Allegato A
Relativo alle misure di sicurezza adottate da Dedagroup Wiz
Questo documento descrive le misure di sicurezza e le procedure di sviluppo dei progetti software che Dedagroup Wiz adotta ogniqualvolta eroga e fornisce servizi informatici ai propri clienti.
Di seguito vengono riportate:
• Misure di sicurezza dei Sistemi Informativi di Dedagroup Spa e delle relative consociate
• Modalità di sviluppo e di deploy delle applicazioni software.
• Modalità di gestione degli accessi e delle password applicative ad aree riservate online
Misure di sicurezza implementate da Dedagroup SPA
Le dichiarazioni di sicurezza che seguono si applicano a tutti i prodotti, servizi, siti web offerti da Dedagroup SpA e dalle relative consociate salvo ove diversamente specificato.
Dedagroup SpA agisce in qualità di Titolare e di Responsabile in base ai contratti ed alle autorizzazioni che la legano ai suoi Clienti per la tutela dei loro dati.
Dedagroup SpA si assume la responsabilità di proteggere e tutelare con la massima serietà i dati dei propri Clienti, impegnandosi a garantire le politiche di sicurezza qui di seguito illustrate.
Sicurezza fisica e conformità
Tutti i sistemi informatici e le infrastrutture di Dedagroup SpA sono ospitati all'interno di Data Center di altissimo livello accreditati Tier3 e Tier4.
I controlli di sicurezza fisica dei nostri Data Center comprendono monitoraggio 24×7, videocamere, registro dei visitatori, requisiti di accesso e sale dedicate per l'hardware di Dedagroup SpA.
L’acceso alle sedi Dedagroup SpA è presidiato da personale addetto alle Reception; ove non presente da strumenti di controllo accessi attivi anche per ambienti nei quali sono presenti dati
“particolari e/o riservati”.
Dedagroup SpA, certificata Iso9001 e Iso14001 sta anche lavorando per estendere la certificazione Iso27001 sui processi di tutte le aziende consociate (ad oggi la certificazione riguarda i servizi di Data Center).
Controllo accessi ai sistemi
L'accesso alle risorse tecnologiche di Dedagroup SpA è consentito soltanto attraverso una connessione sicura (per esempio, VPN, SSH).
La nostra politica sulle password di produzione richiede complessità, scadenza, blocco e non consente il riutilizzo. Dedagroup SpA concede l'accesso all'occorrenza, esamina i permessi ogni mese e revoca l'accesso alla mezzanotte dell’ultimo giorno del rapporto di lavoro del
dipendente.
Procedure di sicurezza dei sistemi Dedagroup SpA
Dedagroup SpA conserva, esamina ed aggiorna le proprie procedure e regolamenti sulla sicurezza delle informazioni al mutare delle condizioni organizzative.
I dipendenti devono accettare tali procedure e regolamenti, effettuare dei corsi di formazione specifici per la sicurezza delle informazioni, sulla sicurezza del lavoro e sullo sviluppo di competenze, e/o corsi di formazione sulla legislazione in materia di privacy per le funzioni lavorative definite owner di processo critico.
Il programma dei corsi di formazione è strutturato in maniera da rispettare tutte le specifiche e le normative applicabili a Dedagroup SpA.
Dipendenti e Collaboratori
Dedagroup SpA comunica le proprie politiche sulla sicurezza delle informazioni a tutti i dipendenti e collaboratori, richiedendo ai nuovi dipendenti di prendere visione di tutte le informative GDPR messe a disposizione in ambiente SharePoint, ad effettuare il corso obbligatorio in tema di Privacy e Sicurezza delle informazioni ed il corso Mod. 231/2001.
Inoltre, tutti i dipendenti e collaboratori sono tenuti all’osservanza di:
- Guida e comportamenti negli affari e regole di condotta;
- Linee Guida di utilizzo degli strumenti informatici;
- Disciplinare dei controlli interni;
- Regolamento e prassi di comportamento ambientale.
Personale dedicato ai Sistemi Informativi
Dedagroup SpA dispone anche di un team dedicato ai Sistemi Informativi che si occupa di sicurezza delle applicazioni, delle reti e dei sistemi.
Gestione delle vulnerabilità e test di penetrazione
Dedagroup SpA, attraverso il personale dei Sistemi Informativi, ha in essere un programma di gestione delle vulnerabilità documentato che comprende scansioni periodiche, identificazione e correzione delle vulnerabilità della sicurezza di server, pc, apparecchiature di rete e
applicazioni. Tutte le reti, ivi compresi gli ambienti di test e produzione, sono sottoposti a scansioni regolari eseguite da fornitori terzi di fiducia. Le patch critiche sono applicate ai server su base prioritaria e ove opportuno per tutte le altre patch seguendo procedure specifiche.
