Misure di sicurezza tecniche. Sicurezza linee di comunicazione - Per quanto di propria competenza, sono adottati dal Fornitore protocolli di comunicazione sicuri e in linea con quanto la tecnologia rende disponibile in relazione al processo di autenticazione.
Misure di sicurezza tecniche. Alta affidabilità – Il Fornitore garantisce l’alta affidabilità nei seguenti termini: • L’architettura Server è completamente basata sull’utilizzo della soluzione di virtualizzazione VMWare applicata mediante duplicazione fisica e virtuale dei singoli sistemi, al fine di garantire la tolleranza ai guasti e l’eliminazione dei single point of failure. In particolare in caso di failure di un sistema, il software di gestione dell’ambiente virtuale è in grado di ridistribuire le attività in corso verso gli altri sistemi (high availabilty e load balancing), riducendo al minimo i disservizi e garantendo la persistenza delle connessioni esistenti. • Ciascun Server è attestato su una SAN mediante connessione iSCSI ad alta velocità. • Tutte le componenti dell’infrastruttura, tra i quali server, apparati di rete e sicurezza, sistemi Storage ed infrastruttura SAN, sono completamente ridondate per eliminare ogni single point of failure. • L’architettura di rete è progettata per proteggere i sistemi di front-end da Internet e dalle reti interne mediante l’utilizzo di una DMZ protetta da due livelli di firewalling distinti (defense-in-depth): un firewall di frontiera connesso ad Internet ed un secondo firewall, che integra anche funzionalità di Intrusion Prevention e antimalware, di proprietà dell’organizzazione, è messo a protezione della DMZ e dei sistemi di backend.
Misure di sicurezza tecniche. Protection from malware – Le VM sono sono dotate di default di sistemi Antivirus/Antimalware/WebReputation preconfigurati a livello infrastrutturale, aggiornati con cadenza periodica. Resta inteso che, coerentemente con il modello di servizio iaas ed in conformità alle condizioni generali di Contratto, è onere il Cliente valutare la congruità di tali soluzioni e la necessità di adottare, a propria cura e spese, sistemi di sicurezza e protezione ulteriori in base all’effettivo utilizzo della Macchina Virtuale ed alle proprie politiche di gestione dei rischi.
Misure di sicurezza tecniche. Logging – I sistemi sono configurabili con modalità che consentono il tracciamento degli accessi e, ove appropriato, delle attività svolte in capo alle diverse tipologie di utenze (Amministratore, Super Utente, etc.) protetti da adeguate misure di sicurezza che ne garantiscono l’integrità. Firewall, IDS/IPS – I sistemi anti-intrusione, quali Firewall e IDS/IPS, sono posizionati all’interno del segmento di rete che collega l’infrastruttura cloud con Internet, al fine di intercettare ogni eventuale azione malevola volta a degradare, parzialmente o totalmente, l’erogazione del servizio. Nello specifico gli apparati adottati sono del tipo UTM SourceFire (Cisco), che includono sia la componente Firewall sia la componente IDS/IPS. Incident Management– Il Fornitore ha in essere una specifica procedura di Incident Management allo scopo di garantire il ripristino delle normali operazioni di servizio nel più breve tempo possibile, garantendo il mantenimento dei livelli migliori di servizio. Alta affidabilità – il Fornitore garantisce l’alta affidabilità nei seguenti termini: • L’architettura Server è basata sull’utilizzo della soluzione di virtualizzazione VMWare applicata mediante duplicazione fisica e virtuale dei singoli sistemi, al fine di garantire la tolleranza ai guasti e l’eliminazione dei single point of failure. In particolare in caso di failure di un sistema, il software di gestione dell’ambiente virtuale è in grado di ridistribuire le attività in corso verso gli altri sistemi (high availabilty e load balancing), riducendo al minimo i disservizi e garantendo la persistenza delle connessioni esistenti. • Ciascun Server è attestato su una SAN mediante connessione iSCSI ad alta velocità. • Tutte le componenti dell’infrastruttura, tra i quali server, apparati di rete e sicurezza, sistemi Storage ed infrastruttura SAN, sono completamente ridondate per eliminare ogni single point of failure. • L’architettura di rete è progettata per proteggere i sistemi di front-end da Internet e dalle reti interne mediante l’utilizzo di una DMZ protetta da due livelli di firewalling distinti (defense-in-depth): un firewall di frontiera connesso ad Internet ed un secondo firewall, che integra anche funzionalità di Intrusion Prevention e antimalware, di proprietà dell’organizzazione, è messo a protezione della DMZ e dei sistemi di backend. Data center – L'ambiente di virtualizzazione (inclusa la SAN – Storage Area network) è presente su server ospitati in un data center sito in ...
