• Non ci sono risultati.

Allegato A Relativo alle misure di sicurezza adottate da Dedagroup Wiz

N/A
N/A
Info
Scarica
Protected

Academic year: 2022

Condividi "Allegato A Relativo alle misure di sicurezza adottate da Dedagroup Wiz"

Copied!
10
0
0

Caricamento.... (Visualizza il testo completo ora)

Scarica adesso ( 10 pagine )

Testo completo

(1)

Allegato A

Relativo alle misure di sicurezza adottate da Dedagroup Wiz

Questo documento descrive le misure di sicurezza e le procedure di sviluppo dei progetti software che Dedagroup Wiz adotta ogniqualvolta eroga e fornisce servizi informatici ai propri clienti.

Di seguito vengono riportate:

• Misure di sicurezza dei Sistemi Informativi di Dedagroup Spa e delle relative consociate

• Modalità di sviluppo e di deploy delle applicazioni software.

• Modalità di gestione degli accessi e delle password applicative ad aree riservate online

(2)

Misure di sicurezza implementate da Dedagroup SPA

Le dichiarazioni di sicurezza che seguono si applicano a tutti i prodotti, servizi, siti web offerti da Dedagroup SpA e dalle relative consociate salvo ove diversamente specificato.

Dedagroup SpA agisce in qualità di Titolare e di Responsabile in base ai contratti ed alle autorizzazioni che la legano ai suoi Clienti per la tutela dei loro dati.

Dedagroup SpA si assume la responsabilità di proteggere e tutelare con la massima serietà i dati dei propri Clienti, impegnandosi a garantire le politiche di sicurezza qui di seguito illustrate.

Sicurezza fisica e conformità

Tutti i sistemi informatici e le infrastrutture di Dedagroup SpA sono ospitati all'interno di Data Center di altissimo livello accreditati Tier3 e Tier4.

I controlli di sicurezza fisica dei nostri Data Center comprendono monitoraggio 24×7, videocamere, registro dei visitatori, requisiti di accesso e sale dedicate per l'hardware di Dedagroup SpA.

L’acceso alle sedi Dedagroup SpA è presidiato da personale addetto alle Reception; ove non presente da strumenti di controllo accessi attivi anche per ambienti nei quali sono presenti dati

“particolari e/o riservati”.

Dedagroup SpA, certificata Iso9001 e Iso14001 sta anche lavorando per estendere la certificazione Iso27001 sui processi di tutte le aziende consociate (ad oggi la certificazione riguarda i servizi di Data Center).

Controllo accessi ai sistemi

L'accesso alle risorse tecnologiche di Dedagroup SpA è consentito soltanto attraverso una connessione sicura (per esempio, VPN, SSH).

La nostra politica sulle password di produzione richiede complessità, scadenza, blocco e non consente il riutilizzo. Dedagroup SpA concede l'accesso all'occorrenza, esamina i permessi ogni mese e revoca l'accesso alla mezzanotte dell’ultimo giorno del rapporto di lavoro del

dipendente.

Procedure di sicurezza dei sistemi Dedagroup SpA

Dedagroup SpA conserva, esamina ed aggiorna le proprie procedure e regolamenti sulla sicurezza delle informazioni al mutare delle condizioni organizzative.

(3)

I dipendenti devono accettare tali procedure e regolamenti, effettuare dei corsi di formazione specifici per la sicurezza delle informazioni, sulla sicurezza del lavoro e sullo sviluppo di competenze, e/o corsi di formazione sulla legislazione in materia di privacy per le funzioni lavorative definite owner di processo critico.

Il programma dei corsi di formazione è strutturato in maniera da rispettare tutte le specifiche e le normative applicabili a Dedagroup SpA.

Dipendenti e Collaboratori

Dedagroup SpA comunica le proprie politiche sulla sicurezza delle informazioni a tutti i dipendenti e collaboratori, richiedendo ai nuovi dipendenti di prendere visione di tutte le informative GDPR messe a disposizione in ambiente SharePoint, ad effettuare il corso obbligatorio in tema di Privacy e Sicurezza delle informazioni ed il corso Mod. 231/2001.

