• Non ci sono risultati.

REQUISITI DI CITI PER I FORNITORI

N/A
N/A
Info
Scarica
Protected

Academic year: 2022

Condividi "REQUISITI DI CITI PER I FORNITORI"

Copied!
5
0
0

Caricamento.... (Visualizza il testo completo ora)

Scarica adesso ( 5 pagine )

Testo completo

(1)

R EQUISITI DI C ITI PER I FORNITORI

APPENDICE / DEFINIZIONI

TITOLARE: RESPONSABILE GLOBALE DELLA RESOURCE MANAGEMENT ORGANIZATION (RMO) DATA DI PUBBLICAZIONE:

GENNAIO 2015 REVISIONATO: XXXX VERSIONE: 5.0

(2)

A

PPENDICE

- D

EFINIZIONI

Air-Gap: una misura di sicurezza grazie alla quale un computer, un sistema o una rete sono fisicamente separati da altri computer, sistemi o reti. Un'architettura di backup dei dati con air-gap limita l'esposizione a un attacco informatico e consente il ripristino dei dati fino a un momento prima dell'inizio dell'attacco.

Titolare dell’attività commerciale (Business Activity Owner, BAO): un dipendente di Citi responsabile dello svolgimento e della gestione attiva di determinate attività associate alle relazioni con i fornitori.

Regalo aziendale: qualsiasi articolo di valore (diverso da un intrattenimento aziendale) dato o ricevuto da un dipendente di Citi in relazione all’attività di Citi o all’attività della parte esterna, generalmente escludendo gli oggetti di valore pari o inferiore a 25 USD.

Informazioni Citi: informazioni che Citi possiede o è obbligata a proteggere durante l'archiviazione, l'elaborazione, la trasmissione o lo smaltimento in formato sia digitale che non digitale.

Cliente: qualsiasi cliente di Citi, incluso persone fisiche e persone giuridiche quali imprese, istituzioni, organizzazioni ed entità legali.

Generazione di entrate del cliente: le spese direttamente associate alle attività correlate al cliente o che generano entrate.

Apparecchiature, sistemi e servizi di comunicazione: qualsiasi hardware, software o applicazione utilizzata nella trasmissione di comunicazioni elettroniche scritte relative alle attività di Citi. Ciò include, a titolo esemplificativo e non esaustivo, computer desktop, portatili, tablet, fax (servizi fax); accesso a Intranet e Internet, servizi Wi-Fi forniti da Citi, servizi di posta elettronica, servizi di messaggistica istantanea quali Microsoft Lync, Skype e Bloomberg; dispositivi, collegamenti dati e servizi dati per uso in loco, mobile o remoto; siti web e applicazioni con funzioni di comunicazione incorporate nonché servizi di social media, servizi di condivisione di informazioni interattive, chat room di terze parti, bacheche e blog.

Contratto: un documento legale scritto firmato da due o più parti che include un’offerta, un’accettazione, un corrispettivo, le obbligazioni delle parti e uno scopo legittimo. Gli esempi dei contratti possono includere gli accordi quadro per prodotti e servizi, le specifiche di lavoro/ordini di lavoro, le modifiche e gli addenda, gli orari, gli ordini o qualsiasi altro documento scritto firmato da un’entità Citi e da un fornitore. L'accordo di non divulgazione (Non-Disclosure Agreement, NDA) è altresì considerato un contratto ai fini di questi Standard.

Test Denial of Access (DOA): convalida la dotazione di personale e il supporto ai processi operativi di Citi che possono essere ripristinati all'interno del RTO definito.

Test Denial of Service (DOS): quando Citi accede (accede) a un'applicazione di proprietà o gestita dal fornitore o sui sistemi del fornitore, questi deve eseguire, almeno una volta all'anno, in conformità ai requisiti Citi per ciascun centro dati/sala tecnologica in cui risiedono tali applicazioni, un test DOS per dimostrare che l'applicazione può essere ripristinata nel sito DR specificato nel Piano di disaster recovery del fornitore.

Comunicazioni elettroniche: messaggi scritti o informazioni inviate, ricevute o utilizzate tramite mezzi elettronici, trasmesse via cavo o tramite segnali wireless. Le comunicazioni elettroniche includono, a titolo esemplificativo e non esaustivo, messaggi di testo, e-mail, messaggi peer-to-peer, post di blog, post di social media, messaggi inviati tramite applicazioni di messaggistica quali WhatsApp, WeChat, Line, Signal e Viber e includono allegati, screenshot, file video registrati e file creati, ricevuti, scaricati, archiviati, trasmessi, eliminati o utilizzati tramite apparecchiature, sistemi e servizi di comunicazione elettronica. Le comunicazioni elettroniche non includono comunicazioni video o vocali se queste non sono accompagnate da forme di comunicazione scritta.

