OVH y la protección de datos personales

Es fundamental distinguir entre la seguridad de los datos alojados por el cliente y la seguridad de las infraestructuras en las que están alojados dichos datos.

Sécurité des données

Seguridad de los datos alojados por el cliente: El cliente es el único responsable de garantizar la seguridad de los recursos y sistemas de aplicaciones que despliegue en el marco del uso de los servicios. OVH pone a disposición de los clientes diversas herramientas para ayudarles a securizar sus datos.

Seguridad de las infraestructuras: OVH se compromete a mantener una seguridad óptima de sus infraestructuras. Ente otras medidas, ha puesto en marcha una política de seguridad de sus sistemas de información y responde a las exigencias de múltiples normas y certificaciones (certificación PCI-DSS, certificación ISO/IEC 27001, certificaciones SOC 1 tipo II y SOC 2 tipo II...).

Puede consultar todas las certificaciones y el perímetro de cada una en la página de certificaciones de OVH.

Seguridad de las infraestructuras de OVH

OVH adopta las medidas de precaución necesarias para preservar la seguridad y la confidencialidad de los datos personales tratados y así impedir que sean alterados, dañados o que terceros no autorizados tengan acceso a ellos.

Compromisos de OVH

Sistema de gestión de la seguridad
Compromisos de OVH como proveedor de alojamiento OVH aplica una política de seguridad de los sistemas de información (PSSI) que describe todos nuestros dispositivos en este ámbito. Nuestra PSSI se actualiza al menos una vez al año o en caso de que se produzcan cambios importantes que afecten a su contenido. La seguridad de nuestras soluciones, a su vez, se rige por sistemas de gestión de la seguridad de la información formales. Existen diferentes funciones que coordinan nuestras acciones en lo que respecta a la seguridad perimetral: El responsable de la seguridad de los sistemas de información (RSSI); El responsable de seguridad, que se encarga de los procesos y proyectos relacionados con la seguridad perimetral; El delegado de protección de datos (DPO), que vela por la preservación de los datos personales; El gestor de riesgos, que coordina la gestión de los riesgos de seguridad y los planes de acción apropiados; El responsable de las medidas de seguridad, que implementa y aplica las disposiciones relativas a los riesgos identificados.
Conformidad y certificación
Compromisos de OVH como proveedor de alojamiento Para garantizar el mantenimiento de la conformidad y evaluar la eficacia de nuestros sistemas, se realizan periódicamente auditorías de seguridad. Estas pueden ser de cinco tipos: Auditorías externas (certificaciones, clientes); Auditorías internas, llevadas a cabo por auditores internos o externos; Auditorías técnicas (pruebas de intrusión, escaneos de vulnerabilidad, revisiones de código), llevadas a cabo por auditores internos o externos; auditorías de las actividades de terceros, realizadas por el responsable de la gestión de terceros; Auditorías de los datacenters, llevadas a cabo por auditores internos. Cuando se identifica una situación no conforme, se añade la correspondiente medida correctiva a los planes de acción. Todas estas medidas están sujetas a un seguimiento formal, del que se guarda un registro, así como a una revisión periódica donde se vuelve a examinar su efectividad.
Auditorías del cliente
Recomendaciones destinadas al cliente responsable del tratamiento El cliente puede realizar por su cuenta auditorías técnicas (pruebas de intrusión) en los servicios alojados, así como en los componentes de gestión del servicio. Las condiciones de realización de las auditorías están estipuladas en los contratos o se gestionan ad hoc a petición del cliente. Compromisos de OVH como proveedor de alojamiento Las condiciones de realización de las auditorías están estipuladas en los contratos o se gestionan ad hoc a petición del cliente.
Gestión de riesgos
Recomendaciones destinadas al cliente responsable del tratamiento El cliente debe asegurarse de que las medidas de seguridad implementadas por OVH sean suficientes con respecto a los riesgos derivados del uso que haga de la infraestructura. Compromisos de OVH como proveedor de alojamiento OVH aplica una metodología formal de gestión de riesgos, que se revisa al menos una vez al año o en caso de cambios importantes y que también afecta a los datos personales y datos sensibles (salud, pagos, etc.). Esta metodología formaliza los análisis realizados: identificación de activos, procesos críticos, amenazas y vulnerabilidades. Se basa en la norma ISO 27005. Al finalizar cada análisis se elabora un plan para hacer frente a los riesgos identificados. Este se pone en marcha en un plazo máximo de 12 meses. El plan documenta el análisis detalladamente y prioriza las acciones a realizar. Las medidas correctivas se añaden a los planes de acción y se les hace un seguimiento formal, del que se guarda un registro. Asimismo, cada medida es sometida a una revisión periódica en la que se vuelve a examinar su efectividad.
