1. SGSIren eremu
L’abast del sistema de gestió de seguretat de la informació (SGSI) cobreix tots els serveis prestats per Intergrid (Opengea SCCL), incloent:
- Cloud Hosting, Dedikatutako Hosting eta VPS.
- Domeinuen erregistroa eta kudeaketa.\"
- Web aplikazioak hodeian.\"
- Alemaniako, Finlandiako, Estatu Batuetako eta Singapurko Aurreratutako Datu Zentroetan kokatutako azpiegitura fisikoa, eta Intergrid-ek Barcelonatik erabat kudeatua.\"
2. Informazio segurtasun politika
Intergrid konprometitzen da bere informazioaren eta bere bezeroen konfidentzialtasuna, integritatea eta eskuragarritasuna babesten, kontrol tekniko eta antolakuntza egokiak erabiliz, arriskuen ebaluazio etengabea eta SGSIren hobekuntza etengabea bidez.
3. Arriskuen analisi eta tratamenduaren metodologia
- Identificació d’actius, amenaces i vulnerabilitats.
- Avaluació d’impacte i probabilitat (Alt, Mitjà, Baix, Nul).
- Neurri eta kontrolen esleipena arriskuak murrizteko.
- Erresidual arriskuaren eta arduradunaren dokumentazioa.
4. Declaració d’aplicabilitat (SoA)
Adierazpen honek ISO/IEC 27001:2022 arauaren betebeharren konpromisoa eta benetako aplikazioa ziurtatzen du, erakundearen ardura-adierezpen bidez.
S’han seleccionat i aplicat controls de l’annex A de la norma ISO/IEC 27001 segons l’avaluació de riscos. Incloent:
- A.5: Polítiques de seguretat
- A.6: Organització de la seguretat
- A.8: Gestió d’actius
- A.9: Control d’accés
- A.12: Seguretat operativa
- A.13: Seguretat de les comunicacions
- A.15: Relacions amb proveïdors
- A.16: Gestió d’incidents de seguretat
- A.17: Continuïtat del negoci
5. Segurtasun helburuak
- Web zerbitzuetan gertatzen diren datu ihesak saihestu
- Assegurar l’autenticació i accés legítim a sistemes
- Babeskopien integritatea eta eskuragarritasuna bermatu
- RGPDren betetzea ziurtatu\"
6. Gako erregistroak
- Registre d’actius i responsabilitats
- Segurtasun heziketaren erregistroa
- Segurtasun gertakariak
- Barneko auditoiak eta zuzendaritzaren berrikuspenak
7. Prozedura espezifikoak
Gestió d’incidents de seguretat
Tots els incidents s’han de reportar immediatament al responsable del SGSI. Es documentaran en el registre d’incidents i es realitzarà una anàlisi per identificar causes, impacte i accions correctives.
Control d’accessos
- Rol eta beharren arabera mugatutako sarbidea
- Autentifikazio sendoa: gako konplexuak eta 2FA
- Baimenen berrikuspen periodikoa\"
Babeskopien politika
- Egunero eta astero automatikoki egindako babeskopiak
- Datu Zentro anitzetako erreplikazioa (kokapen fisiko independenteak)
- Errestaurazio frogak erregular
Política d’ús acceptable
Els usuaris i tècnics només poden utilitzar els recursos d’Intergrid per a finalitats autoritzades. Qualsevol ús abusiu, il·legal o que comprometi la seguretat serà objecte de sanció.
Hirugarrenen eta hornitzaileen kudeaketa
- Konfidantzialitate akordioak kolaboratzaileekin
- Control de l’accés dels proveïdors a sistemes interns
- Subkontratatutako zerbitzuen aldizkako berrikusketa\"
Negozioaren jarraipena\"
- Georedundanteen babeskopiak eta etengabeko monitorizazioa
- Desastreen aurreko berreskuratze prozedurak
- Krisi egoeretan gako rolak esleitzea
Entzutenak eta etengabeko hobekuntza
- SGSIren barneko auditoria periodikoak\"
- Politika eta prozeduren berrikusketa
- Registre d’accions correctives i de millora
Gailu eta ekipamenduen kudeaketa
- Inventari actualitzat d’equips i dispositius
- Pantaila blokeatzeko politika eta disko zifratzea
- Limitació de l’ús de dispositius externs (USB, etc.)
