurezza legate a comportamenti inappropriati + +- Numero di comportamenti tecnici inappropriati + +## Gestione delle identità e degli accessi + +Il sistema interno di gestione delle identità e degli accessi (IAM) di OVHcloud è concepito per gestire l'intero ciclo di vita delle identità degli utenti, dalla loro creazione alla loro eliminazione. + +Le richieste di accesso seguono un processo strutturato, che comprende fasi formali di revisione e approvazione. L'accesso viene concesso solo alle persone autorizzate, in funzione delle esigenze di business. Supportiamo gli account individuali e gli account di servizio, e manteniamo una rigorosa separazione tra gli account utente standard e gli account amministratore al fine di ridurre il rischio di accessi non autorizzati. + +Le credenziali di autenticazione sono gestite lungo tutto il loro ciclo di vita: creazione, aggiornamenti ed eliminazione. Utilizziamo diversi metodi di autenticazione, tra cui le password, i certificati digitali, i token fisici e l'autenticazione biometrica. Supportiamo inoltre l'autenticazione unica (SSO) per semplificare l'accesso degli utenti e utilizziamo host bastion per mettere in sicurezza le azioni di amministrazione. + +Per garantire la responsabilità individuale, conduciamo revisioni degli accessi regolari e sorvegliamo l'utilizzo degli account al fine di verificare che i diritti di accesso siano allineati alle politiche e alle procedure interne. Il nostro sistema di controllo degli accessi basato sui ruoli (RBAC) definisce i livelli di accesso in funzione del ruolo dell'utente, e manteniamo un'ampia gamma di ruoli adatti ai diversi contesti operativi. + +L'accesso ai servizi di rete è protetto da meccanismi di autenticazione sicuri. Raccomandiamo vivamente l'utilizzo dell'autenticazione a più fattori per aggiungere un livello di sicurezza supplementare. Le nostre politiche delle password impongono requisiti di complessità, e tutte le password sono memorizzate in modo sicuro tramite cifratura. + +Sorvegliamo inoltre lo stato delle credenziali appartenenti agli ex utenti al fine di garantire che nessun accesso non autorizzato persista dopo la loro uscita. In generale, il nostro sistema IAM applica il principio del privilegio minimo, concedendo l'accesso solo agli utenti che ne hanno realmente bisogno. + +**Indicatori chiave di performance:** + +- Esattezza dei diritti di accesso + +- Tasso di applicazioni che utilizzano l'SSO + +## Continuous delivery sicura + +In OVHcloud, i nostri team di sviluppo contano più di un migliaio di sviluppatori che lavorano su molteplici stack tecnologici. Questa diversità rende difficile l'applicazione di un processo di sviluppo unico e uniforme. + +Per ovviare a ciò, abbiamo definito un insieme di archetipi di sviluppo. Servono da modelli di riferimento per diversi tipi di progetti. Centralizziamo inoltre l'insieme del codice sorgente in un repository condiviso al fine di garantire un accesso coerente e di consentire una collaborazione efficace tra i team. + +La nostra toolchain di sviluppo supporta un'ampia gamma di tecnologie e flussi di lavoro. Include un sistema di continuous delivery che automatizza la build e i test. Gli sviluppatori hanno inoltre accesso ad ambienti e laboratori dedicati ai test e alla validazione. La firma del codice è utilizzata per garantire l'autenticità e l'integrità dei software. + +Per supportare uno sviluppo sicuro ed efficiente, forniamo primitive di basso livello quali la registrazione dei log, la gestione dei segreti e l'esecuzione di container. Le nostre API sono concepite per essere RESTful e sicure, e sono protette da reverse proxy che fungono da gateway sicuri. + +L'accesso ai sistemi e ai dati è gestito tramite strumenti di gestione delle identità e degli accessi sviluppati internamente. Questi strumenti offrono un elevato livello di controllo degli accessi e di tracciabilità. Utilizziamo inoltre strumenti di gestione delle dipendenze per garantire che i componenti esterni siano aggiornati ed esenti da vulnerabilità note. + +Proponendo un quadro flessibile ed evolutivo, OVHcloud è in grado di rispondere alle diverse esigenze dei suoi team di sviluppo, mantenendo al contempo una solida postura di sicurezza. + +## Gestione sicura dello stato dei sistemi + +L'hardening è un elemento chiave della postura di sicurezza di OVHcloud. Consiste nel rimuovere sistematicamente le funzionalità inutili, nel configurare i sistemi con parametri sicuri e nell'applicare le ultime patch di sicurezza al fine di ridurre le vulnerabilità. + +La gestione della configurazione crittografica è altrettanto essenziale. OVHcloud segue le buone pratiche del settore in materia di cifratura sicura, utilizzando algoritmi e protocolli raccomandati per proteggere la riservatezza e l'integrità dei dati. + +Le configurazioni dei sistemi e delle applicazioni sono strettamente controllate. Qualsiasi cambiamento è accuratamente tracciato e gestito. Il controllo dell'inventario è applicato in modo rigoroso. Tutti gli asset informatici, compresi l'hardware, i software e i dati, sono registrati e sorvegliati al fine di mantenere la visibilità e il controllo. + +La gestione dell'esposizione è un altro componente importante del nostro approccio. OVHcloud individua e tratta regolarmente i rischi di sicurezza attraverso: + +- Valutazioni delle vulnerabilità + +- Attività di remediation + +- Miglioramento continuo delle configurazioni dei sistemi + +Questi sforzi combinati garantiscono che la nostra infrastruttura rimanga sicura, ben gestita e allineata agli standard del settore. + +**Indicatori chiave di performance:** + +- Copertura della CMDB + +## Sorveglianza, rilevamento e risposta agli incidenti + +Gestiamo un quadro di analisi continua delle minacce direttamente collegato ai nostri sistemi di sorveglianza. Ciò ci consente di adeguare le nostre pratiche operative in tempo reale al fine di trattare i rischi attuali e di rispondere in modo rapido ed efficace agli incidenti di sicurezza. + +La struttura del nostro team di sicurezza consente la rapida mobilitazione di esperti in caso di necessità. Ciò garantisce che gli incidenti siano analizzati e risolti in modo efficace, con l'attuazione rapida e duratura di azioni correttive al fine di ridurre i rischi futuri. + +La sorveglianza operativa e la registrazione dei log degli eventi rientrano nella responsabilità di ciascun proprietario di sistema. Inoltre, il nostro sistema di gestione delle informazioni e degli eventi di sicurezza (SIEM) offre capacità di sorveglianza in tempo reale, di correlazione degli eventi e di rilevamento delle minacce. Raccogliamo e analizziamo i dati di log pertinenti, nonché informazioni esterne sulle minacce, al fine di individuare i potenziali rischi di sicurezza. + +Il nostro processo di gestione degli incidenti comprende definizioni chiare dei tipi di incidenti, dei livelli di gravità e delle procedure di risposta. Un processo di escalation stabilito garantisce che gli incidenti siano presi in carico dai team appropriati a ogni fase. + +Disponiamo di un team dedicato di risposta alle emergenze informatiche (CERT) formato alla gestione degli incidenti di sicurezza. Il processo di risposta agli incidenti copre l'analisi completa dell'incidente, il contenimento, l'eradicazione e il ripristino. Una revisione post-incidente viene condotta al fine di capitalizzare sugli insegnamenti tratti e di migliorare gli sforzi di risposta futuri. + +Manteniamo inoltre un piano di comunicazione chiaro al fine di garantire che le parti interessate siano informate e tenute al corrente durante gli incidenti di sicurezza. Esercizi e simulazioni regolari vengono condotti per testare e rafforzare le nostre capacità di risposta agli incidenti. + +**Indicatori chiave di performance:** + +- Copertura del SIEM + +- Numero di incidenti con impatto sui dati dei clienti + +- Numero di incidenti con impatto sui bilanci finanziari + +## Sicurezza dei datacenter + +I datacenter di OVHcloud sono progettati e gestiti come strutture di livello industriale. Ogni sito è pianificato sulla base di un'analisi dei rischi che tiene conto di fattori geografici, tecnici e sociali. Questi fattori influenzano il modo in cui ciascun datacenter è gestito e fatto funzionare. + +Tutte le operazioni all'interno dei datacenter seguono procedure formali al fine di minimizzare gli errori umani e di garantire la tracciabilità e la responsabilità. Qualsiasi cambiamento è trattato attraverso un processo strutturato e coordinato in modo centralizzato, il che aiuta ad anticipare i rischi e a valutare i potenziali impatti. + +Anche le operazioni correnti sono soggette a procedure rigorose e formali. Queste procedure si basano su strumenti di gestione dei datacenter e su sistemi automatizzati di raccolta dati collegati all'infrastruttura. Ciò garantisce la coerenza operativa e riduce i rischi, in particolare durante la manipolazione di supporti contenenti dati dei clienti. + +L'accesso ai datacenter di OVHcloud è limitato e basato su un'identificazione individuale e su una rigorosa esigenza di business. Il controllo degli accessi è definito da un modello di zoning, in cui ogni zona dispone di regole di accesso specifiche in funzione della propria criticità e della propria funzione di business. + +Per supportare questa politica di accesso, OVHcloud si avvale di: + +- Sistemi di videosorveglianza avanzati + +- Sistemi informativi dedicati ai datacenter + +- Un coordinamento e una sorveglianza centralizzati delle attività di sicurezza ed esercizio + +Questi sistemi contribuiscono a garantire che le operazioni locali siano sicure e allineate al quadro complessivo di sicurezza e sorveglianza di OVHcloud. + +**Indicatori chiave di performance:** + +- Numero di datacenter sottoposti ad audit negli ultimi 12 mesi + +- Numero di datacenter non sottoposti ad audit negli ultimi 36 mesi diff --git a/docs/pl/guides/account-and-service-management/account-information/information-system-security-policy.mdx b/docs/pl/guides/account-and-service-management/account-information/information-system-security-policy.mdx deleted file mode 120000 index 7bf7d26ba..000000000 --- a/docs/pl/guides/account-and-service-management/account-information/information-system-security-policy.mdx +++ /dev/null @@ -1 +0,0 @@ -../../../../en/guides/account-and-service-management/account-information/information-system-security-policy.mdx \ No newline at end of file diff --git a/docs/pl/guides/account-and-service-management/account-information/information-system-security-policy.mdx b/docs/pl/guides/account-and-service-management/account-information/information-system-security-policy.mdx new file mode 100644 index 000000000..8b4fc96b8 --- /dev/null +++ b/docs/pl/guides/account-and-service-management/account-information/information-system-security-policy.mdx @@ -0,0 +1,624 @@ +--- +title: Polityka bezpieczeństwa systemów informatycznych OVHcloud +description: Dowiedz się, jak OVHcloud buduje swoją Politykę bezpieczeństwa systemów informatycznych (ISSP) — od zarządzania cyberbezpieczeństwem i ryzykiem po ochronę danych i bezpieczeństwo centrów danych. +lastUpdated: 2026-05-27 +--- + +## Cel niniejszego dokumentu + +W OVHcloud stosujemy szczegółowy, globalny system zarządzania cyberbezpieczeństwem. Niniejszy dokument wyjaśnia, jak ten system jest zbudowany i jak działa. Obejmuje on: + +- Podsumowanie środowiska operacyjnego OVHcloud. Pomaga ono zidentyfikować główne zagrożenia dla cyberbezpieczeństwa, kluczowe kwestie oraz wyzwania. + +- Nasze zobowiązania w zakresie bezpieczeństwa wobec interesariuszy. Opisuje również główne zasady, których przestrzegamy, aby chronić nasze systemy informatyczne i zarządzać nimi. + +- Strukturę, którą wykorzystujemy do powiązania strategii, codziennych operacji oraz przyszłych usprawnień. Zapewnia to spójne i skuteczne podejście do cyberbezpieczeństwa. + +Niniejszy dokument określany jest mianem „Polityki bezpieczeństwa systemów informatycznych”. Jest on przeglądany i aktualizowany corocznie oraz w przypadku zdarzeń o znaczącym wpływie. Zastępuje on szeroki zbiór polityk bezpieczeństwa i przewodników wdrożeniowych, które zarządzane są w ramach indywidualnych cykli życia. + +Tekst ten został celowo napisany prostym językiem, aby ułatwić jego zrozumienie osobom niebędącym ekspertami. + +## Kontekst zarządzania cyberbezpieczeństwem + +Jako znacząca alternatywa na ugruntowanym rynku OVHcloud staje przed złożonym wyzwaniem. Nasi klienci oczekują, że nasze usługi chmurowe będą spełniać standardy branżowe. Jednocześnie chcą korzystać z naszych wyjątkowych przewag konkurencyjnych. W obszarze cyberbezpieczeństwa dążymy do znalezienia właściwej równowagi. Naszym celem jest przestrzeganie standardów branżowych przy jednoczesnym stosowaniu strategii ograniczania ryzyka dopasowanych do naszego specyficznego modelu biznesowego. + +OVHcloud działa w szybko zmieniającym się środowisku. Zagrożenia, technologie i oczekiwania klientów stale się rozwijają. Musimy zatem pozostawać elastyczni i zdolni do