euskera




1. SGSIren eremu

Informazio Segurtasun Kudeaketa Sistemaren (ISKS) eremua Intergrid (Opengea SCCL) enpresak ematen dituen zerbitzu guztiak estaltzen ditu, hau da:"

  • Cloud Hosting, Dedikatutako Hosting eta VPS.
  • Domeinuen erregistroa eta kudeaketa."
  • Web aplikazioak hodeian."
  • Alemaniako, Finlandiako, Estatu Batuetako eta Singapurko Aurreratutako Datu Zentroetan kokatutako azpiegitura fisikoa, eta Intergrid-ek Barcelonatik erabat kudeatua."

2. Informazio segurtasun politika

Intergrid konprometitzen da bere informazioaren eta bere bezeroen konfidentzialtasuna, integritatea eta eskuragarritasuna babesten, kontrol tekniko eta antolakuntza egokiak erabiliz, arriskuen ebaluazio etengabea eta SGSIren hobekuntza etengabea bidez.

3. Arriskuen analisi eta tratamenduaren metodologia

  • Asseten identifikazioa, mehatxuak eta zaurrekeriak."
  • Impaktuaren eta probabilitatearen ebaluazioa (Altua, Ertaina, Baxua, Nulua).
  • Neurri eta kontrolen esleipena arriskuak murrizteko.
  • Erresidual arriskuaren eta arduradunaren dokumentazioa.

4. Aplikagarritasunaren Adierazpena (SoA)

Adierazpen honek ISO/IEC 27001:2022 arauaren betebeharren konpromisoa eta benetako aplikazioa ziurtatzen du, erakundearen ardura-adierezpen bidez.

ISO/IEC 27001 normaren A eranskineko kontrolak hautatu eta aplikatu dira arriskuen ebaluazioaren arabera. Honen barne:

  • A.5: Polítiques de seguretat
  • A.6: Organització de la seguretat
  • A.8: Gestió d’actius
  • A.9: Control d’accés
  • A.12: Seguretat operativa
  • A.13: Seguretat de les comunicacions
  • A.15: Relacions amb proveïdors
  • A.16: Gestió d’incidents de seguretat
  • A.17: Continuïtat del negoci

5. Segurtasun helburuak

  • Web zerbitzuetan gertatzen diren datu ihesak saihestu
  • Sistemetara autentifikazioa eta baimendutako sarbidea ziurtatu
  • Babeskopien integritatea eta eskuragarritasuna bermatu
  • RGPDren betetzea ziurtatu"

6. Gako erregistroak

  • Aktibo eta erantzukizunen erregistroa
  • Segurtasun heziketaren erregistroa
  • Segurtasun gertakariak
  • Barneko auditoiak eta zuzendaritzaren berrikuspenak

7. Prozedura espezifikoak

Segurtasun gertakarien kudeaketa

Gertakari guztiak SGSI-aren arduradunari berehala jakinarazi behar zaizkio. Gertakarien erregistroan dokumentatuko dira eta azterketa egingo da kausak, inpaktua eta zuzenketa ekintzak identifikatzeko.

Sarbide kontrola

  • Rol eta beharren arabera mugatutako sarbidea
  • Autentifikazio sendoa: gako konplexuak eta 2FA
  • Baimenen berrikuspen periodikoa"

Babeskopien politika

  • Egunero eta astero automatikoki egindako babeskopiak
  • Datu Zentro anitzetako erreplikazioa (kokapen fisiko independenteak)
  • Errestaurazio frogak erregular

Onar dezakeen erabilera politika

Erabiltzaile eta teknikoek Intergrid baliabideak baimendutako helburuetarako soilik erabil ditzakete. Edozein erabilera gehiegizko, ilegala edo segurtasuna arriskuan jartzen duena zigortuko da.

