policy per la sicurezza informatica … garantire la sicurezza dei dati e il controllo degli...
TRANSCRIPT
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
1
POLICY PER LA SICUREZZA INFORMATICA
DELLE TERZE PARTI
Approvato dal C.d.A. in data 29 Marzo 2018
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
2
Sommario 1. Introduzione ...................................................................................................... 3
1.1 Premessa ............................................................................................................. 3
1.2 Obiettivi e struttura del documento........................................................................ 4
1.3 Perimetro di applicabilità ....................................................................................... 4
1.4 Gestione delle modifiche al documento .................................................................. 5
2. Riferimenti normativi ......................................................................................... 6
3. Policy per la Sicurezza Informatica ................................................................... 8
3.1 Il Sistema di Gestione della Sicurezza delle Informazioni ......................................... 8
3.2 Gestione sicura delle risorse ICT e del personale .................................................... 9
3.3 Controllo degli Accessi Logici ............................................................................... 10
3.4 Gestione degli Incidenti di Sicurezza Informatica .................................................. 10
3.5 Sviluppo sicuro e gestione dei cambiamenti.......................................................... 11
3.6 Gestione dei piani di Disaster Recovery e Continuità Operativa .............................. 13
4. Gestione dei rapporti con le Terze Parti .......................................................... 14
4.1 Sintesi delle misure di sicurezza per le Terze Parti ................................................ 14
4.2 Norme generali in materia di protezione dei dati personali .................................... 16
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
3
1. Introduzione
1.1 Premessa
L'informazione è un bene estremamente prezioso e importante per EsseQuamVideri S.r.l. (di
seguito EQV) e in quanto tale deve essere protetto dai rischi che potrebbero minacciare la
sua autenticità, riservatezza, integrità e disponibilità.
La Sicurezza Informatica costituisce infatti l’insieme delle misure, di natura tecnologica,
organizzativa e legale, volte ad impedire o in qualche modo ridurre i danni causati da eventi
intenzionali (crimini, frodi) o non intenzionali (errori umani, fenomeni naturali), che violano
il patrimonio informativo aziendale.
Gli aspetti di sicurezza coinvolgono nello specifico i seguenti settori informativi:
Sicurezza logica: volta a proteggere i dati relativi le risorse informatiche, attraverso la
definizione e l’implementazione di misure preventive, supportate da adeguate
procedure di configurazione e gestione;
Sicurezza fisica: volta a salvaguardare le infrastrutture (edifici, locali, strumentazioni,
ecc.), attraverso la definizione di policy e procedure dettagliate;
Sicurezza organizzativa: volta a proteggere risorse informatiche e dati attraverso la
definizione di modelli di governance, l’adeguamento dei processi organizzativi agli
standard di sicurezza e l’avvio di piani di formazione per lo sviluppo delle
competenze.
Il presente documento descrive la politica aziendale in materia di sicurezza informatica che
deve essere comunicata alle Terze Parti, secondo le Disposizioni di Vigilanza emanate da
Banca d’Italia (Circolare 285 del 17/12/2013 di Banca d’Italia e successivi aggiornamenti).
Inoltre specifica gli indirizzi e linee guida vigenti con riferimento alle misure adottate al fine
di garantire la sicurezza dei dati e il controllo degli accessi, incluse quelle dedicate alla
sicurezza dei servizi telematici per la clientela; alla gestione dei cambiamenti e degli
incidenti di sicurezza; alla disponibilità delle informazioni e dei servizi ICT.
Nello specifico sono trattati i seguenti aspetti di sicurezza informatica:
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
4
Gestione della sicurezza delle informazioni e delle risorse ICT (acquisizione,
registrazione, aggregazione, trasformazione, trasmissione e utilizzo dei dati);
Controllo degli accessi logici;
Gestione degli incidenti di sicurezza informatica;
Sviluppo sicuro e gestione dei cambiamenti;
Gestione dei piani di Disaster Recovery e di Continuità.
1.2 Obiettivi e struttura del documento
L'obiettivo del documento è quello di recepire e descrivere per le Terze Parti, i principi
generali di sicurezza delle informazioni di EQV in termini di direttive, linee guida e regole
applicate.
