Datensicherheit und DSGVO

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Es wird eine Sicherheitspolitik für Informationssysteme (intern auch als PSSI bezeichnet) umgesetzt, die alle unsere Maßnahmen auf diesem Gebiet beschreibt. Unsere PSSI wird mindestens einmal im Jahr oder bei wesentlichen Änderungen, die Auswirkungen auf ihren Inhalt haben, aktualisiert. Die Sicherheit unserer Lösungen selbst wird innerhalb der formalen Informationssicherheitsmanagementsysteme geregelt.

Unsere Maßnahmen für die Sicherheit der Umgebung werden von verschiedenen Rollen koordiniert:

• Dem Verantwortlichen für die Sicherheit der Informationssysteme (CISO oder intern RSSI)
• Dem Sicherheitsverantwortlichen, der für Prozesse und Projekte in Verbindung mit der Umgebungssicherheit zuständig ist
• Dem Datenschutzbeauftragten (DSB), der den Schutz personenbezogener Daten gewährleistet
• Dem Risikomanager, der das Sicherheitsrisikomanagement und die geeigneten Aktionspläne koordiniert
• Dem Verantwortlichen für Sicherheitsmaßnahmen, der die Vorschriften hinsichtlich der identifizierten Risiken umsetzt und anwendet

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Um die Einhaltung der Compliance sicherzustellen und die Wirksamkeit unserer Systeme zu bewerten, werden regelmäßig Sicherheitsüberprüfungen durchgeführt. Von diesen gibt es fünf Arten:

• Externe Überprüfungen (Zertifizierungen, Bescheinigungen, Kundenaudits)
• Von internen oder externen Prüfern durchgeführte interne Überprüfungen
• Von internen oder externen Prüfern durchgeführte technische Überprüfungen (Penetrationstests, Vulnerability Scans, Code-Reviews)
• Überprüfungen der Aktivitäten Dritter, durchgeführt von dem Verantwortlichen für die Verwaltung Dritter
• Von internen Prüfern durchgeführte Überprüfungen der Rechenzentren. Die Art und Häufigkeit der Überprüfungen hängt von den Lösungen und den Bereichen ab. Wenn eine nicht den Richtlinien entsprechende Situation festgestellt wird, wird für diese eine Korrekturmaßnahme zu den Aktionsplänen hinzugefügt. All diese Maßnahmen werden formal überwacht, ihr Verlauf aufgezeichnet und bei einer regelmäßigen Kontrolle erneut auf ihre Wirksamkeit überprüft.

Empfehlungen für den für die Verarbeitung verantwortlichen Kunden

Der Kunde kann seinerseits technische Überprüfungen (Penetrationstests) an den gehosteten Diensten seines Accounts sowie an den Verwaltungseinheiten des Dienstes durchführen. Die Durchführungsbedingungen der Überprüfungen sind vertraglich festgelegt oder werden auf Wunsch auf Ad-hoc-Basis geregelt.

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Die Durchführungsbedingungen der Überprüfungen sind vertraglich festgelegt oder werden auf Wunsch auf Ad-hoc-Basis geregelt.

Empfehlungen für den für die Verarbeitung verantwortlichen Kunden

Der Kunde muss sich vergewissern, dass die von OVH eingesetzten Sicherheitsmaßnahmen für die mit seiner Nutzung der Infrastruktur verbundenen Risiken relevant sind.

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Es wird eine formale Risikomanagementmethodik eingesetzt. Diese wird mindestens einmal im Jahr oder bei wesentlichen Änderungen überprüft. Sie betrifft sowohl personenbezogene als auch sensible Daten (Gesundheitsdaten, Zahlungsdaten etc.).

Diese Methodik formalisiert die durchgeführten Analysen: Erkennung von Aktiva, kritischen Geschäftsprozessen, Bedrohungen und Schwachstellen.

Sie beruht auf der ISO-Norm 27005. Am Ende jeder Analyse wird ein Behandlungsplan für die identifizierten Risiken entwickelt. Dieser wird innerhalb von maximal 12 Monaten umgesetzt. Er dokumentiert die Analyse im Detail und gliedert die durchzuführenden Maßnahmen hierarchisch auf. Jede korrektive Maßnahme wird zu den Aktionsplänen hinzugefügt sowie formal überwacht, ihr Verlauf aufgezeichnet und bei einer regelmäßigen Kontrolle erneut auf ihre Wirksamkeit überprüft.

