Common use of Sicurezza fisica Clause in Contracts

Sicurezza fisica. I servizi di sicurezza fisica sono associati ai controlli degli accessi fisici implementati per garantire la sicurezza degli apparati, impianti e sistemi di gestione del Titolare e del Responsabile. Di seguito vengono riportate le attività garantite dal Responsabile: • definire e mantenere aggiornate practices, policy e procedure per garantire la sicurezza fisica nei locali sotto il proprio controllo rimanendo aggiornati su norme, regole o vulnerabilità segnalate e fornendo servizi in conformità con quanto definito nel Contratto; • rivedere e approvare i cambiamenti alle practices, policy e procedure congiuntamente al Titolare per l'approvazione; • collaborare con il Titolare nella modifica delle practices, delle policy e delle procedure per colmare le lacune e contestualmente garantire la sicurezza fisica in modo efficiente ed efficace; • proteggere le apparecchiature del data center e i servizi di gestione utilizzati per il Titolare dagli accessi non autorizzati e da eventuali rischi ambientali e avarie infrastrutturali (meccanico, elettrico, HVAC, cablaggi). In particolare, il Responsabile garantisce che le infrastrutture di supporto IT (il sistema informativo) che contengono applicazioni e dati dei processi eseguiti per il Titolare saranno collocati all’interno di locali (il Data Center o assimilati) aventi le seguenti caratteristiche: • monitoraggio degli ingressi/uscite tramite controllo degli ingressi fisici per il personale autorizzato (con tessera magnetica abilitata e tracciata sul sistema di controllo); • controllo degli ingressi fisici tramite rilascio di badge di identificazione a fronte della fornitura delle credenziali di identità; • presenza di adeguati sistemi di difesa passiva e, quanto meno, di inferriate o blindatura alle finestre e porte antisfondamento; • presenza di controlli antintrusione fisica realizzati con telecamere interne o, in alternativa, anche sistemi volumetrici; • presenza di adeguate misure di prevenzione ambientale e, quanto meno, di un sistema di rilevamento fumi e sistema antincendio allarmato, sistema di rilevamento allagamento allarmato, sistema di rilevamento temperatura allarmato; • presenza di un sistema di continuità elettrica costituito da UPS di zona e gruppi elettrogeni; • utilizzo di opportuno sistema di condizionamento. Il Responsabile si impegna inoltre a: • proteggere fisicamente e conservare i supporti portatili che contengono dati del Titolare assicurandosi che l’accesso agli stessi sia permesso solo al personale autorizzato. • far sì che i sistemi informatici consentano la possibilità di revocare immediatamente l'accesso alle apparecchiature di elaborazione dati, ai servizi e ai supporti di memorizzazione; • mantenere registri di controllo degli accessi informatizzati. Il Responsabile garantisce che i locali in cui vengono eseguite le lavorazioni dei processi sono dotati di servizio di portineria o di videocitofono e controllo degli ingressi, registrazione e rilascio di badge di identificazione.

