INDICE
INDICE
0. SCOPO E CAMPO DI APPLICAZIONE
1. DOCUMENTI DI RIFERIMENTO PER IL TRUST SERVICE PROVIDER (Fornitore dei servizi fiduciari)
2. PRINCIPI GENERALI E GARANZIE PER IL TSP
3. REQUISITI COGENTI E LIMITI DI CONTROLLO DELLA LEGALITÁ
4. REQUISITI DI ACCESSO PER LA CERTIFICAZIONE
5. ITER DI CERTIFICAZIONE
6. MODIFICHE AL CAMPO DI APPLICAZIONE DELLA CERTIFICAZIONE
7. AUDIT STRAORDINARI
8. SOSPENSIONE E REVOCA DELLA CERTIFICAZIONE
9. TRASFERIMENTO DELLA CERTIFICAZIONE
10.USO DEL MARCHIO E DEL CERTIFICATO DI CONFORMITÁ
11.MODIFICHE CHE INFLUENZANO LA CERTIFICAZIONE
12.RECLAMI, RICORSI E CONTENZIOSI
13.FACOLTÀ DI RECESSO UNILATERALE DAL CONTRATTO
14.MODIFICA UNILATERALE DEL CONTRATTO
Rev. | Sintesi modifica | Data |
5 | Recepimento versione ETSI EN 319 403 – 1 e circolare Accredia 5 | 2021-03-01 |
4 | Aggiornamento Loghi e sito internet Kiwa | 2019-07-19 |
Verifica:
Direttore Qualità & Industrializzazione Xxxxx Xxxxxxxxx Firma su cartaceo
Approvazione:
Chief Operating Officer Xxxxxxxxx Xxxxxxxx Firma su cartaceo
È vietata la riproduzione totale o parziale, con qualsiasi mezzo, di questo documento senza l'autorizzazione di Kiwa Cermet Italia
0. SCOPO E CAMPO DI APPLICAZIONE
Il presente Regolamento definisce i diritti e doveri, nonché la metodologia operativa che regola i rapporti tra Kiwa Cermet Italia S.p.A. (nel seguito Kiwa Cermet per brevità) e le Organizzazioni Clienti (TSP – Trust Service Provider)1, nell’erogazione della Certificazione dei servizi fiduciari, in accordo ai requisiti della norma degli Organismi di Certificazione UNI XXX XX XXX/XXX 00000.
I requisiti espressi nel presente regolamento, fanno parte integrante del contratto stipulato con Kiwa Cermet (offerta economica, Regolamento Kiwa per la Certificazione e Termini e Condizioni Generali di Kiwa Cermet Italia per lo svolgimento degli incarichi - nel seguito Termini e Condizioni Generali per brevità). Tali requisiti, sono riferiti unicamente agli aspetti specificatamente connessi al campo di applicazione della certificazione richiesta.
È espressamente esclusa, dall’oggetto del contratto qualunque forma di consulenza al TSP, che possa far venir meno la natura di indipendenza delle valutazioni svolte.
Il presente regolamento è disponibile anche sul sito Kiwa Cermet (xxx.xxxx.xx).
1. DOCUMENTI DI RIFERIMENTO PER IL TRUST SERVICE PROVIDER (Fornitore dei servizi fiduciari)
1. REGOLAMENTO (UE) N. 910/2014 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE.
2. ETSI EN 319 401 (nella versione aggiornata) 3. ETSI EN 319 403-1
4. ETSI EN 319 411-2, supportata dalla ETSI EN 319 411-1
5. ETSI EN 319 421 e 422 [servizio di emissione di marche temporali] 6. ETSI EN 319 412 (1, 2, 3, 4 e 5)
7. ETSI TS 119 403-2 per i certificati qualificati legati a schemi internazionali che richiedono audit annuali 8. ETSI TS 119 403-3
9. ETSI EN 319 521 e ETSI EN 319 531
10.ETSI EN 319 522 e ETSI EN 319 532 (tutte le parti)
11.ETSI TS 119 511
12.ETSI TS 119 441 e ETSI EN 319 102-1
13.ETSI TS 119 102-1 e ETSI EN 119 102-2
14.ETSI TS 119 612 e ETSI EN 119 615
Le norme citate si intendono nella loro revisione aggiornata.