EQV ha fatto propri tali principi, al fine di realizzare e mantenere il sistema di gestione della
sicurezza delle informazioni, tenendo conto della protezione delle informazioni proprietarie
della società (intesa come riservatezza, integrità e disponibilità del dato elementare) nonché
della protezione delle infrastrutture, dei sistemi e delle applicazioni ICT da attacchi o
manomissioni che ne possano compromettere il corretto funzionamento.
Pertanto il presente documento, è volto ad indirizzare la corretta gestione della sicurezza
delle informazioni da parte delle Terze Parti, in linea con i requisiti di sicurezza di EQV.
Si riporta di seguito la suddivisione dello stesso nei seguenti capitoli:
Introduzione;
Riferimenti normativi;
Policy per la Sicurezza Informatica;
Misure di sicurezza informatica per le Terze Parti.
1.3 Perimetro di applicabilità La Policy per la Sicurezza Informatica si applica a tutto il personale di EQV, all’insieme delle
strutture tecnologiche e organizzative che costituiscono i sistemi informativi della società e a
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
5
tutte le Terze Parti (Fornitori di beni e servizi, consulenti, Outsourcer) che collaborano con
EQV alla gestione delle informazioni, ai processi e alle risorse coinvolte nella progettazione,
realizzazione, collaudo ed erogazione dei servizi di rispettiva competenza.
1.4 Gestione delle modifiche al documento Il presente documento è soggetto ad un rigoroso e periodico processo di controllo delle
modifiche. Opportune notifiche sono diffuse all’interno dell’azienda a seguito
dell’approvazione degli aggiornamenti significativi e, se necessario, gli interessati, compresi
le Terze Parti, vengono informati delle modifiche apportate.
La regolare revisione della Policy per la Sicurezza tiene conto dell’evoluzione del campo di
attività, dei prodotti forniti, delle tecnologie e dei rischi fronteggiati. Pertanto il presente
documento è soggetto ad un processo di aggiornamento periodico, il quale prevede le
seguenti responsabilità:
Aggiornamento da parte del Responsabile Prevenzione e Sicurezza;
Approvazione da parte del Consiglio di Amministrazione.
Al termine del processo di aggiornamento, la Policy per la Sicurezza Informatica diventa
ufficiale per le Terze Parti e viene distribuita all’internamente e pubblicata sul sito aziendale.
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
6
2. Riferimenti normativi La conformità alla legislazione Italiana, alle norme e standard internazionali relativi la
sicurezza delle informazioni limita i rischi di EQV e garantisce il livello minimo di sicurezza
del sistema informativo e del patrimonio informativo. Di seguito si riportano i principali
riferimenti normativi.
Legge 23 dicembre 1993, n. 547 e Legge 18 marzo 2008 n. 48 sulla criminalità
informatica;
Legge 31 dicembre 2007, n. 248 e Legge 31 luglio 2005, n. 155 sull'antiterrorismo;
D.Lgs. 21 novembre 2007, n. 231 - Attuazione della direttiva 2005/60/CE
concernente la prevenzione dell'utilizzo del sistema finanziario a scopo di riciclaggio
dei proventi di attività criminose e di finanziamento del terrorismo nonché della
direttiva 2006/70/CE che ne reca misure di esecuzione e successive modificazioni e
integrazioni;
Legge 22 aprile 1941, n. 633, D. Lgs. 29 dicembre 1992, n.518, Legge 18 agosto
2000, n. 248, D.Lgs. 9 aprile 2003, n. 68, Legge 29 giugno 2010, n.100 e successivi
aggiornamenti sulla protezione del diritto d’autore e in attuazione della direttiva
2001/29/CE sull'armonizzazione di del diritto d'autore e dei diritti connessi nella
società dell'informazione;
D.Lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali;
Decreto legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22
dicembre 2011, n. 214;
D.Lgs. 08 giugno 2001, n. 231 - Disciplina della responsabilità amministrativa delle
persone giuridiche, delle società e delle associazioni anche prive di personalità
giuridica” e successivi aggiornamenti;
Codice Penale: Art. 615 ter c.p. - Accesso abusivo ad un sistema informatico o
telematico; Art. 615 quater c.p. - Detenzione e diffusione abusiva di codici di accesso
a sistemi informatici e telematici; Art. 615 quinquies c.p. Diffusione di programmi
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
7
diretti a danneggiare o interrompere un sistema informatico; Art. 640 ter c.p. Frode
informatica e articoli correlati;
Direttiva 2002/20/CE del Parlamento europeo e del Consiglio del 7 marzo 2002
relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica e
«pacchetto telecomunicazioni», adottato nel 2002 ed emendato nel 2009;
Direttiva 2006/24/CE del Parlamento Europeo e del consiglio del 15 marzo 2006
riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di
servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di
comunicazione e che modifica la direttiva 2002/58/CE;
Provvedimento del Garante del 27 novembre 2008 relativo a "misure e accorgimenti
prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente
alle attribuzioni delle funzioni di amministratore di sistema" (e proroga del 12
febbraio 2009);
Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile
2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei
dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva
95/46/CE (regolamento generale sulla protezione dei dati);
ISO/IEC 13335-1:2004 - Information technology - Security techniques - Management
of information and communications technology security - Part 1: Concepts and
models for information and communications technology security management;
Standard ISO/IEC 27001:2013. Information technology - Security techniques -
Information security management systems – Requirements e ISO/IEC 27002:2013
Information technology - Security techniques - Code of practice for information
security controls.