ID funzionale: ID generico, come ADMIN o ROOT, che viene utilizzato da una persona o da un processo per accedere a un sistema di sicurezza. Un'iniziativa chiave dell'Identity and Access Management (IAM) garantisce che Citi disponga di controlli specifici definiti per proteggere dai rischi legati all'uso di ID funzionali.

Processi Critici per il Franchising/Applicazioni Critiche per il Franchising (Franchise Critical Application, FCA): processi/applicazioni identificati da Citi come essenziali per il corretto svolgimento delle proprie Funzioni Aziendali Critiche di Franchising

Frode: un atto intenzionale, una dichiarazione errata o un'omissione concepita per ingannare gli altri, con la

(3)

Classificazioni delle informazioni

Informazioni riservate: informazioni che se rivelate a persone non autorizzate inclusi i dipendenti Citi potrebbero avere un impatto significativo sugli obblighi legali e normativi di Citi o sul suo stato finanziario, sui clienti o sul gruppo.

Informazioni confidenziali: informazioni che le entità Citi sono tenute a proteggere e comprendono, a titolo esemplificativo e non esaustivo, i dati appartenenti a clienti, dipendenti, terze parti o entità di Citi. Le informazioni confidenziali sono qualsiasi combinazione di dati soggetti a restrizioni normative o contrattuali sulla divulgazione. Sono altresì le informazioni che, come determinato dalle entità, se divulgate a individui non autorizzati hanno il potenziale di fornire un vantaggio concorrenziale o avere un significativo impatto negativo sull’attività.

Informazioni interne: informazioni comunemente condivise all’interno di Citi, non destinate alla distribuzione al di fuori di Citi e non classificate come riservate o confidenziali. Esempi di informazioni interne sono le policy e gli standard di Citi.

Informazioni pubbliche: informazioni liberamente disponibili al di fuori di Citi o destinate al pubblico utilizzo, come comunicati stampa di Citi o articoli apparsi sui giornali che riguardano Citi.

Informazioni di identificazione personale (PII): ogni tipo di informazione che:

a. identifica o può essere utilizzata per identificare un individuo o un nucleo familiare (come nome, firma, indirizzo, identificativo nazionale univoco come codice fiscale o numero della tessera sanitaria, data di nascita, numero di patente di guida);

b. si riferisce, descrive, può essere associata o potrebbe essere ragionevolmente collegata (direttamente o indirettamente) a un individuo o famiglia;

c. può essere utilizzata per autenticare un individuo o fornire l'accesso a un account (come nome utente, indirizzo e-mail, password, PIN, numero di identificazione, risposte a domande di sicurezza);

oppure

d. si riferisce a un individuo e potrebbe essere sensibile (es. informazioni mediche o sanitarie personali, numero di conto corrente, saldo del conto).

Le informazioni personali includono anche le informazioni sanitarie protette (come definite dall'Health Insurance Portability and Accountability Act degli Stati Uniti), le informazioni personali sensibili e le informazioni sul credito (definite da varie direttive sulla protezione dei dati/privacy e da varie leggi sul segreto bancario).

Informazioni di Identificazione Personali Confidenziali (CPII): le informazioni vengono classificate come Confidenziali quando si può ragionevolmente prevedere che la compromissione della loro riservatezza, integrità o disponibilità avrebbe un grave effetto negativo sugli individui interessati o su Citi e innescherebbe obblighi di notifica di violazione ai sensi della legge applicabile.

Con grave effetto negativo sugli individui si intende che l'impatto potrebbe ragionevolmente provocare una perdita finanziaria/frode moderata o imbarazzo personale o angoscia.

Esempi di elementi di dati che combinati con altre informazioni costituiscono PII Confidenziali:

Nome personale o informazioni di contatto (indirizzo, telefono o indirizzo e-mail) in combinazione con:

numero di passaporto, numero di patente di guida, numero di identificazione nazionale o governativo, o numero di identificazione fiscale di un individuo;

Numero di identificazione del cliente, numero di carta di credito/debito, identificatori di conto che possono consentire movimenti di fondi o altro codice di conto finanziario;

elementi di dati transazionali che possono essere utilizzati per furto d'identità o frode;

informazioni sull'applicazione del conto del cliente, dati del rapporto di credito, punteggio di credito;

valutazione della prestazione dei lavoratori o informazioni sulla retribuzione;

Registrazioni video comprendenti registrazioni in CCTV e presso gli sportelli ATM.

Questi elementi sono considerati PII Confidenziali sia da soli che in combinazione con altri elementi.

