Misure tecniche Clausole campione

Misure tecniche. □ siano assunti protocolli di sicurezza anti-contagio e, laddove non fosse possibile rispettare la distanza interpersonale di un metro come principale misura di contenimento, con adozione di strumenti di protezione individuale; □ siano incentivate le operazioni di sanificazione dei luoghi di lavoro, anche utilizzando a tal fine forme di ammortizzatori sociali.

Misure tecniche. Gestione dei supporti rimovibili 21 Il Contraente definisce le modalità di gestione sicura dei supporti rimovibili (dispositivi portatili, dischetti, CD, DVD ecc.), per proteggere i supporti e formattarli. I supporti rimovibili se non utilizzati sono distrutti o resi inutilizzabili, altrimenti possono essere riutilizzati se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. Misure tecniche Sicurezza Fisica 22 L’accesso fisico ai locali e ai Data Center del Contraente deve essere regolato da procedure interne e limitato ai soli soggetti autorizzati. Il Contraente che assegna servizi di Data Center a sub-fornitori nominati sub-responsabili, deve garantire che questi ultimi implementino appropriate e idonee misure di sicurezza per assicurare nel tempo la riservatezza, la disponibilità e l’integrità dei dati personali ivi conservati e trattati, ai sensi dell’art. 32 GDPR. Anche in tale caso l'accesso ai data center dovrà essere regolato da procedure interne e limitato ai soli soggetti autorizzati. Misure tecniche Sicurezza Fisica 23 Il Contraente che eroga servizi ICT nell'ambito dei quali tratta dati riservati del Committente, rende nota la localizzazione dei propri data center e degli end-point all’interno dei quali transiteranno anche temporaneamente i dati gestiti dal servizio (ivi compresi i siti di disaster recovery e di backup). Misure tecniche Sicurezza Fisica 24 Il Contraente che eroga servizi Cloud rende nota la localizzazione dei data center propri e/o dell’infrastruttura Cloud utilizzata per erogare anche parzialmente il servizio e/o all’interno dei quali transiteranno anche temporaneamente i dati gestiti dal servizio (ivi compresi i siti di disaster recovery e di backup). Misure tecniche Sicurezza delle comunicazioni 26 Il Contraente adotta protocolli di comunicazione sicuri sui propri sistemi e in linea con quanto la tecnologia rende disponibile. Il Contraente, inoltre, prevede l'utilizzo di canali di comunicazione cifrati e sicuri per lo scambio di informazioni verso l'esterno e l'interno, adeguati alla criticità delle informazioni trattate. Inoltre, i flussi di dati da e verso i sistemi in cloud esposti su internet sono protetti utilizzando un canale sicuro TLS in modo da assicurare: - autenticazione del server con algoritmo di cifratura asimmetrica, considerata ragionevolmente sicura alla data (e.g. chiave da almeno 2048 bit); - cifratura della sessione con algoritmo di cifratur...

Misure tecniche. Esistono delle misure tecniche volte ad identificare e/o prevenire eventuali trattamenti dei dati personali secondo finalità diverse da quelle previste dall’atto di designazione?

Misure tecniche. Credenziali di autenticazione

Misure tecniche. Crittografia 27 Il Contraente implementa misure tecniche di crittografia sui propri sistemi adottando meccanismi di cifratura con un livello di robustezza adeguato rispetto alla criticità delle informazioni trattate. Il Contraente deve garantire la sicurezza dei dati del Committente in transito attraverso adeguati meccanismi di cifratura. Inoltre, il Contraente deve trasmettere i dati del Committente su canali cifrati, attraverso l'utilizzo di protocolli di comunicazione sicuri (es. SFTP, HTTPS, SSH, VPN).

Misure tecniche. Log Management (Cloud) 10 Il Contraente che eroga servizi Cloud garantisce che i sistemi e/o applicazioni sono configurati con modalità che consentono il tracciamento degli accessi e, ove appropriato, delle attività svolte in capo alle diverse tipologie di utenze, incluse quelle degli Amministratori di Sistema, e protetti da adeguate misure di sicurezza che ne garantiscono l’integrità, la riservatezza e la disponibilità. Il Contraente implementa un set di log standard che consentono di monitorare una serie di eventi e rilevare eventuali attacchi. Il Committente ritiene sufficiente il seguente set di log: - Autenticazione - Autorizzazione - Gestione della configurazione - Attività degli amministratori - Gestione degli accessi - Attività svolte sui dati con particolare attenzione ai dati personali - Utilizzo di funzionalità a più alto rischio - Connessioni di rete Inoltre, il Committente può verificare se tale set di log è sufficiente e in linea con le proprie politiche; diversamente, deve definire con il Contraente i requisiti per la registrazione degli eventi e verificare che il servizio soddisfi tali requisiti. Il Contraente che eroga servizi Cloud garantisce l’adozione di un sistema centralizzato di event logging e dà la possibilità al Committente di esportare i log sui propri sistemi, secondo quanto richiesto dalle soluzioni tecnologiche adottate dal committente. Misure tecniche Continuità Operativa 11 Il Contraente adotta idonee misure per garantire il ripristino dell’accesso ai dati del Committente in tempi certi in caso di danneggiamento degli stessi (es. procedure di backup, prove di ripristino dei dati, etc.). Sono predisposti dal Contraente un piano di continuità operativa e di disaster recovery che comprendono le attività per rispondere, recuperare, riprendere e ripristinare a un livello predefinito i servizi a seguito di un'interruzione degli stessi anche nel caso di eventi avversi di portata rilevante, applicando le buone pratiche presenti nello standard ISO/IEC 22313.

Misure tecniche. Hardening 36 Il Contraente pone in essere apposite attività di hardening sui propri dispositivi finalizzate a prevenire il verificarsi di eventi avversi minimizzando le debolezze architetturali dei sistemi operativi, delle applicazioni e degli apparati di rete. Qualora non fossero presenti le procedure, è necessaria la predisposizione del software di base in modalità sicura attraverso, a titolo esemplificativo e non esaustivo, l’eliminazione dei servizi non necessari, l’eliminazione delle utenze non necessarie, la modifica delle password di default, etc.

Misure tecniche. Log Management 8 I sistemi del Contraente sono configurati con modalità che consentono il tracciamento degli accessi e, ove appropriato, delle attività svolte in capo alle diverse tipologie di utenze, incluse quelle degli Amministratori di Sistema, e protetti da adeguate misure di sicurezza che ne garantiscono l’integrità, la riservatezza e la disponibilità. Il Contraente implementa un set di log standard che consentono di monitorare una serie di eventi e rilevare eventuali attacchi. I log sono analizzati con adeguata frequenza e con strumenti automatici (es. sistema centralizzato di Security Information and Event Management) al fine di verificare che non ci siano state anomalie.

Misure tecniche. Firewall, IDPS I sistemi anti-intrusione, quali Firewall e IDS/IPS, sono posizionati all’interno del segmento di rete che collega l’infrastruttura cloud con Internet, al fine di intercettare ogni eventuale azione malevola volta a degradare, parzialmente o totalmente, l’erogazione del servizio. I sistemi di Intrusion Detection & Prevention, mantenuti aggiornati in relazione alle migliori tecnologie disponibili. La separazione avviene tramite VLAN e regole di Firewall.