Hirugarrenen eta hornitzaileen kudeaketa

  • Konfidantzialitate akordioak kolaboratzaileekin
  • Hornitzaileen sarbide kontrola barne sistematan"
  • Subkontratatutako zerbitzuen aldizkako berrikusketa"

Negozioaren jarraipena"

  • Georedundanteen babeskopiak eta etengabeko monitorizazioa
  • Desastreen aurreko berreskuratze prozedurak
  • Krisi egoeretan gako rolak esleitzea

Entzutenak eta etengabeko hobekuntza

  • SGSIren barneko auditoria periodikoak"
  • Politika eta prozeduren berrikusketa
  • Zuzenketarako eta hobekuntzarako ekintzen erregistroa

Gailu eta ekipamenduen kudeaketa

  • Gailu eta gailuak eguneratutako inbentarioa
  • Pantaila blokeatzeko politika eta disko zifratzea
  • Kanpoko gailuen erabilera mugatzea (USB, etab.)

Emailaren segurtasuna

  • Suspekozko posta elektronikoen iragazketa (spam, phishing)
  • SPF, DKIM eta DMARC konfigurazioa
  • Kanpainen bidalketa eta berrikusketa murrizketak

Informazioaren sailkapena eta kudeaketa

  • Sensibilitatearen arabera etiketatzea (konfidentziala, barrutikoa...)
  • Banaketa murrizketak sailkapenaren arabera
  • Zaharkitutako informazioaren suntsiketa segurua

Prestakuntza eta sentsibilizazioa

  • Segurtasun heziketako saio periodikoak"
  • Pertsonal guztia kontzientziatzeko kanpainak
  • Phishing simulazioaren proba puntualak

Erregistroen eta ebidentzien kudeaketa"

  • Erregistroen kontserbazioa arautegiak ezarritako epean
  • Konfidantzialen erregistroetarako sarbide-kontrola
  • Integritatea eta eskuragarritasuna bermatuta sistemak errepikatuz"

Proiektu eta bezeroentzako politika zehatzak"

  • Proiektuko segurtasun arduradunen esleipena
  • Pribatutasun kontrolak eta partekatze mugatuak kontratuen arabera"
  • Bezeroei zerbitzuak hedatu aurretiko segurtasun balidazioa

Dokumentazio hau oinarrizkoa eta hedagarria da SGSIren bilakaeraren arabera. Gutxienez urtero edo gertakari garrantzitsuen ondoren berrikustea gomendatzen da.

Arriskuen analisia (SGSI - ISO 27001)

Enpresa: Intergrid (Opengea SCCL)
Data: 15-10-2024
Erabilera: Serveis de hosting (cloud, dedicat, VPS), dominis i aplicacions web.

