Bezpieczeństwo urządzeń, danych i transmisji jest naszym najwyższym priorytetem. Dlatego też nasza Polityka bezpieczeństwa uwzględnia szczególny charakter naszych usług, oraz specyfikę polityk bezpieczeństwa systemów informatycznych naszych klientów.
Poniżej prezentujemy podstawowy dokument zasad bezpieczeństwa na którym oparte są świadczone przez nas usługi.
POLITYKA BEZPIECZEŃSTWA DATAHOUSE.PL/ETOP SP. Z O.O.
1. Cele Polityki Bezpieczeństwa.
1.1 Podstawowym zadaniem niniejszego dokumentu jest nakreślenie podstawowych zasad działania w zakresie bezpieczeństwa zasobów informatycznych własnych oraz powierzonych.
1.2. Za podstawowe cele uważa się przy tym:
1.2.2. -zabezpieczenie przed utratą danych.
1.2.3. -utrzymanie ciągłości usług.
1.2.3. -uniemożliwienie nieuprawnionego dostępu do zasobów informatycznych.
1.2.4. -utrzymanie właściwych procedur w relacjach z innymi operatorami oraz organami państwowymi.
2. Bezpieczeństwo fizyczno-techniczne zasobów.
2.1 Zasady dostępu fizycznego do infrasturktury.
2.1.1 Fizyczny dostęp do pomieszczeń i urządzeń centrum danych posiadają wyłącznie upoważnieni pracownicy posiadający właściwe uprawnienia i umiejętności.
2.1.2 Fizyczny dostęp do pomieszczeń i urządzeń centrum danych osób trzecich, będących klientami możliwy jest jedynie w asyście osób opisanych w punkcie 2.1.1.
2.1.3 Fizyczny dostęp do pomieszczeń i urządzeń centrum danych podwykonawców oraz innych osób wykonujących prace na rzecz spółki możliwy jest tylko na podstawie umowy lub zezwolenia przywołującego i sankcjonującego zasady opisane w niniejszym dokumencie.
2.1.4 Zabroniony jest dostęp do urządzeń i pomieszczeń danego klienta osobom nieupoważnionym przez osoby go reprezentujące.Upoważnienie musi być udzielone w formie pisemnej lub trwałej elektronicznej. Upoważnieni pracownicy spółki posiadają dostęp na zasadach ogólnych.
2.1.5 Fizyczny dostęp do pomieszczeń i urządzeń centrum danych musi zostać odnotowany w dzienniku w formie pisemnej. Dostęp do pomieszczeń i urządzeń pracowników lub osób posiadających elektroniczne karty dostępowe musi być odnotowany w dzienniku elektronicznym.
2.1.6 Szczegółowe zasady dostępu fizycznego określa procedura wewnętrzna ustanowiona przez zarząd.
2.2 Zastosowanie rozwiązań technicznych.
2.2.1. Zasilanie urządzeń ulokowanych w centrum danych oparte jest o trzystopniowy, redundantny system zasilania. System zasilający zawiera redundantny system podtrzymania zasilania (UPS), system agregatów prądotwórczych, oraz zwielokrotnienie źródeł zasilania zewnętrznego.
2.2.2. Zasilanie urządzeń ulokowanych w centrum danych jest wewnętrznie redundantne, o ile umowa szczegółowa nie stanowi inaczej.
2.2.3. Urządzenia kluczowe ze względu ciagłości pracy posiadają redundante zasilanie oparte o rozłączne linie zasilające.
2.2.4. Pomieszczenia centrum danych chronione są przez system wykrywania pożarów.
2.2.5. Pomieszczenia centrum danych w których pracują urządzenia aktywne oraz urządzenia kluczowe dla ciągłości działania usług chronione są systemem automatycznego gaszenia pożaru.
2.2.6. Pomieszczenia centrum danych oraz dukty komunikacyjne monitorowane są systemem monitoringu wizyjnego z zapisem.
2.2.7. Pomieszczenia centrum danych chronione są przez system alarmowy z zapisem zdarzeń.
2.2.8. Dostęp do pomieszczeń centrum danych odbywa się pod kontrolą systemu dostępowego z zapisem zdarzeń.
2.2.9. Podstawowe urządzenia sieciowe pracują w systemie redundantnym w formie klastra lub "siatki" ("mesh").
2.2.10. Najistotniejsze połaczenia sieciowe dla stabilności świadczenia usług posiadają wewnętrzną redundancje (protekcje).