Gestión del cambio
Recomendaciones destinadas al cliente responsable del tratamiento El cliente debe asegurarse de que sus datos de contacto son correctos para que OVH pueda notificarle los cambios que puedan afectar a sus soluciones. En caso necesario, corresponde al cliente llevar a cabo las acciones necesarias en la configuración de sus servicios para adaptarse a dichos cambios. Compromisos de OVH como proveedor de alojamiento OVH dispone de un procedimiento formal de gestión del cambio: las funciones y responsabilidades están claramente definidas; se han especificado criterios de clasificación para identificar los pasos a seguir para implementar el cambio; se gestionan las prioridades; se lleva a cabo un análisis de los riesgos asociados a los cambios (si se identifica un riesgo, el responsable de seguridad y el gestor de riesgos participan en la validación del cambio); se realizan pruebas de intrusión (si es aplicable); el cambio se planifica y se programa con los clientes (si es aplicable); el despliegue es progresivo (1/10/100/1000) y, en caso de riesgo, se prevé un procedimiento de reversión de los cambios; se lleva a cabo una revisión a posteriori de los diferentes activos afectados por el cambio; se documentan los pasos en la herramienta de gestión del cambio.
Política de desarrollo de sistemas y aplicaciones
Compromisos de OVH como proveedor de alojamiento OVH implementa y documenta los procesos que deben seguir sus desarrolladores. Estos procesos contienen los principios para desarrollar de forma segura, las medidas de protección de datos desde el diseño y una política de revisión del código (detección de vulnerabilidades, tratamiento de errores, gestión de los accesos y entradas, seguridad del almacenamiento y las comunicaciones). También se realizan revisiones de código periódicamente: validación de las nuevas funcionalidades antes del lanzamiento, pruebas en el entorno de validación (si es aplicable) y despliegue progresivo (1/10/100/1000); separación de funciones y responsabilidades entre los desarrolladores y las personas encargadas de la puesta en producción.
Monitorización de los servicios y las infraestructuras
Compromisos de OVH como proveedor de alojamiento Todos los servicios de OVH cuentan con una infraestructura de monitorización. Sus objetivos son múltiples: detectar incidencias de producción y seguridad; vigilar las funciones críticas, enviando una alerta al sistema de supervisión; avisar a los responsables y activar los procedimientos adecuados; asegurar la continuidad del servicio en la realización de las tareas automatizadas; asegurar la integridad de los recursos monitorizados.
Gestión de incidencias
Recomendaciones destinadas al cliente responsable del tratamiento El cliente debe asegurarse de que sus datos de contacto son correctos para que OVH pueda notificarle posibles incidencias. También debe establecer procesos de gestión de las incidencias que afecten a su sistema de información, incluyendo a OVH como posible fuente de alerta. Compromisos de OVH como proveedor de alojamiento Existe un proceso de gestión de incidencias que permite prevenir, detectar y resolver estas contingencias en las infraestructuras de gestión del servicio y en el propio servicio. Este proceso incluye: una guía de calificación de los eventos de seguridad; tratamiento de los eventos de seguridad; ejercicios de simulación para la célula de crisis; pruebas del plan de respuesta a incidencias; comunicación con el cliente en el marco de una célula de crisis. Estos procedimientos están integrados en un proceso de mejora continua para la vigilancia, evaluación y gestión global de las incidencias y de sus acciones correctivas.
Gestión de vulnerabilidades
Recomendaciones destinadas al cliente responsable del tratamiento El cliente debe asegurarse de que sus datos de contacto son correctos para que OVH pueda notificarle posibles vulnerabilidades detectadas en su sistema de información. Compromisos de OVH como proveedor de alojamiento El responsable de seguridad y su equipo efectúan un seguimiento de las nuevas vulnerabilidades, identificándolas a través de:   sitios web públicos de información; alertas de los fabricantes y los editores de las soluciones desplegadas; incidencias y observaciones comunicadas por nuestros equipos de operaciones, terceros o clientes; escaneos de vulnerabilidades internos y externos realizados periódicamente; auditorías técnicas, así como revisiones de código y de configuración. Si se detecta una vulnerabilidad, un equipo específico realiza un análisis para determinar su impacto potencial en los sistemas y escenarios operativos. Si es necesario, se ponen en marcha acciones de mitigación y se define un plan correctivo. Las medidas adoptadas se añaden a los planes de acción y se les hace un seguimiento formal, del que se guarda un registro. Asimismo, cada medida es sometida a una revisión periódica en la que se vuelve a examinar su efectividad.
