Beveiliging en compliance

Beveiliging

Fysieke beveiliging

Onder fysieke beveiliging valt het afsluiten en registreren van alle fysieke toegang tot ons datacenter.
 

  • Toegang tot de datacenters is beperkt tot geautoriseerd personeel
  • Badges en biometrische scanning voor gecontroleerde toegang tot de datacenters
  • Beveiligingscamera's zijn in werking op alle datacenterlocaties
  • Behoud van toegangs- en videobewakingsgegevens
  • 24x7 personeel ter plaatse biedt bijkomende bescherming tegen ongeautoriseerde toegang
  • Niet-gemarkeerde faciliteiten om niet op te vallen
  • De fysieke beveiliging wordt jaarlijks gecontroleerd door onafhankelijke bedrijven

 

Netwerkinfrastructuur

De netwerkinfrastructuur zorgt voor beschikbaarheidsgaranties, ondersteund door agressieve SLA's.

  • Krachtige bandbreedte verzorgd door meerdere netwerkproviders
  • Eliminatie van kleine fouten in de gehele gedeelde netwerkinfrastructuur
  • Goede kabelplinten en -bescherming
  • Proactieve netwerkbeheermethodes controleren de efficiëntie van netwerkroutes
  • Real time topologie en configuratieverbeteringen om aan te passen voor afwijkingen
  • Netwerk-uptime ondersteund door Service Level Agreements
  • Netwerkmanagement wordt alleen uitgevoerd door geautoriseerd personeel

 

Human Resources

De Human Resources-afdeling biedt Rackspace-werknemers een educatief curriculum om ervoor te zorgen dat zij hun rol en verantwoordelijkheden in relatie tot informatiebeveiliging begrijpen.

  • Van alle medewerkers met toegang tot klantenaccounts worden de referenties gecontroleerd
  • Werknemers zijn verplicht om geheimhoudings- en vertrouwelijkheidsovereenkomsten te tekenen
  • Werknemers nemen deel aan verplichte bewustwordingstrainingen wat betreft beveiliging wanneer ze in dienst treden en daarna elk jaar

Operationele beveiliging

De operationele beveiliging omvat het creëren van bedrijfsprocessen en een bedrijfsbeleid die best practices op beveiligingsgebied in acht nemen om de toegang tot vertrouwelijke informatie te beperken en de strenge beveiliging doorlopend te behouden.

  • Op ISO 27001/2 gebaseerd beleid, wordt minstens één keer per jaar herzien
  • Gedocumenteerde procedures voor veranderingsmanagement infrastructuur
  • Veilige vernietiging van documenten en media
  • Functionaliteit incidentenmanagement
  • Een bedrijfscontinuïteitsplan met de nadruk op de beschikbaarheid van infrastructuur
  • Onafhankelijke beoordelingen door derden
  • Voortdurende monitoring en verbetering van het beveilingsprogramma


Omgevingscontroles

Geïmplementeerde omgevingscontroles helpen het risico van onderbreking van de dienstverlening als gevolg van brand, overstroming en andere vormen van natuurrampen verkleinen.

  • Dubbele stroomvoorzieningen naar de faciliteiten
  • Niet-onderbreekbare stroomvoorziening (minimaal N+1)
  • Dieselgeneratoren (minimaal N+1)
  • Bestaande serviceovereenkomsten met brandstofleveranciers
  • HVAC (minimaal N+1)
  • Rookmelders
  • Overstromingsdetectie
  • Voortdurende monitoring van de faciliteiten

 

Organisatie van de beveiliging

De organisatie van de beveiliging betekent onder meer het hebben van een wereldwijd team voor beveiligingsservices dat is belast met het beheer van operationele risico's vanuit een raamwerk voor informatiebeheer op basis van de internationaal erkende ISO 27001-norm.