Periodicamente conduciamo anche test di penetrazione interni ed esterni, provvedendo a correggere eventuali risultati in base alla gravità.
Sviluppo
Gli sviluppatori hanno ricevuto una formazione formale in merito alle pratiche di sviluppo di software con attenzione allo sviluppo by design e by default.
Gli ambienti di sviluppo, test e produzione sono sempre separati tra loro. Prima di essere utilizzate negli ambienti di produzione, tutte le modifiche sono riviste da colleghi di pari livello e registrate per scopi di performance e audit.
Logging e auditing
I sistemi di applicazioni e infrastrutture registrano i log in un apposito archivio gestito dai Sistemi Informativi, per la rilevazione dei problemi, la valutazione della sicurezza e l'analisi. I registri vengono conservati in accordo ai requisiti ed alle prescrizioni di legge.
Tutti i log tracciati sono presenti nel Disciplinare dei controlli interni con l’indicazione del periodo di conservazione.
Forniremo ai nostri Clienti tutta l’assistenza possibile e la disponibilità dei log qualora si verificasse un incidente di sicurezza che interessi i loro account.
Gestione degli asset
Dedagroup SpA ha in essere una politica di gestione degli asset che comprende
l'identificazione, la classificazione, la conservazione e l'eliminazione (sanitizzazione) delle informazioni e degli asset. I dispositivi rilasciati dalla società sono sempre dotati di software antivirus aggiornati. Solo i dispositivi rilasciati dalla società sono autorizzati ad accedere alle reti aziendali e di produzione.
Gestione degli incidenti che riguardano la sicurezza delle informazioni (Data Breach) Dedagroup SpA ha in essere procedure per la gestione degli incidenti di sicurezza (Data
breach) che coprono l’analisi iniziale, l'investigazione, la notifica al Cliente, la comunicazione pubblica e le azioni correttive.
Dedagroup SpA ha istituito una unità organizzativa finalizzata alla gestione della violazione dei dati il Data Breach Management Team.
Il Team delle Società del Gruppo Dedagroup SpA è composto da:
• DPO (responsabile del Team);
• Rappresentante Legale per le aziende controllate/interessate;
• Direttore General Affairs & Organization;
• Responsabile Ufficio Legale;
IT Manager di Dedagroup SpA S.p.a.;
• Direttore HR (nel caso in ci l’evento coinvolga I dati dei dipendenti delle Società del Gruppo Dedagroup SpA);
Le nostre procedure di notifica di violazione sono coerenti con i nostri obblighi previsti dal GDPR, nonché da qualsiasi regolamento o norma applicabile alla nostra società. Ci impegniamo a tenere pienamente informati i nostri clienti in merito a qualsivoglia questione rilevante per la sicurezza dei loro dati e a fornire loro tutte le informazioni necessarie affinché possano
adempiere ai propri obblighi di segnalazione previsti dalla legge.
Aspetti relativi alla sicurezza delle informazioni della gestione della continuità delle attività
I database di Dedagroup SpA vengono sottoposti a rigide procedure di backup completi e incrementali e verificati regolarmente. I backup vengono archiviati in sedi diverse dall'ambiente di produzione per preservarne la riservatezza e l'integrità, e vengono
testati regolarmente per garantirne la disponibilità.
