Política de Uso del Data Center
Con el propósito de mantener la seguridad, integridad Y apariencia del Data Center (IDC), es necesario establecer las guías de uso del mismo a nuestros clientes. Nuestros clientes (para los efectos de esta política, se definen como toda persona natural o jurídica que reciba servicios de Telecarrier, Inc. fusionada con Cable Onda, S.A. - en adelante "La Empresa"), deberán cumplir con esta política a fin de recibir los servicios. Por favor leer y seguir los siguientes lineamientos, para que podamos mantener el IDC como una facilidad de primera clase. Todo acceso al edificio del IDC deberá ser autorizado previamente. Se requiere que los clientes y subcontratistas se registren a la entrada, antes de que se les conceda el acceso al IDC y notificarse igualmente a su salida del edificio. Favor referirse a los Procedimientos de Control de Acceso. El acceso al Data Center estará limitado a las áreas específicas donde el cliente tiene instalado sus equipos y será controlado por medio de tarjetas de control de acceso. Las tarjetas de control de acceso no podrán ser prestadas a nadie más que que no sea la persona a la cual se le ha entregado. Las tarjetas deben estar visibles todo el tiempo. Materiales inflamables o peligrosos (como por ejemplo cartón, cajas, papel o cualquier otro material similar), no podrán ser almacenados dentro de ningún espacio de Colocation en el Data Center. El Data Center debe mantenerse limpio y ordenado en todo momento. Los clientes deberán deberán remover sus desechos y cajas vacías antes de salir del edificio. El área para desechar la basura está localizada cerca de la puerta trasera del área de carga y allí deberán dejar los clientes sus desechos y cajas vacías. Nos reservamos el derecho de remover y descartar cualquier basura o desechos dejados en el edificio por el cliente, en violación a la presente política; y cargará al cliente el costo de dicha remoción. Al finalizar cualquier trabajo en el Data Center, el Cliente deberá asegurarse que todos sus cables estén bien instalados y ordenados, dentro de sus gabinetes, así como asegurarse que todas las puertas están cerradas y trancadas. No se permiten comidas ni bebidas fuera del área de la cafetería. Se prohíbe fumar dentro del Data Center. No se se permite tomar fotos ni el uso de cámaras fotográficas o cámaras de video. Se les agradece no cargar equipos que serán instalados en las premisas del cliente, a través del Lobby principal. Todos los equipos deberán entrar al edificio por la entrada trasera, localizada en el área de carga en la parte oeste del edificio. Refiérase a la Política de envío y recibo de equipos y paquetes. Debido al poco espacio que se tiene para para almacenar equipo o paquetes del cliente, cualquier equipo o paquetes entregados en el Data Center sólo podrán ser almacenados por períodos limitados. Refiérase a la Política de envío y recibo de equipos y paquetes. Se le agradece no arrastrar equipo sobre el piso falso del Data Center. Por favor utilizar carretillas con llantas de caucho. No se permiten carretillas con llantas de hierro, a menos que previamente se proteja el piso falso con cartón o cualquier otro material protector. Se les agradece no bloquear los pasillos, el elevador o cualquier otro espacio público de uso común, o usarlos para propósitos distintos al transporte de equipos desde o hacia sus premisas. Esta regla incluye el almacenaje de carga y equipos en las áreas comunes usadas por terceros. No utilizar el área de los baños para para propósitos distintos a los que han sido destinados. Está prohibido abrir huecos en las paredes o el piso del área de colocación. No se permite el uso de aspiradoras, taladros o similares en el área de la sala de equipos (piso falso). Los clientes no podrán instalar equipos inalámbricos o antenas antenas en las premisas del Data Center. El cliente será responsable de remover el equipo no autorizado, instalado en violación a la presente política. La empresa manejará todas las conexiones a la infraestructura eléctrica. El cliente solo podrá conectar sus equipos a las salidas asignadas a sus respectivos gabinetes.