Inoltre, tutti i dipendenti e collaboratori sono tenuti all’osservanza di:

- Guida e comportamenti negli affari e regole di condotta;

- Linee Guida di utilizzo degli strumenti informatici;

- Disciplinare dei controlli interni;

- Regolamento e prassi di comportamento ambientale.

Personale dedicato ai Sistemi Informativi

Dedagroup SpA dispone anche di un team dedicato ai Sistemi Informativi che si occupa di sicurezza delle applicazioni, delle reti e dei sistemi.

Gestione delle vulnerabilità e test di penetrazione

Dedagroup SpA, attraverso il personale dei Sistemi Informativi, ha in essere un programma di gestione delle vulnerabilità documentato che comprende scansioni periodiche, identificazione e correzione delle vulnerabilità della sicurezza di server, pc, apparecchiature di rete e

applicazioni. Tutte le reti, ivi compresi gli ambienti di test e produzione, sono sottoposti a scansioni regolari eseguite da fornitori terzi di fiducia. Le patch critiche sono applicate ai server su base prioritaria e ove opportuno per tutte le altre patch seguendo procedure specifiche.

Periodicamente conduciamo anche test di penetrazione interni ed esterni, provvedendo a correggere eventuali risultati in base alla gravità.

Sviluppo

Gli sviluppatori hanno ricevuto una formazione formale in merito alle pratiche di sviluppo di software con attenzione allo sviluppo by design e by default.

Gli ambienti di sviluppo, test e produzione sono sempre separati tra loro. Prima di essere utilizzate negli ambienti di produzione, tutte le modifiche sono riviste da colleghi di pari livello e registrate per scopi di performance e audit.

(4)

Logging e auditing

I sistemi di applicazioni e infrastrutture registrano i log in un apposito archivio gestito dai Sistemi Informativi, per la rilevazione dei problemi, la valutazione della sicurezza e l'analisi. I registri vengono conservati in accordo ai requisiti ed alle prescrizioni di legge.

Tutti i log tracciati sono presenti nel Disciplinare dei controlli interni con l’indicazione del periodo di conservazione.

Forniremo ai nostri Clienti tutta l’assistenza possibile e la disponibilità dei log qualora si verificasse un incidente di sicurezza che interessi i loro account.

Gestione degli asset

Dedagroup SpA ha in essere una politica di gestione degli asset che comprende

l'identificazione, la classificazione, la conservazione e l'eliminazione (sanitizzazione) delle informazioni e degli asset. I dispositivi rilasciati dalla società sono sempre dotati di software antivirus aggiornati. Solo i dispositivi rilasciati dalla società sono autorizzati ad accedere alle reti aziendali e di produzione.

Gestione degli incidenti che riguardano la sicurezza delle informazioni (Data Breach) Dedagroup SpA ha in essere procedure per la gestione degli incidenti di sicurezza (Data

breach) che coprono l’analisi iniziale, l'investigazione, la notifica al Cliente, la comunicazione pubblica e le azioni correttive.

Dedagroup SpA ha istituito una unità organizzativa finalizzata alla gestione della violazione dei dati il Data Breach Management Team.

Il Team delle Società del Gruppo Dedagroup SpA è composto da:

• DPO (responsabile del Team);

• Rappresentante Legale per le aziende controllate/interessate;

• Direttore General Affairs & Organization;

• Responsabile Ufficio Legale;

IT Manager di Dedagroup SpA S.p.a.;

• Direttore HR (nel caso in ci l’evento coinvolga I dati dei dipendenti delle Società del Gruppo Dedagroup SpA);

Le nostre procedure di notifica di violazione sono coerenti con i nostri obblighi previsti dal GDPR, nonché da qualsiasi regolamento o norma applicabile alla nostra società. Ci impegniamo a tenere pienamente informati i nostri clienti in merito a qualsivoglia questione rilevante per la sicurezza dei loro dati e a fornire loro tutte le informazioni necessarie affinché possano

adempiere ai propri obblighi di segnalazione previsti dalla legge.