Sicurezza fisica. I servizi di sicurezza fisica sono associati ai controlli degli accessi fisici implementati per garantire la sicurezza degli apparati, impianti e sistemi di gestione del Titolare e del Responsabile. Di seguito vengono riportate Il responsabile si affida a sub-responsabili certificati IS 27001 e si appoggia a DataCenter certificati minimo TIER 3 Il Responsabile adotta, di norma, le attività garantite dal Responsabileseguenti misure di sicurezza fisiche nelle sedi presso cui risultano ubicati server dipartimentali ed apparati tecnici della rete informatica aziendale: • definire − Sistemi antincendio; − Sistemi di videosorveglianza e/o sistemi antintrusione con collegamento allarmi a società di vigilanza; − Presenza di personale di portineria in orario diurno (nelle sedi aperte al pubblico); − Presenza di Guardia Giurata fissa in orario notturno e mantenere aggiornate practices, policy e procedure per garantire la sicurezza fisica nei locali sotto il proprio controllo rimanendo aggiornati su norme, regole o vulnerabilità segnalate e fornendo servizi in conformità con quanto definito nel Contratto; • rivedere e approvare i cambiamenti alle practices, policy e procedure congiuntamente al Titolare per l'approvazione; • collaborare con il Titolare nella modifica delle practices, delle policy e delle procedure per colmare le lacune e contestualmente garantire la sicurezza fisica in modo efficiente ed efficace; • proteggere le apparecchiature del data center e i servizi di gestione utilizzati per il Titolare dagli accessi non autorizzati e da eventuali rischi ambientali e avarie infrastrutturali (meccanico, elettrico, HVAC, cablaggi)festivo. In particolare, il Responsabile garantisce che le infrastrutture alternativa servizi ispettivi notturni e festivi; − Locali con accesso controllato (apertura mediante chiave custodita dal personale di supporto IT (il sistema informativoportineria oppure tramite Badge) che contengono applicazioni e dati dei processi eseguiti per il Titolare saranno collocati all’interno di locali (il Data Center e/o assimilati) aventi le seguenti caratteristiche: • monitoraggio degli ingressi/uscite tramite controllo degli ingressi fisici per il personale autorizzato (con tessera magnetica abilitata e tracciata sul sistema di controllo); • controllo degli ingressi fisici tramite rilascio di badge di identificazione armadiature tecniche chiuse a fronte della fornitura delle credenziali di identità; • presenza di adeguati sistemi di difesa passiva e, quanto meno, di inferriate o blindatura alle finestre e porte antisfondamento; • presenza di controlli antintrusione fisica realizzati con telecamere interne o, in alternativa, anche sistemi volumetrici; • presenza di adeguate misure di prevenzione ambientale e, quanto meno, di un sistema di rilevamento fumi e sistema antincendio allarmato, sistema di rilevamento allagamento allarmato, sistema di rilevamento temperatura allarmato; • presenza di un sistema di continuità elettrica costituito da UPS di zona e gruppi elettrogeni; • utilizzo di opportuno sistema di condizionamentochiave. Il Responsabile si impegna inoltre a: • ● proteggere fisicamente e conservare i supporti portatili che contengono dati del Titolare assicurandosi che l’accesso agli stessi sia permesso solo al personale autorizzato. • ● far sì che i sistemi informatici consentano la possibilità di revocare immediatamente l'accesso alle apparecchiature di elaborazione dati, ai servizi e ai supporti di memorizzazione; • ● mantenere registri di controllo degli accessi informatizzati. ● Il Responsabile garantisce che i locali in cui vengono eseguite le lavorazioni dei processi sono dotati di servizio di portineria o di videocitofono e controllo degli ingressi, registrazione e rilascio di badge di identificazione. I servizi di IT Identity e Access Management (IAM) sono le attività associate ad autorizzare, autenticare e fornire il controllo degli accessi a tutti i sistemi informativi che risiedono nell’infrastruttura del Titolare. Di seguito vengono riportate le attività che il Responsabile deve svolgere: ● definire i ruoli, le attività autorizzate e i privilegi minimi concessi; ● fornire il servizio di IT Identity e Access Management in conformità con le policy, procedure e practice aziendali (tra cui le policy di sicurezza); ● mantenere l’IT Identity e Access Management allineato alle practice, policy e procedure aziendali soprattutto nel caso di modifiche al perimetro (e.g., il cambiamento delle tecnologie, aggiunte o modifiche di ruoli); ● definire i ruoli, le attività autorizzate e i privilegi minimi concessi al personale del Responsabile e al personale del Titolare (inclusi gli account non-personali); ● definire e gestire il processo per la definizione, l’assegnazione, la modifica e la revoca degli account utente e per supportare gli accessi temporanei; ● utilizzare password complesse (minimo 8 caratteri di tipologia differente, reimpostazione password obbligatoria al primo accesso, scadenza password); ● assegnare ad ogni utente credenziali (user e password) personali, uniche e non assegnabili ad altri utenti; ● rimuovere gli account inattivi o non più necessari in accordo alle policy e norme del Titolare; ● rivedere sistematicamente gli account IT secondo la procedura aziendale di gestione utenze . In merito al sistema di Identity e Access Management (IAM), il Responsabile coordina la gestione degli accessi tramite comunicazioni tra gli uffici coinvolti (in particolare HR e Sistemi informativi) ed è coadiuvato da sistemi di reportistica che permettono di tenere traccia delle variazioni.