2. PRINCIPI GENERALI E GARANZIE PER IL TSP
Nella sua attività di certificazione, oltre quanto previsto nei Termini e Condizioni Generali, Kiwa Cermet applica i seguenti principi:
a) Assenza di discriminazione: l’accesso ai servizi di certificazione è consentito a qualsiasi Organizzazione che ne faccia richiesta, in osservanza al presente Regolamento, senza alcuna condizione discriminatoria di natura commerciale, finanziaria o d’appartenenza a particolari associazioni.
b) Imparzialità ed indipendenza: assicurate mediante le seguenti misure:
- Svolgimento delle attività di certificazione assegnate a personale non avente alcun interesse nel TSP e nei servizi oggetto di certificazione, tenuto a osservare le regole comportamentali e di indipendenza stabilite da
1 TSP – Trust Service Provider - la cui traduzione italiana è Fornitore di Servizi Fiduciari viene utilizzato nel presente documento come termine unico di riferimento nell’accezione propria data dal servizio e nelle accezioni derivanti dal rapporto con Kiwa Cermet, assume quindi il valore equipollente di Organizzazione e cliente.
Kiwa Cermet. Su questo punto Kiwa Cermet si impegna ad accettare eventuali segnalazioni motivate da parte del TSP, relativamente alla sussistenza di incompatibilità di incarico, che potrebbero compromettere l’imparzialità o indipendenza di giudizio.
- Puntuale applicazione di regole e procedure formalizzate in uso da parte di tutto il personale dei servizi di certificazione e consultazione periodica con appropriate parti interessate alla certificazione;
- Netta separazione tra il personale che esegue le attività di audit e quello che partecipa alla decisione di certificazione;
- Totale astensione dallo svolgimento di attività di assistenza nella definizione e applicazione dei requisiti per ottenere la Certificazione.
c) Puntuale e rapida gestione dei reclami, ricorsi e contenziosi, così come definito nel § 12 del presente Regolamento;
d) Riservatezza: Oltre quanto regolamentato nei Termini e Condizioni Generali e nel Regolamento Kiwa per la Certificazione, Kiwa Cermet provvede a far sottoscrivere a tutto il personale, compresi i propri Auditor, un impegno alla riservatezza, nonché un documento nel quale il personale si impegna a trattare qualsiasi dato di cui entra in possesso nel rispetto delle disposizioni di legge sulla Privacy.
e) Accreditamenti: Kiwa Cermet si impegna ad informare il TSP dell’eventuale rinuncia, sospensione o revoca dell’accreditamento, nonché a supportare il TSP nella fase del passaggio ad altro Organismo accreditato; in tali casi Kiwa Cermet non è in alcun modo responsabile per eventuali danni causati al TSP dalla rinuncia, sospensione o revoca dell’accreditamento; nei suddetti casi, il TSP ha facoltà di rinunciare al rapporto contrattuale con Kiwa Cermet, senza necessità di preavviso e senza oneri aggiuntivi.
3. REQUISITI COGENTI E LIMITI DI CONTROLLO DELLA LEGALITÀ
La conformità legislativa attinente all’oggetto della certificazione sarà considerata da Kiwa Cermet un pre-requisito indispensabile per il rilascio della certificazione.
La certificazione rilasciata da Kiwa Cermet tuttavia, riguarda solo la conformità alle norme e regolamenti di riferimento, pertanto non costituisce garanzia di rispetto dei requisiti cogenti, onere di specifica pertinenza del TSP, che rimane unica responsabile, verso sé stessa e verso terzi, degli adempimenti legislativi connessi alle attività oggetto di certificazione.
A tale proposito, le attività di audit di Kiwa Cermet non devono essere considerate come una forma di liberatoria nei confronti delle eventuali verifiche condotte dalle Autorità Competenti.
4. REQUISITI DI ACCESSO PER LA CERTIFICAZIONE
4.1 Requisiti Generali
Il TSP, prima di intraprendere l’iter di Certificazione con Kiwa Cermet, deve soddisfare i seguenti requisiti:
- Essere conforme ai requisiti di riferimento per la certificazione.
- Accettare le condizioni previste dal presente Regolamento.
- Autorizzare l’accesso ai locali, stabilimenti, alle aree e alle informazioni necessarie per svolgere gli Audit.
- Designare un proprio Rappresentante come interlocutore principale del Gruppo di Audit e far svolgere a eventuali consulenti presenti durante gli Audit il ruolo di osservatore.
