Sicurezza, privacy e gestione utenti. I sistemi dovranno essere implementati in modo da garantire un elevato livello di sicurezza, pertanto dovranno essere in grado di supportare adeguati meccanismi di gestione utenze e accessi, di gestione delle sessioni ed essere conforme alle buone pratiche di sicurezza per quanto riguarda la gestione delle vulnerabilità (ad es. SQL Injection, ecc.) e la comunicazione sicura tra server e client (ad es. tramite protocollo HTTPS). Nello specifico, la gestione di utenti e dei relativi accessi deve tenere conto di specifiche politiche di riservatezza e di protezione dei dati, ovvero garantire l’accesso ai dati esclusivamente agli utenti interni ed esterni aventi tale autorizzazione. Le modifiche dei dati dovranno essere subordinate alla verifica che l'utente sia in possesso delle autorizzazioni necessarie. ln ogni caso, ogni operazione di modifica su dati o documenti dovrà essere tracciabile ed opportunamente documentata in appositi file di log. Si richiede inoltre, per le attività dell’amministratore di sistema, la conformità a normative vigenti. La gestione di tali politiche deve essere supportata da un gestore utenti e un sistema di autenticazione unico e centralizzato, unico responsabile della gestione dei codici identificativi personali e dei relativi diritti. A questo scopo, è richiesto, come scritto in precedenza, lo sviluppo di un dominio di controllo accessi che dovrà essere alimentato dal sistema di gestione del personale come fonte preferenziale dell’anagrafe degli operatori riconosciuti, e dovrà alimentare la gestione degli accessi dei sistemi forniti, anche in termini di definizione dei ruoli e dei gruppi. Tale sistema dovrà consentire la gestione dell’intero ciclo di vita di tutti gli account utilizzatori (creazione, modifica/aggiornamento, revoca, sospensione e cancellazione). La funzione di accesso autorizzato, prevista per tutti gli utenti/funzioni, deve essere garantita a seguito di ogni sviluppo, manutenzione e configurazione. Il sistema di sicurezza che dovrà essere sviluppato deve garantire almeno le seguenti funzionalità minime ulteriori: • Controllare, revocare e modificare i diritti d’accesso agli oggetti e alle funzionalità degli applicativi; • Funzioni di sicurezza applicativa (autenticazione e autorizzazione) verso tutti gli applicativi; • Secure Single Sign On (SSO), per l’accesso a contenuti e moduli applicativi da un unico punto di accesso;
Sicurezza, privacy e gestione utenti. Il servizio di consulenza richiesto dovrà garantire un elevato livello di sicurezza, pertanto dovrà essere in grado di supportare adeguati meccanismi di gestione utenze e accessi, di gestione delle sessioni ed essere conforme alle buone pratiche di sicurezza per quanto riguarda la gestione delle vulnerabilità. Nello specifico la gestione di utenti e dei relativi accessi deve tenere conto di specifiche politiche di riservatezza e di protezione dei dati, ovvero garantire l’accesso ai dati esclusivamente ai collaboratori di Mi.Ri. aventi tale autorizzazione. La modifica di un risultato dovrà essere subordinata alla verifica che l'utente sia in possesso delle autorizzazioni necessarie. In ogni caso, ogni operazione di modifica su dati o documenti dovrà essere tracciabile ed opportunamente documentata in appositi file di log di Milano Ristorazione S.p.A.. In adeguamento alla nuova normativa sul GDPR verrà richiesta la sottoscrizione del Data Processing Agreement (DPA) in cui il fornitore si dichiara disponibile e competente per la piena attuazione di quanto disposto, conferma la diretta ed approfondita conoscenza degli obblighi che assumerà in relazione del dettato del GDPR, conferma, di disporre di una propria organizzazione che dichiara idonea a consentire il trattamento dei dati in pieno rispetto delle prescrizioni legislative, ivi compreso il profilo della sicurezza, e si impegna a procedere al trattamento dei dati personali attenendosi alle istruzioni impartite nel pieno rispetto di quanto imposto dal dall’art.28 GDPR. Si richiede inoltre, per le attività dell’amministratore di sistema, la conformità a quanto indicato con il provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 riguardante le “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” (G.U. n. 300 del 24 dicembre 2008). La gestione di tali politiche è supportata da un gestore utenti e un sistema di autenticazione unico e centralizzato, che gestisce i codici identificativi personali e dei relativi diritti. L’Aggiudicatario si impegna a trattare i dati personali di cui avrà disponibilità in virtù del contratto nel pieno rispetto del Regolamento Europeo n. 679/2016 in materia di protezione dei dati personali – cd. GDPR, della normativa italiana di coordinamento e di tutte le altre disposizioni vigenti in materia di trattamento dei dati personali ed,...