Sicurezza logica Clausole campione

Sicurezza logica. L'accesso ai sistemi è consentito solo al personale autorizzato. Gli operatori hanno diritto di accesso ai sistemi con le autorizzazioni minime necessarie allo svolgimento delle proprie mansioni. I sistemi mantengono traccia degli accessi e delle operazioni effettuate.
Sicurezza logica. Il sistema operativo dei serventi che erogano il servizio deve soddisfare i seguenti requisiti (DPCM 31/10/2000, Art. 7, comma 1): “il sistema operativo degli elaboratori utilizzati per l’erogazione dei servizi, deve assicurare: a) l’univoca identificazione ed autenticazione degli utenti; b) la protezione delle informazioni relative a ciascun utente nei confronti degli altri; c) la garanzia di accesso alle risorse esclusivamente agli utenti abilitati; d) la registrazione delle attività rilevanti ai fini della sicurezza svolte da ciascun utente, in modo tale da garantirne la identificazione.” In particolare i sistemi operativi devono risultare conformi alle specifiche indicate nella circolare AIPA n. 31 del 21/6/2001. Le registrazioni di sicurezza devono essere protette da modifiche non autorizzate (DPCM 31/10/2000, Art. 7, comma 4). Per ogni Amministrazione dovrà essere garantita l’indipendenza e la protezione (isolamento) dei dati. Le patch che risolvano problematiche di sicurezza critiche per i server esposti alla rete dovranno essere installate nel più breve tempo possibile dalla disponibilità delle patch stesse e di norma entro le 48 ore. L’Aggiudicatario deve nominare un proprio “Responsabile della sicurezza dei servizi erogati dal Centro Servizi”. Per ogni installazione relativa alla infrastruttura di ciascun servizio, dovrà essere prodotta una checklist di sicurezza da utilizzarsi in fase di collaudo. Tale checklist dovrà essere approvata dal CNIPA. Il mantenimento della sicurezza nel tempo è soggetto a audit periodici indipendenti. Gli audit, il cui costo è a carico dell’Aggiudicatario, avranno frequenza annuale e verranno svolti da organizzazioni selezionate su proposta dell’Aggiudicatario, ma con l’approvazione del CNIPA. Gli audit si svolgeranno con una rappresentanza del CNIPA.
Sicurezza logica. Tutti i sistemi, sia quelli Linux Red Hat che quelli Windows, sono hardenizzati. A seconda della loro collocazione nell’architettura di rete Infocert (es. DMZ, Back end, Area protetta per i sistemi dedicati alla Certification Authority, etc) è previsto un tipo di hardenizzazione diverso. L'accesso da parte degli Amministratori di sistema, all'uopo nominati, in conformità con quanto prescritto dalla normativa vigente, avviene tramite un'applicazione di “root on demand” che permette l'utilizzo dei privilegi dell'utenza root solo previa autenticazione individuale. Gli accessi sono tracciati, loggati e conservati per 6 mesi.
Sicurezza logica. Ad ogni Amministrazione contraente, il RTI garantisce l'isolamento e la protezione dei dati. Le tematiche di gestione del rischio e della compliance vengono indirizzate attraverso: • processi di Gestione della Sicurezza, che saranno descritti in dettaglio nel relativo Piano; • corretta gestione dei profili di accesso di tipo amministrativo assegnati da specifica struttura organizzativa separata da quelle deputate alla gestione tecnica dei sistemi, in conformità al Provvedimento del Garante Privacy 1.6.2006; • rispetto degli obblighi di legge previsti dal Testo Unico in materia di privacy – D.Lgs. 196/03; • conformità agli standard internazionali di sicurezza e alle best practice richiamate anche dall’ISO27001 in materia di User Access Management; • framework documentale interno per la descrizione di policy e linee guida di riferimento; nello specifico tutte le aziende del RTI utilizzano un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) conforme allo standard ISO/IEC 27001, per assicurare la protezione, l'affidabilità, la riservatezza e l'integrità delle informazioni delle Amministrazioni, il patrimonio intellettuale, le attività e le informazioni affidate da terzi. • conformità alle linee guida di riferimento emanate dagli enti internazionali che si occupano di sicurezza informatica, quali ad esempio il National Institute of Standards and Technology (NIST), la European Union Agency for Network and Information Security (ENISA). I processi rispettano i principi generali stabiliti da tali norme, quali l'univocità degli identificativi personali, il minimo privilegio secondo le funzioni svolte, la tracciabilità delle operazioni, la separazione dei ruoli a livello funzionale o individuale, la riservatezza delle informazioni, la protezione di dati e sistemi attraverso meccanismi di segregazione a più livelli. In particolare, gli accessi ai sistemi da parte del personale tecnico vengono tracciati attraverso un sistema di Security Log Management e conservati secondo quanto previsto dalle normative correnti in materia di sicurezza.