Il numero di previdenza sociale degli Stati Uniti o il numero identificativo emesso dal governo (equivalente come utilizzo e/o status di protezione legale al numero di previdenza sociale degli Stati Uniti) da solo.

(4)

Le PII Riservate sono così classificate quando si può ragionevolmente prevedere che la compromissione della loro riservatezza, integrità o disponibilità avrebbe un effetto negativo grave o catastrofico sugli individui interessati o su Citi o quando, secondo la legge della giurisdizione, maggiori controlli della sicurezza sono richiesti a causa della natura delle PII (ad es. PII sensibili o

"speciali").

Con effetto negativo grave o catastrofico sugli individui si intende che l’impatto potrebbe ragionevolmente comportare effetti negativi significativi per l'individuo, tra cui la perdita finanziaria, la perdita del lavoro o la perdita o difficoltà nell'ottenere un impiego, la perdita dei diritti umani, l’umiliazione personale o pubblica o l’ingiusta detenzione in carcere.

Esempi di PII riservate includono qualsiasi PII pubblica, interna e riservata in combinazione con:

Dati che si riferiscono specificamente a: razza, religione, credenze religiose o filosofiche, etnia, appartenenza politica od opinioni, appartenenza sindacale, informazioni su precedenti criminali o reati, dati genetici, dati biometrici o dati relativi all’orientamento o all’attività sessuale di un individuo.

Informazioni relative alla salute personale (Personal Health Information, PHI) che includono informazioni riguardanti la storia medica o le condizioni mentali o fisiche dell’individuo, la fornitura di assistenza sanitaria a un individuo e il pagamento per la fornitura di assistenza sanitaria all'individuo.

Sicurezza delle informazioni o “IS” (Information Security): lo stato in cui un computer o sistema informatico è protetto da accessi o attacchi non autorizzati e, a causa di tale stato, a) il computer o il sistema informatico continua a essere disponibile e operativo; b) l'integrità del computer o del sistema informatico è mantenuta; e c) l'integrità e la riservatezza delle informazioni memorizzate, elaborate o trasmesse attraverso il computer o il sistema informatico sono mantenute.

Minaccia per la sicurezza delle informazioni: un atto o un’attività (sia nota che sospetta) effettuata su o attraverso un computer o sistema informatico, che può mettere a repentaglio o influenzare negativamente la sicurezza delle informazioni di questo o di un altro computer o sistema informatico.

Vulnerabilità della sicurezza delle informazioni: qualsiasi vulnerabilità in un computer o sistema informatico che può essere sfruttata da una o più minacce per la sicurezza delle informazioni.

Non cliente/Non generante ricavi: attività aziendali essenziali non associate alle attività generatrici di ricavi, incluse le attività legali, regolamentari e di continuità dell’attività aziendale.

Accordo di non divulgazione (Non-Disclosure Agreement, NDA): un accordo tra Citi e un fornitore per cui lo scambio, l’uso e la divulgazione delle informazioni sono disciplinati dai termini dell’accordo.

Personale: ai sensi della presente politica, si riferisce ai funzionari, dipendenti, agenti, revisori, consulenti, appaltatori e subappaltatori del fornitore, nonché agli amministratori, funzionari, dipendenti, agenti, revisori, consulenti o altri rappresentanti di una collegata, un appaltatore o subappaltatore di cui il fornitore si avvale per fornire prodotti o servizi a Citi.

Inventario dei documenti: un elenco dettagliato che include i tipi di documenti, la posizione, le date, ecc. dei documenti di Citi ed è necessario all’entità per gestire correttamente i propri documenti attraverso il ciclo di vita delle informazioni.

Obbligo di conservazione: un requisito posto su documenti e informazioni che ne sospende la modifica o l’eliminazione fino a quando non viene revocato dall’autorità che lo ha imposto.

Capacità di ripristino: è il volume, la quantità o la velocità di erogazione dei prodotti e dei servizi del fornitore, espressi in percentuale dell’erogazione normale di prodotti e servizi.

Durata recupero: è la durata massima, in giorni, durante la quale il fornitore è in grado di sostenere le operazioni pur trovandosi in modalità di ripristino.

Obiettivo di punti di ripristino: è il punto temporale nel passato, indicato in ore, al quale i dati devono essere ripristinati dopo un’interruzione dell’attività. È un obiettivo di durata massima di rischio di perdita dei dati di un servizio IT a causa di un grave incidente. L’RPO è solo una misura del periodo massimo di tempo in cui i dati potrebbero essere persi se si verifica un incidente grave che colpisce un servizio IT. Non è una misura diretta di quanti dati potrebbero essere persi, ad esempio, fino al termine dell’elaborazione del giorno precedente.