Gestión de la continuidad del negocio
Recomendaciones destinadas al cliente responsable del tratamiento La continuidad del sistema de información es responsabilidad del cliente. Este último debe asegurarse de que los dispositivos estándar implementados por OVH, las opciones contratadas y los mecanismos complementarios que él implemente le permitirán alcanzar sus objetivos. Compromisos de OVH como proveedor de alojamiento La continuidad de la actividad de las infraestructuras (disponibilidad de los dispositivos, las aplicaciones y los procesos operativos) se asegura mediante diferentes mecanismos: continuidad de la refrigeración líquida y por aire; continuidad y redundancia del suministro de electricidad; gestión de la capacidad de los dispositivos que se encuentran bajo la responsabilidad de OVH; asistencia técnica del servicio; redundancia de los dispositivos y servidores utilizados en la administración de los sistemas. Además, existen otros mecanismos que aseguran la reanudación del servicio en caso de incidencia, tales como la copia de seguridad de la configuración de los dispositivos de red. En función del servicio, OVH puede ofrecer funcionalidades de backup y de restauración, incluidas de manera estándar o como opción de pago, que el cliente podrá utilizar.
Riesgos naturales y medioambientales
Compromisos de OVH como proveedor de alojamiento OVH aplica medidas destinadas a prevenir los riesgos naturales y medioambientales: instalación de pararrayos para reducir la onda electromagnética concomitante; ubicación de las instalaciones de OVH en zonas no inundables y sin riesgos sísmicos; presencia de sistemas de alimentación ininterrumpida (SAI) con capacidad suficiente y de transformadores de emergencia con conmutación automática de la carga; activación automática de los grupos electrógenos con una autonomía mínima de 24 horas; instalación de un sistema de refrigeración líquida de los servidores (el 98% de las salas de alojamiento no tienen climatización); despliegue de unidades de calefacción, ventilación y aire acondicionado (HVAC) que mantienen la temperatura y la humedad a un nivel constante; gestión de un sistema de detección de incendios (en los datacenters se realizan simulacros de incendio cada 6 meses).
Medidas generales de seguridad de las instalaciones
Compromisos de OVH como proveedor de alojamiento El acceso físico a las instalaciones de OVH está basado en una política de seguridad perimetral restrictiva, efectiva desde el área de entrada. Cada local se clasifica en las siguiente categorías: zonas de circulación privadas; oficinas accesibles para todos los trabajadores y visitantes registrados; oficinas confidenciales, restringidas a determinadas personas; zonas que albergan el equipamiento de los datacenters; zonas confidenciales de los datacenters; zonas de los datacenters que albergan servicios críticos.
Medidas generales de seguridad de las instalaciones
Compromisos de OVH como proveedor de alojamiento Existen medidas de seguridad para controlar el acceso a las instalaciones de OVH: política de derechos de acceso; paredes (o mecanismos equivalentes) entre cada zona; cámaras situadas en las entradas y salidas de las instalaciones, así como en las salas de servidores; acceso seguro controlado por lectores de acreditaciones; barreras láser en los aparcamientos; sistema de detección de movimiento; mecanismos de prevención de accesos forzados en las entradas y salidas de los datacenters; mecanismos de detección de intrusos (seguridad las 24 horas y videovigilancia); centro de vigilancia permanente, que controla las aperturas de las puertas de entrada y salida.
Acceso a las instalaciones de OVH
Compromisos de OVH como proveedor de alojamiento Los controles de acceso físico se basan en un sistema de acreditaciones. Cada acreditación está asociada a una cuenta de OVH, asociada a su vez a una persona. Este mecanismo permite identificar a cualquier persona en las instalaciones y autentificar los mecanismos de control: cada persona que acceda a las instalaciones de OVH debe tener una acreditación personal vinculada a su identidad; la identidad se verifica antes de entregar cualquier acreditación; en las instalaciones, es necesario llevar la acreditación en un lugar visible; las acreditaciones no deben mencionar el nombre del titular o de la empresa; las acreditaciones deben permitir identificar de inmediato las categorías de las personas presentes (trabajadores, terceros, acceso temporal o visitantes); la acreditación se desactiva en cuanto su titular deja de estar autorizado para acceder a las instalaciones; la acreditación de los trabajadores de OVH se activa durante la vigencia de su contrato de trabajo (para las demás categorías, se desactiva automáticamente al cabo de un período de tiempo determinado); cuando una acreditación no se utiliza durante tres semanas, esta se desactiva automáticamente.