Misure di sicurezza tecniche. Server I moduli chiave del sistema informativo saranno sviluppati utilizzando il linguaggio di programmazione PHP versione 7. Il codice sviluppato farà utilizzo del framework Yii versione 2, avvalendosi ove possibile anche di altre librerie e / o componenti standard del settore. La persistenza dei dati sarà effettuata utilizzando un database relazionale MariaDB versione 10.2 o superiore. Per il registro CliPPER la tecnologia di persistenza individuata è MySQL Server versione 5.7 o superiore. Autenticazione ed autorizzazione L’accesso al sistema avviene solo previa autenticazione. L’autenticazione è effettuata mediante username e password. Non è possibile registrarsi, ma solo Utenti con determinati permessi possono creare gli Utenti del sistema. Ogni utente è associato a un livello di utenza con diverse possibilità di consultazione, modifica ed integrazione dei dati. La qualità delle password viene garantita dal validatore, che impedisce la creazione di password a bassa complessità. La coerenza delle credenziali e dei profili viene garantita dalla richiesta periodica di aggiornamento password, impostata a 90 giorni. Criteri di cifratura o separazione dei dati speciali dai dati personali Per la cifratura / separazione dei dati in oggetto sono state individuate le seguenti strategie: - Scrambling: utilizzando questa procedura le lettere / simboli dei dati considerati vengono mescolate oppure offuscate. Esempio: Xxxxx Xxxxx => Xxxxx Xxxxx - Encryption: i dati vengono cifrati utilizzando una chiave segreta che viene tenuta separata dall’infrastruttura nella quale suddetti dati saranno poi memorizzati (ad es. in un server differente da quello sul quale è in esecuzione il database). Esempio: Xxxxx Xxxxx + chiave segreta a 128 bit => 0x8233d41c5a80723eb228737b32e0ac51 - Tokenization: i dati vengono sostituiti, secondo una procedura definibile, con altri dati dello stesso tipo e della stessa lunghezza ma completamente scorrelati e privi di significato. Esempio: Xxxxx => 愛ーяъズ Protocolli di comunicazione Per le comunicazioni client-server, sia nel caso di browser web sia nel caso di app mobile, verrà adottato un certificato TLS. La comunicazione sarà resa disponibile solo tramite canale cifrato, pertanto ogni tentativo di richiesta effettuata in chiaro verrà redirezionata sul canale sicuro.
Misure di sicurezza tecniche. Sicurezza linee di comunicazione - Per quanto di propria competenza, sono adottati dal Fornitore protocolli di comunicazione sicuri e in linea con quanto la tecnologia rende disponibile in relazione al processo di autenticazione. Backup & Restore – Ove previsto dagli accordi contrattuali, sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati.
Misure di sicurezza tecniche. Tutte le VM sono gestite tramite funzionalità antivirus (sia a livello hypervisor che infrastrutturale).
Misure di sicurezza tecniche. Sicurezza linee di comunicazione - Per quanto di propria competenza, in fase di gestione di interventi di assistenza, sono adottati dal Fornitore protocolli di comunicazione sicuri e in linea con quanto la tecnologia rende disponibile.