szybkiego dostosowywania się. + +### Czym jest bezpieczeństwo informacji? + +Bezpieczeństwo oznacza ochronę naszych systemów informatycznych i usług przed potencjalnymi zagrożeniami. Celem jest zapewnienie poufności, integralności i dostępności danych naszych klientów oraz usług chmurowych. + +Jako dostawca usług chmurowych OVHcloud musi zawsze zapewniać dostępność systemów oraz ochronę danych. Jest to podstawowa odpowiedzialność spoczywająca na każdym pracowniku OVHcloud. + +Zarządzanie cyberbezpieczeństwem koncentruje się głównie na ryzyku wynikającym z działań o charakterze złośliwym. Zapewnia również ścisłą koordynację ze wszystkimi zespołami zaangażowanymi w świadczenie usług. Koordynacja ta pomaga stworzyć kompletne i spójne podejście do zarządzania ryzykiem. + +Podejście OVHcloud do bezpieczeństwa obejmuje także jasne zasady ochrony danych i ich rozliczalności. Jest to szczególnie ważne w kontekście prywatności. Zobowiązania te są formalnie ujęte w naszych politykach bezpieczeństwa. + +Polityka bezpieczeństwa systemów informatycznych (ISSP) obejmuje następujące pięć kryteriów bezpieczeństwa: + +- Dostępność (A) + +- Integralność (I) + +- Poufność (C) + +- Rozliczalność (T) + +- Prywatność (P) + +Kryteria te pomagają zdefiniować wymagania bezpieczeństwa dla chronionych zasobów. Służą również do oceny wpływu ryzyka lub incydentu bezpieczeństwa. + +### Jakie zasoby chronimy? + +#### Infrastruktura, platformy, aplikacje + +OVHcloud zarządza globalną infrastrukturą o wysokiej jakości. Obejmuje ona wiele centrów danych, sprzęt oraz serwery. Komponenty te połączone są wydajną siecią. Sieć ta umożliwia bezpieczną i niezawodną komunikację między usługami, a także z sieciami publicznymi lub prywatnymi. + +Infrastruktura ta jest niezbędna dla naszej działalności. Wspiera ona wszystkie produkty i usługi OVHcloud. + +Naszym systemem informatycznym również zarządza OVHcloud. Obejmuje on usługi skierowane do klientów, operacje wewnętrzne, narzędzia automatyzacji oraz platformy współpracy. Obejmuje również narzędzia i interfejsy, których klienci używają do zarządzania swoimi usługami oraz komunikacji z zespołami OVHcloud. + +Nasze portfolio usług jest szerokie. Obejmuje ono infrastrukturę jako usługę (IaaS), platformę jako usługę (PaaS), oprogramowanie jako usługę (SaaS) oraz usługi telekomunikacyjne. Usługi te oparte są na naszej solidnej infrastrukturze i systemach informatycznych. Wspierane są również przez dodatkowe usługi świadczone przez OVHcloud lub przez naszych partnerów. + +Ta zintegrowana konfiguracja pozwala nam oferować spójny i skalowalny zakres usług. Pomaga nam to sprostać zmieniającym się potrzebom naszych klientów. + +#### Informacje + +OVHcloud traktuje dane klientów jako najbardziej wrażliwy i krytyczny rodzaj informacji. Dane te są hostowane w ramach świadczonych przez nas usług. W tym przypadku to klient jest administratorem danych i odpowiada za sposób ich wykorzystania. OVHcloud pełni rolę podmiotu przetwarzającego. + +Jako podmiot przetwarzający OVHcloud działa zgodnie z instrukcjami klienta. Przestrzegamy warunków określonych w umowie o świadczenie usług oraz respektujemy polityki i wytyczne klienta. + +OVHcloud chroni również własne dane wewnętrzne. Dane te są niezbędne do wspierania naszych operacji. W przypadku tego rodzaju danych to OVHcloud jest administratorem danych. + +Dane wewnętrzne obejmują informacje techniczne i administracyjne. Wykorzystywane są one do świadczenia usług, zarządzania relacjami biznesowymi oraz spełniania wymogów prawnych. + +### Kim są interesariusze cyberbezpieczeństwa? + +#### Klienci i partnerzy + +OVHcloud odgrywa kluczową rolę w prowadzeniu infrastruktury, platform i oprogramowania, które wspierają operacje cyfrowe, oraz w zarządzaniu nimi. + +Usługi te mają krytyczne znaczenie dla systemów informatycznych i działalności biznesowej naszych klientów. Wielu naszych klientów świadczy także usługi innym podmiotom, tworząc złożone i stale zmieniające się środowisko. + +Jako zaufany dostawca usług chmurowych OVHcloud powinien wykazywać się dużą wiedzą techniczną oraz kontrolą nad sposobem świadczenia naszych usług. + +Musimy zapewnić, że nasze usługi spełniają wysokie standardy niezawodności, bezpieczeństwa i wydajności. Standardy te są wymagane zarówno przez naszych klientów, jak i przez ich własnych użytkowników końcowych. + +#### Organy i regulatorzy właściwi dla danej branży + +Organy regulacyjne tworzą przepisy mające na celu ochronę obywateli i przedsiębiorstw w swoich regionach. Przepisy te obejmują wymagania dotyczące zabezpieczania danych oraz kontroli sposobu ich przetwarzania. + +OVHcloud przestrzega tych przepisów w każdym regionie, w którym działa. Dbamy o to, aby nasze usługi odpowiadały konkretnym potrzebom i warunkom każdego lokalnego środowiska. + +Ponadto niektórzy regulatorzy ustanawiają dodatkowe przepisy dla określonych branż. Przepisy te dotyczą konkretnych rodzajów danych oraz działań związanych z przetwarzaniem, które wiążą się z wyższym ryzykiem. + +Aby sprostać tym potrzebom, OVHcloud oferuje usługi zaprojektowane tak, by spełniać przepisy właściwe dla danej branży. Jesteśmy zobowiązani do spełniania tych standardów oraz przeciwdziałania związanym z nimi rodzajom ryzyka. + +#### Pracownicy, kierownictwo OVHcloud i akcjonariusze + +Pracownicy OVHcloud odpowiadają za projektowanie, utrzymywanie i obsługę systemów oraz procesów wspierających nasze usługi. + +Każdy incydent bezpieczeństwa może wyrządzić bezpośrednią szkodę naszym operacjom. Może również obniżyć wartość naszych usług oraz nadszarpnąć reputację i profesjonalizm naszych zespołów. + +Z drugiej strony prowadzenie bezpiecznych systemów informatycznych wzmacnia zdolność OVHcloud do innowacji. Wspiera również kulturę pracy zespołowej i zaangażowania, co prowadzi do wyższej jakości usług. + +OVHcloud działa na wysoce konkurencyjnym rynku. Aby odnieść sukces, musimy szybko się rozwijać, by wspierać innowacje i ekspansję międzynarodową. Jednocześnie musimy nieustannie budować naszą wiarygodność. + +Zaufanie klientów jest głównym czynnikiem stojącym za tym rozwojem. Zaufanie to zależy od naszej zdolności do ochrony ich danych i obciążeń roboczych. + +Z tego powodu cyberbezpieczeństwo jest kluczowym elementem strategii rozwoju OVHcloud. Jest w pełni wspierane przez nasze kierownictwo i akcjonariuszy. + +Stawiając cyberbezpieczeństwo na pierwszym miejscu, możemy chronić zaufanie i lojalność klientów. Ma to zasadnicze znaczenie dla osiągania naszych celów biznesowych oraz utrzymania pozycji wiodącego dostawcy usług chmurowych. + +#### Podwykonawcy i outsourcing + +OVHcloud współpracuje z podwykonawcami w celu zarządzania różnymi procesami i projektami. Podwykonawcy ci mogą mieć dostęp do systemów informatycznych OVHcloud oraz do lokalizacji fizycznych. + +Ponadto OVHcloud korzysta z zewnętrznych aplikacji i systemów, które są zintegrowane z jego główną infrastrukturą. Te systemy zewnętrzne wspierają kluczowe elementy operacji OVHcloud. Stanowią one istotną część ogólnej struktury bezpieczeństwa firmy. + +OVHcloud rozszerza swoje środki bezpieczeństwa, aby objąć nimi tych podwykonawców oraz systemy zewnętrzne. Ponieważ mają one zasadnicze znaczenie dla naszych operacji, ważne jest, aby przestrzegały tych samych standardów i zasad bezpieczeństwa. + +## Ryzyka i szanse związane z cyberbezpieczeństwem + +### Zarządzanie ryzykiem / Zgodność + +Skuteczne zarządzanie ryzykiem wymaga formalnej metody doboru najlepszych środków bezpieczeństwa dla każdej sytuacji. Stosowana właściwie, metoda ta może być skuteczna. Wiąże się jednak również z wyzwaniami. + +Jeden środek bezpieczeństwa może jednocześnie ograniczać kilka rodzajów ryzyka. Podobnie każde ryzyko często wymaga wielu środków, aby zostać w pełni zaadresowane. + +Stosowanie szczegółowej, ustrukturyzowanej oceny przy każdej decyzji dotyczącej bezpieczeństwa może być nieefektywne. Może również tworzyć zbędną złożoność. + +W wielu sytuacjach bardziej praktyczne jest prostsze podejście. OVHcloud często stosuje metodę opartą na zgodności, kierując się zbiorem zasad bezpieczeństwa zbudowanym na 25 latach doświadczenia w usługach chmurowych. Metoda ta opiera się również na standardach międzynarodowych, regulacjach branżowych oraz oczekiwaniach klientów. Zespół ds. bezpieczeństwa starannie nadzoruje ten proces. + +Aby wzmocnić tę podstawę, nasz proces zarządzania ryzykiem cyberbezpieczeństwa obejmuje trzy główne cele: + +- **Identyfikacja i zarządzanie najważniejszymi ryzykami cybernetycznymi** + Pomaga to wyjaśnić interesariuszom nasze strategie ograniczania ryzyka. Śledzi również zmiany poziomów ryzyka w całej firmie oraz w obrębie poszczególnych linii produktowych. Podejście to daje jasny przegląd naszych kluczowych kwestii i pokazuje, że nasze priorytety oraz działania są odpowiednie. + +- **Wspieranie działań operacyjnych poprzez oceny oparte na ryzyku** + Zespół ds. bezpieczeństwa dostarcza narzędzi, metod i wskaźników, które pomagają zespołom biznesowym podejmować lepsze decyzje. Zasoby te pomagają zespołom ustalać priorytety, rozwiązywać bieżące problemy oraz wyjaśniać wszelkie odstępstwa od ustalonych standardów. Sprawia to, że decyzje dotyczące bezpieczeństwa są bardziej spójne, adekwatne i rozliczalne. + +- **Wspieranie złożonych decyzji poprzez pogłębioną analizę** + W obliczu trudniejszych decyzji stosujemy ustrukturyzowany proces identyfikowania, oceny i ograniczania ryzyka bezpieczeństwa. Poprawia to bezstronność, dogłębność, przejrzystość i spójność decyzji podejmowanych w odniesieniu do konkretnych projektów lub sytuacji biznesowych. + +### Kontekst ryzyka + +#### Jako znaczący operator infrastruktury + +Jako wiodący dostawca usług chmurowych OVHcloud jest firmą o wysokiej rozpoznawalności. Zarządzamy globalną infrastrukturą na dużą skalę i obsługujemy miliony klientów bezpośrednich oraz pośrednich. + +Z powodu tej widoczności nasze systemy są narażone na szeroki zakres ryzyk. Ryzyka te często pochodzą od zaawansowanych podmiotów stanowiących zagrożenie, w tym: + +- grup sponsorowanych przez państwa + +- agencji wywiadowczych + +- zorganizowanych grup cyberprzestępczych + +- grup aktywistycznych + +- powiązanych z nimi łańcuchów dostaw + +Te podmioty stanowiące zagrożenie mają kilka kluczowych celów: + +- Wywoływanie szeroko zakrojonych zakłóceń wpływających na OVHcloud i wszystkich jego klientów + +- Osłabianie infrastruktury chmurowej wspierającej określony region gospodarczy lub polityczny + +- Atakowanie klientów z określonych sektorów lub obszarów geograficznych + +- Uzyskiwanie długotrwałego dostępu w celu dalszych działań złośliwych, takich jak ataki na łańcuch dostaw czy kradzież danych + +- Testowanie swoich narzędzi i technik na silnych, nowoczesnych systemach wykorzystujących zaawansowane technologie + +#### Jako dostawca usług chmurowych + +Jako dostawca usług chmurowych hostujący miliony systemów i usług OVHcloud jest narażony na wiele rodzajów ataków. Ataki te często wymierzone są w naszych klientów i kierowane różnymi motywacjami. + +Ponieważ nasza baza klientów jest bardzo zróżnicowana, trudno jest jednoznacznie określić dokładne typy atakujących lub ich cele. Zamiast tego klasyfikujemy zagrożenia na podstawie sposobu przeprowadzania ataków. Pomaga nam to dostosować nasze podejście do bezpieczeństwa. + +Główne ścieżki ataku grupujemy w trzy kategorie: + +- **Bezpośrednie ataki na zasoby chmurowe klientów.** Następują one poprzez ekspozycję na sieci publiczne. + +- **Wykorzystanie legalnego dostępu klienta.** W tym przypadku atakujący próbują obejść mechanizmy izolacji i dotrzeć do systemów należących do innych klientów. + +- **Atakowanie współdzielonej infrastruktury OVHcloud.