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
8
3. Policy per la Sicurezza Informatica La Policy per la Sicurezza delle informazioni alle quali le Terze Parti devono far riferimento,
è strutturata sulla base dello standard internazionale ISO 27001:2013, per il quale si
riportano di seguito i domini di sicurezza inclusi:
Politica di sicurezza informatica;
Organizzazione della sicurezza informatica;
Sicurezza nella gestione delle risorse umane;
Gestione degli asset IT;
Controllo degli accessi logici;
Crittografia;
Sicurezza fisica e ambientale;
Sicurezza delle operazioni;
Gestione delle comunicazioni;
Acquisizione, sviluppo e manutenzione dei sistemi informativi;
Relazioni con i fornitori;
Gestione di eventi e incidenti di sicurezza informatica;
Gestione della continuità operativa;
Conformità alle normative.
3.1 Il Sistema di Gestione della Sicurezza delle Informazioni
EQV al fine di perseguire il suo obiettivo principale, ovvero la tutela del proprio patrimonio
informativo aziendale, deve proteggersi da tutte le minacce, interne o esterne, intenzionali
o accidentali, che si potrebbero prefigurare nell’ambito di erogazione dei propri servizi.
Il valore strategico per l’organizzazione è costituito dalle risorse aziendali e come tale, EQV
deve garantirne adeguata protezione. Anche l’informazione, costituendo una risorsa critica
immateriale, assume un ruolo d’importanza primaria e pertanto necessaria ai processi di
pianificazione, organizzazione, esecuzione e controllo delle attività aziendali.
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
9
Inoltre, tutte le operazioni di trattamento vengono, eseguite in conformità agli standard
internazionali di riferimento e alle disposizioni legislative vigenti in materia di Privacy, di
prevenzione e di contrasto degli illeciti informatici, allo scopo di prevenire e contenere
possibili rischi relativi la perdita di riservatezza, integrità e disponibilità delle informazioni
acquisite.
In particolare la Policy per la Sicurezza Informatica di EQV intende tutelare:
La riservatezza delle informazioni, attraverso interventi volti a contrastare il verificarsi
di accessi non autorizzati alle informazioni o la diffusione non controllata delle stesse;
L’integrità delle informazioni, mediante interventi volti a contrastare il verificarsi di
modifiche non autorizzate delle informazioni;
La disponibilità delle informazioni, attraverso interventi volti a garantirla ai soli
soggetti autorizzati;
L’autenticità dell’informazione garantendone la provenienza e l’assicurandone del
“non ripudio”.
Inoltre risulta di fondamentale importanza per EQV proteggere adeguatamente, nel tempo,
le informazioni, soprattutto nel caso in cui tali informazioni siano accessibili, gestite ed
elaborate da soggetti esterni all’azienda.
Pertanto, in conformità con quanto previsto dallo Standard ISO 27001:2013, si rende
necessario definire adeguatamente i requisiti di sicurezza che le Terze Parti sono tenute a
recepire ed applicare nelle attività di trattamento delle informazioni. Tali requisiti devono
essere concordati con i fornitori stessi e stabiliti in specifici accordi contrattuali, secondo le
misure di sicurezza
3.2 Gestione sicura delle risorse ICT e del personale Le fasi di selezione ed inserimento di tutti i dipendenti di EQV e i collaboratori, comprese le
Terze Parti, devono essere svolte a valle della valutazione degli obiettivi e in funzione alle
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
10
mansioni che dovranno essere ricoperte. A riguardo devono essere definite ed approvate
procedure volte a gestire ed utilizzare le informazioni sulle risorse ICT.