Empfehlungen für den für die Verarbeitung verantwortlichen Kunden

Der Kunde muss die Richtigkeit seiner Kontaktdaten sicherstellen, damit OVH ihn über Änderungen benachrichtigen kann, die möglicherweise Auswirkungen auf seine Lösungen haben. Gegebenenfalls obliegt es dem Kunden, erforderliche Maßnahmen an der Konfiguration seiner Dienste durchzuführen, um diese Änderungen zu berücksichtigen.

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Ein formales Änderungsmanagementverfahren wird eingesetzt:

• Die Rollen und Verantwortlichkeiten werden klar definiert.
• Klassifizierungskriterien werden genau festgelegt, um alle bei der Änderungsumsetzung zu befolgenden Schritte zu bestimmen.
• Prioritäten werden verwaltet : Es wird eine Risikoanalyse für die Änderungen durchgeführt (wird ein Risiko festgestellt, arbeiten der Sicherheitsverantwortliche und der Risikomanager gemeinsam an der Validierung der Änderung).
• Die Änderung wird gegebenenfalls mit den Kunden geplant und programmiert.
• Die Implementierung findet schrittweise statt (1/10/100/1000), und im Fall eines Risikos ist ein Umkehrverfahren vorgesehen.
• Es wird eine nachträgliche Überprüfung der verschiedenen von der Änderung betroffenen Aktiva durchgeführt.
• Alle Schritte werden in einem Änderungsmanagement-Tool dokumentiert.

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Für OVH Softwareentwickler werden Prozesse umgesetzt und dokumentiert. Sie enthalten Richtlinien für sichere Softwareentwicklung, „Privacy by Design“-Maßnahmen sowie eine Code-Review-Policy (Erkennung von Sicherheitslücken, Fehlerbehandlung, Zugriffs- und Eingabeverwaltung, Speicher- und Kommunikationssicherung).

• Es werden auch regelmäßig Code-Reviews durchgeführt:
• Validierung neuer Funktionen vor ihrer Einführung, gegebenenfalls Praxistests zur Validierung sowie schrittweise Implementierung (1/10/100/1000)
• Trennung der Rollen und Verantwortlichkeiten zwischen den Entwicklern und den für die Inbetriebnahme verantwortlichen Personen.

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Für alle OVH Dienstleistungen ist eine Monitoring-Infrastruktur im Einsatz. Diese hat mehrere Ziele:

• Erkennen von Produktions- und Sicherheitsvorfällen
• Überwachung kritischer Funktionen und Auslösen von Alarmen an das Überwachungssystem
• Benachrichtigung der Verantwortlichen und Ingangsetzung der entsprechenden Vorgehensweisen
• Gewährleistung der Dienstkontinuität bei Durchführung automatisierter Aufgaben
• Prüfung der Integrität der überwachten Ressourcen

Empfehlungen für den für die Verarbeitung verantwortlichen Kunden

Der Kunde muss die Richtigkeit seiner Kontaktdaten sicherstellen, damit OVH ihn im Fall einer Störung benachrichtigen kann. Er muss außerdem Störungsmanagementprozesse für Störungen einrichten, die sein Informationssystem betreffen, und OVH als mögliche Warnungsquelle miteinbeziehen.

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Ein Störungsmanagementprozess ist im Einsatz. Durch ihn können diese Ereignisse in den Infrastrukturen der Dienstverwaltung und des Dienstes selbst verhindert, entdeckt und gelöst werden. Dieser Prozess beinhaltet:

• Einen Leitfaden zur Einstufung von Sicherheitsereignissen
• Die Behandlung von Sicherheitsereignissen
• Simulationsübungen für den Krisenstab
• Tests des Reaktionsplans für Störungen
• Kundenkommunikation im Rahmen eines Krisenstabs

Diese Verfahren unterliegen einem kontinuierlichen Verbesserungsprozess für Überwachung und Bewertung von Störungen, das gesamte Störungsmanagement sowie dessen korrektive Maßnahmen.

Empfehlungen für den für die Verarbeitung verantwortlichen Kunden

Der Kunde muss die Richtigkeit seiner Kontaktdaten sicherstellen, damit OVH ihn im Fall einer auf seinem Informationssystem entdeckten Sicherheitslücke benachrichtigen kann.