** Obejmuje to systemy takie jak interfejsy zarządzania klientami czy narzędzia wewnętrzne. Celem jest często ruch boczny oraz pośredni dostęp do systemów klientów. + +Ataki mogą pochodzić z kilku źródeł. Należą do nich sieci zewnętrzne, przejęty system klienta lub system zasubskrybowany w OVHcloud bądź u jednego z naszych partnerów. + +#### Jako firma + +Jak każda organizacja, OVHcloud staje w obliczu wielu rodzajów zagrożeń cybernetycznych. Należą do nich naruszenia danych, nadużywanie zasobów, ransomware, phishing oraz inne formy działalności o charakterze złośliwym. + +Takie ataki mogą zaszkodzić bezpieczeństwu naszych systemów i danych. Mogą również zakłócać nasze operacje lub być wykorzystywane jako element bardziej złożonych ataków wymierzonych w naszych klientów lub infrastrukturę. + +Większość zagrożeń, z którymi mierzy się OVHcloud, pochodzi spoza firmy. Jednak wielkość i szybki rozwój naszych międzynarodowych zespołów rodzą również ryzyka wewnętrzne. Obejmują one błędy ludzkie oraz zagrożenia wewnętrzne. Z tego powodu nasze podejście do zarządzania ryzykiem musi uwzględniać zagrożenia wewnętrzne. Jest to uzupełnienie zarządzania zagrożeniami zewnętrznymi oraz zwykłymi ryzykami operacyjnymi. + +### Główne ryzyka operacyjne + +Choć nasza strategia ograniczania ryzyka bezpieczeństwa opiera się głównie na najlepszych praktykach branżowych, niektórym ryzykom poświęca się szczególną uwagę w naszym procesie zarządzania bezpieczeństwem. Należą do nich: + +- Przejęcie stacji roboczej pracownika z wysokim poziomem dostępu do systemu + +- Wykorzystanie podatności w warstwach sterowania produktami lub w zasobach współdzielonej infrastruktury + +- Wyciek danych uwierzytelniających, takich jak hasła, tokeny czy klucze prywatne + +- Wykorzystanie dostępu dostawcy do przeprowadzenia ataku (atak na łańcuch dostaw) + +- Wykorzystanie znanych podatności w systemach narażonych na dostęp z Internetu + +- Działania o charakterze złośliwym przeprowadzane przy użyciu ważnych danych uwierzytelniających użytkownika (zagrożenie wewnętrzne) + +- Fizyczny dostęp do danych poprzez przejęcie operacji w centrum danych + +- Wykorzystanie nieznanych podatności (zero-day) w systemach produkcyjnych + +- Ataki typu odmowa usługi (DoS) na poziomie infrastruktury + +- Ataki typu odmowa usługi (DoS) na poziomie aplikacyjnym na interfejs administracyjny + +- Awaria izolacji systemu prowadząca do nieuprawnionego dostępu do danych klientów + +- Wykorzystanie słabości w kontroli dostępu sieciowego lub aplikacyjnego + +- Nadużycie wobec pracownika lub dostawcy w wyniku ataku socjotechnicznego + +- Opóźnione wykrycie zdarzeń bezpieczeństwa z powodu wadliwych mechanizmów kontroli bezpieczeństwa + +- Usługa lub aplikacja wymyka się spod kontroli i nie jest zarządzana zgodnie z politykami, co prowadzi do ujawnienia danych + +- Nadużycie skupionych uprawnień w celu obejścia zasad bezpieczeństwa + +- Błąd ludzki lub błędna konfiguracja prowadzące do niezamierzonego ujawnienia danych + +- Naruszenie bezpieczeństwa fizycznego lub kontroli dostępu w naszych centrach danych + +### Istotne skutki związane z cyberbezpieczeństwem + +#### Skutki negatywne (ryzyka) + +Zdarzenia i incydenty cyberbezpieczeństwa mogą prowadzić do kilku negatywnych konsekwencji dla OVHcloud. Należą do nich: + +- Utrata zaufania klientów do usług OVHcloud + +- Odpowiedzialność finansowa za wszelkie skutki biznesowe odczuwane przez klientów + +- Niedotrzymanie zobowiązań umownych + +- Konsekwencje prawne lub regulacyjne wynikające z naruszenia bezpieczeństwa + +- Szkoda dla reputacji OVHcloud jako niezawodnego i zaufanego dostawcy + +- Zwiększone koszty operacyjne niezbędne do obsługi incydentu i przywrócenia normalnej usługi + +- Pośrednie skutki finansowe, takie jak niższe przychody, wyższe koszty ubezpieczenia oraz spadek wartości rynkowej + +#### Skutki pozytywne (szanse) + +Wdrożenie spójnego podejścia do bezpieczeństwa, w pełni zgodnego ze strategią OVHcloud, codziennymi operacjami oraz rozwojem produktów, przynosi kilka korzyści: + +- Zmniejszenie liczby incydentów bezpieczeństwa + +- Zdolność do spełniania rygorystycznych wymagań bezpieczeństwa klientów oraz wykazywania zgodności + +- Zwiększona wartość produktów i usług oferowanych klientom + +- Silniejsze zaufanie klientów do portfolio usług OVHcloud + +- Niższy wpływ operacyjny incydentów bezpieczeństwa dzięki szybszemu wykrywaniu i lepszym procesom reagowania + +- Pozytywne skutki finansowe, takie jak niższe koszty obsługi incydentów, wyższe przychody oraz większa lojalność klientów + +## Zobowiązania OVHcloud w zakresie bezpieczeństwa na rzecz budowy godnych zaufania usług chmurowych + +### Spójne fundamenty zarządzane w sposób przemysłowy + +Nasze podejście opiera się na ustandaryzowanych elementach składowych, bezpiecznych architekturach oraz formalnych, sprawdzonych i wysoce zautomatyzowanych procesach. Celem jest uczynienie z bezpieczeństwa czynnika napędzającego efektywność i spójność w obrębie systemu informatycznego. + +Aby to wspierać, opracowaliśmy narzędzia, procesy oraz gotowe do użycia komponenty, z których mogą korzystać wszystkie zespoły w celu stosowania najlepszych praktyk bezpieczeństwa. + +Bezpieczeństwo nie jest jedyną korzyścią z tego ustrukturyzowanego podejścia, ale jest ono niezbędne. Umożliwia ono podejście „security by design” i pomaga utrzymać spójne bezpieczeństwo w czasie. Integrując bezpieczeństwo od samego początku, unikamy traktowania go jako kwestii drugorzędnej. + +Formalne kontrole bezpieczeństwa przeprowadzane są w ramach zarządzania projektami i zmianami. Kontrole te zapewniają, że zasady bezpieczeństwa są przestrzegane od fazy projektowania przez cały cykl życia każdego systemu lub aplikacji. + +Każdy zespół odpowiada za bezpieczeństwo systemów, którymi zarządza. Nieustannie pracujemy nad zachowaniem równowagi między dwoma celami: + +- Egzekwowaniem wspólnych zasad bezpieczeństwa OVHcloud + +- Zapewnieniem właścicielom systemów swobody w stosowaniu ich wiedzy technicznej + +Równowaga ta ma zasadnicze znaczenie dla naszego podejścia do bezpieczeństwa. Ściśle współpracujemy z zespołami biznesowymi, aby zapewnić spójne stosowanie zasad bezpieczeństwa w całej firmie. + +### Wspieranie każdego rodzaju klientów w ich rozwoju w chmurze + +Produkty OVHcloud budowane są z wykorzystaniem technologii open source oraz uznanych standardów technologicznych. Ułatwia to klientom adaptację systemów i zarządzanie nimi w chmurze. + +Bezpieczeństwo jest kluczowym elementem naszego procesu rozwoju produktów. Zespół ds. bezpieczeństwa jest zaangażowany w każdą decyzję, która może mieć wpływ na bezpieczeństwo. Zapewnia to uwzględnianie bezpieczeństwa od samego początku. + +Nasze podejście do bezpieczeństwa produktów opiera się na ryzyku. Bierzemy pod uwagę: + +- Skalę i tempo wdrożenia + +- Kulturę bezpieczeństwa naszych klientów + +- Konkretne przypadki użycia i technologie dla każdego produktu + +Pozwala nam to dostosowywać nasze środki bezpieczeństwa do potrzeb różnych grup klientów. + +Stosowanie najlepszych praktyk w zakresie konfiguracji oraz zarządzanie pełnym cyklem życia bezpieczeństwa jest niezbędne. Zwiększa to wartość dla naszych klientów i jest jednym z głównych powodów, dla których decydują się oni na przejście do chmury. Odpowiedzialność ta jest w pełni zintegrowana z cyklem życia produktu. + +Mimo że poziom zabezpieczeń może różnić się w zależności od produktu, wszystkimi zdarzeniami, incydentami, podatnościami, zagrożeniami oraz informacjami związanymi z bezpieczeństwem zarządzamy w sposób ujednolicony i spójny. + +### Wspieranie każdego klienta w zarządzaniu jego własnymi, specyficznymi ryzykami + +OVHcloud oferuje swoje rozwiązania szerokiemu gronu klientów z wielu branż. Należą do nich: + +- Startupy + +- Małe i średnie przedsiębiorstwa (MŚP) + +- Duże firmy + +- Agencje rządowe + +- Korporacje wielonarodowe + +Każdy klient ma inne podejście do bezpieczeństwa. Wynika ono z jego potrzeb biznesowych i kontekstu operacyjnego, a OVHcloud bierze to pod uwagę. + +W przetwarzaniu w chmurze bezpieczeństwo jest współdzieloną odpowiedzialnością. OVHcloud oraz jego klienci mają ściśle określone role. To klienci ostatecznie odpowiadają za bezpieczeństwo swoich systemów informatycznych w chmurze. Aby uniknąć ryzyk wynikających z niejasności, jasno wyjaśniamy, za co odpowiada każda ze stron. + +Aby pomóc klientom w zabezpieczeniu ich systemów, OVHcloud zapewnia: + +- Zestaw narzędzi i funkcji poprawiających bezpieczeństwo + +- Standardowe funkcje bezpieczeństwa dostępne dla wszystkich klientów + +- Opcjonalne funkcje do zarządzania określonymi ryzykami + +Klienci mają również swobodę dodawania własnych narzędzi i rozwiązań bezpieczeństwa. Nasza platforma została zaprojektowana tak, aby wspierać tę elastyczność. + +Oferujemy szeroki zakres wbudowanych usług bezpieczeństwa. Są one dostępne za pośrednictwem naszego katalogu rozwiązań i wspierane przez technologie oraz usługi naszych partnerów. Nasze produkty obsługują również rozwiązania firm trzecich oraz rozwiązania społecznościowe. Pozwala to klientom budować własne strategie bezpieczeństwa i dostosowywać je do swoich specyficznych potrzeb. + +## Zarządzanie cyberbezpieczeństwem + +Kierownictwo OVHcloud jest długofalowo zaangażowane w cyberbezpieczeństwo. Przejawia się to w tworzeniu jasnych zasad zarządzania ryzykiem. Obejmuje to również przydzielanie odpowiedzialności, zapewnianie niezbędnych zasobów oraz monitorowanie wyników. + +Dyrektor ds. bezpieczeństwa informacji (CISO) definiuje i wdraża zarządzanie cyberbezpieczeństwem. Praca ta nadzorowana jest przez Dyrektora ds. informatyki (CIO), który pełni rolę sponsora wykonawczego w tym zakresie w ramach Komitetu Wykonawczego. Zarządzanie to jest przeglądane i aktualizowane co roku, aby pozostawać w zgodzie z celami strategicznymi OVHcloud oraz zarządzaniem ryzykiem w skali całej firmy. + +Własność systemów jest kluczową zasadą w określaniu odpowiedzialności za bezpieczeństwo w OVHcloud. Każdy zespół odpowiada za bezpieczeństwo systemów, które buduje i którymi zarządza, w oparciu o trzy podstawowe zasady: + +- Rozliczalność zespołu + +- Industrializacja + +- Pogłębiona wiedza techniczna + +Zespół ds. bezpieczeństwa utrzymuje silne relacje ze wszystkimi zespołami obsługującymi systemy. Pomaga to zapewnić spójne podejście do bezpieczeństwa w całym OVHcloud. + +Zarządzanie to obejmuje wszystkie spółki grupy OVHcloud. Dotyczy również pracowników, dostawców, usługodawców, podwykonawców oraz użytkowników systemu informatycznego. + +Usługi OVHcloud opierają się na ramach cyberbezpieczeństwa zaprojektowanych tak, aby: + +- Równoważyć długoterminową strategię z efektywnymi codziennymi operacjami + +- Utrzymywać skoncentrowanie naszych działań na rzecz bezpieczeństwa + +- Zapewniać skuteczne reagowanie na nowe zagrożenia i podatności + +Zespół ds. bezpieczeństwa OVHcloud obsługuje ujednolicony i kompleksowy zestaw mechanizmów kontroli bezpieczeństwa w ramach swojego Systemu zarządzania bezpieczeństwem informacji, wewnętrznie znanego jako OneISMS. Program OneISMS zbudowany jest wokół trzech głównych warstw, którymi zarządza zespół ds. bezpieczeństwa: + +- **Warstwa zarządzania wymaganiami** + Warstwa ta konsoliduje i porządkuje wszystkie wymagania bezpieczeństwa pochodzące z różnych źródeł. Standaryzuje je w ramach spójnych ram oraz definiuje jasne kryteria stosowalności. + +- **Warstwa wdrożeniowa** + Warstwa ta zapewnia formalne podejście do zarządzania mechanizmami kontroli bezpieczeństwa i ich obsługi. Zapewnia zgodność między mechanizmami kontroli a celami bezpieczeństwa, zarządza dokumentacją mechanizmów kontroli oraz operacyjnym ich monitorowaniem, a także koordynuje zarządzanie ryzykiem w ramach ujednoliconych ram. + +- **Warstwa oceny bezpieczeństwa** + Warstwa ta obsługuje zarówno wewnętrzne, jak i zewnętrzne mechanizmy kontroli. Koncentruje się na weryfikacji osiągania celów bezpieczeństwa oraz ocenie skuteczności zasobów przydzielonych na bezpieczeństwo. Obejmuje również audyty zewnętrzne, czy to w celach certyfikacyjnych, czy na żądanie klientów. + +Wspólnie warstwy te zapewniają, że OVHcloud utrzymuje spójny, skuteczny i przejrzysty poziom zabezpieczeń w swoich systemach informatycznych. + +**Kluczowe wskaźniki efektywności:** + +- Odsetek produktów objętych OneISMS + +- Liczba osobodni poświęconych na oceny bezpieczeństwa + +## Relacje z zewnętrznymi ekspertami ds. bezpieczeństwa + +Nasz zespół ds. bezpieczeństwa oraz eksperci techniczni utrzymują silne relacje robocze z zewnętrznymi społecznościami zajmującymi się bezpieczeństwem, organami publicznymi, wydawcami oprogramowania oraz producentami sprzętu. Współpraca ta pomaga nam być na bieżąco z pojawiającymi się zagrożeniami i podatnościami oraz pozwala podejmować wczesne działania w celu ograniczenia związanych z nimi ryzyk. + +Aktywnie wnosimy wkład w społeczność zajmującą się bezpieczeństwem, dzieląc się naszą wiedzą i innowacjami. Wspieramy również praktyki odpowiedzialnego ujawniania, aby zachęcać do otwartego i etycznego postępowania z odkryciami dotyczącymi bezpieczeństwa. + +Aby jeszcze bardziej wzmocnić nasz poziom zabezpieczeń, prowadzimy publiczny program bug bounty. Program ten umożliwia zewnętrznym badaczom bezpieczeństwa zgłaszanie podatności, pomagając nam stale poprawiać bezpieczeństwo naszych systemów. + +**Kluczowe wskaźniki efektywności:** + +- Wypłacone nagrody w ramach programu bug bounty + +## Program zgodności + +Zobowiązanie OVHcloud wobec klientów i partnerów określone jest poprzez formalną relację umowną. Umowa ta jasno przedstawia nasze obowiązki. + +Udostępniamy szczegółową i łatwą do zrozumienia macierz ról i obowiązków w zakresie bezpieczeństwa. Zapewnia to, że wszystkie strony rozumieją swoje wzajemne zadania. + +OVHcloud przestrzega wszystkich obowiązujących przepisów prawa i regulacji w każdym kraju, w którym działa. Stosujemy się również do regulacji właściwych dla danej branży, takich jak te dotyczące opieki zdrowotnej oraz systemów informatycznych w sektorze finansowym. + +Nasz system zarządzania bezpieczeństwem opiera się na standardach międzynarodowych, w tym **ISO/IEC 27001**. Standard ten podkreśla znaczenie zasad bezpieczeństwa. + +Regularnie oceniamy nasze funkcje bezpieczeństwa poprzez: + +- Niezależne audyty firm trzecich + +- Uznane wzorce audytowe + +- Raporty i certyfikaty zgodności udostępniane klientom, gdy