Documentació SGSI
Aplicació de la norma ISO/IEC 27001
Empresa: Intergrid (Opengea SCCL)
Data: 15-10-2024
Abast: Tots els serveis de hosting, dominis i aplicacions web al núvol
1. SGSIren eremu
Informazio Segurtasun Kudeaketa Sistemaren (ISKS) eremua Intergrid (Opengea SCCL) enpresak ematen dituen zerbitzu guztiak estaltzen ditu, hau da:\"
- Cloud Hosting, Dedikatutako Hosting eta VPS.
- Domeinuen erregistroa eta kudeaketa.\"
- Web aplikazioak hodeian.\"
- Alemaniako, Finlandiako, Estatu Batuetako eta Singapurko Aurreratutako Datu Zentroetan kokatutako azpiegitura fisikoa, eta Intergrid-ek Barcelonatik erabat kudeatua.\"
2. Informazio segurtasun politika
Intergrid konprometitzen da bere informazioaren eta bere bezeroen konfidentzialtasuna, integritatea eta eskuragarritasuna babesten, kontrol tekniko eta antolakuntza egokiak erabiliz, arriskuen ebaluazio etengabea eta SGSIren hobekuntza etengabea bidez.
3. Arriskuen analisi eta tratamenduaren metodologia
- Asseten identifikazioa, mehatxuak eta zaurrekeriak.\"
- Impaktuaren eta probabilitatearen ebaluazioa (Altua, Ertaina, Baxua, Nulua).
- Neurri eta kontrolen esleipena arriskuak murrizteko.
- Erresidual arriskuaren eta arduradunaren dokumentazioa.
4. Aplikagarritasunaren Adierazpena (SoA)
Adierazpen honek ISO/IEC 27001:2022 arauaren betebeharren konpromisoa eta benetako aplikazioa ziurtatzen du, erakundearen ardura-adierezpen bidez.
ISO/IEC 27001 normaren A eranskineko kontrolak hautatu eta aplikatu dira arriskuen ebaluazioaren arabera. Honen barne:
- A.5: Polítiques de seguretat
- A.6: Organització de la seguretat
- A.8: Gestió d'actius
- A.9: Control d'accés
- A.12: Seguretat operativa
- A.13: Seguretat de les comunicacions
- A.15: Relacions amb proveïdors
- A.16: Gestió d'incidents de seguretat
- A.17: Continuïtat del negoci
5. Segurtasun helburuak
- Web zerbitzuetan gertatzen diren datu ihesak saihestu
- Sistemetara autentifikazioa eta baimendutako sarbidea ziurtatu
- Babeskopien integritatea eta eskuragarritasuna bermatu
- RGPDren betetzea ziurtatu\"
6. Gako erregistroak
- Aktibo eta erantzukizunen erregistroa
- Segurtasun heziketaren erregistroa
- Segurtasun gertakariak
- Barneko auditoiak eta zuzendaritzaren berrikuspenak
7. Prozedura espezifikoak
Segurtasun gertakarien kudeaketa
Gertakari guztiak SGSI-aren arduradunari berehala jakinarazi behar zaizkio. Gertakarien erregistroan dokumentatuko dira eta azterketa egingo da kausak, inpaktua eta zuzenketa ekintzak identifikatzeko.
Sarbide kontrola
- Rol eta beharren arabera mugatutako sarbidea
- Autentifikazio sendoa: gako konplexuak eta 2FA
- Baimenen berrikuspen periodikoa\"
Babeskopien politika
- Egunero eta astero automatikoki egindako babeskopiak
- Datu Zentro anitzetako erreplikazioa (kokapen fisiko independenteak)
- Errestaurazio frogak erregular
Onar dezakeen erabilera politika
Erabiltzaile eta teknikoek Intergrid baliabideak baimendutako helburuetarako soilik erabil ditzakete. Edozein erabilera gehiegizko, ilegala edo segurtasuna arriskuan jartzen duena zigortuko da.