Durante il periodo di permanenza, tutti i dipendenti di EQV e i collaboratori, comprese le
Terze Parti, devono ricevere un’adeguata e continuativa formazione riguardo le tematiche di
sicurezza delle informazioni e le modalità di chiusura del rapporto di lavoro dovranno essere
coerenti con gli obiettivi di sicurezza aziendale definiti.
3.3 Controllo degli Accessi Logici L’accesso da parte di ogni singolo utente deve essere limitato alle sole informazioni di cui
necessita per lo svolgimento delle proprie mansioni (c.d. principio del “need-to-know”). La
comunicazione e trasmissione di informazioni all'interno, così come verso l’esterno, deve
fondarsi sullo stesso principio.
L’accesso alle informazioni da parte di utenti e sistemi autorizzati deve essere subordinata al
superamento di una procedura di identificazione ed autenticazione degli stessi. Le
autorizzazioni di accesso alle informazioni devono essere differenziate in base al ruolo ed
agli incarichi ricoperti dai singoli individui e devono essere periodicamente sottoposte a
revisione.
E’ necessario inoltre definire un processo di gestione delle credenziali di autorizzazione e dei
relativi profili di accesso.
I sistemi che costituiscono l’infrastruttura ICT devono essere opportunamente protetti e
segregati, in modo da minimizzare la possibilità degli accessi non autorizzati.
3.4 Gestione degli Incidenti di Sicurezza Informatica
Tutti i dipendenti di EQV e i collaboratori, comprese le Terze Parti, sono tenuti a rilevare e
notificare, a chi di competenza e secondo le procedure previste, eventuali problematiche
legate alla sicurezza delle informazioni al fine di intraprendere azioni correttive.
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
11
Gli incidenti che possono avere un impatto sui livelli di sicurezza degli asset IT aziendali
devono essere rilevati e gli eventuali danni, potenziali e non, devono essere gestiti, ove
possibile, in tempi brevi secondo specifiche procedure.
3.5 Sviluppo sicuro e gestione dei cambiamenti Le attività relative alla gestione dei cambiamenti devono essere progettate e sviluppate al
fine di garantire la loro massima efficienza ed efficacia ed un livello di sicurezza coerente
con le informazioni trattate. Pertanto devono essere considerati i seguenti requisiti generali
in tema di sviluppo:
Deve essere preservata la riservatezza, l’integrità e la disponibilità delle informazioni;
Deve essere prevista l’esistenza di ambienti di sviluppo, test e di produzione separati
(tutte le applicazioni sviluppate devono rispondere alle previsioni legislative e
normative vigenti) e contromisure relative lo sviluppo sicuro al fine di contrastare
eventuali minacce;
I requisiti di sicurezza devono essere sempre individuati ed eventuali variazioni
all’applicazione degli stessi devono essere concordate prima dello sviluppo, modifica
e/o realizzazione di sistemi informatici;
Per le modifiche significative deve essere condotta un’analisi del rischio, volta ad
identificare i rischi correlati alla modifica e le contromisure da applicare ai fini della
loro mitigazione.
Relativamente alla formalizzazione dei requisiti devono essere tenuti in considerazione i
seguenti aspetti:
Formalizzare i requisiti in un documento nel quale evidenziare gli aspetti funzionali,
architetturali e di sicurezza. Riportare inoltre gli eventuali rischi di sicurezza derivanti
dall’implementazione delle soluzioni volte a soddisfare le esigenze della società;
Comprendere e considerare gli aspetti legati alla normativa vigente in tema di
definizione dei requisiti. In particolare devono essere prese in considerazione le
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
12
esigenze in materia di protezione, controllo e verifica dei dati e dei processi
elaborativi. Qualora EQV non li esprima formalmente, è compito delle Terze Parti
esplicitarli per favorire la definizione delle specifiche.