Sicurezza fisica. I servizi di sicurezza fisica sono associati ai controlli degli accessi fisici implementati per garantire la sicurezza degli apparati, impianti e sistemi di gestione del Titolare e del Responsabile. Di seguito vengono riportate le attività garantite dal Responsabile: • definire e mantenere aggiornate practices, policy e procedure per garantire la sicurezza fisica nei locali sotto il proprio controllo rimanendo aggiornati su norme, regole o vulnerabilità segnalate e fornendo servizi in conformità con quanto definito nel Contratto; • rivedere e approvare i cambiamenti alle practices, policy e procedure congiuntamente al Titolare per l'approvazione; • collaborare con il Titolare nella modifica delle practices, delle policy e delle procedure per colmare le lacune e contestualmente garantire la sicurezza fisica in modo efficiente ed efficace; • proteggere le apparecchiature del della data center e i servizi di gestione utilizzati per il Titolare dagli accessi non autorizzati e da eventuali rischi ambientali e avarie infrastrutturali (meccanico, elettrico, HVAC, cablaggi). In particolare, il Responsabile garantisce che le infrastrutture di supporto IT (il sistema informativo) che contengono applicazioni e dati dei processi eseguiti per il Titolare saranno collocati all’interno di locali (il Data Center o assimilati) aventi le seguenti caratteristiche: • monitoraggio degli ingressi/uscite tramite controllo degli ingressi fisici per il personale autorizzato (con tessera magnetica abilitata e tracciata sul sistema di controllo); • controllo degli ingressi fisici tramite rilascio di badge di identificazione a fronte della fornitura delle credenziali di identità; • presenza di adeguati sistemi di difesa passiva e, quanto meno, di inferriate o blindatura alle finestre e porte antisfondamento; • presenza di controlli antintrusione fisica realizzati con telecamere interne o, in alternativa, anche sistemi volumetrici; • presenza di adeguate misure di prevenzione ambientale e, quanto meno, di un sistema di rilevamento fumi e sistema antincendio allarmato, sistema di rilevamento allagamento allarmato, sistema di rilevamento temperatura allarmato; • presenza di un sistema di continuità elettrica costituito da UPS di zona e gruppi elettrogeni; • utilizzo di opportuno sistema di condizionamento. Il Responsabile si impegna inoltre a: • proteggere fisicamente e conservare i supporti portatili che contengono dati del Titolare assicurandosi che l’accesso agli stessi sia permesso solo al personale autorizzato. • far sì che i sistemi informatici consentano la possibilità di revocare immediatamente l'accesso alle apparecchiature di elaborazione dati, ai servizi e ai supporti di memorizzazione; • mantenere registri di controllo degli accessi informatizzati. Il Responsabile garantisce che i locali in cui vengono eseguite le lavorazioni dei processi sono dotati di servizio di portineria o di videocitofono e controllo degli ingressi, registrazione e rilascio di badge di identificazione.