Gestión de los accesos a las zonas
Compromisos de OVH como proveedor de alojamiento Acceso en las puertas mediante acreditación Este es el control de acceso estándar en las instalaciones de OVH: la puerta está conectada al sistema centralizado de gestión de los derechos de acceso; la persona debe pasar su acreditación por el lector para desbloquear la puerta; los accesos se verifican en el momento de la lectura para asegurarse de que las personas tengan los derechos de entrada adecuados; en caso de avería del sistema centralizado de gestión de los derechos de acceso, los derechos configurados en el momento de la incidencia son válidos hasta que esta se resuelva; las cerraduras de las puertas están protegidas frente a cortes de electricidad y permanecen cerradas en esos casos. Acceso en las puertas mediante acreditación Algunas áreas o dispositivos se cierran mediante cerraduras de llave: en cada una de las instalaciones, las llaves se guardan en un lugar centralizado y restringido, con un listado de todas las llaves; cada llave se identifica mediante una etiqueta; existe un inventario de las llaves; cualquier uso de las llaves se puede rastrear a través de un mecanismo de entrega o un libro de registro en papel; el listado de las llaves se coteja diariamente con el inventario. Acceso a los datacenters por esclusas unipersonales El acceso a nuestros centros de datos se efectúa exclusivamente a través de esclusas unipersonales: cada esclusa tiene dos puertas y un compartimento intermedio, con el fin de asegurarse de que solo pase una persona a la vez; solo es posible abrir una puerta si la otra está cerrada (mantrap); las esclusas utilizan el mismo sistema de acreditaciones que las otras puertas, y se aplican las mismas reglas; unos mecanismos de detención comprueban que solo haya una persona en la esclusa (anti-piggybacking); el sistema está configurado para impedir que la acreditación pueda utilizarse más de una vez en el mismo sentido (anti-passback); una cámara colocada alrededor de la esclusa permite vigilar las entradas. Acceso a las esclusas de mercancías Las entradas de mercancías a los datacenters se realizan exclusivamente a través de pasarelas específicas: el vestíbulo de entrega está configurado de la misma forma que una esclusa unipersonal, pero con un espacio mayor, sin control sobre el volumen y el peso, y con lectores de acreditaciones solo en el exterior; por el vestíbulo solo pasa el artículo entregado (las personas deben acceder a través de las esclusas unipersonales); en el vestíbulo hay una cámara sin ángulos muertos.
Gestión de los accesos físicos de terceros
Recomendaciones destinadas al cliente responsable del tratamiento OVH nunca interviene en las instalaciones de sus clientes. Estos últimos son responsables de la seguridad de sus instalaciones. Compromisos de OVH como proveedor de alojamiento La circulación de visitantes y proveedores de servicios ocasionales está estrictamente regulada. Estas personas se registran en cuanto llegan a las instalaciones y se les proporciona una acreditación de visitante o proveedor de servicios: cada visita debe notificarse con antelación; estas personas externas están bajo la responsabilidad de un empleado y siempre van acompañadas; siempre se verifica la identidad antes de permitir el acceso a las instalaciones; cada persona externa tiene una acreditación personal asignada para ese día, que debe devolver antes de abandonar las instalaciones; las acreditaciones siempre deben llevarse en un lugar visible; las acreditaciones se desactivan automáticamente al final de la visita.
Sensibilización y formación del personal
Compromisos de OVH como proveedor de alojamiento El personal de OVH conoce las normas de seguridad y las reglas de conformidad del tratamiento de datos personales: anualmente se imparten sesiones de formación sobre estos temas para los equipos implicados; anualmente se imparten sesiones de formación sobre la realización de las auditorías para los equipos implicados; anualmente se imparten sesiones de formación sobre los servicios técnicos para los equipos implicados; Cuando se incorporan nuevos empleados se les sensibiliza sobre la seguridad del sistema de información (SI); Periódicamente se envían a todo el personal comunicaciones relativas a la seguridad; se organizan campañas de prueba para garantizar que adquieran los hábitos adecuados en caso de amenaza.