⚠️ Actiu Amenaça Vulnerabilitat Impacte Probabilitat Nivell de risc Mesures aplicades Risc residual Responsable
Zerbitzarietarako sarbideaBaimenik gabeko sarbideaPortuak irekiak / kontrolatu gabeko sarbideaAltoBaliogabeaBaliogabeaIP iragazketa, SSH gakoa, 2FA, fail2banOso baxuaSistema teknikaria
Datu-baseakInformazioaren ihesaParametrizatu gabeko SQLAltoBaixaBeheanORM, sarbide kontrola, auditoriaOso baxuaBackend garatzailea
Kontrol BatzordeaZerbitzuaren erorketaDDoS erasoErdikoErdikoaErdikoCloudflare, konexioen mugaBeheanDevOps
BabeskopiakDatuak galdu"Bikoiztu gabeako kopiakAltoErdikoaAltoErredundanteen babeskopiak hainbat kokalekutanBeheanSistema teknikaria
E-commerce zerbitzuaFraudezko aldaketaEz dauden egunkariakAltoErdikoaAltoAktibo monitoreatzea, alertak, auditoriaErdikoWeb garatzaile
DNS eta domeinuakErregistroen manipulazioaAPI gakoa exponatuta"AltoBaixaErdikoGiltza berregenerazioa eta sarbide kontrola"BeheanDomeinu administratzailea
Erabiltzailearen webguneaNortasunaren suplantazioaAhautze baxuaAltoErdikoaAlto2FA, saiakera mugaketa, captchas"BeheanFrontend garatzailea
Posta elektronikoaSpam / phishingAhoko edukiaren balidazioa"AltoErdikoaAltoSPF, DKIM, DMARC, Spamassassin, log-en berrikusketaBeheanCorreu
Langilearen urrutiko sarbideaDebekerako sarbideaVPN MFA gabe"ErdikoErdikoaErdikoVPN MFA-rekin, IP-rekin murriztuta"BeheanSistema teknikaria
Barneko aplikazioakBaimendu gabeko kodearen exekuzioaBertsioen kontrolaren ezaugarriaAltoBaixaErdikoBertsioen kontrola, zaintzapeko deployaBeheanDevOps
Ordainketak Ordainketa datuen sarbidea edo manipulazioa Hirugarrenen esku utzi kontrol nahikorik gabe" Alto Baixa Erdiko Stripe erabilera PCI-DSS betetako plataforma gisa; ez dira datu sentikorrak bertan gordetzen. Behean Webeko lege / tekniko arduraduna
Hirugarrenen softwareaKode maliziosoen exekuzioaEguneratzeen falta daAltoErdikoaAltoAldaketa periodikoak, zaurren kontrola (CVE)ErdikoDevOps
Giza akatsakAusazko ezabaketaPrestakuntza falta / baimen okerrakErdikoErdikoaErdikoPrestakuntza, berrikuspenak, baimen mugatuakBeheanLangile guztiak
Kritiko konfigurazioakKonfigurazio txarrerako injezioaEz dago balidazio automatikorikAltoBaixaErdikoKonfigurazio-auditoretzak, automatizatutako probakBeheanDevOps
Bertsioen kontrola Baliogabeko kodearen sarrera" Aldaketen berrikusketa edo testen falta" Alto Erdikoa Alto Begiraleen berrikusketa, jarraipen etengabea, automatizatutako testak Erdiko DevOps
Administrazio atariak Baimenik gabeko sarbidea Publikoki exponatutako interfazea Alto Baixa Erdiko IP-sarbide mugatua, 2FA, sarbide-erregistroak Behean Azpiegitura
Sistemaren eguneraketak Ezagututako ahultasunen ustiapena Parcheak aplikatzeko atzerapena" Alto Baixa Erdiko Aldaketa periodikoak, ahultasun eskannerak Behean Sistema teknikaria
Neurrira garapena Datu sentsibleen ihesak" Sarrera balioztapenaren eta osasunaren falta" Alto Erdikoa Alto OWASP gida aplikazioa, garatzaileen hezkuntza Behean Backend garatzailea
Kanpoko hornitzaileak Kritikoaren mendekotasuna SLA kontratu edo akordioen falta" Erdiko Erdikoa Erdiko Zerbitzu mailako akordioak (SLA), jarraipen-analisia Erdiko Zuzendaritza
Segurtasun erregistroak Frogapenak ezikusitzea istripuaren kasuan Zirkulazio edo ezabatze goiztiarra Erdiko Erdikoa Erdiko Segurtasun erretentzioa eta kontrolatua, sarbide mugatua, SIEM Behean Sistema teknikaria
Identitate digitalak Erabiltzaileen suplantazioa Kontuen bizi zikloaren kudeaketaren falta" Alto Baixa Erdiko Automatizatutako hornitze eta desaktibazioa, aldizkako berrikusketa Behean SGSI Arduraduna
Langileen kontratazioa Konfidentzialitatearen urratzea NDAren ezaugarria edo aurreko prestakuntzarik gabe" Erdiko Baixa Behean NDA klausulak, ongietorri formakuntza, hasierako sarrera kontrola Oso baxua Zuzendaritza
DNS zerbitzari publikoa Gaizki bideratzea Eremu edo erregistroen konfigurazio okerra" Alto Baixa Erdiko Zonenen berrikusketa periodikoa, sarbide mugatua, aldaketen erregistroa Behean Domeinu administratzailea
Erabiltzaile saioak Behin-behineko iraunkortasuna Ez dago automatikoki iraungitzea Erdiko Alta Alto Automatikoki iraungitzea, saio inaktiboaren itxiera Behean Web garatzaile
Sistema eguneraketak Ezagututako ahultasunen ustiapena Atzeratutako edo bete gabeko eguneraketak Alto Erdikoa Alto Eguneratzeen kudeaketa zentralizatua, desplegatu aurretik probak egitea Erdiko DevOps
API Interfazeak Datuak atzitzeko baimenik ez Autentifikazioaren edo kuoten kontrolerik ez dagoela Alto Erdikoa Alto Tokens iraungitzearekin, IP muga eta autentifikazio sendoa" Behean Backend garatzailea
Produkzioaurreko inguruneak Benetako datuen erakusketa Datu sentikorrak dituen datu-base bikoiztua Alto Baixa Erdiko Anonimoak, banatutako inguruak, sarbide murrizketak Behean DevOps
Urruneko teknikari laguntza Konfidentziala informazioaren iragazketa Erregistratu gabe eta monitorizatu gabeako saioak Erdiko Baixa Erdiko Bidezko kanalak, jarduera-erregistroa, aldi baterako sarbide-mugapena Behean Laguntza-bulegoa
Dokumentu kudeaketa Baimenik gabeko sarbidea barne dokumentuetara" Kontrolik gabe partekatutako fitxategiak Erdiko Alta Alto Granulatutako baimenekin plataforma, partekatzeen berrikusketa" Behean SGSI Arduraduna

