Infraestruturas Críticas BSI (KRITIS)
A OVHcloud está oficialmente registada no Instituto Alemão de Segurança da Informação (BSI) como operador de infraestruturas críticas (KRITIS). Assim, a OVHcloud cumpre todos os requisitos do BSI para empresas cujos serviços são de importância central para o bem comum e a segurança de aprovisionamento.
A Lei de Segurança Informática alemã obriga os operadores de infraestruturas críticas (por exemplo, datacenters) a registarem-se no BSI e a cumprirem determinadas obrigações legais. Tais obrigações incluem a demonstração do cumprimento dos requisitos de segurança e a implementação de medidas técnicas e organizacionais adequadas. Mencionem-se, por exemplo, a introdução e a manutenção de um sistema eficaz de gestão da segurança da informação (ISMS) ou controlos de acesso físicos e lógicos aos datacenters e sistemas. As provas e toda a documentação devem ser submetidas ao BSI de dois em dois anos, no contexto de uma auditoria.
A filial alemã da OVHcloud, a DCD Data Center Deutschland GmbH, está registada no BSI como operadora de infraestruturas críticas e cumpre todas as normas exigidas pelo organismo. O datacenter da OVHcloud na Alemanha é regularmente auditado por peritos independentes para verificar o cumprimento do Regulamento KRITIS e da Lei de Segurança Informática.
Um conselheiro da OVHcloud liga-lhe gratuitamente
C5 - Catálogo de Critérios de Conformidade em Cloud Computing
O Instituto Alemão de Segurança da Informação (BSI) criou o C5 (Catálogo de Critérios de Conformidade em Cloud Computing) como uma norma de auditoria. A última atualização dessa norma ocorreu em 2020. Para os clientes e parceiros da OVHcloud, a certificação C5 confirma que uma plataforma cumpre os controlos de segurança relevantes. O C5 complementa as normas de segurança informática, definidas nos regulamentos e equivalentes à proteção de base, com controlos adicionais especificamente criados para a cloud.
Parâmetros e certificados
No seu catálogo de requisitos, o BSI formula não só critérios segundo os quais, por exemplo, devem ser comunicadas a localização do tribunal e as certificações do fornecedor cloud, como também a forma de lidar com pedidos de investigação por parte de agências governamentais para acesso ou divulgação de dados de clientes cloud. O fornecedor cloud também deve especificar a localização exata do processamento dos dados e da prestação de serviços. Graças a esta transparência, os potenciais clientes cloud podem decidir se as regulamentações legais (por exemplo, o RGPD), as diretrizes de cliente e as possíveis ameaças da espionagem industrial tornam adequado o uso do serviço cloud.