BEZPEČNOST Kompletní průvodce zabezpečením vašich dat
OBSAH 1 BEZPEČNOST APLIKACE...3 1.1 BEZPEČNOST INFORMACÍ...3 1.2 PŘENOSITELNOST DAT...3 2 BEZPEČNOST INFRASTRUKTURY...3 2.1 DOSTUPNOST, RTO A RPO...3 2.2 BEZPEČNOST DATOVÉHO CENTRA NTT...4 2.2.1 SPECIFIKACE DATOVÉHO CENTRA...4 2.2.2 REGULOVANÁ KLIMATIZACE...4 2.2.3 REDUNDANTNÍ ZDROJE...4 2.2.4 CERTIFIKACE A STANDARDY DATOVÝCH CENTER...4 2.2.5 BEZPEČNOST UVNITŘ ORGANIZACE...4 2.2.6 VYMEZENÉ PROSTŘEDKY NA BEZPEČNOST A CERTIFIKACI...5 2.2.7 POSTUPY PRO BEZPEČNOSTNÍ UDÁLOSTI...5 2.2.8 ŠIFROVANÝ PŘENOS MEZI DATOVÝMI CENTRY...5 2.2.9 INTERNETOVÉ PŘIPOJENÍ...5 2.3 VYVAŽOVÁNÍ ZÁTĚŽE, REDUNDANCE A ODOLNOST...5 2.3.1 SÍŤ A KONEKTIVITA...5 2.4 MECHANISMUS DETEKCE NEŽÁDOUCÍHO VNIKNUTÍ...6 2.5 OVĚŘOVÁNÍ ZRANITELNOSTI...6 2.6 MONITORING...6 3 BEZPEČNOST OPERAČNÍHO TÝMU A TÝMU PODPORY WOLTERS KLUWER...6 3.1 PODPORA 24X7...6 3.2 OPERAČNÍ TÝM...6
1 BEZPEČNOST APLIKACE 1.1 BEZPEČNOST INFORMACÍ Pracujeme s citlivými informacemi stovek společností z celého světa, proto používáme víceúrovňovou ochranu dat: šifrujeme všechny přenosy dat pomocí 256 bitového SSL s oficiálními certifikáty. pro každého klienta jsou vygenerovány unikátní klíče, takže je napadení více účtů téměř nemožné. navíc šifrujeme i dokumenty na discích pro ještě vyšší ochranu. Zatímco u poskytovatelů softwaru jako služby (SaaS) je běžné, že poskytují bezpečné SSL připojení, pravdou je, že nejvíce zranitelná jsou data právě po tom, co jsou v rukou poskytovatele služby. My jsme však v ochraně informací klientů šli mnohem dále. Dali jsme si velkou práci, abychom vytvořili další nástroje pro správu a zajistili tak, že data klientů nebudou ohrožena. Data každé firmy jsou oddělena a přihlašovací údaje mají pouze lidé z dané firmy. Na pozadí probíhají neustálé kontroly, aby se zajistila neporušenost a oddělenost dat. 1.2 PŘENOSITELNOST DAT Již od svého začátku byla hlavním cílem effacts dat a jejich přenositelnost. Závazek přenositelnosti dat je jasný: vaše data jsou vaše a můžete si je vzít, kdykoliv chcete. I když nám bude líto, pokud vás ztratíme jako klienta, nikdy nebudou vaše data našimi rukojmími. Svá data si snadno můžete vyexportovat do obecného XML formátu nebo využít některou z řady API a mít data ve formátu, který potřebujete. 2 BEZPEČNOST INFRASTRUKTURY 2.1 DOSTUPNOST, RTO A RPO Smluvně se zavazujeme poskytovat klientům výjimečnou dostupnost a dobu provozuschopnosti. Věříme, že splňujeme vaše očekávání: 99,9 % dostupnost v pracovní době 99,7 % dostupnost mimo pracovní dobu RTO (Recovery Time Objective Doba obnovení ze zálohy) -24 hodin RPO (Recovery Point Objective Stáří dat v záloze) - 8 hodin Plně redundantní primární připojení k internetu i síťové prvky. Monitoring sítě 24x7x365. Zálohování celého serveru i víceúrovňová záloha dat.