Informazio Segurtasun Politikak (ISP)

Enpresa: Intergrid (Opengea SCCL)
Onartze data: 15-10-2024
Onartua: Direcció Tècnica

  1. Helburua: Garantir la konfidentzialitatea, integritatea eta eskuragarritasuna de la informació, dades de clients i sistemes.
  2. Erabilera: Tota la infraestructura de hosting i aplicacions desenvolupades o allotjades per Intergrid.
  3. Konpromisoa: Aplicació del marc ISO/IEC 27001.
  4. Arduraduna: Compliment per tot el personal.
  5. Gako neurriak:
    • Control d'accés per rol i 2FA
    • Babes-kopiak banatuta
    • Inzidentzien monitorizazioa
    • Urteroko arriskuen ebaluazioa
    • Prestakuntza eta sentsibilizazioa
  6. Berrikusketa: Anual.

Aplikagarritasunaren Adierazpena (SoA) - ISO 27001

Data: 15-10-2024
SGSI-aren arduraduna: Jordi Berenguer / Director tècnic

Control (Annex A)TítolAplicable?EstatComentaris
A.5.1Segurtasun politikaTxertatutaArgitaratua eta berrikusia
A.5.11Datu erabileraTxertatutaBezeroen jaitsierak
A.6.1Antolakuntza segurtasunaTxertatutaDefinitutako rolak
A.6.3Urruneko lanaTxertatutaVPN eta zifratutako eramangarriak
A.7.1Segurtasun kopiakTxertatutaErredundanteak backupak
A.8.1Sarrera kontrolaTxertatutaACLs eta autentifikazio sendoa
A.8.16Jardueren gainbegirapenaPartzialDespliegatzean
A.12.1Aplikazioen segurtasunaTxertatutaOWASP, kodearen berrikusketa
A.14.1Komunikazio seguruakTxertatutaHTTPS, SFTP
A.18.2Barneko Auditoria SGSI"PlanifikatutaQ4 2025"

Bertsioa: 4.8 — Azken berrikusketa: 15-10-2024