Sicurezza fisica. I Il sistema di certificazione di AZIENDA ZERO si trova presso il QTSP Uanataca S.A. Uanataca è un’azienda del gruppo Bit4id, outsourcee designato da AZIENDA ZERO per i servizi oggetto di questo documento L’outsorcee ha implementato un sistema di sicurezza relativo al sistema informativo del servizio di certificazione digitale caratterizzato da misure di sicurezza fisica sono associati ai controlli finalizzate alla protezione dell’infrastruttura e dei sistemi di elaborazione utilizzati a supporto dei servizi fiduciari prestati. In tale contesto, viene assicurato: • controllo degli accessi fisici implementati per garantire la sicurezza degli apparati, impianti e sistemi di gestione del Titolare e del Responsabile. Di seguito vengono riportate le attività garantite dal Responsabile: • definire e mantenere aggiornate practices, policy e procedure per garantire la sicurezza fisica nei locali sotto il proprio controllo rimanendo aggiornati su norme, regole o vulnerabilità segnalate e fornendo servizi in conformità con quanto definito nel Contrattofisici; • rivedere e approvare i cambiamenti alle practices, policy e procedure congiuntamente al Titolare per l'approvazioneprotezione contro disastri naturali (es. inondazioni); • collaborare con il Titolare nella modifica delle practices, delle policy e delle procedure per colmare le lacune e contestualmente garantire la sicurezza fisica in modo efficiente ed efficacecontinuità di alimentazione elettrica; • proteggere le apparecchiature del connettività ad Internet ridondata (doppia linea); • sistemi antincendio ed antiallagamento; • protezione antifurto; • ventilazione e condizionamento ottimali; • adozione di una politica relativa alla fuoriuscita, non autorizzata, di materiale, informazioni, supporto e ogni ulteriore applicazione relativa a componenti impiegati per i servizi fiduciari e di CA. Il costante monitoraggio dell’infrastruttura e dei servizi ovvero il tempestivo intervento in caso di necessità è garantito da personale sistemistico qualificato che opera 24h-365 giorni l’anno e assicura assistenza nelle 24 ore che seguono la segnalazione. AZIENDA ZERO, per il tramite dell’Outsourcee, si avvale dei servizi di data center e i servizi di gestione utilizzati per il Titolare dagli accessi non autorizzati comunicazione associati (quali housing, connettività alla rete Internet, sicurezza fisica) offerti dalla società XXXX. Detti servizi sono certificati secondo le norme: - ISO/IEC 27001:2017 - ISO 9001:2018 Il Datacenter è ubicato all’indirizzo: C/ del Artesans, 7 – 00000 Xxxxxxxxxx xx Xxxxxx, Barcellona (Spagna). 5.1.1. Localizzazione e da eventuali rischi ambientali e avarie infrastrutturali implementazione delle strutture‌ La protezione delle infrastrutture che consentono l’erogazione dei servizi di certificazione viene assicurata mediante la creazione di perimetri di sicurezza, chiaramente definiti ed individuabili. Le installazioni sono ubicate in zone a basso rischio di disastri naturali (meccanicobassissimo livello di rischio sismico, elettricorischio vulcanico assente, HVAC, cablaggibasso rischio di alluvioni). In La qualità e solidità dei materiali di costruzione delle installazioni garantisce livelli di protezione adeguati contro tentativi di intrusione forzate e permette un rapido accesso per eventuali azioni di emergenza. La sala dove si realizzano le operazioni di crittografia nel Centro di Elaborazione Dati vanta infrastrutture con elevatissimi requisiti tecnologici, così come varie fonti alternative di elettricità e raffreddamento in caso di emergenza. L’Outsourcee dispone di strutture che proteggono fisicamente gli ambienti in cui vengono effettuate le operazioni proprie dell’erogazione di servizi fiduciari. 