  • Aan Global Security Services toegekende verantwoordelijkheden op het gebied van beveiligingsbeheer
  • Hoofdverantwoordelijk toezicht op beveiligingswerkzaamheden en governance, risico, en nalevingsactiviteiten
  • Directe betrokkenheid bij incidentenmanagement, veranderingsmanagement en bedrijfscontinuïteit

 

ISO/IEC 27001:2005

ISO/IEC 27001:2005 (beheersystemen voor informatiebeveiliging)

Rackspace Ltd. is volgens deze standaard gecertificeerd sinds 2009.
 

Wat is ISO 27001?

De volledige naam is ISO/IEC 27001:2005 - Informatietechnologie - Beveiligingstechnieken - Beheersystemen voor informatiebeveiliging - Vereisten. Het is een vrijwillige internationaal erkende standaard die een raamwerk biedt voor het beheren van de beveiligingsverantwoordelijkheden van een bedrijf. Hiermee is de buitenwacht verzekerd van de effectiviteit van de operationele beveiligingscontroles in onze werkomgeving.

De vereisten van deze standaard worden beheerd via ons Rackspace Business Security Management System.

ISO 27001 volgt de 'best practices'-controles die zijn gedocumenteerd in ISO 27002.
 

Wat betekent dit voor onze klanten?

Ons ISO 27001-gecertificeerde Business Security Management System toont dat wij het op een veilige en verantwoordelijke manier werken met onze datacenters serieus nemen. Wij volgen ook verwante beveiligingsstandaarden en -vereisten, zoals PCI-DSS (zie tabblad PCI-DSS) en onze ISAE 3402-controles (zie tabblad ISAE 3402) om onze beveiliging met meervoudig bewijs te legitimeren.
 

Wat is het certificatiebereik?

Onze datacenters in het VK (vier datahallen verdeeld over drie locaties) en Hong Kong (één hal) zijn ISO 27001-gecertificeerd voor wat betreft "het beheer van informatiebeveiliging bij het ontwerp, de implementatie en de support van hostingoplossingen in onze datacenterfaciliteiten in het VK (LON1 en LON3), Australië en Hong Kong.".
 

Wie is het certificerende orgaan en hoe vaak wordt u beoordeeld?

Certification Europe is ons aangewezen externe beoordelingsorgaan; wij worden ten minste twee keer per jaar beoordeeld op basis van een auditplan voor drie jaar.
 

Kunnen klanten een kopie krijgen van het ISO 27001-certificaat?

Ja, klik hier.

 

PCI-DSS

PCI-DSS (Payment Card Industries - Data Security Standard)

Wat is PCI-DSS?

PCI-DSS is een verplichte internationaal erkende informatiebeveiligingsstandaard voor organisaties die omgaan met kaarthoudergegevens van de belangrijkste credit- en debitcards. De standaard is gericht op vermindering van betaalpasfraude.
 

De vereisten van de standaard zijn vastgelegd door de Payment Card Industry Security Standards Council en beoordeeld en gevalideerd door een externe gekwalificeerde beveiligingsboordelaar (QSA). Deze validatie wordt bevestigd in een jaarlijks opgestelde nalevingsverklaring (AoC) en nalevingsrapport (RoC).
 

Organisaties zijn gecategoriseerd in niveaus op basis van de transactievolumes die zij verwerken. Rackspace is een dienstenleverancier op niveau 1 vanwege het afhandelen van meer dan driehonderdduizend transacties per jaar.
 

De controles die deze standaard vereist, worden beheerd via ons Rackspace Business Security Management System.
 

Wat betekent dit voor onze klanten?

Ons Business Security Management System is zo geconfigureerd dat wij een robuust, veilig en nalevend mechanisme kunnen bieden voor het verwerken van betaalpasgegevens. Wij hebben dit op een lijn gebracht met onze andere verwante beveiligingsstandaarden en vereisten (ISO 27001- en ISAE 3402-controles) om langs meerdere wegen bewijs van onze beveiliging te leveren.
 

Wat is het certificatiebereik?