Gestión de los accesos lógicos al sistema de información de OVH
Compromisos de OVH como proveedor de alojamiento OVH aplica una estricta política de gestión de los accesos lógicos para los empleados: Los permisos son concedidos y supervisados por los responsables directos según los principios de mínimo privilegio y de adquisición gradual de la confianza; En la medida de lo posible, todos los permisos se basan en funciones y no en derechos unitarios; La gestión de los derechos de acceso y los permisos asignados a un usuario o sistema se basan en un procedimiento de registro, modificación y cancelación que involucra a los responsables, al departamento interno de informática y a recursos humanos; Todos los empleados usan cuentas de usuario nominativas; las sesiones de conexión siempre tienen un tiempo de expiración que depende de cada aplicación; la identidad de los usuarios se verifica antes de cualquier cambio en los medios de autenticación; en caso de olvidar la contraseña, solo el responsable del trabajador y el responsable de seguridad están autorizados para restablecerla; las cuentas de usuario se desactivan automáticamente si la contraseña no se renueva cada 90 días; Está prohibido el uso de cuentas predeterminadas, genéricas y anónimas; Se aplica una política de contraseñas estricta; El usuario no elige su contraseña, sino que esta se genera automáticamente; La longitud mínima de una contraseña es de 10 caracteres alfanuméricos; La frecuencia de renovación de la contraseña es de 3 meses; está prohibido almacenar contraseñas en archivos no encriptados, en papel o en navegadores web; es obligatorio utilizar un programa de software de gestión de contraseñas local, validado por los equipos de seguridad; el acceso remoto al sistema de información (SI) de OVH siempre se realiza a través de una VPN, que requiere una contraseña conocida solo por el usuario y un secreto compartido configurado en el equipo de trabajo.
Gestión de accesos de administración a las plataformas de producción
Compromisos de OVH como proveedor de alojamiento OVH aplica una política de gestión de los accesos de administración de las plataformas: todos los accesos de administración a un sistema en producción se realizan a través de un bastión; los administradores se conectan a los bastiones por SSH, utilizando parejas de claves públicas y privadas individuales y nominativas; la conexión al sistema de destino se realiza, o bien mediante una cuenta de departamento compartida, o bien mediante una cuenta nominativa a través de los bastiones; está prohibido utilizar cuentas predeterminadas en los sistemas y dispositivos; la autenticación de doble factor es obligatoria para el acceso remoto tanto de los administradores como de los empleados con accesos a perímetros sensibles, y se guarda un registro completo para permitir la trazabilidad; los administradores tienen una cuenta exclusivamente dedicada a las tareas de administración, además de su cuenta de usuario; Los permisos son concedidos y supervisados por los responsables directos según los principios de mínimo privilegio y de adquisición gradual de la confianza; las claves SSH están protegidas con una contraseña que debe cumplir los requisitos de la política de contraseñas; se realiza una revisión periódica de los derechos y accesos en colaboración con los departamentos pertinentes.
Control de los accesos al área de cliente
Recomendaciones destinadas al cliente responsable del tratamiento El cliente es responsable de la gestión y la seguridad de sus medios de autenticación. Para proteger mejor el acceso a su cuenta, este tiene la posibilidad de: • activar la doble autenticación en el área de cliente de OVH; • restringir las conexiones a una lista de direcciones IP previamente declaradas. Compromisos de OVH como proveedor de alojamiento La gestión de los servicios de OVH por el cliente se realiza a través del área de cliente o la API. Por defecto, el acceso se realiza a través de una cuenta nominativa (ID de cliente) y una contraseña: el cliente elige la contraseña, que debe cumplir los criterios de complejidad impuestos por la interfaz; en los servidores de OVH solo se almacenan los hashes de las contraseñas; OVH ofrece la posibilidad de activar la doble autenticación desde el área de cliente, a través de un sistema de contraseñas de un solo uso (OTP) enviadas por SMS, el uso de una aplicación móvil o la utilización de una clave compatible con U2F; el cliente puede restringir el acceso a su área de cliente a direcciones IP determinadas; los tokens de acceso a la API se pueden utilizar durante su período de validez sin volver a pasar controles específicos; todas las actividades de los clientes en el área de cliente o en la API quedan registradas; el cliente puede separar las tareas técnicas y administrativas relacionadas con la gestión de los servicios.