Infine i requisiti devono essere individuati tenendo in considerazione gli aspetti di sicurezza
fisica (se applicabili), l’aderenza allo standard ISO/IEC 27001:2013 al quale EQV si ispira
nella sua politica di sicurezza delle informazioni, i diversi profili di utenza (es.
amministratore dell’applicazione, operatore, ospite) da prevedere in modo da poter
associare un ruolo specifico ad ogni utente che viene creato, la tipologia di dati che
verranno trattati al fine di poter correttamente valutare le misure minime di sicurezza da
applicare, ai sensi della normativa vigente e delle procedure in essere della società, di cui è
possibile prendere visione su richiesta delle Terze Parti.
Devono essere recepite le specifiche progettuali, espresse da EQV e tradurle in direttive
tecniche ed operative, al fine di realizzare e rendere disponibili le componenti applicative,
tecnologiche e di servizio necessarie al soddisfacimento dei requisiti definiti del progetto. Al
fine di garantire un supporto per la corretta interpretazione e applicazione della normativa
vigente e delle policy di EQV, il risultato di tale attività deve essere validato dalla struttura
responsabile della progettazione e da quella preposta alla gestione della sicurezza delle
informazioni.
Nel caso in cui la progettazione sia rivolta ad una soluzione software devono essere
individuate le potenziali minacce e vulnerabilità che possono compromettere la sicurezza
dell’applicazione, attraverso un’analisi degli scenari di utilizzo e l’identificazione delle risorse
critiche, definendo successivamente le metodologie di sicurezza da utilizzare sulla base delle
vulnerabilità rilevate.
Sia in presenza di sviluppo di una componente applicativa in outsourcing, o di acquisizione
di pacchetti software sul mercato, restano valide tutte le linee guida fornite in precedenza,
le quali devono trovare collocazione all’interno del rapporto contrattuale. Saranno inoltre
definite e formalizzate nei contratto di fornitura, opportune clausole con le Terze Parti volte
a garantire, anche in termini di sicurezza, la qualità del software acquisito.
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
13
La verifica e la successiva validazione degli aspetti di sicurezza di un progetto è finalizzata
ad accertarsi che siano soddisfatti i requisiti e le condizioni imposte durante tutta la
progettazione.
Nell’ambito dei test devono essere effettuate delle verifiche di performance, volte a
verificare la capacità dell’intera soluzione di sopportare picchi di utilizzo sia in termini di
attività contemporanee degli utenti, che in termini di mole di dati trattati.
3.6 Gestione dei piani di Disaster Recovery e Continuità Operativa Tutti gli eventi dai quali può scaturire un’interruzione della continuità del business di EQV,
devono essere identificati e valutati, in termini di probabilità di accadimento e possibili
conseguenze. EQV, al fine di mitigare tale accadimento, si è dotato di un Piano di Continuità
Operativa, comprendente gli aspetti di Disaster Recovery.
Analogamente, le Terze Parti devono predisporre un piano di continuità che consenta di
affrontare, le conseguenze di un evento non pianificato garantendo il ripristino dei servizi
critici in tempi e con modalità che permettano la riduzione delle conseguenze negative sulla
missione aziendale.
Devono essere preparate, validate e opportunamente rese pubbliche, tutte le procedure
operative ed organizzative utili al fine di assicurare l’implementazione del piano di
continuità. I piani e le procedure di Disaster Recovery devono essere mantenute e
aggiornate al fine di garantire l’efficacia del sistema nel tempo a fronte di eventuali
cambiamenti organizzativi/tecnologici.
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
14
4. Gestione dei rapporti con le Terze Parti Al fine di mitigare i rischi accidentali e/o intenzionali, di distruzione, perdita, divulgazione,
alterazione e accesso non autorizzato delle risorse informative aziendali, tutte le
informazioni accessibili dalle Terze Parti o associati a servizi/prodotti erogati da fornitori
esterni, sono soggette a specifici requisiti di sicurezza. Tali requisiti minimi sono riportati nel
presente documento e saranno integrati all’interno di specifici accordi contrattuali stipulati
con le Terze Parti, che dovranno garantire:
Il rispetto dei requisiti di legge in materia di protezione dei dati personali e copyright
delle risorse informative accedute ed utilizzate;
La riservatezza e la non divulgazione delle informazioni aziendali critiche;
La possibilità di effettuare attività di audit al fine di verificare il rispetto dei requisiti di
sicurezza concordati.
