Vulnerability Assessment & Penetration Test. Il Fornitore effettua periodicamente attività di analisi delle vulnerabilità finalizzate a rilevare lo stato di esposizione alle vulnerabilità note, sia in relazione agli ambiti infrastrutturali sia a quelli applicativi, considerando i sistemi in esercizio o in fase di sviluppo. Ove ritenuto appropriato in relazione ai potenziali rischi identificati, tali verifiche sono integrate periodicamente con apposite tecniche di Penetration Test, mediante simulazioni di intrusione che utilizzano diversi scenari di attacco, con l’obiettivo di verificare il livello di sicurezza di applicazioni/sistemi/reti attraverso attività che mirano a sfruttare le vulnerabilità rilevate per eludere i meccanismi di sicurezza fisica/logica ed avere accesso agli stessi. I risultati delle verifiche sono puntualmente e dettagliatamente esaminati per identificare e porre in essere i punti di miglioramento necessari a garantire l’elevato livello di sicurezza richiesto.
Vulnerability Assessment & Penetration Test. 2 Premessa 2.1 Scopo del documento ATS Città Metropolitana di Milano (d’ora in avanti, ATS) ha l’esigenza di individuare, tramite apposita Procedura di Appalto, un operatore economico a cui affidare i servizi realizzativi e aggiuntivi di un applicativo software web-based che consenta la governance dei processi gestionali relativi alle Convenzioni che ATS predispone, redige e stipula con soggetti terzi all’Agenzia. La presente fornitura riguarda le attività di sviluppo di una soluzione applicativa e l’hosting dell’applicazione web in cloud. Il sistema richiesto deve implementare la gestione delle convenzioni stipulate da ATS, garantendo in particolare la copertura delle seguenti macroaree funzionali: • Document Management o editing dei documenti integrato nell’applicazione o registro delle convenzioni o fascicolazione o invio in conservazione • Scadenziari • Integrazioni o Active Directory o Sistema di gestione documentale e protocollo o Gestione delibere o Gestione del personale o Portale dei pagamenti • Gestione del processo di firma digitale • Reportistica e cruscotti gestionali • Interfacce applicative personalizzate • Gestione del workflow di processo • Gestione dell’intero ciclo di vita delle convenzioni • Gestione delle utenze ATS o Dell’ufficio convenzioni o Degli uffici richiedenti o Degli uffici riceventi stagisti e specializzandi o Dei consulenti interni ad ATS (Data Protection Officer, SC Bilancio, SC Gestione Acquisiti, SC Gestione Patrimoniale, SC Gestione Risorse Umane) • Gestione degli stakeholders contraenti e di tutti i contatti; • Gestione degli stagisti e specializzandi
Vulnerability Assessment & Penetration Test. Il Fornitore effettua periodicamente attività di analisi delle vulnerabilità finalizzata a rilevare lo stato di esposizione alle vulnerabilità note, sia in relazione agli ambiti infrastrutturali sia a quelli applicativi, considerando i sistemi in esercizio o in fase di sviluppo. Ove ritenuto appropriato in relazione ai potenziali rischi identificati, tali verifiche sono integrate periodicamente con apposite tecniche di Penetration Test, mediante simulazioni di intrusione che utilizzano diversi scenari di attacco, con l’obiettivo di verificare il livello di sicurezza di applicazioni / sistemi / reti attraverso attività che mirano a sfruttare le vulnerabilità rilevate per eludere i meccanismi di sicurezza fisica / logica ed avere accesso agli stessi. I risultati delle verifiche sono puntualmente e dettagliatamente esaminati per identificare e porre in essere i punti di miglioramento necessari a garantire l’elevato livello di sicurezza richiesto. Amministratori di Sistema – Relativamente a tutti gli utenti che operano in qualità di Amministratori di Sistema, il cui elenco è mantenuto aggiornato e le cui funzioni attribuite sono opportunamente definite in appositi atti di nomina, è gestito un sistema di log management finalizzato al puntuale tracciamento delle attività svolte ed alla conservazione di tali dati con modalità inalterabili idonee a consentirne ex post il monitoraggio. L’operato degli Amministratori di Sistema è sottoposto ad attività di verifica in modo da controllarne la rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previsti dalle norme vigenti. Data Center – L'ambiente di virtualizzazione (inclusa la SAN – Storage Area network) è presente su server ospitati in un data center sito in Italia la cui gestione è demandata ad un fornitore certificato ISO 27001. In particolare le misure di sicurezza fisica poste a protezione del Data Center sono di seguito elencate: • Perimetro di sicurezza esterno: ✓ recinzione perimetrale che delimita il confine di proprietà composta da una protezione passiva anti scavalcamento con altezza minima di 3 m; ✓ le aree esterne sono monitorate da barriere infrarossi e/o sistemi di videoanalisi e sistemi di videosorveglianza con videoregistrazione; ✓ accesso pedonale selettivo/singolo; ✓ accesso veicolare selettivo; ✓ ronda armata. • Perimetro di sicurezza interno: ✓ presidio di vigilanza per controlli aree interne ed esterne, supervisione; ✓ allarmi, gestione visi...