- Essere responsabile dell’applicazione dei requisiti previsti dalle norme vigenti in materia di sicurezza sul luogo di lavoro. In assenza di disposizioni cogenti, il TSP si impegna a fornire a Kiwa Cermet un’informativa completa e dettagliata relativa ai rischi specifici esistenti nell’ambiente in cui è destinato ad operare il personale Kiwa Cermet e i DPI necessari per lo svolgimento dell’incarico, informando il personale di Kiwa Cermet sul loro corretto utilizzo. A tal proposito, l’Organizzazione cliente dovrà fornire al personale incaricato da Kiwa Cermet la documentazione aziendale relativa alla sicurezza sul lavoro (D.V.R., piano sicurezza, procedure, ecc.), limitatamente alle voci di interesse specifico. Allorché per tali omissioni, si verificassero infortuni o venissero contratte malattie, nessun addebito potrà essere mosso per alcuna ragione a Kiwa Cermet.
- Accettare eventuali audit aggiuntivi da parte di Kiwa Cermet, oltre quelli previsti dall’iter standard e descritti nel presente regolamento, qualora richiesti dall’Organismo di vigilanza, che saranno a titolo oneroso per il TSP da sottoporre ad audit.
- Comunicare a Kiwa Cermet (oltre che alle altre parti indicate nell’ art 19 del Reg. 910/2014) tempestivamente e in ogni caso entro 24 ore dall’esserne venuti a conoscenza, tutte le violazioni della sicurezza o le perdite di integrità che abbiano un impatto significativo sui servizi fiduciari prestati o sui dati personali ivi custoditi.
- Comunicare a Kiwa Cermet tempestivamente, l’eventuale ritiro della qualifica dei servizi fiduciari oggetto di certificazione da parte dell’Organismo di Vigilanza, a fronte del quale Kiwa Cermet valuterà le conseguenti azioni necessarie sulle certificazioni.
- Accettare, senza costi aggiuntivi per il TSP, l’eventuale presenza di valutatori dell’ente di accreditamento (Accredia) e di controllo (AgID), che saranno notificati da Kiwa Cermet con chiara illustrazione di ruoli. Tale presenza ha lo scopo di accertare che le modalità di valutazione adottate da Kiwa Cermet siano conformi ai requisiti per l’accreditamento. Gli ispettori di ACCREDIA e di AgID potranno intervenire durante gli audit di conformità, in tutte le fasi e in tutti i siti e gli ambienti lavorativi, in qualità di osservatori.
4.2 Controlli e Market Surveillance Visit richieste da Accredia
Per le certificazioni coperte da accreditamento, allo scopo di accertare che le modalità di valutazione adottate da Kiwa Cermet siano conformi alle regole di riferimento, l’Ente di Accreditamento può richiedere l'effettuazione di una visita, detta Market Surveillance Visit, presso il TSP certificato, direttamente attraverso l'uso di proprio personale.
Questa eventuale visita viene comunicata dall’Ente di Accreditamento a Kiwa Cermet con 7 giorni lavorativi di preavviso. Ricevuta tale comunicazione Kiwa Cermet informerà il TSP.
Il piano della visita viene preparato dall’Ente di Accreditamento, che lo renderà disponibile a Kiwa Cermet, successivamente Kiwa Cermet lo invierà il TSP.
Qualora il TSP non conceda il proprio benestare, la validità del certificato viene sospesa, fino a quando non viene concesso il benestare alla visita, per un periodo massimo di 3 mesi. Scaduti i 3 mesi, in assenza di benestare alla visita, la certificazione viene revocata.
Il TSP dovrà rendere disponibile all’Ente di Accreditamento la documentazione che Kiwa Cermet ha preso a riferimento durante gli audit precedenti. La Market Surveillance Visit non sostituisce i normali audit di mantenimento della certificazione previsti dal programma degli audit2.
Altri metodi di controllo potranno essere adottati dall’Ente di accreditamento Accredia, per verificare l’operatività di Kiwa Cermet ad es. verifiche senza preavviso presso le sedi dei soggetti certificati, richiesta di notizie ad organizzazioni o società di consulenza, o altri metodi di controllo stabiliti dall’Ente di Accreditamento stesso.
4.3 Verifiche aggiuntive richieste da XxXX
In ottemperanza all’art 20 par.2 del Regolamento eIDAS – 910/2014 il TSP si deve rendere disponibile a ricevere gli audit che l’Organismo di Vigilanza voglia pianificare come integrazione della verifica di conformità al regolamento stesso.