jest to istotne + +Zespół ds. bezpieczeństwa OVHcloud prowadzi ustrukturyzowany program, który obejmuje: + +- Przeglądy wewnętrzne i zewnętrzne + +- Mechanizmy kontroli bezpieczeństwa + +- Regularne audyty + +Program ten pomaga nam testować nasz poziom zabezpieczeń i zapewnia, że nadal dotrzymujemy naszych zobowiązań. + +Porównujemy nasze praktyki z powszechnie stosowanymi ramami zgodności w zakresie bezpieczeństwa. Dedykowany zespół odpowiada za napędzanie ciągłego doskonalenia. Zespół ten ściśle współpracuje z właścicielami systemów, aby: + +- Wdrażać usprawnienia + +- Podnosić ogólny poziom bezpieczeństwa + +- Ograniczać ryzyko + +- Pozostawać w zgodzie z naszymi zobowiązaniami w zakresie bezpieczeństwa + +Poza zobowiązaniami prawnymi i umownymi OVHcloud aktywnie angażuje się we współpracę ze swoim ekosystemem. Obejmuje to klientów, partnerów oraz potencjalnych klientów. + +Priorytetowo traktujemy jasność i przejrzystość we wszelkiej komunikacji. Naszym celem jest budowanie otwartych i uczciwych relacji z naszymi interesariuszami. Dostarczamy dokładnych i aktualnych informacji o naszych praktykach w zakresie bezpieczeństwa, tak aby interesariusze mogli w pełni zrozumieć nasz poziom zabezpieczeń i podejmować świadome decyzje. + +**Kluczowe wskaźniki efektywności:** + +- Liczba osobodni poświęconych na oceny bezpieczeństwa + +## Bezpieczeństwo na etapie projektowania (security by design) + +Nasze systemy produkcyjne projektujemy i budujemy zgodnie z następującymi zasadami: + +- **Wymagania klasy produkcyjnej** + Każdy system jest projektowany tak, aby obsługiwać duży ruch i szybko się skalować. + +- **Bezpieczne interfejsy i bramy** + Systemy projektowane są z założeniem, że będą narażone na zagrożenia zewnętrzne. Ograniczanie ekspozycji traktowane jest jako dodatkowa warstwa bezpieczeństwa. + +- **Solidne i sprawdzone technologie** + Wykorzystujemy zarówno technologie open source, jak i własnościowe, które spełniają rygorystyczne standardy wydajności i odporności. + +- **Deterministyczne zachowanie** + Systemy są konfigurowane pod kątem spójnego i bezpiecznego działania. Budujemy silną wiedzę ekspercką poprzez stopniowe wdrażanie, szczegółowe testy oraz wysoki poziom automatyzacji. Obejmuje to stosowanie modelu „as-code” oraz zarządzanie każdym systemem przez cały jego cykl życia. + +- **Oprogramowanie rozwijane wewnętrznie** + Oprogramowanie tworzone na zamówienie jest opracowywane z zastosowaniem rygorystycznych procesów, aby spełniać konkretne potrzeby, takie jak wysoka wydajność czy zaawansowane mechanizmy kontroli bezpieczeństwa. + +## Ochrona danych + +OVHcloud stosuje rygorystyczną zasadę: dane klientów nigdy nie są wykorzystywane do celów biznesowych. + +Pracownicy nie znają charakteru danych hostowanych przez klientów i nie mają prawa do uzyskiwania do nich dostępu. Jednak podczas operacji technicznych na systemach przechowujących dane klientów pracownicy mogą technicznie znaleźć się w sytuacji umożliwiającej dostęp do tych danych. Taki dostęp jest surowo zabroniony. OVHcloud wdrożył silne mechanizmy kontroli bezpieczeństwa, aby wykrywać wszelki nieuprawniony dostęp, zapewniać rozliczalność działań oraz gwarantować, że zasada ta jest przestrzegana przez cały czas. + +Oprócz danych klientów OVHcloud zarządza danymi wewnętrznymi, które mogą dotyczyć klientów, pracowników, usługodawców lub partnerów. Gdy jest to prawnie dopuszczalne, dane te mogą być udostępniane stronom trzecim. OVHcloud pełni rolę administratora tych danych wewnętrznych i stosuje odpowiednie środki bezpieczeństwa w zależności od rodzaju danych, ich wrażliwości oraz fazy ich cyklu życia — niezależnie od tego, czy są przechowywane, wykorzystywane, przesyłane czy usuwane. + +**Kluczowe wskaźniki efektywności:** + +- Liczba naruszeń zgłoszonych organom + +## Ludzie + +Praca zespołowa, podział obowiązków, indywidualna rozliczalność oraz stopniowe budowanie zaufania to kluczowe zasady modelu bezpieczeństwa OVHcloud. Nasze zespoły wspólnie odpowiadają za zarządzanie tysiącami środowisk klientów. Aktywne zaangażowanie każdej osoby jest niezbędne do utrzymania kompleksowego bezpieczeństwa wszystkich usług. + +Wszyscy pracownicy OVHcloud uczestniczą w formalnym programie podnoszenia świadomości i szkoleń w zakresie cyberbezpieczeństwa. Proces ten rozpoczyna się jeszcze przed zatrudnieniem, poprzez weryfikację przeszłości dostosowaną do zakresu obowiązków na danym stanowisku. Weryfikacja ta pomaga zidentyfikować potencjalne ryzyka, takie jak możliwość zachowań o charakterze złośliwym czy podatność na presję z zewnątrz. + +Pierwszego dnia nowi pracownicy przechodzą wdrożenie z zakresu cyberbezpieczeństwa. To wprowadzenie wyjaśnia znaczenie cyberbezpieczeństwa w świadczeniu naszych usług oraz podkreśla, jak indywidualna odpowiedzialność jest stosowana w całej organizacji. Ta początkowa świadomość jest wzmacniana poprzez regularną komunikację wewnętrzną, dzielenie się informacjami zwrotnymi z działań operacyjnych oraz bieżącymi kwestiami cyberbezpieczeństwa, aby utrzymać czujność i zaangażowanie całego personelu. Na stanowiskach o charakterze wrażliwym regularnie zapewniane są dodatkowe szkolenia. + +Testujemy również zdolność naszych zespołów do rozpoznawania ryzyk cyberbezpieczeństwa i reagowania na nie. Regularnie przeprowadzane są ćwiczenia oraz symulacje reagowania na incydenty, aby zapewnić, że pracownicy są dobrze przygotowani do szybkiego i skutecznego radzenia sobie z rzeczywistymi zdarzeniami bezpieczeństwa. + +**Kluczowe wskaźniki efektywności:** + +- Liczba pracowników przeszkolonych w zakresie cyberbezpieczeństwa + +- Wyniki testów phishingowych + +- Przestrzeganie procedur offboardingu + +## Środowisko pracy + +Większość działań operacyjnych w OVHcloud realizowana jest przy użyciu scentralizowanych usług, takich jak obsługa zgłoszeń, dokumentacja, projektowanie systemów, automatyzacja, zarządzanie kodem, budowanie oprogramowania oraz obsługa usług. Pracownicy korzystają ze swoich stacji roboczych, aby uzyskać dostęp do tych usług. + +Utrzymanie wysokiego poziomu kontroli nad stacjami roboczymi jest niezbędne, aby zapobiec ich staniu się punktem wejścia dla ataków. Jednocześnie pracownicy OVHcloud często potrzebują dostępu do szerokiej gamy narzędzi, interakcji niskopoziomowych z systemami oraz szerokiej łączności z sieciami otwartymi. Możliwości te są ważne dla eksperymentowania, rozwoju oraz rozwiązywania problemów. + +Zachowanie równowagi między tymi potrzebami operacyjnymi a rygorystycznymi wymaganiami bezpieczeństwa jest nieustannym wyzwaniem. + +Aby temu sprostać, wdrażamy: + +- Ścisłą kontrolę dostępu do sieci wewnętrznych, systemów i aplikacji. Dostęp opiera się na rolach biznesowych i zarządzany jest przez bezpieczne bramy lub bastiony w celu zapewnienia rozliczalności + +- Monitorowanie sieci wewnętrznych, dostępu do zasobów zewnętrznych, narzędzi komunikacyjnych oraz aplikacji wewnętrznych w celu wykrywania nietypowej lub nieuprawnionej aktywności + +- Ścisłą kontrolę konfiguracji stacji roboczych, w tym hartowanie systemów, zautomatyzowane zarządzanie konfiguracją, usuwanie lokalnych uprawnień administratora, scentralizowane monitorowanie z wykorzystaniem EDR oraz ochrony przed złośliwym oprogramowaniem, a także narzędzia do badania incydentów + +- Dedykowane stacje robocze z niestandardowymi konfiguracjami dla ról o charakterze wrażliwym oraz środowisk krytycznych + +- Ścisłą kontrolę dostępu do aplikacji za pośrednictwem urządzeń mobilnych + +**Kluczowe wskaźniki efektywności:** + +- Liczba alertów bezpieczeństwa związanych z niewłaściwymi zachowaniami + +- Liczba niewłaściwych zachowań technicznych + +## Zarządzanie tożsamością i dostępem + +Wewnętrzny system zarządzania tożsamością i dostępem (IAM) w OVHcloud został zaprojektowany do zarządzania całym cyklem życia tożsamości użytkowników, od jej utworzenia po wygaśnięcie. + +Wnioski o dostęp przebiegają według ustrukturyzowanego procesu, obejmującego formalne etapy przeglądu i zatwierdzenia. Dostęp przyznawany jest wyłącznie upoważnionym osobom, w oparciu o potrzeby biznesowe. Obsługujemy zarówno konta indywidualne, jak i konta usługowe oraz utrzymujemy ścisłe rozdzielenie między standardowymi kontami użytkowników a kontami administracyjnymi, aby ograniczyć ryzyko nieuprawnionego dostępu. + +Danymi uwierzytelniającymi zarządzamy przez cały ich cykl życia — tworzenie, aktualizacje oraz usuwanie. Stosujemy różne metody uwierzytelniania, w tym hasła, certyfikaty cyfrowe, tokeny fizyczne oraz uwierzytelnianie biometryczne. Obsługujemy również jednokrotne logowanie (SSO), aby uprościć dostęp użytkowników, oraz korzystamy z hostów bastionowych w celu zabezpieczenia działań administracyjnych. + +Aby zapewnić indywidualną rozliczalność, przeprowadzamy regularne przeglądy dostępu oraz monitorujemy wykorzystanie kont, aby zweryfikować, że uprawnienia dostępu są zgodne z wewnętrznymi politykami i procedurami. Nasz system kontroli dostępu opartej na rolach (RBAC) definiuje poziomy dostępu w oparciu o rolę użytkownika, a my utrzymujemy szeroki zakres ról dopasowanych do różnych kontekstów operacyjnych. + +Dostęp do usług sieciowych jest chroniony przez bezpieczne mechanizmy uwierzytelniania. Zdecydowanie zalecamy stosowanie uwierzytelniania wieloskładnikowego, aby dodać dodatkową warstwę bezpieczeństwa. Nasze polityki haseł wymuszają wymagania dotyczące złożoności, a wszystkie hasła są bezpiecznie przechowywane z wykorzystaniem szyfrowania. + +Monitorujemy również status danych uwierzytelniających należących do byłych użytkowników, aby zapewnić, że po wygaśnięciu zatrudnienia nie pozostaje żaden nieuprawniony dostęp. Ogólnie rzecz biorąc, nasz system IAM kieruje się zasadą najmniejszych uprawnień, przyznając dostęp wyłącznie użytkownikom, którzy go faktycznie potrzebują. + +**Kluczowe wskaźniki efektywności:** + +- Dokładność uprawnień dostępu + +- Odsetek aplikacji korzystających z SSO + +## Bezpieczne ciągłe dostarczanie + +W OVHcloud nasze zespoły programistyczne liczą ponad tysiąc deweloperów pracujących na wielu stosach technologicznych. Ta różnorodność utrudnia stosowanie jednego, jednolitego procesu rozwoju. + +Aby temu zaradzić, zdefiniowaliśmy zestaw archetypów rozwojowych. Służą one jako podstawowe modele dla różnych typów projektów. Centralizujemy również cały kod źródłowy we współdzielonym repozytorium, aby zapewnić spójny dostęp oraz umożliwić efektywną współpracę między zespołami. + +Nasz zestaw narzędzi programistycznych obsługuje szeroki zakres technologii i przepływów pracy. Obejmuje system ciągłego dostarczania, który automatyzuje budowanie i testowanie. Deweloperzy mają również dostęp do dedykowanych środowisk i laboratoriów do testów oraz walidacji. Podpisywanie kodu służy do zagwarantowania autentyczności i integralności oprogramowania. + +Aby wspierać bezpieczny i efektywny rozwój, dostarczamy prymitywy niskopoziomowe, takie jak rejestrowanie zdarzeń, zarządzanie sekretami oraz uruchamianie kontenerów. Nasze interfejsy API są projektowane jako zgodne z REST i bezpieczne oraz chronione przez reverse proxy pełniące funkcję bezpiecznych bram. + +Dostępem do systemów i danych zarządza się za pośrednictwem rozwijanych wewnętrznie narzędzi do zarządzania tożsamością i dostępem. Narzędzia te zapewniają wysoki poziom kontroli dostępu oraz możliwości audytu. Korzystamy również z narzędzi do zarządzania zależnościami, aby zapewnić, że komponenty zewnętrzne są aktualne i wolne od znanych podatności. + +Oferując elastyczne i skalowalne ramy, OVHcloud jest w stanie sprostać zróżnicowanym potrzebom swoich zespołów programistycznych, utrzymując jednocześnie silny poziom zabezpieczeń. + +## Bezpieczne zarządzanie stanem + +Hartowanie jest kluczowym elementem poziomu zabezpieczeń OVHcloud. Polega ono na systematycznym usuwaniu zbędnych funkcji, konfigurowaniu systemów z bezpiecznymi ustawieniami oraz stosowaniu najnowszych poprawek bezpieczeństwa w celu ograniczenia podatności. + +Zarządzanie konfiguracją kryptograficzną również ma zasadnicze znaczenie. OVHcloud przestrzega najlepszych praktyk branżowych w zakresie bezpiecznego szyfrowania, wykorzystując zalecane algorytmy i protokoły do ochrony poufności oraz integralności danych. + +Konfiguracje systemów i aplikacji są ściśle kontrolowane. Wszelkie zmiany są starannie śledzone i zarządzane. Kontrola inwentarza jest rygorystycznie egzekwowana. Wszystkie zasoby IT — w tym sprzęt, oprogramowanie i dane — są rejestrowane i monitorowane w celu utrzymania widoczności oraz kontroli. + +Zarządzanie ekspozycją jest kolejnym ważnym elementem naszego podejścia. OVHcloud regularnie identyfikuje i adresuje ryzyka bezpieczeństwa poprzez: + +- Oceny podatności + +- Działania naprawcze + +- Ciągłe doskonalenie konfiguracji systemów + +Te połączone działania zapewniają, że nasza infrastruktura pozostaje bezpieczna, dobrze zarządzana i zgodna ze standardami branżowymi. + +**Kluczowe wskaźniki efektywności:** + +- Pokrycie CMDB + +## Monitorowanie, wykrywanie i reagowanie na incydenty + +Obsługujemy ramy ciągłej analizy