Al fine di perseguire gli obiettivi di sicurezza informatica EQV assicura che tutte le politiche,
le procedure, gli standard e tutta la documentazione relativa alla sicurezza delle
informazioni siano applicati e rispettati, richiedendo alle Terze Parti di adottare misure
minime di sicurezza volte a garantire la disponibilità delle risorse; impedire attacchi volti a
violare la riservatezza dei dati e delle informazioni, consentendone la fruizione soltanto a
persone o sistemi informatici autorizzati; assicurare l'integrità dei dati e delle informazioni,
non consentendo modifiche non autorizzate.
4.1 Sintesi delle misure di sicurezza per le Terze Parti I prodotti e i servizi forniti dalle Terze Parti devono essere realizzati in ottemperanza alla
normativa vigente in materia, di cui sono riportati alcuni riferimenti normativi nel presente
documento e nei contratti stipulati.
Si riportano di seguito gli obblighi che le Terze Parti devono rispettare:
Osservanza della Policy per la Sicurezza Informatica aziendale di EQV;
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
15
Trattamento dei dati in accordo con il livello di classificazione della società, ponendo
particolare attenzione alla riservatezza;
Rispetto della proprietà di dati, software, documentazione tecnica e altre risorse ICT,
con l’esclusiva per EQV sui dati inerenti la clientela e i servizi ad essa forniti;
Periodica produzione di copie di backup del sistema informativo gestito da Terze Parti
(database, transazioni, log applicativi e di sistema) al quale EQV può accedere su
richiesta;
Ripartizione dei compiti e responsabilità inerenti i presidi di sicurezza (minacce
interne ed esterne) per la tutela di dati, applicazioni e sistemi;
Rispetto dei livelli di servizio in linea con le esigenze delle applicazioni e dei processi
aziendali che si avvalgono dei servizi esternalizzati;
Definizione di misure di tracciamento volte a garantire l’accountability e la tracciatura
delle operazioni effettuate, con riferimento alle operazioni critiche e agli accessi a
dati riservati;
Possibilità per EQV di conoscere l’ubicazione dei data center e una indicazione del
numero di addetti con accesso ai dati riservati o alle componenti critiche; tali
informazioni sono periodicamente aggiornate dalla Terza Parte; nel caso di Cloud
Service Provider nazionali, esteri o multinazionali, la Terza Parte dichiara l'ubicazione
dei sistemi di archiviazione dei dati su territorio nazionale o estero;
Eliminazione di qualsiasi copia o stralcio di dati riservati di proprietà di EQV e
presente su propri sistemi o supporti, in modo da escludere qualunque accesso
successivo da parte del proprio personale o di terzi, una volta concluso il rapporto
contrattuale e trascorso un periodo di tempo concordato;
Prevedere adeguati meccanismi di isolamento dei dati di EQV rispetto ad altri clienti,
a garanzia della loro riservatezza e integrità, garantendo il rispetto dei livelli di
servizio definiti da contratto, assicurando la piena ricostruzione degli accessi e delle
modifiche effettuate sui dati;
Rispetto delle procedure di comunicazione e coordinamento redatte da EQV in caso
di incidenti di sicurezza informatica e di continuità operativa;
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
16
Il produttore si impegnerà a sviluppare e mantenere prodotti hardware o software
con elevati livelli di qualità e garantendo ridotte vulnerabilità di sicurezza informatica;
Rispetto delle regole di sviluppo sicuro del software, al fine di evitare violazioni da
vulnerabilità note, secondo le best practice internazionali (es. “Top 10 OWASP -
Open Web Application Security Project” 2013, “OWASP ASVS - Application Security
Verification Standard”, etc.);
Garantire che le Web Application siano implementate in modo corretto, relativamente
all'autenticazione e alla gestione della sessione (es. garantendo che utenti non
autorizzati non possano compromettere password, chiavi, token di sessione o
sfruttare debolezze implementative per assumere l'identità di altri utenti);
Obbligo di distruzione o restituzione dei dispositivi contenenti dati rimossi o sostituiti
per attività di manutenzione;
Rispetto delle regole e delle restrizioni in vigore, di cui è possibile prendere visione
presso EQV, relativamente alla possibilità di eseguire attività di manutenzione da
postazioni di lavoro remote e il rispetto delle procedure specificate nelle clausole
contrattuali a cui la Terza Parte deve attenersi per attività di manutenzione.