2.2 BEZPEČNOST DATOVÉHO CENTRA NTT Naše servery jsou hostovány u společnosti NTT (Enterprise Cloud Platform), která ve Frankfurtu disponuje špičkovým datovým centrem. Všechny prostory v datovém centru jsou kompletně monitorovány 24x7x365 pomocí kamer a ních hlídek. 2.2.1 SPECIFIKACE DATOVÉHO CENTRA Naprostá připravenost na výpadek proudu a požár Ekologické datové centrum s účinnými chladícími zařízeními Bezpečnostní systém s nejnovějšími metodami ověření Běh systému včetně správy 24x7 Redundance systému z hlediska napájení, klimatizace a sítě Stabilní síť díky páteřním a záložním linkám od více poskytovatelů Certifikovaná kvalita dle standardů Enterprise Cloud Data Center Velmi omezený přístup fyzickým osobám Auditovaná kontrola přístupů 2.2.2 REGULOVANÁ KLIMATIZACE Systémy topení, větrání i klimatizace (HVAC) mají filtry pro pevné částice a řízení vlhkosti. Klima v našich datových centrech je udržováno dle pravidel společnosti ASHRAE. Tím je zajištěna dokonalá funkce pro vás tak důležitých serverů a ostatního hardwaru. 2.2.3 REDUNDANTNÍ ZDROJE Pro zajištění nepřetržitého napájení nespoléhají datová centra pouze na místní rozvodnou síť. K dispozici jsou diesel generátory a vyrovnávací zdroje (UPS), které dodávají energii v kritických incidentech, takže dokáží udržet všechny funkce v běhu a servery online. 2.2.4 CERTIFIKACE A STANDARDY DATOVÝCH CENTER Datová centra NTT byla nezávisle ověřena a splňují požadavky PCI DSS již od roku 2009. Datová centra drží certifikát ISO 27001 pro správu i informací. NTT Europe drží také certifikát ISO 20000, který přesněji vystihuje poskytované služby. 2.2.5 BEZPEČNOST UVNITŘ ORGANIZACE Zaměstnanecká příručka Zaměstnanecká příručka zahrnuje všechny směrnice včetně práv zaměstnanců, pracovních a zdravotních nařízení; Příručka obsahuje i utajení klientských informací a dodržování ISO 27001. Ochrana dat Ochrana osobních dat podléhá několika místním úpravám nařízení 95/46/EC Evropského parlamentu. Dle obsahu nařízení jsou za osobní data považovány veškeré informace o jedinci, tedy jméno, adresa, telefonní číslo, email a jakékoliv další informace o dané osobě. Všichni zaměstnanci NTT Europe podepsali smlouvu o mlčenlivosti. Všichni zákazníci i příslušní dodavatelé také podepsali smlouvu o mlčenlivosti.