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Eine Technologiebeobachtung auf neue Sicherheitslücken erfolgt durch den Sicherheitsbeauftragten und seine Mitarbeiter. Diese werden über folgende Wege identifiziert:

• Öffentliche Informationsseiten
• Warnungen der Hersteller und Herausgeber der verwendeten Lösungen
• Von unserem Betriebspersonal, Dritten oder Kunden berichtete Störungen und Beobachtungen
• Regelmäßig durchgeführte interne und externe Scans auf Sicherheitslücken
• Technische Überprüfungen sowie Code-Reviews und Konfigurationsüberprüfungen

Wenn eine Sicherheitslücke entdeckt wird, wird von dedizierten Teams eine Analyse durchgeführt, um ihre Auswirkungen auf die Systeme und mögliche Betriebsszenarien festzustellen.

Wenn nötig werden Schadenminderungsmaßnahmen umgesetzt, anschließend wird ein Plan für Korrekturmaßnahmen definiert.

Jede durchgeführte Maßnahme wird zu den Aktionsplänen hinzugefügt sowie formal überwacht, ihr Verlauf aufgezeichnet und bei einer regelmäßigen Kontrolle erneut auf ihre Wirksamkeit überprüft.

Empfehlungen für den für die Verarbeitung verantwortlichen Kunden

Die Kontinuität des Informationssystems liegt in der Verantwortung des Kunden. Er muss sicherstellen, dass er mit den von OVH eingesetzten Standardmaßnahmen, den Vertragsoptionen und den von ihm eingesetzten Zusatzmaßnahmen seine Ziele erreichen kann.

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Die Betriebskontinuität der Infrastrukturen (Verfügbarkeit von Geräten, Anwendungen und Betriebsprozessen) wird durch verschiedene Maßnahmen gewährleistet:

• Kontinuierliche Flüssigkeits- und Luftkühlung
• Kontinuierliche und redundante Stromversorgung
• Kapazitätsmanagement für die Geräte unter der Verantwortung von OVH
• Technischer Support des Dienstes
• Redundanz der für die Systemadministration verwendeten Geräte und Server

Ergänzend gewährleisten weitere Mechanismen wie beispielsweise das Backup der Konfigurationen der Netzwerkgeräte die Wiederaufnahme im Fall einer Störung.

Je nach Dienstleistung bietet OVH gegebenenfalls Backup- und Wiederherstellungsmaßnahmen an, die dem Kunden entweder als im Basisangebot integrierte Funktionen oder als kostenpflichtige Optionen zur Verfügung stehen.

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Folgende Maßnahmen werden zur Verhütung von Natur- und Umweltgefahren umgesetzt:

• Installation von Blitzableitern, um die begleitende elektromagnetische Welle zu reduzieren
• Einrichtung der Räumlichkeiten von OVH in nicht überschwemmungs- oder erdbebengefährdeten Gebieten
• Eine unterbrechungsfreie Stromversorgung (USV) mit ausreichender Kapazität und Hilfstransformatoren mit automatischer Lastumschaltung
• Automatische Umschaltung auf Stromaggregate mit einer Mindestleistung von 24 Stunden
• Einrichtung eines Flüssigkeitskühlsystems für die Server (98 % der Serverräume haben keine Klimaanlage)
• Einsatz von Heizungs-, Lüftungs- und Klimatechnik-Einheiten (HVAC), die Temperatur und Luftfeuchtigkeit konstant halten
• Verwaltung eines Brandmeldesystems (in den Rechenzentren werden alle 6 Monate Brandschutzübungen durchgeführt)

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Der physische Zugang beruht auf einer restriktiven Umgebungssicherheit, die ab dem Eingangsbereich wirksam ist. Jeder Standort ist folgendermaßen unterteilt:

• Private Verkehrsflächen
• Büros, die für alle Mitarbeiter und angemeldeten Besucher zugänglich sind
• Private Büros, die nur befugtem Personal zugänglich sind
• Bereiche mit Rechenzentrumsgeräten
• Private Rechenzentrumsbereiche
• Rechenzentrumsbereiche, in denen kritische Dienste untergebracht sind

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Folgende Sicherheitsmaßnahmen werden umgesetzt, um den Zugang zu den physischen Standorten von OVH zu kontrollieren:

