Logging. I sistemi sono configurabili con modalità che consentono il tracciamento degli accessi e, ove appropriato, delle attività svolte in capo alle diverse tipologie di utenze (Amministratore, Super Utente, etc.) protetti da adeguate misure di sicurezza che ne garantiscono l’integrità.
Logging. La piattaforma di virtualizzazione e la relativa consolle sono dotate di misure di tracciamento degli accessi e, ove appropriato, delle attività svolte in capo alle diverse tipologie di utenze (Amministratore, Super Utente, etc.) protetti da adeguate misure di sicurezza che ne garantiscono l’integrità.
Logging. Tutte le operazioni svolte dagli utenti dovranno essere opportunamente registrate su file per successive attività di audit. Si dovrà prevedere un processo di tracciamento multi-livello dei messaggi di sistema (logging) da concordare in corso d'opera.
Logging. I sistemi sono configurabili con modalità che consentono il tracciamento degli accessi e, ove appropriato, delle attività svolte in capo alle diverse tipologie di utenze (Amministratore, Super Utente, etc.) protetti da adeguate misure di sicurezza che ne garantiscono l’integrità. Backup & Restore – Sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati. È comunque demandata al Titolare la facoltà di eseguire autonomamente il backup dei propri dati per l'intera durata del contratto e per i 60 giorni successivi al termine dello stesso. Ove gli accordi contrattuali lo prevedono è posto in uso un piano di continuità operativa integrato, ove necessario, con il piano di disaster recovery i quali garantiscono la disponibilità e l’accesso ai sistemi anche nel caso di eventi negativi di portata rilevante che dovessero perdurare nel tempo. Vulnerability Assessment & Penetration Test – Il Fornitore effettua periodicamente attività di analisi delle vulnerabilità finalizzata a rilevare lo stato di esposizione alle vulnerabilità note, sia in relazione agli ambiti infrastrutturali sia a quelli applicativi, considerando i sistemi in esercizio o in fase di sviluppo. Ove ritenuto appropriato in relazione ai potenziali rischi identificati, tali verifiche sono integrate periodicamente con apposite tecniche di Penetration Test, mediante simulazioni di intrusione che utilizzano diversi scenari di attacco, con l’obiettivo di verificare il livello di sicurezza di applicazioni / sistemi / reti attraverso attività che mirano a sfruttare le vulnerabilità rilevate per eludere i meccanismi di sicurezza fisica / logica ed avere accesso agli stessi. I risultati delle verifiche sono puntualmente e dettagliatamente esaminati per identificare e porre in essere i punti di miglioramento necessari a garantire l’elevato livello di sicurezza richiesto. Amministratori di Sistema – Relativamente a tutti gli utenti che operano in qualità di Amministratori di Sistema, il cui elenco è mantenuto aggiornato e le cui funzioni attribuite sono opportunamente definite in appositi atti di nomina, è gestito un sistema di log management finalizzato al puntuale tracciamento delle attività svolte ed alla conservazione di tali dati con modalità inalterabili idonee a consentirne ex post il monitoraggio. L’operato degli Amministratori di Sistema è sottoposto ad att...
Logging. Sia l’Identity Provider sia il Resource Provider DEVONO registrate tutte le ri- chieste di accesso e di autenticazione. In particolare DEVONO essere registra- te almeno le seguenti informazioni : data e ora di ogni operazione (richiesta di autenticazione; assegnazione di indirizzo IP, …); il risultato dell’autenticazione restituito dall’authentication server; per gli Identity Provider: l’identità interna della richiesta, anche quando viene trasmessa via rete un'identità fittizia; per i Resource Provider: l’accoppiamento tra l'indirizzo hardware dell’ap- parato usato dall’utente e l’indirizzo IP assegnato. I sistemi di logging DEVONO avere data ed ora sincronizzate con sistemi affi- dabili. Le informazioni registrate DEVONO essere mantenute per un periodo minimo di 6 (sei) mesi, o maggiore se prescritto dalla legislazione in vigore.
Logging. Sia l’Identity Provider sia il Resource Provider DEVONO registrate tutte le ri- chieste di accesso e di autenticazione. In particolare DEVONO essere registra- te almeno le seguenti informazioni : ● data e ora di ogni operazione; ● il Calling-station-id nelle richieste di autenticazione; ● il risultato dell’autenticazione restituito dall’authentication server; ● le identità interna ed esterna della richiesta (per gli Identity Provider); ● l’accoppiamento tra l'indirizzo hardware dell’apparato usato dall’utente e l’indirizzo IP assegnato (per i Resource Provider). I sistemi di logging DEVONO avere data ed ora sincronizzate con sistemi affi- dabili. Le informazioni registrate DEVONO essere mantenute per un periodo minimo di 6 (sei) mesi, o maggiore se prescritto dalla legislazione in vigore.
Logging. Il Fornitore ha configurato i sistemi con modalità che consentono il tracciamento degli accessi e, ove appropriato, delle attività svolte in capo alle diverse tipologie di utenze (Amministratore, Super Utente, etc.) protetti da adeguate misure di sicurezza che ne garantiscono l’integrità. Alla disconnessione “log-out” del pannello di controllo dell’utilizzatore, c’è un cookie di sessione che elimina le credenziali d’accesso per proteggere un possibile accesso illecito da un utente che accede dallo stesso apparato informatico. È implementato un time-out di inattività per la disconnessione “log-out” automatica.
Logging. La collezione e conservazione dei log a norma di legge è tipicamente effettuata dal Fornitore, sia direttamente, sia avvalendosi del servizio offerto dai propri sub-fornitori (IaaS e PaaS). I log vengono resi disponibili al Cliente in forma di report “spot”, effettuato su richiesta estemporanea del Cliente oppure, se concordato tra i servizi contrattualizzati, in forma di report periodico, o garantendo l’accesso in visione ai dati via rete. In tuttii casi viene garantita la riservatezza delle informazioni nel senso che ogni Cliente ha visibilità esclusivamente dei log relativi a sistemi/servizi di sua pertinenza.