zagrożeń, które są bezpośrednio połączone z naszymi systemami monitorowania. Pozwala to nam dostosowywać nasze praktyki operacyjne w czasie rzeczywistym, aby reagować na bieżące ryzyka oraz szybko i skutecznie odpowiadać na incydenty bezpieczeństwa. + +Struktura naszego zespołu ds. bezpieczeństwa umożliwia szybką mobilizację ekspertów w razie potrzeby. Zapewnia to, że incydenty są efektywnie badane i rozwiązywane, a działania naprawcze wdrażane są szybko i w sposób trwały, aby ograniczyć przyszłe ryzyko. + +Za monitorowanie operacyjne oraz rejestrowanie zdarzeń odpowiada każdy właściciel systemu. Dodatkowo nasz system zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM) zapewnia monitorowanie w czasie rzeczywistym, korelację zdarzeń oraz możliwości wykrywania zagrożeń. Zbieramy i analizujemy odpowiednie dane dziennikowe wraz z zewnętrznymi informacjami o zagrożeniach, aby identyfikować potencjalne ryzyka bezpieczeństwa. + +Nasz proces zarządzania incydentami obejmuje jasne definicje typów incydentów, poziomów istotności oraz procedur reagowania. Ustalony proces eskalacji zapewnia, że incydenty są obsługiwane przez odpowiednie zespoły na każdym etapie. + +Dysponujemy dedykowanym zespołem reagowania na incydenty komputerowe (CERT), przeszkolonym w zarządzaniu incydentami bezpieczeństwa. Proces reagowania na incydenty obejmuje pełną analizę incydentu, jego powstrzymanie, eliminację oraz przywrócenie do normalnego stanu. Przeprowadzany jest przegląd poincydentalny, aby uchwycić wyciągnięte wnioski i ulepszyć przyszłe działania w zakresie reagowania. + +Utrzymujemy również jasny plan komunikacji, aby zapewnić, że interesariusze są informowani i otrzymują aktualizacje podczas incydentów bezpieczeństwa. Regularnie przeprowadzane są ćwiczenia i symulacje w celu przetestowania i wzmocnienia naszych zdolności reagowania na incydenty. + +**Kluczowe wskaźniki efektywności:** + +- Pokrycie SIEM + +- Liczba incydentów z wpływem na dane klientów + +- Liczba incydentów z wpływem na sprawozdania finansowe + +## Bezpieczeństwo centrów danych + +Centra danych OVHcloud są projektowane i obsługiwane jako obiekty klasy przemysłowej. Każda lokalizacja jest planowana w oparciu o analizę ryzyka uwzględniającą czynniki geograficzne, techniczne i społeczne. Czynniki te wpływają na sposób zarządzania każdym centrum danych i jego obsługi. + +Wszystkie operacje w obrębie centrów danych przebiegają według formalnych procedur, aby zminimalizować błędy ludzkie oraz zapewnić rozliczalność i możliwość śledzenia. Każda zmiana obsługiwana jest poprzez ustrukturyzowany i centralnie koordynowany proces, który pomaga przewidywać ryzyka oraz oceniać potencjalne skutki. + +Rutynowe operacje również podlegają ścisłym, formalnym procedurom. Procedury te są wspierane przez narzędzia do zarządzania centrami danych oraz zautomatyzowane systemy zbierania danych połączone z infrastrukturą. Zapewnia to spójność operacyjną i ogranicza ryzyko, zwłaszcza podczas obsługi nośników zawierających dane klientów. + +Dostęp do centrów danych OVHcloud jest ograniczony i opiera się na indywidualnej identyfikacji oraz ścisłej potrzebie biznesowej. Kontrola dostępu jest definiowana przez model stref, w którym każda strefa ma określone zasady dostępu oparte na jej krytyczności oraz funkcji biznesowej. + +Aby wspierać tę politykę dostępu, OVHcloud opiera się na: + +- Zaawansowanych systemach nadzoru wideo + +- Dedykowanych systemach informatycznych centrów danych + +- Scentralizowanej koordynacji i monitorowaniu działań związanych z bezpieczeństwem i operacjami + +Systemy te pomagają zapewnić, że lokalne operacje są bezpieczne i zgodne z globalnymi ramami bezpieczeństwa i monitorowania OVHcloud. + +**Kluczowe wskaźniki efektywności:** + +- Liczba centrów danych poddanych audytowi w ciągu ostatnich 12 miesięcy + +- Liczba centrów danych niepoddanych audytowi w ciągu ostatnich 36 miesięcy diff --git a/docs/pt/guides/account-and-service-management/account-information/information-system-security-policy.mdx b/docs/pt/guides/account-and-service-management/account-information/information-system-security-policy.mdx deleted file mode 120000 index 7bf7d26ba..000000000 --- a/docs/pt/guides/account-and-service-management/account-information/information-system-security-policy.mdx +++ /dev/null @@ -1 +0,0 @@ -../../../../en/guides/account-and-service-management/account-information/information-system-security-policy.mdx \ No newline at end of file diff --git a/docs/pt/guides/account-and-service-management/account-information/information-system-security-policy.mdx b/docs/pt/guides/account-and-service-management/account-information/information-system-security-policy.mdx new file mode 100644 index 000000000..28f71685d --- /dev/null +++ b/docs/pt/guides/account-and-service-management/account-information/information-system-security-policy.mdx @@ -0,0 +1,624 @@ +--- +title: Política de segurança do sistema de informação da OVHcloud +description: Saiba como a OVHcloud estrutura a sua Política de Segurança do Sistema de Informação (PSSI), desde a governação da cibersegurança e a gestão dos riscos até à proteção dos dados e à segurança dos datacenters. +lastUpdated: 2026-05-27 +--- + +## Objetivo deste documento + +Na OVHcloud, utilizamos um sistema de gestão global e detalhado para a cibersegurança. Este documento explica como esse sistema está estruturado e como funciona. Inclui os seguintes elementos: + +- Um resumo do ambiente de exploração da OVHcloud. Isto permite identificar os principais riscos de cibersegurança, os desafios essenciais e os obstáculos a superar. + +- Os nossos compromissos de segurança perante as partes interessadas. Descreve igualmente os grandes princípios que seguimos para proteger e gerir os nossos sistemas de informação. + +- A estrutura que utilizamos para articular a estratégia, as operações diárias e as melhorias futuras. Isto garante que a nossa abordagem à cibersegurança é, ao mesmo tempo, coerente e eficaz. + +Este documento é designado por "Política de Segurança do Sistema de Informação". É revisto e atualizado anualmente, bem como sempre que ocorram acontecimentos de elevado impacto. Substitui um amplo conjunto de políticas de segurança e de guias de implementação, que são geridos de acordo com os seus próprios ciclos de vida. + +Este texto foi intencionalmente redigido numa linguagem simples, de forma a facilitar a sua compreensão por parte de não especialistas. + +## Contexto da governação da cibersegurança + +Enquanto alternativa de referência num mercado bem estabelecido, a OVHcloud enfrenta um desafio complexo. Os nossos clientes esperam que os nossos serviços cloud respeitem os padrões do setor. Ao mesmo tempo, pretendem beneficiar das nossas vantagens competitivas únicas. Em matéria de cibersegurança, procuramos encontrar o equilíbrio adequado. Pretendemos respeitar os padrões do setor, aplicando simultaneamente estratégias de mitigação dos riscos adaptadas ao nosso modelo de negócio específico. + +A OVHcloud evolui num ambiente em rápida mutação. As ameaças, as tecnologias e as expetativas dos clientes evoluem constantemente. Devemos, por isso, manter-nos flexíveis e capazes de nos adaptarmos rapidamente. + +### O que é a segurança da informação? + +A segurança consiste em proteger os nossos sistemas de informação e os nossos serviços contra ameaças potenciais. O objetivo é garantir a confidencialidade, a integridade e a disponibilidade dos dados e dos serviços cloud dos nossos clientes. + +Enquanto fornecedor de serviços cloud, a OVHcloud deve assegurar sempre que os sistemas permanecem disponíveis e que os dados permanecem protegidos. Trata-se de uma responsabilidade fundamental, partilhada por todos os colaboradores da OVHcloud. + +A governação da cibersegurança centra-se principalmente nos riscos associados a ações maliciosas. Assegura igualmente uma coordenação estreita com todas as equipas envolvidas na prestação dos serviços. Esta coordenação contribui para implementar uma abordagem completa e coerente da gestão dos riscos. + +A abordagem de segurança da OVHcloud inclui também regras claras em matéria de proteção e rastreabilidade dos dados. Este aspeto é particularmente importante quando está em causa a privacidade. Estes compromissos estão formalmente integrados nas nossas políticas de segurança. + +A Política de Segurança do Sistema de Informação (PSSI) abrange os cinco critérios de segurança seguintes: + +- Disponibilidade (A) + +- Integridade (I) + +- Confidencialidade (C) + +- Rastreabilidade (T) + +- Privacidade (P) + +Estes critérios ajudam a definir os requisitos de segurança aplicáveis aos ativos a proteger. São igualmente utilizados para avaliar o impacto de um risco ou de um incidente de segurança. + +### Que ativos protegemos? + +#### Infraestruturas, plataformas, aplicações + +A OVHcloud explora uma infraestrutura mundial de elevada qualidade. Esta inclui múltiplos datacenters, hardware e servidores. Estes componentes estão interligados por uma rede de alto desempenho. Esta rede permite uma comunicação segura e fiável entre os serviços, bem como com redes públicas ou privadas. + +Esta infraestrutura é essencial para a nossa atividade. Suporta o conjunto dos produtos e serviços da OVHcloud. + +O nosso sistema de informação é igualmente gerido pela OVHcloud. Engloba os serviços destinados aos clientes, as operações internas, as ferramentas de automatização e as plataformas colaborativas. Inclui também as ferramentas e interfaces que os clientes utilizam para gerir os seus serviços e comunicar com as equipas da OVHcloud. + +O nosso catálogo de serviços é vasto. Inclui serviços de infraestrutura (IaaS), de plataforma (PaaS), de software (SaaS) e de telecomunicações. Estes serviços assentam na solidez da nossa infraestrutura e dos nossos sistemas de informação. São igualmente complementados por serviços adicionais fornecidos pela OVHcloud ou pelos nossos parceiros. + +Este conjunto integrado permite-nos propor uma gama de serviços coerente e escalável. Ajuda-nos a responder às necessidades em constante mudança dos nossos clientes. + +#### Informações + +A OVHcloud considera os dados dos clientes como o tipo de informação mais sensível e mais crítico. Estes dados são alojados no âmbito dos serviços que prestamos. Neste caso, o cliente é o responsável pelo tratamento e responsável pela utilização que deles é feita. A OVHcloud atua na qualidade de subcontratante ulterior. + +Enquanto subcontratante ulterior, a OVHcloud atua de acordo com as instruções do cliente. Respeitamos os termos definidos no contrato de serviço, bem como as políticas e diretrizes do cliente. + +A OVHcloud protege igualmente os seus próprios dados internos. Estes dados são necessários ao apoio das nossas operações. Para este tipo de dados, a OVHcloud é o responsável pelo tratamento. + +Os dados internos incluem informações técnicas e administrativas. Servem para prestar os serviços, gerir as relações comerciais e responder aos requisitos legais. + +### Quem são as partes interessadas da cibersegurança? + +#### Clientes e parceiros + +A OVHcloud desempenha um papel fundamental na exploração e na gestão das infraestruturas, das plataformas e do software que sustentam as operações digitais. + +Estes serviços são essenciais para os sistemas de informação e para as atividades comerciais dos nossos clientes. Muitos dos nossos clientes prestam, eles próprios, serviços a terceiros, criando assim um ambiente complexo e em constante evolução. + +Enquanto fornecedor cloud de confiança, a OVHcloud tem o dever de demonstrar uma sólida competência técnica e um pleno domínio da forma como os seus serviços são prestados. + +Devemos garantir que os nossos serviços respondem a padrões elevados de fiabilidade, segurança e desempenho. Estes padrões são exigidos tanto pelos nossos clientes como pelos respetivos utilizadores finais. + +#### Autoridades e reguladores setoriais + +As autoridades de regulação estabelecem regras destinadas a proteger os cidadãos e as empresas nas suas regiões. Estas regras incluem requisitos relativos à proteção dos dados e ao controlo do respetivo tratamento. + +A OVHcloud respeita estas regras em cada região onde opera. Asseguramos que os nossos serviços correspondem às necessidades e condições específicas de cada ambiente local. + +Além disso, alguns reguladores estabelecem regras adicionais para determinados setores. Estas regras aplicam-se a tipos de dados e a atividades de tratamento específicas que apresentam riscos mais elevados. + +Para responder a estas necessidades, a OVHcloud propõe serviços concebidos para cumprir as regras próprias de cada setor. Comprometemo-nos a respeitar estes padrões e a tratar os riscos associados. + +#### Colaboradores, direção da OVHcloud e acionistas + +Os colaboradores da OVHcloud são responsáveis pela conceção, pela manutenção e pela exploração dos sistemas e processos que sustentam os nossos serviços. + +Qualquer incidente de segurança pode causar um prejuízo direto às nossas operações. Pode igualmente