(5)

Aspetti relativi alla sicurezza delle informazioni della gestione della continuità delle attività

I database di Dedagroup SpA vengono sottoposti a rigide procedure di backup completi e incrementali e verificati regolarmente. I backup vengono archiviati in sedi diverse dall'ambiente di produzione per preservarne la riservatezza e l'integrità, e vengono

testati regolarmente per garantirne la disponibilità.

Misure di Sicurezza del Sistemi Informativi Dedagroup SpA

Ambito Misura Rif. Documento

Sicurezza applicativa Profilazione degli accessi SII-P-11-Credenziali e Password Sicurezza applicativa Utilizzo credenziali uninominali SII-P-11-Credenziali e Password Sicurezza applicativa Autenticazione delle utenze username

/password SII-P-11-Credenziali e Password

Sicurezza applicativa Utilizzo di password sicure SII-P-11-Credenziali e Password Sicurezza applicativa Protezione delle comunicazioni client/server ND

Sicurezza dispositivi SOE Standard Operating Environment SII-P-06-Standard Operating Environmen

Sicurezza dispositivi Sistemi Client Enterprise (es. Windows 10 Enterprise)

SII–P–06 Standard Operating Environment

Sicurezza dispositivi Antivirus SII-P-02-Patch Management

Sicurezza dispositivi Firewall SII-P-17-Gestione Firewall

Sicurezza dispositivi Patch Management SII-P-02-Patch Management

Sicurezza Infrastrutturale Profilazione degli accessi SII-P-11-

Credenziali e Password

Sicurezza Infrastrutturale Utilizzo credenziali uninominali SII-P-11-Credenziali e Password

Sicurezza Infrastrutturale Autenticazione delle utenze username/password

SII-P-11-Credenziali e Password

Sicurezza Infrastrutturale Utilizzo di password sicure SII-P-11-Credenziali e Password Sicurezza Infrastrutturale Backup dei dati SII-P-08-Back Up

Sicurezza Infrastrutturale Protezione dei backup SII-P-08-Back Up

(6)

Sicurezza Infrastrutturale Programma di test dei restore SII-P-08-Back Up

Sicurezza Infrastrutturale Protezione da malware signature based Servizio con fornitore esterno

Sicurezza Infrastrutturale Protezione da malware zero day Servizio con fornitore esterno

Sicurezza Infrastrutturale Content filtering Fortigate + Yoroi

Sicurezza Infrastrutturale Protezione/cifratura delle linee di comunicazione

ND

Sicurezza Infrastrutturale Isolamento della rete da altri sistemi ND

Sicurezza Infrastrutturale Protezione del traffico tramite IDS/IPS SII-P-15 Virtual Private Network Policy Sicurezza Infrastrutturale Protezione del File System SII-P-15 Virtual Private Network Policy Logging & Monitoring Tracciatura degli accessi amministrativi SII-P-04-Monitoraggio della rete Logging & Monitoring Tracciatura delle attività amministrative SII-P-04-Monitoraggio della rete Logging & Monitoring Raccolta centralizzata dei log SII-P-04-Monitoraggio della rete Sicurezza applicativa Tracciatura degli accessi SII-P-04-Monitoraggio della rete Sicurezza applicativa Tracciatura delle modifiche SII-P-04-Monitoraggio della rete

Sicurezza Infrastrutturale Disaster Recovery ND

Sicurezza Infrastrutturale Soluzione Data Loss Protection applicata al contesto

ND

Sicurezza Infrastrutturale Gestione supporti di archiviazione dismessi SII-P–03 Sanitizzazione asset

Sicurezza Infrastrutturale Verifica annuale degli ADS ORG-M-46 Relazione annuale verso clienti

Sicurezza Infrastrutturale Formazione RU-P-02 Formazione

Sicurezza Fisica delle sedi Controllo accesso ORG-P-08 Badge di riconoscimento e accesso alle sedi

Sicurezza Fisica delle sedi Videosorveglianza in sedi livello A Disciplina della videosorveglianza Sicurezza Fisica delle sedi Registro visitatori ORG-P-08 Badge di riconoscimento e

accesso alle sedi

(7)

Sicurezza fisica datacenter Fornitore Datacenter certificato UNI EN ISO 9001:2008, UNI EN ISO 14001:2004, ISO/IEC 27001:2013, BS OHSAS 18001:2007.