Het dekkingsbereik van Rackspace's PCI-certificatie is:
 

  • Fysieke beveiligingsomgeving van Rackspace datacenters
  • Gecontroleerde Rackspace-toegang tot de voor de klant gehoste omgeving
  • Beveiliging van netwerkinfrastructuur (switches en routers)
  • Beveiliging van draadloos netwerk
     

Voor de volgende locaties:
 

  • Alle kantoren in de VS en het Verenigd Koninkrijk
  • Alle datacenters in het Verenigd Koninkrijk
  • Datacenter in Hong Kong
  • Datacenter in Sydney
  • Datacenters in de VS (DFW1/2, SAT2, ORD1 en IAD1/2)
     

Wie is de QSA?

Trustwave Inc.
 

Kunnen klanten een kopie krijgen van de Aoc en/of RoC?

Klanten kunnen een kopie opvragen van onze nalevingsverklaring (AoC), maar het nalevingsrapport (RoC) is vertrouwelijk voor Rackspace. Desgewenst kan Rackspace u ons document met verantwoordelijkheidsgebieden verstrekken dat is gebaseerd op de bevindingen van de RoC. Neem contact op met uw accountmanager of verkoopvertegenwoordiger als u een kopie van de AoC of andere PCI-documentatie wenst.

ISAE 3042

International Standards for Assurance Engagements (ISAE) No. 3402

Wat is ISAE 3042?

De volledige naam is International Standards for Assurance Engagements (ISAE) No. 3402, assurance-rapporten over controles in een service-organisatie. Het is een internationaal erkende standaard voor audits ter beoordeling van de aanwezigheid van controles in de service-organisatie van een derde partij.

ISAE 3402 is de internationale versie van de SSAE 16 in Noord-Amerika. Gezamenlijk hebben deze de auditstandaard SAS 70 vervangen.

Een SOC (Service Organization Controls)-rapport verstrekt klanten extern gevalideerde en onpartijdige informatie over de aard en effectiviteit van de operationele controles die plaatsvinden binnen de organisatie.

SOC-rapporten zijn opgesplitst in twee typen: Type I en Type II. In rapport Type I evalueert de auditor de controles van een organisatie op het moment van de audit om rekenfouten en misrepresentatie te voorkomen. De auditor evalueert ook de waarschijnlijkheid dat deze controles tot de gewenste resultaten leiden. Rapport Type II bevat dezelfde informatie als rapport Type I maar probeert tevens de effectiviteit vast te stellen van de controles sinds de implementatie ervan. Type II gebruikt meestal gegevens die over een periode van zes maanden zijn verzameld. Voor de controles die binnen Rackspace plaatsvinden, wordt een algemeen Type II SOC1-rapport opgesteld.
 

Wat betekent dit voor onze klanten?

De Rackspace Type II SOC-rapporten kunnen worden gebruikt om te voldoen aan de vereisten van zowel de ISAE 3402- als de SSAE 16-standaards. Dit rapport bevat een beschrijving van de controles die wij uitvoeren en het op feiten gebaseerde oordeel van de auditor over hoe effectief de controles waren gedurende de auditperiode. De auditperiode voor Rackspace loopt elk jaar van 1 oktober tot 30 september. Wij hebben deze op een lijn gebracht met onze andere verwante beveiligingsstandaards en vereisten (ISO 27001- en PCI-DSS-controles), om langs meerdere wegen bewijs van onze beveiliging te leveren.
 

Wat is het bereik van het rapport?

Al onze datacenters in de VS, het Verenigd Koninkrijk en Hong Kong
 

Wie is de auditor?

Ernst & Young LLP.
 

Kunnen klanten een kopie krijgen van het Rackspace ISAE3402 Type II SOC1-, SOC2- en SOC3-rapport?

Kopiëen van deze documenten zijn voor klanten verkrijgbaar via het MyRackspace-portaal. U kunt ook contact opnemen met uw accountmanager of verkoopvertegenwoordiger als u een kopie wenst.

Vragen? Neem contact met ons op

Bel ons E-mail Ons Start een Chat