• Eine Policy für Zutrittsberechtigungen
• Wände (oder ähnliche Vorrichtungen) zwischen jedem Bereich
• Kameras an den Ein- und Ausgängen der Räumlichkeiten sowie in den Serverräumen
• Gesicherte Zugänge, kontrolliert durch Badge-Lesegeräte
• Laserbarrieren auf den Parkplätzen
• Bewegungsmeldesystem
• Einbruchhemmende Mechanismen an Ein- und Ausgängen der Rechenzentren
• Mechanismen zur Erkennung unerlaubten Eindringens (Wachdienst und Videoüberwachung rund um die Uhr)
• Ständiges Überwachungszentrum, das Ein- und Ausgangstüren auf Öffnen überwacht

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Die physischen Zutrittskontrollen erfolgen durch ein Badge-System. Jeder Badge ist mit einem OVH Account verknüpft, und dieser wiederum mit einer bestimmten Person. Dank dieser Maßnahme können jede Person innerhalb der Anlagen identifiziert und die Kontrollmechanismen authentifiziert werden:

• Jede Person, die Standorte von OVH betritt, muss einen mit ihrer Identität verknüpften persönlichen Badge besitzen.
• Jede Identität muss vor der Ausgabe eines Badge überprüft werden.
• Der Badge muss innerhalb der Räumlichkeiten stets sichtbar getragen werden.
• Badges dürfen weder den Namen ihrer Inhaber noch den Namen des Unternehmens zeigen.
• Es muss möglich sein, die Kategorie der anwesenden Personen anhand des Badge sofort zu identifizieren (Mitarbeiter, Dritter, temporärer Zutritt, Besucher).
• Der Badge wird deaktiviert, sobald der Inhaber nicht länger zum Zutritt zu den Räumlichkeiten berechtigt ist.
• Badges von OVH Mitarbeitern werden für die Dauer des Arbeitsvertrages aktiviert; für die anderen Kategorien wird der Badge nach einem festgelegten Zeitraum automatisch deaktiviert.
• Badges, die drei Wochen lang nicht verwendet werden, werden automatisch deaktiviert.

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Zutritt an den Türen per Badges

Dies ist die Standard-Zutrittskontrolle in den Räumlichkeiten von OVH:

• Die Tür ist mit dem zentralen Managementsystem für Zutrittsberechtigungen verbunden.
• Die Person muss ihren Badge an das spezielle Lesegerät halten, um die Tür zu entsperren.
• Jeder Zutritt wird beim Auslesen überprüft, um sicherzustellen, dass die Person über die entsprechenden Berechtigungen verfügt.
• Bei einem Ausfall des zentralen Managementsystems für die Zutrittsberechtigungen gelten die zum Zeitpunkt der Störung konfigurierten Berechtigungen für die gesamte Dauer des Vorfalls.
• Die Türschlösser sind gegen Stromausfälle geschützt und bleiben in diesen Situationen geschlossen.

Zutritt an den Türen per Schlüssel

Bestimmte Bereiche oder Geräte sind mit per Schlüssel verschließbaren Schlössern abgesperrt:

Die Schlüssel werden für jeden Standort in einem zentralisierten Bereich mit eingeschränktem Zutritt aufbewahrt und in einer Inventarliste dokumentiert.
Jeder Schlüssel ist mit einem Etikett zur Identifikation versehen. Es wird ein Bestandsverzeichnis über die Schlüssel geführt.
Jede Verwendung der Schlüssel kann mittels eines Bereitstellungsmechanismus oder Journals auf Papier zurückverfolgt werden
Die Inventarliste der Schlüssel wird täglich mit dem Bestandsverzeichnis abgeglichen.

Zutritt zu den Rechenzentren durch Einpersonenschleusen

Der Zutritt zu unseren Rechenzentren erfolgt ausschließlich über Einpersonenschleusen:

Jede Schleuse besteht aus zwei Türen und einem abgeschlossenen Bereich zwischen den Kontrollen, um sicherzustellen, dass nur eine Person auf einmal passiert.
Eine Tür kann nur offen sein, wenn die andere geschlossen ist (Mantrap).
Die Schleusen verwenden dasselbe Badge-System wie die anderen Türen, und es gelten dieselben Regeln.
Erkennungsmechanismen prüfen, dass sich nur eine Person in der Schleuse befindet (Anti-Piggybacking).
Die Konfiguration des Systems verhindert, dass der Badge mehr als einmal in dieselbe Richtung verwendet werden kann (Anti-Passback).
Mit einer Kamera im Bereich der Schleuse können die Zutritte überwacht werden.