2.2.11. W przypadku stwierdzenia utylizacji danego elementu systemu powyżej 80% utylizacji należy podjąć jak najszybszą jego rozbudowę.
2.2.12. Pomieszczenia centrum danych są calodobowo chronione przez agentów ochrony na miejscu oraz załogi interwencyjne w przypadku alarmu pochodzącego z systemów informatycznych.
2.2.13. Sieciowe zewnętrzne połączenia centrum danych prowadzone są redundatnie odrębnymi drogami geograficznymi.
2.2.14. Struktura budowlana pomieszczeń kolokacyjnych uwzględnia konieczność zabezpieczenia przed skutkami ewentualnego zagrożenia od ognia, włamania oraz zalania, poprzez zastosowanie właściwych materiałów oraz specjalizowanych rozwiązań technicznych.
3. Bezpieczeństwo logiczne.
3.1 Dostęp logiczny do urządzeń własnych centrum danych możliwy jest tylko przez upoważnione osoby posiadające właściwe uprawnienia oraz umiejętności.
3.2 Dostęp logiczny do danych ulokowanych na urządzeniach będących własnością lub wydzierżawionych osobom trzecim możliwy jest tylko na mocy zapisów umowy lub zlecenia, po przekazaniu przez podmiot będący dzierżawca lub właścicielem urządzenia danych dostępowych w formie pisemnej lub elektronicznej.
3.3 Dostęp logiczny do systemów informatycznych ulokowanych w centrum danych oparty jest o system hasel oraz list dostępu.
3.4 Dostęp do konfiguracji i zarządzania systemami kluczowymi dla ciągłości świadczenia usług oraz systemów logujących i monitorujących możliwy jest tylko dla upoważnionych przez zarząd pracowników. Przez systemy takie uważa się głowne systemy zasilające, monitorujące dostęp fizyczny oraz logujące systemy nadzoru.
3.5 Wszelkie dane uzyskane w związku z dostępem do danych własnych i będących własnością klientów mają charakter poufny i nie mogą być pod jakimkolwiek tytułem przekazywane osobom trzecim, chyba że przekazanie takie ma się odbyć na mocy innych przepisów prawa lub umowy.
3.6 W przypadku utraty przez klienta dostępu do danych, przywrócenie takiego dostępu może odbyć się jedynie na podstawie zlecenia podpisaego przez prawnie umocowanego reprezentanta klienta lub osobę przez niego upełnomocnioną. Zlecenie takie musi mieć formę pisemną lub trwałą elektroniczną.
3.7 Przekazanie dowolnego dostępu do zasobów logicznych dowolnej osobie trzeciej upoważnionej do jego otrzymania musi odbyć się w formie pisemnej lub trwale elektronicznej przy założeniu, że osoba ta dokona niezwłocznej zmiany klucza, bądź hasła na inne niż przekazywane.
3.8 Logika połączeń sieciowych centrum danych uwzględnia ich redundantny charakter, poprzez wykorzystanie redundancji systemów przełączających oraz dynamiczne protokoły routujące.
3.9 Po zakończeniu świadczenia konkretnej usługi lub trwałym wyłaczniu danego urządzenia własnego z użycia, dane zawarte na nośnikach lub dane konfiguracyjne wyłącznego z użycia urządzenia są trwale usuwane.
3.10 Szczegóły postępowania w kwestiach dostępu logicznego centrum danych opisane są w wewnętrzynch procedurach dostępu logicznego i postępowania przy uruchamianiu i zakończeniu usług.
3.11 Konfiguracja zasobów współdzielonych uniemożliwia wzajemny dostęp do danych na nich ulokowanych poprzez różne podmioty.
3.12 Dostęp do konfiguracji lub monitoringu zasobu współdzielonego możliwy jest jedynie dla upowaznionych pracowników spółki.
3.13 Dane monitorujące dotyczące danego klienta mogą być udzielane jedynie upoważnionej przez niego osobie i wyłacznie w zakresie dotyczącej wyłacznie jego usługi.
3.14 Globalne dane monitorujące mogą być udostępniane publicznie tylko w przypadku gdy ich upublicznienie nie może wpłynąć na poufność danych monitorujących danej usługi lub danego klienta.