4.2 Norme generali in materia di protezione dei dati personali
I dati di clienti, dipendenti e fornitori di EQV sono un grande valore strategico, per questo
motivo la privacy è fondamentale per la società e come tale deve essere protetta.
Nel rispetto della normativa vigente, i dati personali raccolti o successivamente trattati
possono essere trattati esclusivamente per le finalità di lavoro definiti e non possono essere
comunicati o diffusi senza il consenso esplicito di EQV.
I dati personali di clienti, dipendenti e fornitori di EQV devono essere protetti e gestiti in
modo da evitare la loro perdita, l'alterazione, l'accesso non autorizzato, illecito e uso non
corretto.
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
17
L'impegno di EQV è quello di garantire la diffusione di una “cultura della sicurezza e della
privacy” aumentare la consapevolezza di coloro che sono coinvolti nel trattamento dei dati
personali.
Ognuno è tenuto a trattare i dati personali di clienti, dipendenti e fornitori in modo
professionale e responsabile e secondo le istruzioni riportate nell’atto di nomina come
persona esterna incaricata del trattamento o in qualunque altro procedimento disponibile.
Ogni trattamento di dati dei clienti, dei dipendenti e dei fornitori, come ad esempio, ma non
limitatamente, dati personali o contabili, deve essere:
Esercitato nel rispetto delle norme vigenti;
Limitato a soli attività lavorative;
Determinato secondo le procedure operative definite da EQV o su richiesta formale.
Ogni forma di diffusione e/o il trasferimento di dati personali di clienti, dipendenti e fornitori
a terzi non autorizzato è severamente vietato.
Il contraente ovvero le Terze Parti devono notificare immediatamente a EQV se vi è il
sospetto che il trattamento dei dati personali non è fatto in accordo con le norme e le
procedure.
In relazione alla sicurezza del trattamento dei dati memorizzati negli archivi informatizzati, i
contraenti sono tenuti a svolgere la loro attività in conformità alle istruzioni fornite dal EQV
e dal Terzo Responsabile.
Di seguito sono elencate le misure di sicurezza minime che dovranno essere adottati dalle
Terze Parti, in quanto persone esterne incaricate del trattamento:
L'accesso ai sistemi informativi è regolato da un codice di identificazione associato
con una password che deve essere riservato e conosciuto solo dall’utente finale;
La password deve: rimanere segreta, essere modificata al primo accesso, non essere
attribuibile all’utente del sistema (che deve quindi essere diverso dal nome utente);
Al termine della loro attività lavorativa, i responsabili del trattamento delle Terze Parti
devono:
o Conservare i documenti soggetti all’applicazione della normativa in materia di
protezione dei dati personali all'interno di armadi o cassetti chiusi a chiave;
EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B
C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3
18
o Assicurarsi di aver disconnesso e spento il computer e i relativi accessori;
o Bloccare la porta dell'ufficio;
o Notificare al loro Responsabile di eventuali situazioni di irregolarità;
In relazione alla sicurezza del trattamento dei dati archiviati non informatizzati, il
personale delle Terze Parti è tenuto a svolgere la loro attività in conformità alle
istruzioni fornite dal EQV e/o del Terzo Responsabile del trattamento.
Di seguito è riportato un elenco non completo di esempi di misure minime di sicurezza da
adottare da parte dei contraenti in quanto persone esterne incaricati del trattamento:
Utilizzare i dati personali per finalità strettamente connesse nell'atto di nomina;
Prendere tutte le dovute precauzioni per impedire la distruzione, la perdita, la
modifica e la divulgazione di documenti contenenti dati personali;
Conservare la documentazione cartacea contenete i dati personali, secondo la
vigente normativa;
Evitare di lasciare documenti specifici in vista dei visitatori o di lasciare i visitatori solo
in uffici non presidiati;
Utilizzare distruggi documenti ogni volta che i documenti contenenti i dati personali
devono essere smaltiti; in alternativa, portare la documentazione presso un impianto
di triturazione mediante l’adozione delle idonee misure di sicurezza;
Al termine dell'attività lavorativa riporre i documenti in questione all'interno
armadi/cassetti e garantire che armadi e porte degli uffici siano chiusi correttamente