Hirugarrenen eta hornitzaileen kudeaketa
- Konfidantzialitate akordioak kolaboratzaileekin
- Hornitzaileen sarbide kontrola barne sistematan\"
- Subkontratatutako zerbitzuen aldizkako berrikusketa\"
Negozioaren jarraipena\"
- Georedundanteen babeskopiak eta etengabeko monitorizazioa
- Desastreen aurreko berreskuratze prozedurak
- Krisi egoeretan gako rolak esleitzea
Entzutenak eta etengabeko hobekuntza
- SGSIren barneko auditoria periodikoak\"
- Politika eta prozeduren berrikusketa
- Zuzenketarako eta hobekuntzarako ekintzen erregistroa
Gailu eta ekipamenduen kudeaketa
- Gailu eta gailuak eguneratutako inbentarioa
- Pantaila blokeatzeko politika eta disko zifratzea
- Kanpoko gailuen erabilera mugatzea (USB, etab.)
Emailaren segurtasuna
- Suspekozko posta elektronikoen iragazketa (spam, phishing)
- SPF, DKIM eta DMARC konfigurazioa
- Kanpainen bidalketa eta berrikusketa murrizketak
Informazioaren sailkapena eta kudeaketa
- Sensibilitatearen arabera etiketatzea (konfidentziala, barrutikoa...)
- Banaketa murrizketak sailkapenaren arabera
- Zaharkitutako informazioaren suntsiketa segurua
Prestakuntza eta sentsibilizazioa
- Segurtasun heziketako saio periodikoak\"
- Pertsonal guztia kontzientziatzeko kanpainak
- Phishing simulazioaren proba puntualak
Erregistroen eta ebidentzien kudeaketa\"
- Erregistroen kontserbazioa arautegiak ezarritako epean
- Konfidantzialen erregistroetarako sarbide-kontrola
- Integritatea eta eskuragarritasuna bermatuta sistemak errepikatuz\"
Proiektu eta bezeroentzako politika zehatzak\"
- Proiektuko segurtasun arduradunen esleipena
- Pribatutasun kontrolak eta partekatze mugatuak kontratuen arabera\"
- Bezeroei zerbitzuak hedatu aurretiko segurtasun balidazioa
Dokumentazio hau oinarrizkoa eta hedagarria da SGSIren bilakaeraren arabera. Gutxienez urtero edo gertakari garrantzitsuen ondoren berrikustea gomendatzen da.
Segurtasun neurriak (ISMS - ISO 27001)
Empresa: Intergrid (Opengea SCCL)
Data: 15-10-2024
Erabilera: Serveis de hosting (cloud, dedicat, VPS), dominis i aplicacions web.
| ⚠️ Aktiboa | Arriskua | Aplikatutako neurriak |
|---|---|---|
| Zerbitzarietarako sarbidea | Baimenik gabeko sarbidea | IP iragazketa, SSH gakoa, 2FA, fail2ban |
| Datu-baseak | Informazioaren ihesa | ORM, sarbide kontrola, auditoria |
| Kontrol Batzordea | Zerbitzuaren erorketa | Cloudflare, konexioen muga |
| Babeskopiak | Datuak galdu\" | Erredundanteen babeskopiak hainbat kokalekutan |
| E-commerce zerbitzua | Fraudezko aldaketa | Aktibo monitoreatzea, alertak, auditoria |
| DNS eta domeinuak | Erregistroen manipulazioa | Giltza berregenerazioa eta sarbide kontrola\" |
| Web d\'usuari | Nortasunaren suplantazioa | 2FA, saiakera mugaketa, captchas\" |
| Posta elektronikoa | Spam / phishing | SPF, DKIM, DMARC, Spamassassin, log-en berrikusketa |
| Langilearen urrutiko sarbidea | Debekerako sarbidea | VPN MFA-rekin, IP-rekin murriztuta\" |
| Barneko aplikazioak | Baimendu gabeko kodearen exekuzioa | Bertsioen kontrola, zaintzapeko deploya |
| Ordainketak | Ordainketa datuen sarbidea edo manipulazioa | Ús de Stripe com a plataforma PCI-DSS compliant; no s’emmagatzemen dades sensibles localment |
| Hirugarrenen softwarea | Kode maliziosoen exekuzioa | Aldaketa periodikoak, zaurren kontrola (CVE) |