No está permitido levantar las baldosas del piso falso. Esta labor debe solicitarse al personal de nuestra empresa. No se permiten las conexiones en cadena de varios PDU (regletas) (conocido como Daisy Chaining). Esto aumenta el riesgo de producción de incendios y una potencial sobrecarga de los circuitos eléctricos, resultando en la pérdida de energía del PDU o del circuito completo. Se espera que todos nuestros clientes se adhieran a la regla del 80/20 con relación al consumo de energía. Esto requiere que el uso de la energía no debe exceder el 80% del total de la energía disponible por circuito. Se prohíbe a los clientes que se acerquen, manejen, usen o inspeccionen el equipo, gabinetes y jaulas de otros clientes. Debe lim itarse al uso de sus propios gabinetes. Los clientes no pueden introducir ni utilizar ninguno de los siguientes materiales en el Data Center: Productos derivados del Tabaco Explosivos Armas Quimicos Drogas ilegales Artículos electromagnéticos Materiales radioactivos Cámaras fotográficas o de video Cualquier otro artículo similar a los antes mencionados, que a la sola discreción de la empresa, considere como peligrosos o dañinos. La empresa se reserva el derecho de inspeccionar todos los objetos que entran o salen del Data Center, así como de sacar del edificio todos y cualquier objeto que violes la presente política. Se solicitará a cualquier persona que entre o salga del edificio con paquetes, que señale cuál es el contenido del mismo.
GUIAS DE CONDUCTA
Los clientes no pueden hacer mal uso o abusar de la propiedad y equipos de la empresa. Los clientes no podrán acosar físicamente, amenazar, intimidar o abusar a ninguna persona dentro del IDC, incluyendo pero sin limitarse a empleados, agentes o invitados de la empresa, así como otros visitantes. Los abusos, las amenazas y todo tipo de comportamiento ofensivo por parte de los clientes, no será tolerado. La empresa puede negar la entrada o requerir la inmediata salida de cualquier persona que (i) sea desordenada, (ii) no cumpla la presente política, o (iii) deje de cumplir cualquier otra política de la empresa, así como sus procedimientos y requerimientos, una vez le sean informados.
MODIFICACIONES A LA POLITICA La empresa se reserve el derecho de modificar esta política en cualquier momento sin previo aviso. Haremos nuestro mejor esfuerzo por notificar al cliente de las modificaciones ya sea mediante correo electrónico o publicaciones de la nueva versión en nuestra página Web. Los clientes tienen la obligación de revisar nuestras políticas de tiempo en tiempo, a fin de tener conocimiento de estos cambios, puesto que los mismos son legalmente vinculantes para el cliente. Algunas de las provisiones contenidas en esta política podrán ser también modificadas mediante noticias publicadas en otros lugares de nuestra página Web o a través de documentos enviados directamente al cliente.
Compromiso de OCLC con servicios bibliotecarios seguros Protege sus datos mientras comparte sus colecciones
En OCLC comprendemos que la confidencialidad, integridad y disponibilidad de la información de nuestros miembros son vitales para sus operaciones comerciales y nu estro propio éxito. Usamos un enfoque basado en múltiples capas para proteger la información clave mediante el control y la mejora constantes de nuestras aplicaciones, sistemas y procesos con el objetivo de cumplir con las crecientes demandas y desafíos de amenazas de seguridad dinámicas. Como reconocimiento a nuestros esfuerzos de seguridad, OCLC ha cumplido con las normas de seguridad ISO 27001 y ha recibido la certificación correspondiente.
Administración de riesgos empresariales y seguridad de la información.
Se ha implementado un Sistema de administración de seguridad de la información de conformidad con la norma ISO/IEC 27001:2005.
