Komunikaty prasowe
OVH rozpoczyna projekt Bug Bounty oraz wzmacnia bezpieczeństwo swoich usług
2016
Komunikaty prasowe
Polska
“Bug Bounty” umożliwia zgłaszanie potencjalnych niedoskonałości w systemach OVH każdemu, kto interesuje się bezpieczeństwem usług informatycznych. Program testowany wcześniej wewnętrznie jest obecnie powszechnie dostępny za pośrednictwem platformy bountyfactory.io. Wszystkie zgłoszenia zostaną sprawdzone przez dział bezpieczeństwa OVH, który
w razie potrzeby, podejmie odpowiednie kroki. Potwierdzone zgłoszenia będą nagradzane finansowo – można uzyskać nawet 10 000 Euro. Osoby, które znajdą błędy niemieszczące się w zakresie programu otrzymają vouchery lub nagrody rzeczowe.
Po pierwsze: bezpieczeństwo
Stworzona siedemnaście lat temu grupa OVH zawsze stawiała bezpieczeństwo na pierwszym miejscu. Zgłaszanie błędów było wcześniej możliwe za pośrednictwem maila security[at]ovh.net . " Stworzenie programu Bug Bounty stanowi zwieńczenie wielu lat przemyśleń. Uruchomienie platformy bountyfactory.io to spełnienie marzeń o projekcie, który Octave Klaba założyciel firmy, zawsze chciał wdrożyć " – mówi Vincent Malguy, członek zespołu SOC (Security Operation Center). Dotychczas dostępne były wyłącznie amerykańskie platformy Bug Bounty. Dla firmy takiej jak OVH przywiązującej ogromną wagę do suwerenności danych, nie do pomyślenia było przechowywanie informacji o błędach poza centrami danych firmy zlokalizowanymi we Francji. Platforma programu Bug Bounty OVH pracuje w oparciu o usługę OVH Dedicated Cloud, która już kilka lat temu otrzymała certyfikat bezpieczeństwa ISO 27001.
Zintegrowane podejście do bezpieczeństwa
Informacje dostarczane przez uczestników programu spoza OVH stanowią doskonałe uzupełnienie wewnętrznych procedur dotyczących bezpieczeństwa infrastruktury oraz danych klientów firmy.
Poza systemem certyfikacyjnym, w skład którego wchodzą dokumenty: ISO 27001, ISO 27017, PCI-DSS, SOC 1 typu II i SOC 2 typu II dla chmury dedykowanej, OVH przeprowadza wewnętrznie liczne testy bezpieczeństwa mające na celu zapewnienie najwyższych standardów ochrony. Mając na uwadze zabezpieczenie całości usług oraz zminimalizowanie ryzyka wystąpienia błędu, OVH zdecydowało się na ustandaryzować procedury publicznego raportowania zagrożeń. " Dzięki Bug Bounty możemy nieprzerwanie testować całość naszej infrastruktury wykorzystując umiejętności różnych osób. Nigdy nie udałoby się nam tak wnikliwie sprawdzić naszych zasobów w długim okresie czasu korzystając ze zwykłych audytów " – tłumaczy Vincent Malguy. Obecnie, program Bug Bounty dotyczy jedynie błędów panelu kontrolnego klienta OVH oraz interfejsu API. Niebawem inicjatywa obejmie pozostałe produkty OVH.
w razie potrzeby, podejmie odpowiednie kroki. Potwierdzone zgłoszenia będą nagradzane finansowo – można uzyskać nawet 10 000 Euro. Osoby, które znajdą błędy niemieszczące się w zakresie programu otrzymają vouchery lub nagrody rzeczowe.
Po pierwsze: bezpieczeństwo
Stworzona siedemnaście lat temu grupa OVH zawsze stawiała bezpieczeństwo na pierwszym miejscu. Zgłaszanie błędów było wcześniej możliwe za pośrednictwem maila security[at]ovh.net . " Stworzenie programu Bug Bounty stanowi zwieńczenie wielu lat przemyśleń. Uruchomienie platformy bountyfactory.io to spełnienie marzeń o projekcie, który Octave Klaba założyciel firmy, zawsze chciał wdrożyć " – mówi Vincent Malguy, członek zespołu SOC (Security Operation Center). Dotychczas dostępne były wyłącznie amerykańskie platformy Bug Bounty. Dla firmy takiej jak OVH przywiązującej ogromną wagę do suwerenności danych, nie do pomyślenia było przechowywanie informacji o błędach poza centrami danych firmy zlokalizowanymi we Francji. Platforma programu Bug Bounty OVH pracuje w oparciu o usługę OVH Dedicated Cloud, która już kilka lat temu otrzymała certyfikat bezpieczeństwa ISO 27001.
Zintegrowane podejście do bezpieczeństwa
Informacje dostarczane przez uczestników programu spoza OVH stanowią doskonałe uzupełnienie wewnętrznych procedur dotyczących bezpieczeństwa infrastruktury oraz danych klientów firmy.
Poza systemem certyfikacyjnym, w skład którego wchodzą dokumenty: ISO 27001, ISO 27017, PCI-DSS, SOC 1 typu II i SOC 2 typu II dla chmury dedykowanej, OVH przeprowadza wewnętrznie liczne testy bezpieczeństwa mające na celu zapewnienie najwyższych standardów ochrony. Mając na uwadze zabezpieczenie całości usług oraz zminimalizowanie ryzyka wystąpienia błędu, OVH zdecydowało się na ustandaryzować procedury publicznego raportowania zagrożeń. " Dzięki Bug Bounty możemy nieprzerwanie testować całość naszej infrastruktury wykorzystując umiejętności różnych osób. Nigdy nie udałoby się nam tak wnikliwie sprawdzić naszych zasobów w długim okresie czasu korzystając ze zwykłych audytów " – tłumaczy Vincent Malguy. Obecnie, program Bug Bounty dotyczy jedynie błędów panelu kontrolnego klienta OVH oraz interfejsu API. Niebawem inicjatywa obejmie pozostałe produkty OVH.