reduzir o valor dos nossos serviços e prejudicar a reputação e o profissionalismo das nossas equipas. + +Inversamente, a exploração de sistemas de informação seguros reforça a capacidade de inovação da OVHcloud. Favorece também uma cultura de trabalho em equipa e de empenho, que conduz a uma melhor qualidade de serviço. + +A OVHcloud evolui num mercado altamente concorrencial. Para ter êxito, devemos crescer rapidamente, de forma a sustentar a inovação e a expandir-nos a nível internacional. Ao mesmo tempo, devemos continuar a construir a nossa credibilidade. + +A confiança dos clientes é o principal motor deste crescimento. Esta confiança depende da nossa capacidade de proteger os respetivos dados e cargas de trabalho. + +É por esse motivo que a cibersegurança constitui um elemento fundamental da estratégia de crescimento da OVHcloud. É plenamente apoiada pela nossa direção e pelos nossos acionistas. + +Ao fazer da cibersegurança uma prioridade, conseguimos preservar a confiança e a fidelidade dos nossos clientes. Isto é essencial para atingir os nossos objetivos comerciais e manter a nossa posição de fornecedor cloud de referência. + +#### Subcontratantes e externalização + +A OVHcloud colabora com subcontratantes para gerir diversos processos e projetos. Estes subcontratantes podem ter acesso aos sistemas de informação e às instalações físicas da OVHcloud. + +Por outro lado, a OVHcloud utiliza aplicações e sistemas externos integrados na sua infraestrutura principal. Estes sistemas externalizados sustentam partes essenciais das operações da OVHcloud. Constituem um elemento importante do dispositivo de segurança global da empresa. + +A OVHcloud alarga as suas medidas de segurança de forma a abranger estes subcontratantes e sistemas externalizados. Uma vez que são essenciais para as nossas operações, é importante que respeitem os mesmos padrões e regras de segurança. + +## Riscos e oportunidades associados à cibersegurança + +### Gestão dos riscos / Conformidade + +Uma gestão eficaz dos riscos exige um método formal para escolher as melhores medidas de segurança em cada situação. Quando corretamente aplicado, este método pode revelar-se eficaz. Comporta, no entanto, também dificuldades. + +Uma mesma medida de segurança pode reduzir vários riscos em simultâneo. Da mesma forma, cada risco exige, muitas vezes, várias medidas para ser plenamente tratado. + +Recorrer a uma avaliação detalhada e estruturada para cada decisão de segurança pode revelar-se ineficiente. Pode igualmente gerar uma complexidade desnecessária. + +Em muitas situações, uma abordagem mais simples é mais prática. A OVHcloud utiliza frequentemente um método assente na conformidade, seguindo um conjunto de regras de segurança construídas ao longo de 25 anos de experiência nos serviços cloud. Este método apoia-se igualmente nos padrões internacionais, nas regulamentações setoriais e nas expetativas dos clientes. A equipa de segurança supervisiona este processo com rigor. + +Para reforçar estes fundamentos, o nosso processo de gestão dos riscos de cibersegurança prossegue três grandes objetivos: + +- **Identificar e gerir os principais ciber-riscos** + Isto ajuda a explicar as nossas estratégias de mitigação dos riscos às partes interessadas. Permite também acompanhar a evolução dos níveis de risco à escala da empresa e no seio de gamas de produtos específicas. Esta abordagem oferece uma visão de conjunto clara dos nossos principais desafios e demonstra que as nossas prioridades e ações são adequadas. + +- **Apoiar as atividades operacionais através de avaliações assentes nos riscos** + A equipa de segurança fornece ferramentas, métodos e indicadores para ajudar as equipas de negócio a tomar melhores decisões. Estes recursos ajudam as equipas a definir as suas prioridades, a resolver os problemas diários e a justificar qualquer desvio em relação aos padrões estabelecidos. Isto torna as decisões de segurança mais coerentes, mais pertinentes e mais responsáveis. + +- **Orientar as decisões complexas através de uma análise aprofundada** + Perante decisões mais difíceis, seguimos um processo estruturado para identificar, avaliar e reduzir os riscos de segurança. Isto melhora a equidade, a profundidade, a transparência e a coerência das decisões tomadas para projetos ou situações comerciais específicas. + +### Contexto de risco + +#### Enquanto operador de infraestrutura de referência + +Enquanto fornecedor cloud de referência, a OVHcloud é uma empresa muito exposta. Exploramos uma infraestrutura mundial em grande escala e servimos milhões de clientes diretos e indiretos. + +Devido a esta visibilidade, os nossos sistemas estão expostos a um vasto leque de riscos. Estes riscos provêm, muitas vezes, de agentes de ameaça avançados, nomeadamente: + +- grupos patrocinados por Estados + +- agências de informações + +- grupos cibercriminosos organizados + +- grupos ativistas + +- as respetivas cadeias de abastecimento associadas + +Estes agentes de ameaça prosseguem vários objetivos essenciais: + +- Provocar uma perturbação em grande escala que afete a OVHcloud e o conjunto dos seus clientes + +- Enfraquecer uma infraestrutura cloud que sustenta uma região económica ou política específica + +- Atacar clientes de setores ou de zonas geográficas específicas + +- Obter um acesso duradouro com vista a outras ações maliciosas, tais como ataques à cadeia de abastecimento ou roubo de dados + +- Testar as suas ferramentas e técnicas contra sistemas robustos e modernos que utilizam tecnologias avançadas + +#### Enquanto fornecedor de serviços cloud + +Enquanto fornecedor cloud que aloja milhões de sistemas e de serviços, a OVHcloud está exposta a numerosos tipos de ataques. Estes ataques visam, muitas vezes, os nossos clientes e obedecem a motivações variadas. + +Como a nossa base de clientes é muito diversificada, é difícil identificar claramente os tipos de atacantes ou os seus objetivos precisos. Classificamos, por isso, as ameaças em função da forma como os ataques são realizados. Isto ajuda-nos a ajustar a nossa abordagem de segurança. + +Agrupamos os principais vetores de ataque em três categorias: + +- **Ataques diretos aos ativos cloud dos clientes.** Ocorrem através da exposição à rede pública. + +- **Utilização de um acesso de cliente legítimo.** Neste caso, os atacantes tentam contornar os mecanismos de isolamento e atingir sistemas pertencentes a outros clientes. + +- **Visar a infraestrutura partilhada da OVHcloud.** Isto inclui sistemas como as interfaces de gestão dos clientes ou as ferramentas internas. O objetivo é, muitas vezes, deslocar-se lateralmente e aceder indiretamente aos sistemas dos clientes. + +Os ataques podem provir de várias origens. Podem ter origem em redes externas, num sistema de cliente comprometido ou num sistema subscrito junto da OVHcloud ou de um dos nossos parceiros. + +#### Enquanto empresa + +Como qualquer organização, a OVHcloud está exposta a numerosos tipos de ciberameaças. Estas incluem as violações de dados, o uso abusivo dos recursos, o ransomware, o phishing e outras formas de atividade maliciosa. + +Tais ataques podem comprometer a segurança dos nossos sistemas e dos nossos dados. Podem igualmente perturbar as nossas operações ou ser utilizados no âmbito de ataques mais complexos contra os nossos clientes ou a nossa infraestrutura. + +A maioria das ameaças a que a OVHcloud está exposta provém do exterior da empresa. No entanto, a dimensão e o rápido crescimento das nossas equipas internacionais criam também riscos internos. Estes incluem os erros humanos e as ameaças internas. Por esse motivo, a nossa abordagem à gestão dos riscos deve tratar as ameaças internas. Isto acresce à gestão das ameaças externas e dos riscos operacionais habituais. + +### Principais riscos operacionais + +Embora a nossa estratégia de mitigação dos riscos de segurança siga principalmente as boas práticas do setor, alguns riscos são objeto de uma atenção particular no nosso processo de gestão da segurança. Estes incluem: + +- O comprometimento da estação de trabalho de um colaborador que dispõe de um acesso de sistema de alto nível + +- A exploração de vulnerabilidades nos planos de controlo dos produtos ou em ativos de infraestrutura partilhada + +- A fuga de credenciais de autenticação, tais como palavras-passe, tokens ou chaves privadas + +- A utilização do acesso de um fornecedor para conduzir um ataque (ataque à cadeia de abastecimento) + +- A exploração de vulnerabilidades conhecidas em sistemas expostos à Internet + +- Ações maliciosas conduzidas com recurso a credenciais de utilizador válidas (ameaça interna) + +- O acesso físico aos dados através de operações comprometidas num datacenter + +- A exploração de vulnerabilidades desconhecidas (zero-day) nos sistemas de produção + +- Ataques de negação de serviço (DoS) ao nível da infraestrutura + +- Ataques de negação de serviço (DoS) ao nível aplicacional sobre uma interface de administração + +- Uma falha de isolamento dos sistemas que conduza a um acesso ilegítimo aos dados dos clientes + +- A exploração de uma fragilidade dos controlos de acesso à rede ou aplicacionais + +- O abuso de um colaborador ou de um fornecedor através de um ataque de engenharia social + +- A deteção tardia de eventos de segurança devido a controlos de segurança deficientes + +- Um serviço ou uma aplicação fora de controlo e não gerido em conformidade com as políticas, conduzindo a uma exposição de dados + +- O abuso de funções concentradas para contornar as regras de segurança + +- Um erro humano ou uma má configuração que conduza a uma exposição involuntária de dados + +- Uma violação da segurança física ou do controlo de acesso nos nossos datacenters + +### Impactos materiais associados à cibersegurança + +#### Impactos negativos (riscos) + +Os eventos e incidentes de cibersegurança podem acarretar várias consequências negativas para a OVHcloud. Estas incluem: + +- A perda de confiança dos clientes nos serviços OVHcloud + +- A responsabilidade financeira a título dos impactos comerciais sofridos pelos clientes + +- O incumprimento das obrigações contratuais + +- Consequências jurídicas ou regulamentares decorrentes de uma violação de segurança + +- Uma ofensa à reputação da OVHcloud enquanto fornecedor fiável e de confiança + +- Um aumento dos custos operacionais necessários para gerir o incidente e restabelecer o serviço normal + +- Efeitos financeiros indiretos, tais como uma quebra do volume de negócios, um aumento dos custos de seguro e uma diminuição do valor de mercado + +#### Impactos positivos (oportunidades) + +A implementação de uma abordagem de segurança coerente, plenamente alinhada com a estratégia, as operações diárias e o desenvolvimento de produto da OVHcloud, traz vários benefícios: + +- Uma redução do número de incidentes de segurança + +- A capacidade de responder aos requisitos de segurança rigorosos dos clientes e de comprovar a nossa conformidade + +- Uma valorização acrescida dos produtos e serviços propostos aos clientes + +- Uma confiança reforçada dos clientes no catálogo de serviços da OVHcloud + +- Um impacto operacional menor dos incidentes de segurança, graças a uma deteção mais rápida e a melhores processos de resposta + +- Efeitos financeiros positivos, tais como uma redução dos custos de gestão dos incidentes, um aumento do volume de negócios e uma fidelidade reforçada dos clientes + +## Os compromissos de segurança da OVHcloud para construir serviços cloud de confiança + +### Fundamentos coerentes geridos segundo uma abordagem industrial + +A nossa abordagem assenta em blocos de construção normalizados, arquiteturas seguras e processos formais, comprovados e fortemente automatizados. O objetivo é fazer da segurança um motor de eficiência e de coerência no seio do sistema de informação. + +Para tal, desenvolvemos ferramentas, processos e componentes prontos para produção que todas as equipas podem utilizar para aplicar as boas práticas de segurança. + +A segurança não é o único benefício desta abordagem estruturada, mas é dela um elemento essencial. Permite a "segurança desde a conceção" e ajuda a manter uma segurança coerente ao longo do tempo. Ao integrar a segurança desde o início, evitamos tratá-la como uma reflexão a posteriori. + +São realizados controlos de segurança formais no âmbito da gestão dos projetos e das alterações. Estes controlos garantem que os princípios de segurança são respeitados desde a fase de conceção e ao longo de todo o ciclo de vida de cada sistema ou aplicação. + +Cada equipa é responsável pela segurança dos sistemas que gere. Trabalhamos permanentemente para equilibrar dois objetivos: + +- Fazer respeitar as regras de segurança comuns da OVHcloud + +- Deixar aos proprietários dos sistemas a liberdade de aplicar a sua competência técnica + +Este equilíbrio é essencial para a nossa abordagem de segurança. Trabalhamos em estreita colaboração com as equipas de negócio para garantir que os princípios de segurança são aplicados