Misure di Sicurezza del Sistemi Informativi Dedagroup SpA
Ambito Misura Rif. Documento
Sicurezza applicativa Profilazione degli accessi SII-P-11-Credenziali e Password Sicurezza applicativa Utilizzo credenziali uninominali SII-P-11-Credenziali e Password Sicurezza applicativa Autenticazione delle utenze username
/password SII-P-11-Credenziali e Password
Sicurezza applicativa Utilizzo di password sicure SII-P-11-Credenziali e Password Sicurezza applicativa Protezione delle comunicazioni client/server ND
Sicurezza dispositivi SOE Standard Operating Environment SII-P-06-Standard Operating Environmen
Sicurezza dispositivi Sistemi Client Enterprise (es. Windows 10 Enterprise)
SII–P–06 Standard Operating Environment
Sicurezza dispositivi Antivirus SII-P-02-Patch Management
Sicurezza dispositivi Firewall SII-P-17-Gestione Firewall
Sicurezza dispositivi Patch Management SII-P-02-Patch Management
Sicurezza Infrastrutturale Profilazione degli accessi SII-P-11-
Credenziali e Password
Sicurezza Infrastrutturale Utilizzo credenziali uninominali SII-P-11-Credenziali e Password
Sicurezza Infrastrutturale Autenticazione delle utenze username/password
SII-P-11-Credenziali e Password
Sicurezza Infrastrutturale Utilizzo di password sicure SII-P-11-Credenziali e Password Sicurezza Infrastrutturale Backup dei dati SII-P-08-Back Up
Sicurezza Infrastrutturale Protezione dei backup SII-P-08-Back Up
Sicurezza Infrastrutturale Programma di test dei restore SII-P-08-Back Up
Sicurezza Infrastrutturale Protezione da malware signature based Servizio con fornitore esterno
Sicurezza Infrastrutturale Protezione da malware zero day Servizio con fornitore esterno
Sicurezza Infrastrutturale Content filtering Fortigate + Yoroi
Sicurezza Infrastrutturale Protezione/cifratura delle linee di comunicazione
ND
Sicurezza Infrastrutturale Isolamento della rete da altri sistemi ND
Sicurezza Infrastrutturale Protezione del traffico tramite IDS/IPS SII-P-15 Virtual Private Network Policy Sicurezza Infrastrutturale Protezione del File System SII-P-15 Virtual Private Network Policy Logging & Monitoring Tracciatura degli accessi amministrativi SII-P-04-Monitoraggio della rete Logging & Monitoring Tracciatura delle attività amministrative SII-P-04-Monitoraggio della rete Logging & Monitoring Raccolta centralizzata dei log SII-P-04-Monitoraggio della rete Sicurezza applicativa Tracciatura degli accessi SII-P-04-Monitoraggio della rete Sicurezza applicativa Tracciatura delle modifiche SII-P-04-Monitoraggio della rete
Sicurezza Infrastrutturale Disaster Recovery ND
Sicurezza Infrastrutturale Soluzione Data Loss Protection applicata al contesto
ND
Sicurezza Infrastrutturale Gestione supporti di archiviazione dismessi SII-P–03 Sanitizzazione asset
Sicurezza Infrastrutturale Verifica annuale degli ADS ORG-M-46 Relazione annuale verso clienti
Sicurezza Infrastrutturale Formazione RU-P-02 Formazione
Sicurezza Fisica delle sedi Controllo accesso ORG-P-08 Badge di riconoscimento e accesso alle sedi
Sicurezza Fisica delle sedi Videosorveglianza in sedi livello A Disciplina della videosorveglianza Sicurezza Fisica delle sedi Registro visitatori ORG-P-08 Badge di riconoscimento e
accesso alle sedi
Sicurezza fisica datacenter Fornitore Datacenter certificato UNI EN ISO 9001:2008, UNI EN ISO 14001:2004, ISO/IEC 27001:2013, BS OHSAS 18001:2007.
Datacenter Deda.Cloud Trento
Sicurezza fisica datacenter Fornitore Datacenter certificato UNI EN ISO 9001:2008, UNI EN ISO 14001:2004, ISO/IEC 27001:2013, BS OHSAS 18001:2007
Amazon Web Services (Paesi UE)
Modalità di Sviluppo e Deploy Dedagroup Wiz
Di seguito vengono descritte le modalità adottate da Dedagroup Wiz per lo sviluppo e manutenzione di applicazioni e pubblicazione in ambiente di produzione delle applicazioni.
Quanto qui descritto si applica ai progetti applicativi web.
Modalità operative di sviluppo
Ogni sviluppatore deve accede ai server di sviluppo identificati dal PM del progetto attraverso credenziali nominative.
Accesso al file system dei server locali
Ogni sviluppatore richiede al Team Sistemi (previa autorizzazione del PM) di creare un’area di file system per il progetto.
Accesso ai database di sviluppo locali
Ogni sviluppatore richiede al Team Sistemi (previa autorizzazione del PM):
• la creazione del/dei database necessari al progetto
• la creazione di un utente database dedicato al progetto che sarà utilizzato dall’applicativo per accedere al/ai database di progetto
• l’autorizzazione del proprio account nominativo di accesso al database per accedere al/ai database di progetto
Codici sorgente
I codici sorgente sono conservati sui server di sviluppo locali, in porzioni del filesystem con accesso controllato e nominativo.