Personal profesional integrado por profesionales certificados en auditoría informática y seguridad de la información, y un especialista en Planificación de continuidad del negocio y Recuperación de desastres de dedicación exclusiva a tiempo completo
Controles físicos y ambientales
Seguridad mediante personal durante las 24 horas
Acceso restringido a través de tarjetas de proximidad
Equipo informático en áreas de acceso controlado
Vigilancia con video en toda la instalación y el perímetro
Control de humedad y temperatura
Suelo elevado para facilitar la circulación continua de aire
Alimentación eléctrica subterránea
Sistemas de alimentación ininterrumpida (UPS)
Unidades de distribución de energía (PDU) redundantes
Generadores diésel con almacenamiento de combustible diésel en el lugar
Sensores de detección de humo e incendio en todos los centros de datos
El Dublin Service Delivery Center (DSDC) está protegido con el sistema Halon y cuenta con reservas suficientes para varias descargas
El Columbus Service Delivery Center (CSDC) está protegido con el sistema contra incendios DuPont FM-200
Los centros de datos también están protegidos con sistemas de rociadores de tubería húmeda
Hay extinguidores de incendio en todas las instalaciones de DSDC y CSDC
Controles de acceso lógico
Identificación de usuario y administración de accesos
* Conexiones a datos patrones a través de SSL 3.0/TLS 1.0 utilizando certificados ascendentes globales emitidos por Thawte, que garantizan que nuestros usuarios tengan una conexión segura desde sus navegadores a nuestro servicio. * Se identifican sesiones de usuario individuales que se vuelven a verificar con cada transacción utilizando aserciones de seguridad encriptadas XML a través de SAML 2.0. * En función de los servicios específicos que se utilizan
Controles de seguridad opcionales
Se conectan a Internet a través de distintos enlaces enrutados redundantes de varios proveedores de servicio de Internet abastecidos desde múltiples puntos de presencia de proveedores de telecomunicaciones
Servidores de seguridad perimetrales y enrutadores periféricos que bloquean los protocolos no utilizados
Servidores de seguridad internos que segregan el tráfico entre la aplicación y los niveles de base de datos
Equilibradores de carga que proporcionan servidores proxy para tráfico interno
OCLC utiliza distintos métodos para evitar, detectar y erradicar malware
También se llevan a cabo periódicamente evaluaciones de seguridad independientes por parte de terceros
Se realizan copias de seguridad en cinta de todos los datos en cada centro de datos
Las copias de seguridad se clonan a través de enlaces de seguridad a un archivo de cinta seguro
Las cintas se trasladan fuera de la institución y se destruyen de forma segura cuando se vuelven obsoletas
El personal de Seguridad de la información de OCLC controla las notificaciones de distintas fuentes y las alertas del sistema interno para identificar y controlar amenazas
Desarrollo y mantenimiento de sistemas
OCLC prueba la vulnerabilidad de la seguridad de todos los códigos antes de emitirlos y escanea con regularidad nuestra red y los sistemas para detectar vulnerabilidades
Evaluaciones de vulnerabilidad de red
Prueba de penetración seleccionadas y revisión de códigos
Revisión y prueba de marco de control de seguridad
Continuidad del negocio y recuperación de desastres
El servicio de OCLC realiza una réplica del disco en tiempo real en cada centro de datos y una réplica de datos casi en tiempo real entre el centro de producción de datos y el sitio de recuperación de desastres
Los datos confidenciales se transmiten a través de enlaces dedicados
Las pruebas de recuperación de desastres verifican nuestros tiempos de recuperación proyectados y la integridad de los datos del cliente
Respuesta, notificación y corrección de incidentes
Proceso de administración de incidentes para eventos de seguridad que pueden afectar la confidencialidad, integridad o disponibilidad de los sistemas o datos
El Equipo de seguridad de la información está capacitado para realizar pruebas forenses y manejar evidencias en preparación para un evento, incluido el uso de herramientas de terceros y de propiedad exclusiva
Cumplimiento
Los terceros pueden obtener información solamente a través de procesos legales como órdenes de allanamiento, órdenes judiciales y citaciones, y también mediante una exención jurídica o el consentimiento del usuario
OCLC mantiene una política de privacidad sólida que ayuda a proteger los datos de usuarios y clientes.
Los servicios de OCLC cumplen o exceden las recomendaciones del Gartner Group 1 (Tabla 1.) y la “Guía para la seguridad en áreas críticas de atención en Cloud Computing”
(Security Guidance for Critical Areas of Focus in Cloud Computing) de Cloud Security Alliance. Tabla 1. Gartner: Siete riesgos de seguridad en Cloud-Computing (Seven CloudComputing Security Risks)
Recomendaciones de Gartner
Microsoft
Google Apps
Cloud (BPOS)
Enterprise
OCLC
Control de acceso de usuarios con privilegios
X
X
X
Cumplimiento normativo
X
X
X
Ubicación de datos
X
X
X (no divulgación)
Segregación de datos
X
X
X
Recuperación
X
X
X
Apoyo en investigaciones
X
X
X
Viabilidad a largo plazo
X
X
X
1 Jay Heiser y Mark Nicolett. “Evaluación de los riesgos de seguridad de Cloud Computing” (Assessing the Security Risks of Cloud Computing). Gartner Group. 30 de junio de 2008