2.2.6 VYMEZENÉ PROSTŘEDKY NA BEZPEČNOST A CERTIFIKACI NTT Europe zaměstnává vyhrazenou skupinu osob pro informací. Ta zajišťuje neustálou kontrolu plnění certifikace ISO 27001 a zdokonaluje a nasazuje metody a zásady na podporu této snahy. V tomto týmu jsou členové, kteří mají zkušenosti s certifikacemi CISSP, CISA a CISM. V operačním/technickém týmu má několik členů certifikát na Fortinet, CheckPoint a Netscreen pro správu ních zařízení. Technici NTT Europe jsou školeni a certifikováni pro práci s veškerým zařízením NTT Europe. Pro další informaci byl odstartován program pro certifikaci ITIL a správu projektů (např. PRINCE 2) a několik zaměstnanců již certifikát získalo. Všechny služební notebooky zaměstnanců NTT Europe mají plně šifrovaný disk. 2.2.7 POSTUPY PRO BEZPEČNOSTNÍ UDÁLOSTI Technická podpora NTT Europe je k dispozici v angličtině 24x7x365. S ními incidenty se jedná vždy jako s prioritou číslo 1, jak je nastaveno v interním procesu NTT Europe pro reakci na incidenty. Jako ní incident je považována jakákoliv událost, která naznačovala nebo představovala úmyslný nebo neautorizovaný pokus o přístup, vyzrazení nebo způsobení škody daného místa. Mezi tyto události patří mj. neautorizované přihlášení nebo pokus o něj, pokusy o prolomení firewallu a útoky DoS. NTT Europe každé chybě přiřadí kód priority a ta má svou stupnici. Zaměstnanci servisního střediska NTT Europe pak zavolají na help desk zákazníka (WK) v případě výskytu chyby s prioritou 1 nebo 2 (ní události jsou priorita 1). 2.2.8 ŠIFROVANÝ PŘENOS MEZI DATOVÝMI CENTRY Přenos dat mezi datovými centry NTT Europe (např. pro účely zálohování) je šifrován použitím vhodných protokolů, jako jsou IPSec VPN, SSH nebo HTTPS. Pro effacts jsou vyhrazena pouze datová centra v Německu. 2.2.9 INTERNETOVÉ PŘIPOJENÍ Internetové připojení NTT Europe je přímo napojeno na páteřní síť AS2914 Tier 1, kterou vlastní a obsluhuje mateřská společnost NTT Communications. Specifická zákaznická řešení jsou routována pomocí routerů CAD (Core, Aggregation, Distribution). 2.3 VYVAŽOVÁNÍ ZÁTĚŽE, REDUNDANCE A ODOLNOST Pro zvládnutí zvýšeného nebo zvyšujícího se náporu uživatelů existuje redundantní systém. Tento systém je škálovatelný vertikálně i horizontálně. Pro případy selhání primárního serveru je zde v pohotovosti redundantní aplikační server pro backend. 2.3.1 SÍŤ A KONEKTIVITA Všechny síťové prvky a konektivita disponují vysokou redundancí.
2.4 MECHANISMUS DETEKCE NEŽÁDOUCÍHO VNIKNUTÍ Pro ochranu systémů NTT Europe jsou použity síťové sondy, hostitelské sondy a metody síťové korelace. Veškerý příchozí a odchozí TCP provoz je monitorován na přítomnost neobvyklých aktivit. 2.5 OVĚŘOVÁNÍ ZRANITELNOSTI Wolters Kluwer provádí pravidelné kontroly zranitelnosti. 2.6 MONITORING Máme monitorovací systém, který kontroluje dobu provozu, dostupnost a výkon. Námi vyvinuté skripty a nástroje pak ověřují, že všechny procesy fungují bezchybně. 3 BEZPEČNOST OPERAČNÍHO TÝMU A TÝMU PODPORY WOLTERS KLUWER Pro snížení rizika osobního selhání používáme kombinaci interních kontrol a smluv o utajení. Také provádíme monitoring vyhrazeným compliance týmem, abychom zajistili, že zaměstnanci pracují v souladu s ními a compliance nařízeními. 3.1 PODPORA 24X7 Pracovníci síťového operačního centra (NOC) neustále monitorují síť a naši síťoví inženýři a zaměstnanci zařízení jsou plně k dispozici v případě naléhavé události. 3.2 OPERAČNÍ TÝM Abychom předešli možnosti přímého přístupu našich zaměstnanců nebo hostů k datům zákazníků, nachází se naše kanceláře mimo datové centrum. Naši zaměstnanci nemají přístup k datům, pokud nemají výslovné povolení pro provádění servisních úkonů. Při vyžádání podpory nebo během kontaktu s naším týmem má zákazník právo udělit jakákoliv potřebná přístupová práva veškerá taková povolení jsou sledována a jsou vždy zákazníkům k dispozici. Wolters Kluwer ČR, a.s., U nákladového nádraží 10, 130 00 Praha 3 tel: 246 040 400 email: effacts@wolterskluwer.cz www.effacts.cz ASPI CZ Wolters Kluwer CZ Wolters Kluwer CZ 1/2018