5.1.2. Accesso fisico‌ I Fornitori hanno realizzato un sistema di sicurezza fisica articolato su tre livelli: - accesso all’edificio dove si trova il CED; - accesso alla sala; - accesso al rack per la protezione dei servizi fiduciari erogati. L’accesso fisico ai locali dove avvengono i processi di certificazione è protetto attraverso una combinazione di misure fisiche e procedurali. Tale accesso, in particolare: • è limitato al personale espressamente autorizzato, con autenticazione all’accesso, registrazione, ripresa video a circuito chiuso e archiviazione; • si realizza con lettori di badge ed è gestito da un sistema informatico con tracciamento (e relativa generazione di evidenze e log) di ingresso e uscita. Inoltre, l’accesso al rack dove sono ubicati i moduli crittografici e il “core” dell’infrastruttura avviene esclusivamente previa autorizzazione da parte della Direzione dell’Outsorucee ovvero del Responsabile della Sicurezza. Azienda Zero identifica i fornitori ai fini dell’erogazione dei suddetti servizi assicurando che i controlli per la sicurezza, le definizioni di servizio e i livelli di erogazione inclusi negli accordi di erogazione di servizi di terze parti, siano attuati, condotti e mantenuti attivi. 5.1.3. Elettricità e aria condizionata‌ Le strutture nell’ambito delle quali viene svolto, in outsorucing, il Responsabile garantisce che le infrastrutture servizio di supporto IT (il sistema informativo) che contengono applicazioni certificazione dispongono di attrezzature per stabilizzare la corrente e dati dei processi eseguiti per il Titolare saranno collocati all’interno di locali (il Data Center o assimilati) aventi le seguenti caratteristiche: • monitoraggio degli ingressi/uscite tramite controllo degli ingressi fisici per il personale autorizzato (con tessera magnetica abilitata e tracciata sul un sistema di controllo); • controllo degli ingressi fisici tramite rilascio alimentazione elettrica supportato da un gruppo elettrogeno. I locali che accolgono le attrezzature informatiche dispongono di badge di identificazione a fronte della fornitura delle credenziali di identità; • presenza di adeguati sistemi di difesa passiva e, quanto meno, controllo della temperatura con aria condizionata. 5.1.4. Esposizione all’acqua‌ I macchinari si trovano in una zona a basso rischio di inferriate o blindatura alle finestre e porte antisfondamento; • presenza di controlli antintrusione fisica realizzati con telecamere interne o, in alternativa, anche sistemi volumetrici; • presenza di adeguate misure di prevenzione ambientale e, quanto meno, inondazione. Le sale dove si trovano le apparecchiature informatiche dispongono di un sistema di rilevamento fumi dell’umidità. 5.1.5. Prevenzione e sistema antincendio allarmato, sistema di rilevamento allagamento allarmato, sistema di rilevamento temperatura allarmato; • presenza di protezione antincendio‌ Le attrezzature e il materiale hanno un sistema automatico di continuità elettrica costituito da UPS individuazione e estinzione di zona incendi. 5.1.6. Dispositivi di archiviazione‌ Solo il personale autorizzato ha accesso ai dispositivi di archiviazione. Le informazioni di livello superiore sono custodite in una cassaforte fuori le strutture del Centro Elaborazione Dati. 5.1.7. Smaltimento dei rifiuti‌ L’eliminazione dei materiali, cartacei e gruppi elettrogeni; • utilizzo magnetici, si effettua attraverso meccanismi che garantiscono l’impossibilità di opportuno sistema recupero delle informazioni. Nel caso di condizionamentomateriale magnetico, questo viene fisicamente distrutto o riutilizzato dopo aver provveduto alla cancellazione sicura del contenuto. Il Responsabile si impegna inoltre a: • proteggere fisicamente In caso di documentazione cartacea, la cancellazione delle informazioni avviene attraverso macchine trita-documenti o cestini che vengono successivamente distrutti sotto stretto controllo. 5.1.8. Copia di riserva esterna alle strutture‌ Per AZIENDA ZERO, i Fornitori utilizzano un archivio esterno sicuro per la custodia dei documenti, dispositivi magnetici e conservare i supporti portatili che contengono dati del Titolare assicurandosi che l’accesso agli stessi sia permesso solo al personale autorizzato. • far sì che i sistemi informatici consentano la possibilità di revocare immediatamente l'accesso alle apparecchiature di elaborazione dati, ai servizi e ai supporti di memorizzazione; • mantenere registri di controllo degli accessi informatizzati. Il Responsabile garantisce che i locali in cui vengono eseguite le lavorazioni dei processi sono dotati di servizio di portineria o di videocitofono e controllo degli ingressi, registrazione e rilascio di badge di identificazioneelettronici indipendenti dal Centro operativo.