de forma coerente em toda a empresa. + +### Acompanhar todos os tipos de clientes no seu crescimento na cloud + +Os produtos da OVHcloud são construídos a partir de tecnologias open source e de padrões tecnológicos estabelecidos. Isto facilita a adoção e a gestão dos sistemas dos clientes na cloud. + +A segurança é um elemento fundamental do nosso processo de desenvolvimento de produto. A equipa de segurança está envolvida em cada decisão suscetível de afetar a segurança. Isto garante que a segurança é tida em conta desde o início. + +A nossa abordagem à segurança dos produtos assenta no risco. Temos em conta: + +- A amplitude e a rapidez da implementação + +- A cultura de segurança dos nossos clientes + +- Os casos de utilização e as tecnologias próprias de cada produto + +Isto permite-nos adaptar as nossas medidas de segurança às necessidades dos diferentes grupos de clientes. + +A aplicação das boas práticas de configuração e a gestão de todo o ciclo de vida da segurança são essenciais. Isto traz valor aos nossos clientes e constitui uma razão importante para a sua migração para a cloud. Esta responsabilidade está plenamente integrada no ciclo de vida do produto. + +Embora a postura de segurança possa variar de um produto para outro, gerimos o conjunto dos eventos, incidentes, vulnerabilidades, ameaças e informações relativas à segurança de forma unificada e coerente. + +### Acompanhar cada cliente na gestão dos seus próprios riscos específicos + +A OVHcloud propõe as suas soluções a um vasto leque de clientes em numerosos setores. Estes incluem: + +- As startups + +- As pequenas e médias empresas (PME) + +- As grandes empresas + +- As administrações públicas + +- As multinacionais + +Cada cliente tem uma abordagem diferente da segurança. Esta depende das suas necessidades de negócio e do seu contexto operacional, e a OVHcloud tem isso em conta. + +Na computação em cloud, a segurança é uma responsabilidade partilhada. A OVHcloud e os seus clientes têm, cada um, funções definidas. Os clientes são, em última instância, responsáveis pela segurança dos seus sistemas de informação na cloud. Para evitar os riscos associados à confusão, explicamos claramente aquilo de que cada parte é responsável. + +Para ajudar os clientes a proteger os seus sistemas, a OVHcloud fornece: + +- Um conjunto de ferramentas e funcionalidades para melhorar a segurança + +- Funcionalidades de segurança padrão disponíveis para todos os clientes + +- Funcionalidades opcionais para gerir riscos específicos + +Os clientes têm também a liberdade de acrescentar as suas próprias ferramentas e soluções de segurança. A nossa plataforma foi concebida para suportar esta flexibilidade. + +Propomos uma vasta gama de serviços de segurança integrados. Estão disponíveis no nosso catálogo de soluções e são complementados por tecnologias e serviços dos nossos parceiros. Os nossos produtos suportam igualmente soluções de terceiros e comunitárias. Isto permite aos clientes construir as suas próprias estratégias de segurança e adaptá-las às suas necessidades específicas. + +## Governação da cibersegurança + +A direção da OVHcloud compromete-se a favor da cibersegurança a longo prazo. Isto traduz-se na definição de regras claras de gestão dos riscos. Inclui igualmente a atribuição das responsabilidades, a disponibilização dos recursos necessários e o acompanhamento do desempenho. + +O Responsável pela Segurança dos Sistemas de Informação (CISO) define e implementa a governação da cibersegurança. Este trabalho é supervisionado pelo Diretor dos Sistemas de Informação (CIO), que atua como patrocinador executivo deste tema no seio do Comité Executivo. Esta governação é revista e atualizada anualmente, de forma a manter-se alinhada com os objetivos estratégicos da OVHcloud e com a sua gestão dos riscos à escala da empresa. + +A propriedade dos sistemas é um princípio fundamental na definição das responsabilidades de segurança na OVHcloud. Cada equipa é responsável pela segurança dos sistemas que concebe e gere, apoiando-se em três princípios fundamentais: + +- A responsabilidade das equipas + +- A industrialização + +- A competência técnica aprofundada + +A equipa de segurança mantém relações estreitas com todas as equipas que exploram sistemas. Isto contribui para garantir uma abordagem coerente da segurança em toda a OVHcloud. + +Esta governação aplica-se a todas as sociedades do grupo OVHcloud. Diz igualmente respeito aos colaboradores, aos fornecedores, aos prestadores de serviços, aos subcontratantes e aos utilizadores do sistema de informação. + +Os serviços da OVHcloud assentam num quadro de cibersegurança concebido para: + +- Equilibrar a estratégia a longo prazo e a eficiência das operações diárias + +- Manter os nossos esforços de segurança direcionados + +- Garantir uma resposta eficaz perante novas ameaças e vulnerabilidades + +A equipa de segurança da OVHcloud explora um conjunto unificado e completo de controlos de segurança no seio do seu sistema de gestão da segurança da informação, conhecido internamente pelo nome de OneISMS. O programa OneISMS articula-se em torno de três grandes camadas, todas geridas pela equipa de segurança: + +- **Camada de gestão dos requisitos** + Esta camada consolida e organiza o conjunto dos requisitos de segurança provenientes de diversas fontes. Normaliza-os no seio de um quadro coerente e define critérios de aplicabilidade claros. + +- **Camada de implementação** + Esta camada fornece uma abordagem formal da gestão e da exploração dos controlos de segurança. Garante o alinhamento entre os controlos e os objetivos de segurança, gere a documentação dos controlos e o respetivo acompanhamento operacional, e coordena a gestão dos riscos no seio de um quadro unificado. + +- **Camada de avaliação da segurança** + Esta camada gere tanto os mecanismos de controlo internos como externos. Centra-se na verificação do cumprimento dos objetivos de segurança e na avaliação da eficácia dos recursos afetos à segurança. Abrange também as auditorias de terceiros, quer sejam conduzidas para fins de certificação, quer a pedido dos clientes. + +Em conjunto, estas camadas garantem que a OVHcloud mantém uma postura de segurança coerente, eficaz e transparente em todos os seus sistemas de informação. + +**Indicadores-chave de desempenho:** + +- Taxa de produtos abrangidos pelo OneISMS + +- Número de dias-homem dedicados às avaliações de segurança + +## Relações com os especialistas em segurança externos + +A nossa equipa de segurança e os nossos especialistas técnicos mantêm relações de trabalho estreitas com as comunidades de segurança externas, as autoridades públicas, os editores de software e os fabricantes de hardware. Estas colaborações ajudam-nos a manter-nos informados sobre as ameaças e vulnerabilidades emergentes e permitem-nos agir de forma precoce para reduzir os riscos associados. + +Contribuímos ativamente para a comunidade da segurança, partilhando os nossos conhecimentos e as nossas inovações. Apoiamos igualmente as práticas de divulgação responsável, de forma a incentivar uma gestão aberta e ética das descobertas de segurança. + +Para reforçar ainda mais a nossa postura de segurança, exploramos um programa público de bug bounty. Este programa permite que investigadores de segurança externos comuniquem vulnerabilidades, o que nos ajuda a melhorar continuamente a segurança dos nossos sistemas. + +**Indicadores-chave de desempenho:** + +- Recompensas de bug bounty pagas + +## Programa de conformidade + +O compromisso da OVHcloud para com os seus clientes e parceiros é definido no âmbito de uma relação contratual formal. Este contrato precisa claramente as nossas obrigações. + +Fornecemos uma matriz detalhada e de fácil compreensão das funções e responsabilidades em matéria de segurança. Isto garante que todas as partes compreendem os respetivos deveres. + +A OVHcloud cumpre o conjunto das leis e regulamentações aplicáveis em cada país onde opera. Seguimos igualmente as regulamentações setoriais, tais como as aplicáveis aos sistemas de informação de saúde e financeiros. + +O nosso sistema de gestão da segurança assenta em padrões internacionais, entre os quais a norma **ISO/IEC 27001**. Esta norma sublinha a importância dos princípios de segurança. + +Avaliamos regularmente as nossas funcionalidades de segurança através de: + +- Auditorias independentes realizadas por terceiros + +- Referenciais de auditoria reconhecidos + +- Relatórios e certificados de conformidade partilhados com os clientes sempre que tal seja pertinente + +A equipa de segurança da OVHcloud conduz um programa estruturado que inclui: + +- Revisões internas e externas + +- Controlos de segurança + +- Auditorias regulares + +Este programa ajuda-nos a testar a nossa postura de segurança e garante que continuamos a respeitar os nossos compromissos. + +Comparamos as nossas práticas com os referenciais de conformidade de segurança amplamente utilizados. Uma equipa dedicada está encarregada de conduzir a melhoria contínua. Esta equipa trabalha em estreita colaboração com os proprietários dos sistemas, de forma a: + +- Aplicar as melhorias + +- Elevar o nível de segurança global + +- Reduzir os riscos + +- Manter-se alinhada com os nossos compromissos de segurança + +Para além das nossas obrigações legais e contratuais, a OVHcloud empenha-se ativamente junto do seu ecossistema. Este inclui os clientes, os parceiros e os potenciais clientes. + +Privilegiamos a clareza e a transparência em todas as nossas comunicações. O nosso objetivo é construir relações abertas e honestas com as nossas partes interessadas. Fornecemos informações exatas e disponibilizadas em tempo útil sobre as nossas práticas de segurança, para que as partes interessadas possam compreender plenamente a nossa postura de segurança e tomar decisões esclarecidas. + +**Indicadores-chave de desempenho:** + +- Número de dias-homem dedicados às avaliações de segurança + +## Segurança desde a conceção + +Concebemos e construímos os nossos sistemas de produção segundo os seguintes princípios: + +- **Requisitos de nível de produção** + Cada sistema é concebido para suportar um tráfego elevado e para escalar rapidamente. + +- **Interfaces e gateways seguros** + Os sistemas são concebidos para serem expostos a ameaças externas. A limitação da exposição é tratada como uma camada de segurança adicional. + +- **Tecnologias robustas e comprovadas** + Utilizamos tecnologias open source e proprietárias que cumprem padrões rigorosos de desempenho e de resiliência. + +- **Comportamento determinístico** + Os sistemas estão configurados para um funcionamento coerente e seguro. Desenvolvemos uma sólida competência graças a uma adoção progressiva, a testes detalhados e a um elevado nível de automatização. Isto inclui a utilização de um modelo "as-code" e a gestão de cada sistema ao longo de todo o seu ciclo de vida. + +- **Software desenvolvido internamente** + O software à medida é desenvolvido segundo processos rigorosos, de forma a responder a necessidades específicas, tais como um elevado desempenho ou controlos de segurança avançados. + +## Proteção dos dados + +A OVHcloud aplica uma regra rigorosa: os dados dos clientes nunca são utilizados para fins comerciais. + +Os colaboradores não conhecem a natureza dos dados alojados pelos clientes e não estão autorizados a aceder-lhes. No entanto, durante operações técnicas em sistemas que armazenam dados de clientes, os colaboradores podem, tecnicamente, encontrar-se em posição de lhes aceder. Tal acesso é estritamente proibido. A OVHcloud implementou controlos de segurança sólidos para detetar qualquer acesso não autorizado, garantir a rastreabilidade das ações e assegurar o respeito permanente desta regra. + +Para além dos dados dos clientes, a OVHcloud gere dados internos, que podem dizer respeito a clientes, colaboradores, prestadores de serviços ou parceiros. Quando a lei o permite, estes dados podem ser partilhados com terceiros. A OVHcloud atua na qualidade de responsável pelo tratamento destes dados internos e aplica medidas de segurança adequadas em função do tipo de dados, da sua sensibilidade e da fase do seu ciclo de vida, quer estejam armazenados, sejam utilizados, transmitidos ou eliminados. + +**Indicadores-chave de desempenho:** + +- Número de violações comunicadas às autoridades + +## As pessoas + +O trabalho em equipa, a separação das tarefas, a responsabilidade individual e a confiança progressiva são princípios fundamentais do modelo de segurança da OVHcloud. As nossas equipas são coletivamente responsáveis pela gestão de milhares de ambientes de clientes. O envolvimento ativo de cada um é necessário para manter uma segurança de ponta a ponta no conjunto dos serviços. + +Todos os colaboradores da OVHcloud seguem um programa formal de sensibilização e de formação em cibersegurança. Este processo começa mesmo antes da contratação, através de verificações de antecedentes adaptadas às responsabilidades do cargo. Estas verificações ajudam a