Obiettivo di tempi di ripristino: durata in ore tra l’interruzione di un servizio e il ripristino di prodotti e servizi

(5)

Resource Management Organization (RMO): è responsabile della gestione globale delle risorse end-to-end per Citi, tra cui Sourcing strategico, Operazioni di acquisto a pagamento, Operazioni di gestione di terze parti, Strategia di risorse e ubicazione, Ufficio del personale e Framework di gestione dei fornitori. Tra gli obiettivi della RMO vi sono l’aumento del valore di sourcing e la gestione della domanda, l'ottimizzazione dell'esperienza TPM e la fornitura di un'esperienza ottimale end-to-end agli utenti e ai fornitori Citi.

Controllo delle sanzioni: include l’elenco SDN di OFAC, l’elenco delle aree geografiche e delle giurisdizioni soggette a sanzioni imposte dagli Stati Uniti (“Sanzioni USA”) nonché tutti gli altri programmi di sanzioni USA, e qualsiasi elenco emesso e le giurisdizioni soggette a sanzioni non imposte dagli Stati Uniti, in conformità alle leggi e alle normative locali (“Sanzioni non USA”) applicabili, nonché qualsiasi altro programma di sanzioni non USA.

Responsabile dell’approvvigionamento RMO: una persona all'interno della Resource Management Organization (RMO) che è responsabile della negoziazione delle condizioni commerciali, dei requisiti e dei prezzi dei contratti, incluse le richieste di offerta e le altre attività di selezione dei fornitori, la gestione dei termini e delle condizioni contrattuali nonché dei requisiti di affidabilità della valutazione finanziaria. Il Responsabile dell’approvvigionamento RMO è altresì responsabile di ingaggiare l’ufficio legale, laddove necessario, per un supporto nella negoziazione dei termini e delle condizioni legali.

Fornitore: qualsiasi terza parte, insieme ai rispettivi dipendenti, agenti o rappresentanti, che fornisce prodotti o servizi a Citigroup Inc. o a una qualsiasi delle sue società collegate, incluse le sue società controllate (collettivamente o individualmente, in questo documento tali entità sono indicate come “Citi” o la “Società”).

Capacità temporale di ripristino della tecnologia (Technology Recovery Time Capability, TRTC): tempo di ripristino totale stimato per un'applicazione/servizio aziendale e per i componenti dell'infrastruttura sottostante nella sua sede di disaster recovery o altra sede a seguito di una chiamata.

Terza parte: una persona fisica o entità che ha stipulato o può stipulare un accordo commerciale, mediante un contratto o altrimenti, di fornitura di prodotti o servizi a un’entità Citi, o comunque ha un rapporto commerciale in corso (che non sia un rapporto cliente/consumatore o di dipendenza) con Citi.

Riferimenti

Scarica adesso ( PDF - 5 pagine - 146.01 KB )

Documenti correlati

INFORMAZIONI PERSONALI

COMPETENZE | Dirigente del gruppo sportivo "Attitude Dance&Fitness" affiliato Arci Uisp Ozzano, con il ruolo di insegnante e responsabile. PATENTE O PATENTI |

INFORMAZIONI PERSONALI

 Dicembre 2008 Master 1 livello Infermieristica Psichiatrica conseguito presso l’Università degli Studi di Roma Tor Vergata;..  28/03/2006 Laurea in Infermieristica

INFORMAZIONI PERSONALI

Settembre 2017– ad oggi Comitato Direttivo SIVI, Società Italiana di Videochirurgia Infantile Gennaio 2016 – ad oggi ESPES, European Society of Pediatric Endoscopic Surgeons

Informazioni personali

Relatore della Tesi di Diploma per il Corso di Formazione Complementare Infermieristica in Nefrologia e Dialisi 1998/1999 organizzato da CRISTAL (Coordinamento Regioni Italiane

INFORMAZIONI PERSONALI

Docente Universitario c/o funzioni didattiche a personale aziendale, disciplina SSD MED/47, corso integrato”Organizzazione e gestione delle risorse umane”, insegnamento “

INFORMAZIONI PERSONALI

Attività Relatore su “Il giudice onorario”, incontro svoltosi presso il Tribunale per i Minorenni di Roma nell’ambito delle attività formative inerenti il Master in “Diritto

Informazioni personali

• 28 Settembre 2018 – Master Universitario di II livello in Medicina Estetica X Edizione VIII Modulo – Università di Siena - in qualità di docente. • 27 Aprile 2018 –

INFORMAZIONI PERSONALI

Traduzione di testi tecnici IT>EN EN>IT FR>IT IT>FR per la COSVAP Distretto Produttivo della Pesca di Mazara del Vallo. Traduzione di documenti ufficiali nell’ambito