Sicurezza logica. Di seguito elencati i requisiti richiesti per la sicurezza logica del data center: - Devono essere implementati meccanismi di controllo degli accessi (ACL) e di autenticazione personale; - Devono essere adottate soluzioni informatiche atte a contrastare gli effetti dei “malware” (virus, trojan, etc.) con meccanismi di aggiornamento periodico dei pattern e dei motori di scansione; - Devono essere implementati meccanismi di firewall tra la rete interna e la rete esterna; - Devono essere adottate soluzioni perimetrali di tipo IPS/IDS (Intrusion Prevention/Intrusion Detection) sulla LAN/WAN che garantiscono la protezione degli attacchi di rete più comuni; - Deve essere tracciato, ove richiesto, l’accesso in lettura o modifica del dato; - Devono essere rispettati tutti gli adempimenti di legge relativi alla privacy.
Sicurezza logica. Di seguito elencati i requisiti richiesti per la sicurezza logica del data center: - Devono essere adottate soluzioni informatiche atte a contrastare gli effetti dei “malware” (virus, trojan, etc.) con meccanismi di aggiornamento periodico dei pattern e dei motori di scansione; - Devono essere rispettati tutti gli adempimenti di legge relativi alla privacy.
Sicurezza logica. L’accesso logico agli asset di servizio è consentito solo al personale autorizzato, opportunamente responsabilizzato riguardo a: • L’osservanza delle procedure e delle misure di sicurezze definite; • La sicurezza delle credenziali di accesso agli asset. La sicurezza logica dell’infrastruttura di servizio è inoltre garantita da: • Un’infrastruttura di rete solida e sicura; • L’adozione di software e hardware di sicurezza; • L’implementazione di sistemi di monitoraggio e allarme; • L’adozione di adeguate procedure di monitoraggio e controllo degli asset.
Sicurezza logica. Le informazioni market sensitive, quando elaborate/trattate/ trasmesse/archiviate in formato elettronico, debbono essere trattate in modo da garantirne la riservatezza.
Sicurezza logica. Il popolamento del Registro rispetto a uno specifico Contesto Informativo comporta in via automatica il corrispondente popolamento del data base delle licenze di autorizzazione all’accesso ai corrispondenti file, con i profili utente corrispondenti ai ruoli definiti nel Registro medesimo, anche per categoria.
Sicurezza logica. L'accesso al gestionale è soggetto a verifica delle credenziali utente e password. La complessità delle password è richiesta a norma di legge e ogni 6 mesi ne viene notificata all'utente la scadenza. È presente un articolato sistema di definizione dei livelli di accesso in base alla tipologia e mansioni dell'utente. Il collegamento di rete tra la postazione di lavoro e il gestionale è sottoposto al protocollo SSL/TLS, usato universalmente per la cifratura delle trasmissioni su web application. Rimane a cura del cliente il rispetto delle misure minime concernenti le stazioni di lavoro presso la propria sede (password del PC, blocca schermo, antivirus ecc.). Internamente il gestionale cifra in automatico i dati sensibili del paziente comprensivi di quelli di refertazione, sul database, attraverso i migliori standard del settore (AES). La separazione dei dati anagrafici da quelli sensibili è mantenuta al livello del database tramite la separazione in differenti tabelle. Il metodo di autenticazione delle password di accesso del gestionale segue i migliori standard del settore (key derivation function). A meno di possibili accordi specifici in altro senso, l'infrastruttura IT di Vettore Rinascimento prevede la presenza su ciascun server fisico di alcune istanze di diversi clienti; la separazione tra dati di differenti clienti all'interno di una macchina è imposta in modo rigoroso, a livello di processo, filesystem e database, con tecniche equivalenti a quanto avviene sui comuni servizi hosting o cloud.