3.15 Systemy monitorujące ruch sieciowy wyposażone są w mechanizmy blokowania szkodliwych ataków zewnętrznych oraz systemy mitygacji zakłóceń wewnętrznych systemów sieciowych.
3.16 Zabronione jest przekazywanie osobom trzecim dostępu do monitoringu urządzeń współdzielonych przez kilka podmiotów.Dostęp do takich systemów lub ich konfiguracji możliwy jest tylko dla urządzeń w całości używanych przez jednego klienta, lub będący jego własnością.
3.17 Sieć zarządzająca jest wydzielona od sieci produkcyjnej, a jej zasięg ograniczony do centrum danych.
3.18 Dane kluczowe chronione są poprzez cykliczne wykonywanie kopii bezpieczeństwa. Ilość kopii i sposób ich przechowywania definiują procedury wewnętrzne.
3.19 Dane klientów podlegają systemow kopii bezpieczeństwa na zasadach określonych w umowie.
4. Zasady obsługi zdarzeń w systemach informatycznych.
4.1 Podstawowymi priorytetami procedur obsługi zdarzeń są w kolejności ważności:
4.1.1 -zabezpieczenie danych przed utratą
4.1.2 -zabezpieczenie danych przed dostępem osób niepowołanych
4.1.3 -utrzymanie lub przywrócenie funkcjonowania danego systemu lub usługi
4.1.4 -poinformowanie osób zaangażowanych (klientów lub innych osób dotkniętch danym zdarzeniem
4.1.5 -analiza przyczyn zdarzenia i ich wyeliminowanie lub zmniejszenie prawdopodobieństwa wystąpienia w przyszłości
4.2 Typy zdarzeń.
4.2.1 Zdarzenia o charakterze nieplanowanym mają priorytet wobec zdarzeń planowanych.
4.2.2 Zdarzenia krytyczne czyli uniemożliwiające prawidłowe działanie usługi są traktowane priorytetowo wobec wszelkich innych typów zdarzeń.
4.2.3 Zdarzenia planowane są wykonywane w porozumieniu z osobami, które mogą w sposób negatywny odczuć skutki ich przeprowadzenia i w terminach jak najmniej dokuczliwych dla tych osób.
4.3 Inne zasady obsługi zdarzeń.
4.3.1 O zdarzeniach krytycznych globalnie wpływających na działanie systemu centrum danych niezwłocznie informowany jest zarząd centrum danych.
4.3.2 W przypadku stwierdzenia możliwości wstąpienia zdarzenia krytycznego obsługa centrum danych jest zobowiązana do natychmiastwego podjęcia działań mających na celu zabezpieczenie danych przed utratą z odcięciem dostępu do zagrażającego urządzenia lub systemu włacznie.
4.3.3 Do czasu wyznaczenia przez przełożonego lub zarząd centrum danych osoby odpowiedzialnej, za obsługę zdarzenia odpowiada pracownik który pierwszy podjął informację o zdarzeniu.
4.3.4. Szczegółowe zasady postępowania ze zdarzenia określone są procedurami wewnętrznymi oraz umową z poszczególnymi klientami.
5. Zasady współpracy z innymi operatorami oraz organami Państwowymi.
5.1 Zasady współpracy z innymi operatorami.
5.1.1 Centrum danych prowadzi otwartą politykę wymiany ruchu z operatorami zewnętrznymi.
5.1.2 W przypadku stwierdzenia integralności połączeń lub ich użytkowania w sposób mogący zagrozić bezpieczeństwu sieci połączenia takie są blokowane do wyjaśnienia.
5.2 Zasady współpracy z organami państwowymi.
5.2.1 W stosunkach z organami Państwowymi centrum danych jako podmiot prawny i operator telekomunikacyjny przekazuje dane w oparciu o podstawy prawne wynikające z właściwych ustaw i rozporządzeń lub postanowienia sądu lub prokuratora.
5.2.2 Centrum danych wyłacza możliwość przekazywania danych poufnych lub wglądu w dane na innej podstawie niż w punkcie 5.2.1.
6. Inne
6.1 Wszelkie inne zasady szczegółowe określane są w procedurach wewnętrznych. Ze względu na poziom ich poufności mogą być one okazywane osobom trzecim. 6.2 Na ujawnienie treści procedur wewnętrznych osobom trzecim każdorazową zgodę wydaje zarząd.
6.3 Wszelkie procedury dotyczące kwestii bezpieczeństwa są zgodne z normą ISO 27001.