| Giza akatsak | Ausazko ezabaketa | Prestakuntza, berrikuspenak, baimen mugatuak |
| Kritiko konfigurazioak | Konfigurazio txarrerako injezioa | Konfigurazio-auditoretzak, automatizatutako probak |
| Bertsioen kontrola | Baliogabeko kodearen sarrera\" | Begiraleen berrikusketa, jarraipen etengabea, automatizatutako testak |
| Administrazio atariak | Baimenik gabeko sarbidea | IP-sarbide mugatua, 2FA, sarbide-erregistroak |
| Sistemaren eguneraketak | Ezagututako ahultasunen ustiapena | Aldaketa periodikoak, ahultasun eskannerak |
| Neurrira garapena | Datu sentsibleen ihesak\" | OWASP gida aplikazioa, garatzaileen hezkuntza |
| Kanpoko hornitzaileak | Kritikoaren mendekotasuna | Zerbitzu mailako akordioak (SLA), jarraipen-analisia |
| Segurtasun erregistroak | Omissió de proves en cas d’incident | Segurtasun erretentzioa eta kontrolatua, sarbide mugatua, SIEM |
| Identitate digitalak | Suplantació d’usuaris | Automatizatutako hornitze eta desaktibazioa, aldizkako berrikusketa |
| Langileen kontratazioa | Konfidentzialitatearen urratzea | Clàusules NDA, formació de benvinguda, control d’accés inicial |
| DNS zerbitzari publikoa | Gaizki bideratzea | Zonenen berrikusketa periodikoa, sarbide mugatua, aldaketen erregistroa |
| Sessions d’usuari | Behin-behineko iraunkortasuna | Automatikoki iraungitzea, saio inaktiboaren itxiera |
| Sistema eguneraketak | Ezagututako ahultasunen ustiapena | Gestió centralitzada d’actualitzacions, proves abans de desplegar |
| API Interfazeak | Datuak atzitzeko baimenik ez | Tokens iraungitzearekin, IP muga eta autentifikazio sendoa\" |
| Produkzioaurreko inguruneak | Benetako datuen erakusketa | Anònims, entorns separats, restriccions d’accés |
| Urruneko teknikari laguntza | Filtració d’informació confidencial | Canals segurs, registre d’activitat, limitació d’accés temporal |
| Dokumentu kudeaketa | Baimenik gabeko sarbidea barne dokumentuetara\" | Granulatutako baimenekin plataforma, partekatzeen berrikusketa\" |
Informazio Segurtasun Politikak (ISP)
Empresa: Intergrid (Opengea SCCL)
Onartze data: 15-10-2024
Onartua: Direcció Tècnica
- Helburua: Garantir la konfidentzialitatea, integritatea eta eskuragarritasuna de la informació, dades de clients i sistemes.
- Erabilera: Tota la infraestructura de hosting i aplicacions desenvolupades o allotjades per Intergrid.
- Konpromisoa: Aplicació del marc ISO/IEC 27001.
- Arduraduna: Compliment per tot el personal.
- Gako neurriak:
- Control d'accés per rol i 2FA
- Babes-kopiak banatuta
- Inzidentzien monitorizazioa
- Urteroko arriskuen ebaluazioa
- Prestakuntza eta sentsibilizazioa
- Berrikusketa: Anual.
Aplikagarritasunaren Adierazpena (SoA) - ISO 27001
Data: 15-10-2024
SGSI-aren arduraduna: Director tècnic
| Kontrola (A Eranskina) | Izenburua | Aplikagarria? |
|---|---|---|
| A.5.1 | Segurtasun politika | Txertatuta |
| A.5.11 | Datu erabilera | Txertatuta |
| A.6.1 | Antolakuntza segurtasuna | Txertatuta |
| A.6.3 | Urruneko lana | Txertatuta |
| A.7.1 | Segurtasun kopiak | Txertatuta |
| A.8.1 | Sarrera kontrola | Txertatuta |
| A.8.16 | Jardueren gainbegirapena | Partzial |
| A.12.1 | Aplikazioen segurtasuna | Txertatuta |
| A.14.1 | Komunikazio seguruak | Txertatuta |
| A.18.2 | Barneko Auditoria SGSI\" | Planifikatuta |
Bertsioa: 4.8 — Azken berrikusketa: 15-10-2024