Emailaren segurtasuna
- Suspekozko posta elektronikoen iragazketa (spam, phishing)
- SPF, DKIM eta DMARC konfigurazioa
- Restriccions d’enviament i revisió de campanyes
Informazioaren sailkapena eta kudeaketa
- Sensibilitatearen arabera etiketatzea (konfidentziala, barrutikoa...)
- Banaketa murrizketak sailkapenaren arabera
- Zaharkitutako informazioaren suntsiketa segurua
Prestakuntza eta sentsibilizazioa
- Segurtasun heziketako saio periodikoak\"
- Pertsonal guztia kontzientziatzeko kanpainak
- Phishing simulazioaren proba puntualak
Erregistroen eta ebidentzien kudeaketa\"
- Erregistroen kontserbazioa arautegiak ezarritako epean
- Konfidantzialen erregistroetarako sarbide-kontrola
- Integritatea eta eskuragarritasuna bermatuta sistemak errepikatuz\"
Proiektu eta bezeroentzako politika zehatzak\"
- Proiektuko segurtasun arduradunen esleipena
- Pribatutasun kontrolak eta partekatze mugatuak kontratuen arabera\"
- Bezeroei zerbitzuak hedatu aurretiko segurtasun balidazioa
Aquesta documentació és bàsica i extensible segons l’evolució del SGSI. Es recomana revisar-la com a mínim anualment o després d’incidents significatius.
Arriskuen analisia (SGSI - ISO 27001)
Empresa: Intergrid (Opengea SCCL)
Data: 15-10-2024
Erabilera: Serveis de hosting (cloud, dedicat, VPS), dominis i aplicacions web.
| ⚠️ Actiu | Amenaça | Vulnerabilitat | Impacte | Probabilitat | Nivell de risc | Mesures aplicades | Risc residual | Responsable |
|---|---|---|---|---|---|---|---|---|
| Zerbitzarietarako sarbidea | Baimenik gabeko sarbidea | Portuak irekiak / kontrolatu gabeko sarbidea | Alto | Baliogabea | Baliogabea | IP iragazketa, SSH gakoa, 2FA, fail2ban | Oso baxua | Sistema teknikaria |
| Datu-baseak | Informazioaren ihesa | Parametrizatu gabeko SQL | Alto | Baixa | Behean | ORM, sarbide kontrola, auditoria | Oso baxua | Backend garatzailea |
| Kontrol Batzordea | Zerbitzuaren erorketa | DDoS eraso | Erdiko | Erdikoa | Erdiko | Cloudflare, konexioen muga | Behean | DevOps |
| Babeskopiak | Datuak galdu\" | Bikoiztu gabeako kopiak | Alto | Erdikoa | Alto | Erredundanteen babeskopiak hainbat kokalekutan | Behean | Sistema teknikaria |
| E-commerce zerbitzua | Fraudezko aldaketa | Ez dauden egunkariak | Alto | Erdikoa | Alto | Aktibo monitoreatzea, alertak, auditoria | Erdiko | Web garatzaile |
| DNS eta domeinuak | Erregistroen manipulazioa | API gakoa exponatuta\" | Alto | Baixa | Erdiko | Giltza berregenerazioa eta sarbide kontrola\" | Behean | Domeinu administratzailea |
| Web d\'usuari | Nortasunaren suplantazioa | Ahautze baxua | Alto | Erdikoa | Alto | 2FA, saiakera mugaketa, captchas\" | Behean | Frontend garatzailea |
| Posta elektronikoa | Spam / phishing | Ahoko edukiaren balidazioa\" | Alto | Erdikoa | Alto | SPF, DKIM, DMARC, Spamassassin, log-en berrikusketa | Behean | Correu |
| Langilearen urrutiko sarbidea | Debekerako sarbidea | VPN MFA gabe\" | Erdiko | Erdikoa | Erdiko | VPN MFA-rekin, IP-rekin murriztuta\" | Behean | Sistema teknikaria |