identificar os riscos potenciais, como a possibilidade de um comportamento malicioso ou a exposição a pressões externas. + +Logo desde o primeiro dia, os novos colaboradores beneficiam de um percurso de integração em cibersegurança. Esta apresentação explica a importância da cibersegurança na prestação dos nossos serviços e dá ênfase à forma como a responsabilidade individual se aplica em toda a organização. Esta sensibilização inicial é reforçada por uma comunicação interna regular, que partilha os ensinamentos operacionais e os desafios atuais de cibersegurança, de forma a manter todo o pessoal atento e empenhado. Para os cargos sensíveis, são ministradas formações adicionais de forma regular. + +Testamos igualmente a capacidade das nossas equipas para reconhecer os riscos de cibersegurança e responder aos mesmos. São realizados exercícios regulares e simulações de resposta a incidentes, de forma a garantir que os colaboradores estão bem preparados para gerir eventos de segurança reais, de forma rápida e eficaz. + +**Indicadores-chave de desempenho:** + +- Número de colaboradores formados em cibersegurança + +- Resultados dos testes de phishing + +- Cumprimento dos procedimentos de saída + +## Ambiente de trabalho + +A maioria das atividades operacionais na OVHcloud é realizada com recurso a serviços centralizados, tais como a gestão de tickets, a documentação, a conceção dos sistemas, a automatização, a gestão do código, a construção de software e a exploração dos serviços. Os colaboradores utilizam as suas estações de trabalho para aceder a estes serviços. + +Manter um elevado nível de controlo sobre as estações de trabalho é essencial para evitar que se tornem um ponto de entrada para ataques. Ao mesmo tempo, os colaboradores da OVHcloud necessitam, muitas vezes, de aceder a um vasto leque de ferramentas, de interações de sistema de baixo nível e de uma conetividade alargada a redes abertas. Estas capacidades são importantes para a experimentação, o desenvolvimento e a resolução de problemas. + +Conciliar estas necessidades operacionais com requisitos de segurança rigorosos constitui um desafio permanente. + +Para lhe responder, implementamos: + +- Um controlo de acesso rigoroso às redes, sistemas e aplicações internos. O acesso assenta nas funções de negócio e é gerido através de gateways ou bastions seguros, de forma a garantir a rastreabilidade + +- Uma monitorização das redes internas, dos acessos aos recursos externos, das ferramentas de comunicação e das aplicações internas, de forma a detetar qualquer atividade invulgar ou não autorizada + +- Um controlo rigoroso da configuração das estações de trabalho, incluindo o reforço dos sistemas, a gestão automatizada da configuração, a remoção dos direitos de administrador local, a monitorização centralizada com EDR e proteção contra software malicioso, bem como ferramentas de investigação dos incidentes + +- Estações de trabalho dedicadas, dotadas de configurações personalizadas, para os cargos sensíveis e os ambientes críticos + +- Um controlo rigoroso do acesso às aplicações através dos dispositivos móveis + +**Indicadores-chave de desempenho:** + +- Número de alertas de segurança associados a comportamentos inadequados + +- Número de comportamentos técnicos inadequados + +## Gestão das identidades e dos acessos + +O sistema interno de gestão das identidades e dos acessos (IAM) da OVHcloud foi concebido para gerir todo o ciclo de vida das identidades dos utilizadores, desde a sua criação até à sua eliminação. + +Os pedidos de acesso seguem um processo estruturado, que inclui etapas formais de revisão e de aprovação. O acesso só é concedido às pessoas autorizadas, em função das necessidades de negócio. Suportamos as contas individuais e as contas de serviço, e mantemos uma separação rigorosa entre as contas de utilizador padrão e as contas de administrador, de forma a reduzir o risco de acesso não autorizado. + +As credenciais de autenticação são geridas ao longo de todo o seu ciclo de vida: criação, atualizações e eliminação. Utilizamos diversos métodos de autenticação, nomeadamente palavras-passe, certificados digitais, tokens físicos e autenticação biométrica. Suportamos igualmente a autenticação única (SSO) para simplificar o acesso dos utilizadores e utilizamos hosts bastion para proteger as ações de administração. + +Para garantir a responsabilidade individual, realizamos revisões de acesso regulares e monitorizamos a utilização das contas, de forma a verificar que os direitos de acesso estão alinhados com as políticas e os procedimentos internos. O nosso sistema de controlo de acesso baseado em funções (RBAC) define os níveis de acesso em função da função do utilizador, e mantemos um vasto leque de funções adaptadas aos diferentes contextos operacionais. + +O acesso aos serviços de rede está protegido por mecanismos de autenticação seguros. Recomendamos vivamente a utilização da autenticação multifator para acrescentar uma camada de segurança adicional. As nossas políticas de palavras-passe impõem requisitos de complexidade, e todas as palavras-passe são armazenadas de forma segura através de cifragem. + +Monitorizamos igualmente o estado das credenciais pertencentes a antigos utilizadores, de forma a garantir que não subsiste qualquer acesso não autorizado após a sua saída. De um modo geral, o nosso sistema IAM aplica o princípio do menor privilégio, concedendo o acesso apenas aos utilizadores que dele realmente necessitam. + +**Indicadores-chave de desempenho:** + +- Exatidão dos direitos de acesso + +- Taxa de aplicações que utilizam o SSO + +## Entrega contínua segura + +Na OVHcloud, as nossas equipas de desenvolvimento contam com mais de um milhar de programadores que trabalham em múltiplas pilhas tecnológicas. Esta diversidade torna difícil a aplicação de um processo de desenvolvimento único e uniforme. + +Para o resolver, definimos um conjunto de arquétipos de desenvolvimento. Estes servem de modelos de referência para diferentes tipos de projetos. Centralizamos igualmente todo o código-fonte num repositório partilhado, de forma a garantir um acesso coerente e a permitir uma colaboração eficaz entre as equipas. + +A nossa cadeia de ferramentas de desenvolvimento suporta um vasto leque de tecnologias e fluxos de trabalho. Inclui um sistema de entrega contínua que automatiza a construção e os testes. Os programadores têm também acesso a ambientes e laboratórios dedicados aos testes e à validação. A assinatura de código é utilizada para garantir a autenticidade e a integridade do software. + +Para suportar um desenvolvimento seguro e eficaz, fornecemos primitivas de baixo nível, tais como o registo, a gestão dos segredos e a execução de contentores. As nossas API foram concebidas para serem RESTful e seguras, e estão protegidas por reverse proxies que funcionam como gateways seguros. + +O acesso aos sistemas e aos dados é gerido através de ferramentas de gestão das identidades e dos acessos desenvolvidas internamente. Estas ferramentas oferecem um elevado nível de controlo de acesso e de rastreabilidade. Utilizamos igualmente ferramentas de gestão das dependências, de forma a garantir que os componentes externos estão atualizados e isentos de vulnerabilidades conhecidas. + +Ao propor um quadro flexível e escalável, a OVHcloud está em condições de responder às necessidades variadas das suas equipas de desenvolvimento, mantendo simultaneamente uma postura de segurança sólida. + +## Gestão segura do estado dos sistemas + +O reforço (hardening) é um elemento fundamental da postura de segurança da OVHcloud. Consiste em remover sistematicamente as funcionalidades desnecessárias, configurar os sistemas com parâmetros seguros e aplicar as últimas correções de segurança, de forma a reduzir as vulnerabilidades. + +A gestão da configuração criptográfica é igualmente essencial. A OVHcloud segue as boas práticas do setor em matéria de cifragem segura, utilizando algoritmos e protocolos recomendados para proteger a confidencialidade e a integridade dos dados. + +As configurações dos sistemas e das aplicações são rigorosamente controladas. Qualquer alteração é cuidadosamente acompanhada e gerida. O controlo do inventário é aplicado de forma rigorosa. Todos os ativos informáticos, incluindo o hardware, o software e os dados, são registados e monitorizados, de forma a manter a visibilidade e o controlo. + +A gestão da exposição é outro componente importante da nossa abordagem. A OVHcloud identifica e trata regularmente os riscos de segurança através de: + +- Avaliações de vulnerabilidades + +- Atividades de remediação + +- Melhoria contínua das configurações dos sistemas + +Estes esforços combinados garantem que a nossa infraestrutura se mantém segura, bem gerida e alinhada com os padrões do setor. + +**Indicadores-chave de desempenho:** + +- Cobertura da CMDB + +## Monitorização, deteção e resposta a incidentes + +Exploramos um quadro de análise contínua das ameaças diretamente ligado aos nossos sistemas de monitorização. Isto permite-nos ajustar as nossas práticas operacionais em tempo real, de forma a tratar os riscos atuais e a responder de forma rápida e eficaz aos incidentes de segurança. + +A estrutura da nossa equipa de segurança permite a mobilização rápida de especialistas em caso de necessidade. Isto garante que os incidentes são analisados e resolvidos de forma eficaz, com a implementação rápida e duradoura de ações corretivas, de forma a reduzir os riscos futuros. + +A monitorização operacional e o registo dos eventos são da responsabilidade de cada proprietário de sistema. Além disso, o nosso sistema de gestão das informações e dos eventos de segurança (SIEM) oferece capacidades de monitorização em tempo real, de correlação de eventos e de deteção das ameaças. Recolhemos e analisamos os dados de registo pertinentes, bem como informações externas sobre as ameaças, de forma a identificar os riscos de segurança potenciais. + +O nosso processo de gestão dos incidentes inclui definições claras dos tipos de incidentes, dos níveis de gravidade e dos procedimentos de resposta. Um processo de escalonamento estabelecido garante que os incidentes são assumidos pelas equipas adequadas em cada etapa. + +Dispomos de uma equipa dedicada de resposta a urgências informáticas (CERT) formada na gestão dos incidentes de segurança. O processo de resposta a incidentes abrange a análise completa do incidente, a contenção, a erradicação e a restauração. É conduzida uma revisão pós-incidente, de forma a capitalizar sobre os ensinamentos obtidos e a melhorar os esforços de resposta futuros. + +Mantemos igualmente um plano de comunicação claro, de forma a garantir que as partes interessadas são informadas e mantidas a par durante os incidentes de segurança. São realizados exercícios e simulações regulares para testar e reforçar as nossas capacidades de resposta a incidentes. + +**Indicadores-chave de desempenho:** + +- Cobertura do SIEM + +- Número de incidentes com impacto nos dados dos clientes + +- Número de incidentes com impacto nas demonstrações financeiras + +## Segurança dos datacenters + +Os datacenters da OVHcloud são concebidos e explorados como instalações de nível industrial. Cada site é planeado com base numa análise de riscos que tem em conta fatores geográficos, técnicos e sociais. Estes fatores influenciam a forma como cada datacenter é gerido e explorado. + +Todas as operações no seio dos datacenters seguem procedimentos formais, de forma a minimizar os erros humanos e a garantir a rastreabilidade e a responsabilidade. Qualquer alteração é tratada através de um processo estruturado e coordenado de forma centralizada, o que ajuda a antecipar os riscos e a avaliar os impactos potenciais. + +As operações correntes estão igualmente sujeitas a procedimentos rigorosos e formais. Estes procedimentos apoiam-se em ferramentas de gestão dos datacenters e em sistemas automatizados de recolha de dados ligados à infraestrutura. Isto garante a coerência operacional e reduz os riscos, em particular durante o manuseamento de suportes que contêm dados de clientes. + +O acesso aos datacenters da OVHcloud é restrito e assenta numa identificação individual e numa necessidade de negócio rigorosa. O controlo de acesso é definido por um modelo de zonamento, no qual cada zona dispõe de regras de acesso específicas em função da sua criticidade e da sua função de negócio. + +Para suportar esta política de acesso, a OVHcloud apoia-se em: + +- Sistemas de videovigilância avançados + +- Sistemas de informação dedicados aos datacenters + +- Uma coordenação e uma monitorização centralizadas das atividades de segurança e de exploração + +Estes sistemas contribuem para garantir que as operações locais são seguras e estão alinhadas com o quadro global de segurança e de monitorização da OVHcloud. + +**Indicadores-chave de desempenho:** + +- Número de datacenters auditados ao longo dos últimos 12 meses + +- Número de datacenters não auditados ao longo dos últimos 36 meses