Zutritt zu den Warenschleusen

• Der Wareneingang in die Rechenzentren erfolgt ausschließlich über die speziell dafür vorgesehenen Durchgänge:
• Die Lieferzone ist genauso konfiguriert wie eine Einpersonenschleuse, jedoch mit mehr Platz, ohne Volumen- und Gewichtskontrollen sowie mit Badge-Lesegeräten nur außerhalb der Schleuse.
• Nur der gelieferte Artikel passiert die Lieferzone, Personen müssen über die Einpersonenschleusen eintreten.
• In der Lieferzone befindet sich eine Kamera ohne toten Winkel.

Empfehlungen für den für die Verarbeitung verantwortlichen Kunden

OVH greift niemals bei seinen Kunden ein. Diese sind selbst für die Sicherheit ihrer Räumlichkeiten verantwortlich.

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Die Bewegungen von Besuchern und gelegentlichen Dienstleistern sind streng geregelt. Diese Personen werden bei ihrer Ankunft am Standort registriert und erhalten einen Besucher- oder Dienstleister-Badge:

• Jeder Besuch muss zuvor angemeldet werden.
• Für Dritte ist immer ein Angestellter verantwortlich und sie werden immer begleitet.
• Jede Identität wird vor dem Zutritt zu den Standorten überprüft.
• Jeder Dritte besitzt einen persönlichen Badge für den Tag, den er vor Verlassen des Standorts zurückgeben muss.
• Alle Badges müssen sichtbar getragen werden.
• Die Badges werden am Ende des Besuchs automatisch deaktiviert.

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Das Personal von OVH ist für das Thema Sicherheit sowie für die Compliance-Vorschriften bezüglich der Verarbeitung personenbezogener Daten sensibilisiert:

• Für die betreffenden Teams finden jährlich Schulungen zu diesen Themen statt.
• Für die betreffenden Teams finden jährlich Schulungen zur Durchführung von Überprüfungen statt.
• Für die betreffenden Teams finden jährlich Schulungen zu den technischen Diensten statt.
• Bei der Aufnahme neuer Angestellter wird eine Sensibilisierung für die Sicherheit des Informationssystems durchgeführt.
• Das gesamte Personal erhält regelmäßig Mitteilungen bezüglich der Sicherheit.
• Es werden Testkampagnen organisiert, um sicherzustellen, dass die Angestellten im Fall einer Bedrohung richtig reagieren.

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Bei der Verwaltung der logischen Zugriffe gilt eine strenge Policy für die Angestellten:

• Zugriffsberechtigungen werden von den Vorgesetzten gemäß der Regel der geringsten Berechtigung und dem Prinzip progressiven Vertrauenserwerbs erteilt und verfolgt.
• Soweit möglich basieren alle Zugriffsberechtigungen auf Rollen und nicht auf Einheitsrechten.
• Die Verwaltung der für einen Nutzer oder ein System bewilligten Zugriffsrechte und Zugriffsbefugnisse erfolgt durch die Registrierung, Änderung und Abmeldung durch Vorgesetzte, interne IT und Personalabteilung.
• Alle Angestellten verwenden namentliche Benutzerkonten.
• Verbindungssitzungen haben systematisch eine für jede Anwendung angepasste Ablaufzeit.
• Vor jeder Änderung der Authentifizierungsmethoden wird die Identität der Benutzer überprüft.
• Vergisst ein Benutzer sein Passwort, sind nur der Vorgesetzte des Mitarbeiters und der Sicherheitsbeauftragte berechtigt, es zurückzusetzen.
• Benutzerkonten werden automatisch deaktiviert, wenn das Passwort nicht nach 90 Tagen geändert wird.
• Die Nutzung von Standardkonten, generischen und anonymen Konten ist verboten.
• Es gilt eine strenge Passwortpolitik.
• Dank eines automatischen Passwortgenerators wählt der Benutzer sein Passwort nicht selbst.
• Die Mindestlänge eines Passwortes beträgt 10 alphanumerische Zeichen.
• Die Passwörter werden alle 3 Monate geändert.
• Es ist verboten, Passwörter in unverschlüsselten Dateien, auf Papier oder in Webbrowsern zu speichern.
• Die Verwendung einer lokalen, vom Sicherheitsteam genehmigten Passwortverwaltungssoftware ist vorgeschrieben.
• Jeder Fernzugriff auf das Informationssystem von OVH erfolgt mittels VPN. Hierfür ist ein Passwort erforderlich, das nur der Benutzer kennt, sowie ein auf dem Arbeitsplatz konfiguriertes Shared Secret.