Seguridad de los equipos de trabajo y los dispositivos móviles
Recomendaciones destinadas al cliente responsable del tratamiento El cliente debe garantizar la seguridad de los equipos de trabajo y los dispositivos móviles que permitan administrar el servicio y los sistemas. Compromisos de OVH como proveedor de alojamiento Seguridad de los equipos de trabajo estándar OVH aplica medidas para garantizar la seguridad de los equipos de trabajo estándar del personal:   gestión automática de actualizaciones; instalación y actualización de antivirus, con escaneos regulares; • posibilidad de instalar únicamente aplicaciones de un catálogo validado; cifrado sistemático de los discos duros; ausencia de derechos de administración para los empleados en sus equipos de trabajo; procedimiento de actualización sobre los equipos de trabajo potencialmente comprometidos; estandarización de los equipos; procedimiento de eliminación de las sesiones y restauración de los equipos cuando un empleado deja de trabajar en la empresa. Seguridad de los terminales móviles OVH aplica medidas para garantizar la seguridad de los dispositivos móviles personales o proporcionados por OVH: registro obligatorio de los terminales en el sistema de gestión centralizado, antes de acceder a los recursos internos (wifi, correo electrónico, calendarios, directorio, etc.); verificación de la política de seguridad implementada en el terminal (código de desbloqueo, temporización de bloqueo automático, cifrado del almacenamiento); procedimiento de borrado remoto de los terminales en caso de pérdida o robo.
Seguridad de la red
Recomendaciones destinadas al cliente responsable del tratamiento El cliente es el único responsable de la encriptación del contenido comunicado a través de la red de OVH. Compromisos de OVH como proveedor de alojamiento OVH gestiona una red privada de fibra óptica de alta velocidad, interconectada con numerosos operadores de internet y de tránsito. OVH gestiona su propio backbone, que distribuye la conectividad a las redes locales de cada datacenter y los interconecta. Todo este equipamiento está protegido por las siguientes medidas: mantenimiento de un inventario dentro de una base de gestión de las configuraciones; establecimiento de un proceso de hardening, con manuales que describen los parámetros que deben modificarse para garantizar que la configuración sea segura; los accesos a las funciones de administración de los dispositivos están restringidos mediante listas de control; todos los dispositivos se gestionan a través de un bastión, aplicando el principio de mínimo privilegio; se realizan copias de seguridad de todas las configuraciones de los dispositivos de red; el equipo de operaciones de red recopila, centraliza y monitoriza los logs permanentemente; el despliegue de configuraciones está automatizado y se basa en plantillas validadas.
Gestión de la continuidad del negocio
Compromisos de OVH como proveedor de alojamiento OVH aplica una política de backup en los servidores y dispositivos que utiliza para prestar sus servicios: se realiza copia de seguridad de todos los sistemas y datos necesarios para la continuidad de los servicios, la reconstrucción del sistema de información o el análisis posterior a las incidencias (archivos de las bases de datos técnicas y administrativas, historiales de actividad, código fuente de las aplicaciones desarrolladas internamente, configuración de los servidores, aplicaciones y dispositivos, etc.); Las frecuencias, tiempos de retención y métodos de almacenamiento de las copias de seguridad se establecen de acuerdo con las necesidades de cada activo. Se monitoriza la realización de las copias de seguridad, y se gestionan las alertas y errores.
Historización
Recomendaciones destinadas al cliente responsable del tratamiento El cliente es el único responsable de la política de historización de sus propios sistemas y aplicaciones. Compromisos de OVH como proveedor de alojamiento OVH aplica una política de conservación de registros en los servidores y dispositivos que utiliza para prestar sus servicios: backup y conservación centralizada de los logs; consulta y análisis de los logs por un número limitado de actores autorizados, con arreglo a la política de permisos y de gestión de los accesos; separación de tareas entre los equipos responsables del funcionamiento de la infraestructura de monitorización y los equipos responsables del funcionamiento del servicio. A continuación se detalla la lista de actividades de las que se conserva un registro: logs de los servidores de almacenamiento que alojan los datos de los clientes; logs de las máquinas que gestionan la infraestructura del cliente; logs de las máquinas destinadas a la monitorización de la infraestructura; logs de los antivirus instalados en todas las máquinas equipadas con ellos; control de la integridad de los logs y los sistemas, cuando corresponda; tareas y eventos realizados por el cliente en su infraestructura; logs y alertas de detección de intrusos en la red, cuando corresponda; logs de los dispositivos de red; logs de la infraestructura de las cámaras de vigilancia; logs de las máquinas de los administradores; logs de los servidores de tiempo; logs de los lectores de acreditaciones; logs de los bastiones.