Ove previsto dal progetto, vengono attivati repository versionati attraverso GIT dei codici sorgenti presso il VPC Dedagroup Wiz presso il datacenter Amazon AWS EU. Ogni figura coinvolta accede ai servizi AWS con credenziali IAM nominative. Ogni sviluppatore richiede al Team Sistemi (previa autorizzazione del PM) l’attivazione di un repository GIT
– AWS CodeCommit dedicato al progetto, o nel caso il repository sia già esistente, ne richiede l’abilitazione di accesso. Per ogni repository CodeCommit gli accessi sono limitati ai soli sviluppatori coinvolti nello sviluppo e/o manutenzione del progetto e per il
solo tempo di assegnazione al progetto.
Validazione del codice
Ove previsto dal progetto, ogni sviluppatore richiede al Team Sistemi (previa autorizzazione del PM) l’attivazione di un progetto sul sistema di validazione sorgenti SonarQube, presso il VPC Dedagroup Wiz. Ogni sviluppatore provvede così a controllare le segnalazioni SonarQube a valle di ogni commit sul repository Git connesso e provvede a correggere i sorgenti al fine di azzerare le segnalazioni SonarQube di tipo:
• Bug
• Vulnerability
• Security Report OWASP Top 10
Modalità operative di Deploy
Ogni sviluppatore richiede al Team Sistemi (previa autorizzazione del PM) il passaggio dagli ambienti di sviluppo e/o testing a produzione. Il Team coinvolto, in conformità alla procedure di qualità ISO 9001:2015 dell’azienda, provvede a valle di un aggiornamento in ambiente di produzione a un ciclo di test secondo le checklist previste nel piano qualità aziendale.
Procedura Credenziali e Password Dedagroup Wiz
Il presente documento in particolare si occupa di definire le procedure relative alle credenziali per:
• Accesso ai server di sviluppo locale Dedagroup Wiz
• Accesso ai servizi di produzione Dedagroup Wiz presso i VPC (Virtual Private Cloud) Dedagroup Wiz.
Modalità operative
Accesso ai server locali di sviluppo
Tutti gli sviluppatori autorizzati per poter accedere ai server di sviluppo locale in uso presso l’organizzazione devono disporre di un’utenza nominativa di dominio e di relativa password per l’accesso ai terminali, oltre ad una utenza nominativa specifica per l’accesso ai server di
sviluppo.
Le utenze di dominio vengono assegnate da parte del personale addetto ai Sistemi Informativi (di seguito S.I.) all’atto dell’assunzione su specifica indicazione da parte dell’ufficio Human Resources (di seguito HR) tramite l’utilizzo dell’applicazione SharePoint “Gestione flussi risorse umane”.
La conseguente disabilitazione dell’utenza avverrà solo in presenza di apposita comunicazione da parte dell’ufficio HR tramite applicazione SharePoint “Gestione flussi risorse umane” oppure in casi eccezionali ed urgenti tramite invio di mail da parte del Direttore HR all’IT Manager.
Le utenze nominative per l’accesso ai server di sviluppo locale sono rilasciate dal team Sistemi di Dedegroup Wiz su richiesta dell’IT Manager.
La conseguente disabilitazione dell’utenza avverrà solo in presenza di apposita comunicazione da parte dell’ufficio HR relativa a dimissioni o cambio di mansione che non preveda più
l’accesso ai server di sviluppo.
Accesso ai database locali di sviluppo
Tutti gli sviluppatori autorizzati per poter accedere ai database locali di sviluppo in uso presso l’organizzazione devono disporre di un’utenza nominativa valida di dominio e di relativa password per l’accesso ai terminali.
I PM di ogni progetto identificano gli sviluppatori assegnati ad ogni progetto e richiedono al team Sistemi l’autorizzazione all’accesso nominativo degli sviluppatori identificati ai database di sviluppo del progetto.
L’obiettivo è limitare l’accesso ai dati di ogni progetto ai soli sviluppatori dedicati al progetto stesso. Al temine del progetto o del periodo di manutenzione concordato con il cliente il PM richiede al team Sistemi la rimozione delle autorizzazioni per gli sviluppatori.
Accesso ai servizi dell’ambiente di produzione Dedagroup Wiz su VPC
Per l’accesso ai servizi erogati dall’ambiente di produzione Dedagroup Wiz presso un VPC è
necessario disporre di una apposita utenza.
Le utenze per l’accesso ai VPC Dedagroup Wiz sono richieste dall’IT Manager al team Sistemi Dedagroup Wiz che provvede ad assegnare le utenze nominative, applicare le regole di accesso richieste da IT Manager e PM, restringere o disabilitare gli accessi su richiesta di IT Manager, PM o HR.