Infraestructuras Críticas (KRITIS) del BSI
OVHcloud está registrado oficialmente en la Oficina Federal de Seguridad de la Información (BSI) como operador de Infraestructuras Críticas (KRITIS) en Alemania. De este modo, OVHcloud cumple con los requisitos del BSI para las empresas cuyos servicios son clave para garantizar la seguridad del suministro y el interés público.
La ley de seguridad de la información alemana impone a los operadores de Infraestructuras Críticas (como los datacenters) la obligación de registrarse ante el BSI y cumplir con determinados requisitos legales. Estas obligaciones incluyen demostrar el cumplimiento de los requisitos de seguridad y la aplicación de medidas técnicas y organizativas adecuadas. Esto contempla, por ejemplo, la implementación y el mantenimiento de un sistema de gestión de la seguridad de la información (SGSI) eficaz, así como controles de acceso físicos y lógicos a datacenters y sistemas. La documentación y pruebas necesarias deben presentarse al BSI cada dos años mediante una auditoría.
La filial alemana de OVHcloud, DCD Data Center Deutschland GmbH, está registrada como operador de Infraestructuras Críticas ante el BSI y cumple con todos los estándares exigidos. El datacenter de OVHcloud en Alemania se somete regularmente a auditorías independientes para verificar el cumplimiento del Reglamento del BSI sobre Infraestructuras Críticas (KRITIS) y la ley alemana de seguridad de la información.
Si lo desea, uno de nuestros asesores puede llamarle de forma gratuita
C5 – Catálogo de Criterios de Cumplimiento para la Computación en la Nube
La Oficina Federal de Seguridad de la Información de Alemania (BSI) ha creado el C5 (Catálogo de Criterios de Cumplimiento para la Computación en la Nube) como estándar de auditoría. Su versión más reciente corresponde a la actualización de 2020. Para los clientes y partners de OVHcloud, la certificación C5 garantiza que la plataforma cumple los controles de seguridad pertinentes. El C5 complementa el estándar de seguridad de la información, definido en la normativa y equivalente a la protección básica IT (IT-Grundschutz), con controles adicionales específicamente diseñados para entornos en el cloud.
Criterios y certificados
En su catálogo de criterios, el BSI establece criterios según los cuales, entre otros, deben comunicarse la jurisdicción aplicable y las certificaciones existentes del proveedor cloud, así como el procedimiento para atender solicitudes de acceso o divulgación de datos por parte de organismos gubernamentales. El proveedor cloud también debe ser capaz de especificar la ubicación exacta donde se realiza el procesamiento de datos y la prestación del servicio. Gracias a esta transparencia, los potenciales clientes pueden valorar si el uso del servicio en la nube es adecuado en función de las normativas legales aplicables (como el RGPD en materia de protección de datos), sus propias políticas internas y riesgos potenciales como el espionaje industrial.