| Barneko aplikazioak | Baimendu gabeko kodearen exekuzioa | Bertsioen kontrolaren ezaugarria | Alto | Baixa | Erdiko | Bertsioen kontrola, zaintzapeko deploya | Behean | DevOps |
| Ordainketak | Ordainketa datuen sarbidea edo manipulazioa | Hirugarrenen esku utzi kontrol nahikorik gabe\" | Alto | Baixa | Erdiko | Ús de Stripe com a plataforma PCI-DSS compliant; no s’emmagatzemen dades sensibles localment | Behean | Webeko lege / tekniko arduraduna |
| Hirugarrenen softwarea | Kode maliziosoen exekuzioa | Eguneratzeen falta da | Alto | Erdikoa | Alto | Aldaketa periodikoak, zaurren kontrola (CVE) | Erdiko | DevOps |
| Giza akatsak | Ausazko ezabaketa | Prestakuntza falta / baimen okerrak | Erdiko | Erdikoa | Erdiko | Prestakuntza, berrikuspenak, baimen mugatuak | Behean | Langile guztiak |
| Kritiko konfigurazioak | Konfigurazio txarrerako injezioa | Ez dago balidazio automatikorik | Alto | Baixa | Erdiko | Konfigurazio-auditoretzak, automatizatutako probak | Behean | DevOps |
| Bertsioen kontrola | Baliogabeko kodearen sarrera\" | Aldaketen berrikusketa edo testen falta\" | Alto | Erdikoa | Alto | Begiraleen berrikusketa, jarraipen etengabea, automatizatutako testak | Erdiko | DevOps |
| Administrazio atariak | Baimenik gabeko sarbidea | Publikoki exponatutako interfazea | Alto | Baixa | Erdiko | IP-sarbide mugatua, 2FA, sarbide-erregistroak | Behean | Azpiegitura |
| Sistemaren eguneraketak | Ezagututako ahultasunen ustiapena | Parcheak aplikatzeko atzerapena\" | Alto | Baixa | Erdiko | Aldaketa periodikoak, ahultasun eskannerak | Behean | Sistema teknikaria |
| Neurrira garapena | Datu sentsibleen ihesak\" | Sarrera balioztapenaren eta osasunaren falta\" | Alto | Erdikoa | Alto | OWASP gida aplikazioa, garatzaileen hezkuntza | Behean | Backend garatzailea |
| Kanpoko hornitzaileak | Kritikoaren mendekotasuna | SLA kontratu edo akordioen falta\" | Erdiko | Erdikoa | Erdiko | Zerbitzu mailako akordioak (SLA), jarraipen-analisia | Erdiko | Zuzendaritza |
| Segurtasun erregistroak | Omissió de proves en cas d’incident | Zirkulazio edo ezabatze goiztiarra | Erdiko | Erdikoa | Erdiko | Segurtasun erretentzioa eta kontrolatua, sarbide mugatua, SIEM | Behean | Sistema teknikaria |
| Identitate digitalak | Suplantació d’usuaris | Kontuen bizi zikloaren kudeaketaren falta\" | Alto | Baixa | Erdiko | Automatizatutako hornitze eta desaktibazioa, aldizkako berrikusketa | Behean | SGSI Arduraduna |
| Langileen kontratazioa | Konfidentzialitatearen urratzea | NDAren ezaugarria edo aurreko prestakuntzarik gabe\" | Erdiko | Baixa | Behean | Clàusules NDA, formació de benvinguda, control d’accés inicial | Oso baxua | Zuzendaritza |
| DNS zerbitzari publikoa | Gaizki bideratzea | Eremu edo erregistroen konfigurazio okerra\" | Alto | Baixa | Erdiko | Zonenen berrikusketa periodikoa, sarbide mugatua, aldaketen erregistroa | Behean | Domeinu administratzailea |