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Folgende Policy wird für die Verwaltung der Administratorzugriffe auf die Plattformen umgesetzt:

• Alle Administratorzugriffe auf ein System in Produktion erfolgen über einen Bastion Host.
• Administratoren verbinden sich via SSH mit den Bastion Hosts, indem sie individuelle und namentliche Paare öffentlicher und privater Schlüssel verwenden.
• Die Verbindung mit dem Zielsystem erfolgt entweder über ein Shared-Service-Konto oder über ein Namenskonto via Bastion Hosts. • Die Verwendung von Standardkonten auf den Systemen und Geräten ist verboten.
• Für Administrator-Fernzugriffe sowie für Zugriffe durch Mitarbeiter in sensiblen Umgebungen ist eine Zwei-Faktor-Authentifizierung mit vollständiger Nachverfolgung erforderlich.
• Administratoren verfügen zusätzlich zu ihrem Benutzerkonto über ein ausschließlich für administrative Aufgaben verwendetes Konto.
• Zugriffsberechtigungen werden von den Vorgesetzten gemäß der Regel der geringsten Berechtigung und dem Prinzip erworbenen Vertrauens erteilt und verfolgt.
• die SSH-Schlüssel sind durch ein Passwort geschützt, das die Anforderungen der Passwortpolicy erfüllt.• Berechtigungen und Zugriffe werden regelmäßig in Zusammenarbeit mit den betreffenden Abteilungen überprüft.

Empfehlungen für den für die Verarbeitung verantwortlichen Kunden

Der Kunde ist selbst für Verwaltung und Sicherheit seiner Authentifizierungsmethoden verantwortlich. Um die Zugriffe auf sein Konto besser zu schützen, kann er:• im Kundencenter von OVH die Zwei-Faktor-Authentifizierung aktivieren,• Verbindungen auf eine zuvor angegebene Liste von IP-Adressen einschränken.

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Die Verwaltung der OVH Dienstleistungen durch den Kunden erfolgt über das Kundencenter oder die API. Standardmäßig erfolgt der Zugriff mittels Namenskonto (NIC-Handle) und Passwort:

• Das Passwort wird vom Kunden festgelegt und muss den vom Interface vorgeschriebenen Komplexitätskriterien entsprechen.
• Nur die Hashwerte der Passwörter werden auf den OVH Servern gespeichert.
• OVH bietet die Möglichkeit, im Kundencenter die Zwei-Faktor-Authentifizierung zu aktivieren. Diese verwendet ein System per SMS gesendeter Einmalpasswörter (OTP), eine mobile Anwendung oder einen U2F-kompatiblen Schlüssel.
• Der Kunde kann die Zugriffe auf sein Kundencenter auf zuvor festgelegte IP-Adressen beschränken.
• API-Zugriffstoken können für die Dauer ihrer Gültigkeit genutzt werden, ohne dass erneute spezifische Kontrollen notwendig sind.
• Alle Kundenaktivitäten im Kundencenter oder der API werden protokolliert.
• Der Kunde kann bei der Verwaltung der Dienste technische und administrative Aufgaben trennen.

Empfehlungen für den für die Verarbeitung verantwortlichen Kunden

Der Kunde muss die Sicherheit der Arbeitsplätze und der mobilen Geräte gewährleisten, mit denen der Dienst und die Systeme verwaltet werden können.

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Sicherung der Standardarbeitsplätze

Die folgenden Maßnahmen werden eingesetzt, um die Sicherheit der Standardarbeitsplätze des OVH Personals zu gewährleisten:

• Automatische Updateverwaltung
• Installation und Aktualisierung von Antivirus-Software mit regelmäßigen Scans • Ausschließliche Installation von Anwendungen aus einem genehmigten Anwendungskatalog
• Systematische Verschlüsselung der Festplatten
• Keine Administratorrechte für Mitarbeiter an ihrem Arbeitsplatz
• Festgelegte Vorgehensweise zur Behandlung potenziell kompromittierter Arbeitsplätze
• Standardisierung der Geräte
• Löschen der Sitzungen und Zurücksetzen der Arbeitsplätze beim Verlassen der Mitarbeiter

Sicherung der mobilen Endgeräte

Die folgenden Maßnahmen werden eingesetzt, um die Sicherheit der privaten oder von OVH zur Verfügung gestellten mobilen Endgeräte zu gewährleisten:

• Verpflichtende Registrierung der Geräte im zentralen Verwaltungssystem, bevor damit auf interne Ressourcen zugegriffen wird (WLAN, E-Mail, Kalender, Telefonbuch etc.)
• Überprüfung der auf dem Gerät verwendeten Sicherheitspolitik (Freischaltcode, automatische Sperrzeit, Verschlüsselung des Speichers)
• Fernlöschvorgang von Geräten im Fall von Diebstahl oder Verlust

Empfehlungen für den für die Verarbeitung verantwortlichen Kunden

Der Kunde ist allein für die Verschlüsselung der Inhalte verantwortlich, die Über das OVH Netzwerk übertragen werden.

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

OVH verwaltet ein privates Hochleistungs-Glasfasernetz, das mit zahlreichen Betreibern und Spediteuren verbunden ist. OVH verwaltet seinen eigenen Backbone intern. Er verteilt die Konnektivität auf die lokalen Netzwerke jedes Rechenzentrums und verbindet diese untereinander.

Alle Geräte sind durch die folgenden Maßnahmen gesichert:

• Bestandsführung in einer Konfigurationsmanagementdatenbank
• Umsetzung eines Härtungsprozesses, mit Anleitungen für die zu verändernden Einstellungen, um eine sichere Konfiguration zu gewährleisten
• Zugriffe auf die Administratorfunktionen der Geräte sind über Kontrolllisten beschränkt
• Alle Geräte werden über einen Bastion Host unter Anwendung des Prinzips der geringsten Berechtigung verwaltet
• Von allen Konfigurationen der Netzwerkgeräte werden Backups erstellt
• Logs werden gesammelt, zentralisiert und ständig vom Netzbetriebsteam überwacht
• Die Implementierung von Konfigurationen erfolgt automatisiert und basiert auf genehmigten Vorlagen

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Für die von OVH für die Bereitstellung seiner Dienstleistungen verwendeten Server und Geräte gilt eine Backup-Policy:

• Alle für die Betriebskontinuität, die Wiederherstellung des Informationssystems oder die Analyse nach einer Störung erforderlichen Systeme und Daten werden gesichert (technische und administrative Datenbankdateien, Aktivitätsprotokolle, Quellcodes intern entwickelter Anwendungen, Konfiguration der Server, Anwendungen und Geräte etc.).
• Intervall, Aufbewahrungsdauer und Speicherbedingungen der Backups werden entsprechend den Anforderungen jedes gesicherten Aktivums definiert. Die Durchführung von Backups, sowie die Verwaltung von Fehlern und Warnungen unterliegen einem Monitoring.

Empfehlungen für den für die Verarbeitung verantwortlichen Kunden

Der Kunde ist allein verantwortlich für das Protokollierungskonzept seiner eigenen Systeme und Anwendungen.

Verpflichtungen von OVH in seiner Funktion als Hosting-Anbieter

Für die von OVH für die Bereitstellung seiner Dienstleistungen verwendeten Server und Geräte wird ein Protokollierungskonzept umgesetzt:

• Zentrales Backup und Aufbewahrung der Protokolle
• Abfrage und Analyse der Logdateien durch eine beschränkte Anzahl berechtigter Akteure gemäß der Policy für Zugriffsberechtigung und Zugriffsverwaltung
• Aufgabentrennung zwischen den für den Betrieb der Monitoring-Infrastruktur zuständigen Teams und den für den Betrieb des Dienstes zuständigen Teams. Insbesondere die folgenden Aktivitäten werden protokolliert:
• Logdateien der Speicherserver, auf denen sich die Kundendaten befinden
• Logdateien der Geräte, die die Infrastruktur des Kunden verwalten
• Logdateien der Geräte für das Monitoring der Infrastrukturen
• Logdateien der Antivirussoftware auf allen damit ausgestatteten Geräten
• Gegebenenfalls Integritätsprüfung der Logdateien und Systeme
• Durch den Kunden auf seiner Infrastruktur ausgeführte Aufgaben und Ereignisse
• Gegebenenfalls Logdateien und Warnungen, wenn ein Eindringen in das Netzwerk festgestellt wird
• Logdateien der Netzwerkgeräte
• Logdateien der Infrastruktur der Überwachungskameras
• Logdateien der Administratorgeräte
• Logdateien der Zeitserver
• Logdateien der Badge-Lesegeräte
• Logdateien der Bastion Hosts