Datacenter Deda.Cloud Trento

Sicurezza fisica datacenter Fornitore Datacenter certificato UNI EN ISO 9001:2008, UNI EN ISO 14001:2004, ISO/IEC 27001:2013, BS OHSAS 18001:2007

Amazon Web Services (Paesi UE)

(8)

Modalità di Sviluppo e Deploy Dedagroup Wiz

Di seguito vengono descritte le modalità adottate da Dedagroup Wiz per lo sviluppo e manutenzione di applicazioni e pubblicazione in ambiente di produzione delle applicazioni.

Quanto qui descritto si applica ai progetti applicativi web.

Modalità operative di sviluppo

Ogni sviluppatore deve accede ai server di sviluppo identificati dal PM del progetto attraverso credenziali nominative.

Accesso al file system dei server locali

Ogni sviluppatore richiede al Team Sistemi (previa autorizzazione del PM) di creare un’area di file system per il progetto.

Accesso ai database di sviluppo locali

Ogni sviluppatore richiede al Team Sistemi (previa autorizzazione del PM):

• la creazione del/dei database necessari al progetto

• la creazione di un utente database dedicato al progetto che sarà utilizzato dall’applicativo per accedere al/ai database di progetto

• l’autorizzazione del proprio account nominativo di accesso al database per accedere al/ai database di progetto

Codici sorgente

I codici sorgente sono conservati sui server di sviluppo locali, in porzioni del filesystem con accesso controllato e nominativo.

Ove previsto dal progetto, vengono attivati repository versionati attraverso GIT dei codici sorgenti presso il VPC Dedagroup Wiz presso il datacenter Amazon AWS EU. Ogni figura coinvolta accede ai servizi AWS con credenziali IAM nominative. Ogni sviluppatore richiede al Team Sistemi (previa autorizzazione del PM) l’attivazione di un repository GIT

– AWS CodeCommit dedicato al progetto, o nel caso il repository sia già esistente, ne richiede l’abilitazione di accesso. Per ogni repository CodeCommit gli accessi sono limitati ai soli sviluppatori coinvolti nello sviluppo e/o manutenzione del progetto e per il

solo tempo di assegnazione al progetto.

Validazione del codice

Ove previsto dal progetto, ogni sviluppatore richiede al Team Sistemi (previa autorizzazione del PM) l’attivazione di un progetto sul sistema di validazione sorgenti SonarQube, presso il VPC Dedagroup Wiz. Ogni sviluppatore provvede così a controllare le segnalazioni SonarQube a valle di ogni commit sul repository Git connesso e provvede a correggere i sorgenti al fine di azzerare le segnalazioni SonarQube di tipo:

• Bug

• Vulnerability

• Security Report OWASP Top 10

(9)

Modalità operative di Deploy

Ogni sviluppatore richiede al Team Sistemi (previa autorizzazione del PM) il passaggio dagli ambienti di sviluppo e/o testing a produzione. Il Team coinvolto, in conformità alla procedure di qualità ISO 9001:2015 dell’azienda, provvede a valle di un aggiornamento in ambiente di produzione a un ciclo di test secondo le checklist previste nel piano qualità aziendale.

Procedura Credenziali e Password Dedagroup Wiz

Il presente documento in particolare si occupa di definire le procedure relative alle credenziali per:

• Accesso ai server di sviluppo locale Dedagroup Wiz

• Accesso ai servizi di produzione Dedagroup Wiz presso i VPC (Virtual Private Cloud) Dedagroup Wiz.

Modalità operative

Accesso ai server locali di sviluppo

Tutti gli sviluppatori autorizzati per poter accedere ai server di sviluppo locale in uso presso l’organizzazione devono disporre di un’utenza nominativa di dominio e di relativa password per l’accesso ai terminali, oltre ad una utenza nominativa specifica per l’accesso ai server di

sviluppo.

Le utenze di dominio vengono assegnate da parte del personale addetto ai Sistemi Informativi (di seguito S.I.) all’atto dell’assunzione su specifica indicazione da parte dell’ufficio Human Resources (di seguito HR) tramite l’utilizzo dell’applicazione SharePoint “Gestione flussi risorse umane”.