| Sessions d’usuari | Behin-behineko iraunkortasuna | Ez dago automatikoki iraungitzea | Erdiko | Alta | Alto | Automatikoki iraungitzea, saio inaktiboaren itxiera | Behean | Web garatzaile |
| Sistema eguneraketak | Ezagututako ahultasunen ustiapena | Atzeratutako edo bete gabeko eguneraketak | Alto | Erdikoa | Alto | Gestió centralitzada d’actualitzacions, proves abans de desplegar | Erdiko | DevOps |
| API Interfazeak | Datuak atzitzeko baimenik ez | Manca de control d’autenticació o quotes | Alto | Erdikoa | Alto | Tokens iraungitzearekin, IP muga eta autentifikazio sendoa\" | Behean | Backend garatzailea |
| Produkzioaurreko inguruneak | Benetako datuen erakusketa | Datu sentikorrak dituen datu-base bikoiztua | Alto | Baixa | Erdiko | Anònims, entorns separats, restriccions d’accés | Behean | DevOps |
| Urruneko teknikari laguntza | Filtració d’informació confidencial | Erregistratu gabe eta monitorizatu gabeako saioak | Erdiko | Baixa | Erdiko | Canals segurs, registre d’activitat, limitació d’accés temporal | Behean | Laguntza-bulegoa |
| Dokumentu kudeaketa | Baimenik gabeko sarbidea barne dokumentuetara\" | Kontrolik gabe partekatutako fitxategiak | Erdiko | Alta | Alto | Granulatutako baimenekin plataforma, partekatzeen berrikusketa\" | Behean | SGSI Arduraduna |
Informazio Segurtasun Politikak (ISP)
Empresa: Intergrid (Opengea SCCL)
Onartze data: 15-10-2024
Onartua: Direcció Tècnica
- Helburua: Garantir la konfidentzialitatea, integritatea eta eskuragarritasuna de la informació, dades de clients i sistemes.
- Erabilera: Tota la infraestructura de hosting i aplicacions desenvolupades o allotjades per Intergrid.
- Konpromisoa: Aplicació del marc ISO/IEC 27001.
- Arduraduna: Compliment per tot el personal.
- Gako neurriak:
- Control d'accés per rol i 2FA
- Babes-kopiak banatuta
- Inzidentzien monitorizazioa
- Urteroko arriskuen ebaluazioa
- Prestakuntza eta sentsibilizazioa
- Berrikusketa: Anual.
Aplikagarritasunaren Adierazpena (SoA) - ISO 27001
Data: 15-10-2024
SGSI-aren arduraduna: Jordi Berenguer / Director tècnic
| Control (Annex A) | Títol | Aplicable? | Estat | Comentaris |
|---|---|---|---|---|
| A.5.1 | Segurtasun politika | Sí | Txertatuta | Argitaratua eta berrikusia |
| A.5.11 | Datu erabilera | Sí | Txertatuta | Bezeroen jaitsierak |
| A.6.1 | Antolakuntza segurtasuna | Sí | Txertatuta | Definitutako rolak |
| A.6.3 | Urruneko lana | Sí | Txertatuta | VPN eta zifratutako eramangarriak |
| A.7.1 | Segurtasun kopiak | Sí | Txertatuta | Erredundanteak backupak |
| A.8.1 | Sarrera kontrola | Sí | Txertatuta | ACLs eta autentifikazio sendoa |
| A.8.16 | Jardueren gainbegirapena | Sí | Partzial | Despliegatzean |
| A.12.1 | Aplikazioen segurtasuna | Sí | Txertatuta | OWASP, kodearen berrikusketa |
| A.14.1 | Komunikazio seguruak | Sí | Txertatuta | HTTPS, SFTP |
| A.18.2 | Barneko Auditoria SGSI\" | Sí | Planifikatuta | Q4 2025\" |
Bertsioa: 4.8 — Azken berrikusketa: 15-10-2024