La conseguente disabilitazione dell’utenza avverrà solo in presenza di apposita comunicazione da parte dell’ufficio HR tramite applicazione SharePoint “Gestione flussi risorse umane” oppure in casi eccezionali ed urgenti tramite invio di mail da parte del Direttore HR all’IT Manager.

Le utenze nominative per l’accesso ai server di sviluppo locale sono rilasciate dal team Sistemi di Dedegroup Wiz su richiesta dell’IT Manager.

La conseguente disabilitazione dell’utenza avverrà solo in presenza di apposita comunicazione da parte dell’ufficio HR relativa a dimissioni o cambio di mansione che non preveda più

l’accesso ai server di sviluppo.

Accesso ai database locali di sviluppo

Tutti gli sviluppatori autorizzati per poter accedere ai database locali di sviluppo in uso presso l’organizzazione devono disporre di un’utenza nominativa valida di dominio e di relativa password per l’accesso ai terminali.

I PM di ogni progetto identificano gli sviluppatori assegnati ad ogni progetto e richiedono al team Sistemi l’autorizzazione all’accesso nominativo degli sviluppatori identificati ai database di sviluppo del progetto.

L’obiettivo è limitare l’accesso ai dati di ogni progetto ai soli sviluppatori dedicati al progetto stesso. Al temine del progetto o del periodo di manutenzione concordato con il cliente il PM richiede al team Sistemi la rimozione delle autorizzazioni per gli sviluppatori.

(10)

Accesso ai servizi dell’ambiente di produzione Dedagroup Wiz su VPC

Per l’accesso ai servizi erogati dall’ambiente di produzione Dedagroup Wiz presso un VPC è

necessario disporre di una apposita utenza.

Le utenze per l’accesso ai VPC Dedagroup Wiz sono richieste dall’IT Manager al team Sistemi Dedagroup Wiz che provvede ad assegnare le utenze nominative, applicare le regole di accesso richieste da IT Manager e PM, restringere o disabilitare gli accessi su richiesta di IT Manager, PM o HR.

Riferimenti

Scarica adesso ( PDF - 10 pagine - 372.79 KB )

Documenti correlati

8. Sicurezza dei sistemi informativi

– sistemi di Identity Management, Identity Governance: supporto alla gestione del ciclo di vita delle credenziali e delle autorizzazioni assegnate agli utenti del sistema

Sistemi informativi

Ciclo di vita di un sistema informativo Progettazione di basi di dati.. Entità e

Sistemi Informativi

„ Illustrare gli elementi essenziali relativi alle basi di dati relazionali e ai sistemi software (DBMS) che le gestiscono. „ Evidenziare aspetti rilevanti che caratterizzano DBMS

IL DIRETTORE DELLA DIREZIONE REGIONALE AFFARI ISTITUZIONALI, PERSONALE E SISTEMI INFORMATIVI

- di stabilire che alla sottoscrizione del contratto di lavoro di inquadramento nei ruoli del personale dirigenziale della Giunta regionale si potrà procedere solo a seguito

Formazione del personale del comune di merano nell’ambito dei sistemi informativi territoriali

Uno degli obiettivi di tale progetto, oltre a formare un gruppo di esperti GIS, in grado di produrre carte tematiche, di effettuare analisi e rappresentarle in cartografia, di

IL DIRETTORE DELLA DIREZIONE REGIONALE AFFARI ISTITUZIONALI, PERSONALE E SISTEMI INFORMATIVI

19, comma 5 bis del medesimo decreto legislativo, l’Amministrazione provvederà in via prioritaria, all'immissione in ruolo dei dirigenti, provenienti da altre

I SISTEMI DI GESTIONE DELLA SICUREZZA SUL

• in ogni Unità operativa dove e come sono (o non sono ancora) presidiati i seguenti aspetti. La prima scheda 2014 rispondeva al

I SISTEMI DI GESTIONE DELLA SICUREZZA SUL

Visto che grazie alla FAD è possibile coprire la maggior parte dei contenuti obbligatori e che bisogna, comunque, organizzare una sessione d’aula per lo svolgimento della