5. ITER DI CERTIFICAZIONE
5.1 Requisiti Generali
5.1.1 Requisiti generali degli audit
Ogni Audit comprende una riunione iniziale, in cui vengono condivisi: gli obiettivi, le modalità di esecuzione dell'attività, i criteri di classificazione delle non conformità con le correzioni e azioni correttive conseguenti e il vincolo di riservatezza a cui è subordinato il personale Kiwa Cermet; e una riunione di chiusura, in cui si comunica l'esito dell’Audit e vengono forniti i chiarimenti in merito ai risultati formalizzati nel rapporto.
Nella riunione finale, il Gruppo di Audit presenta alla Direzione i risultati dell’Audit e le conclusioni in merito alla rispondenza dei servizi fiduciari ai requisiti delle normative di riferimento, precisando le eventuali Non Conformità riscontrate. Al termine della riunione, il Responsabile del Gruppo di Audit rilascia un Rapporto che descrive i risultati dell’Audit. Tale copia del rapporto tuttavia non può considerarsi definitiva e quindi valida fino a quando Kiwa Cermet non invia conferma del rapporto di audit al TSP. Pertanto, l’invio dei rapporti di audit all’Organismo di Xxxxxxxxx (AgID) da parte del TSP, dovrà avvenire solo dopo la ricezione della conferma del rapporto di audit da parte di Kiwa Cermet (nei termini indicati dal Reg. 910).
2 Una linea guida per le modalità di svolgimento della Market Surveillance Visit è rappresentata dal documento IAF ID 04 (scaricabile gratuitamente dal sito IAF: xxxx://xxx.xxx.xx).
Eventuali opinioni divergenti fra il Gruppo di Audit e il TSP, riguardo alle risultanze dell’audit o alle sue conclusioni, devono essere discusse e risolte, ove possibile. Nel caso di eventuali opinioni divergenti non risolte, il TSP può esporre riserve riguardanti i risultati dell’Audit.
Ogni rapporto di audit prodotto da Kiwa Cermet a seguito degli audit di seguito descritti:
− verrà sigillato in via informatica da Kiwa Cermet, al fine di garantirne autenticità ed integrità nei confronti di xxxxx
− sarà comprensivo di tutti i documenti di registrazione delle evidenze oggettive prodotti sul campo
− verrà trasmesso formalmente al TSP a mezzo posta elettronica certificata.
Nel caso in cui, in sede di Audit, vengano riscontrati scostamenti significativi tra la realtà aziendale e quanto comunicato dal TSP, il Gruppo di Audit comunica immediatamente questo scostamento a Kiwa Cermet, al fine di decidere eventuali modifiche contrattuali con conseguenti aggiornamenti della durata degli Audit.
5.1.2 Classificazione dei rilievi
Ogni rilievo riscontrato nel corso degli Audit è classificato come segue:
Non conformità maggiore: mancato soddisfacimento di un requisito normativo che influenza la capacità del Servizio fiduciario di conseguire i risultati attesi e quindi pregiudica la conformità del servizio. Essa può riguardare:
- Deviazione o assenza totale di conformità rispetto ad un requisito specificato, riscontrata sulla base di evidenze oggettive;
- Mancato adempimento a requisiti di legge applicabili allo scopo di certificazione.
- Inadempienza grave e ripetuta lesiva della sicurezza o della integrità del sistema.
- Mancata comunicazione di modifiche che abbiano un impatto diretto sui servizi “eIDAS” e/o sulla sicurezza delle informazioni dell'infrastruttura a supporto di tali servizi.
Non conformità minore: mancato soddisfacimento di un requisito normativo o regolamentato, o mancato rispetto di uno o più requisiti stabiliti dalle procedure del TSP e/o del contratto stipulato con Kiwa Cermet, che non hanno impatto sulla capacità del TSP di conseguire i risultati attesi e quindi non pregiudica la conformità del servizio, pertanto non rientra nella casistica delle non conformità maggiori sopra descritte.
Più non conformità minori, inerenti a uno stesso requisito della Norma, in funzione dei contenuti e del risultato generale dell’audit possono comportare l’emissione una NC maggiore.
Non conformità minori non risolte e/o non prese in carico dal TSP possono comportare l’emissione di NC maggiore.
Al termine di ogni Audit, il Gruppo di Audit si riunisce per la valutazione delle evidenze registrate, la loro
classificazione e la stesura del rapporto.
5.1.3 Gestione delle Non Conformità
In caso si rilevino delle Non conformità (minori o maggiori) a seguito degli audit di seguito descritti (eccetto per gli audit preliminari che non fanno parte dell’iter di certificazione), il TSP dovrà regolarsi come segue:
1. Il TSP deve inviare a Kiwa Cermet entro 20 giorni lavorativi, sulla apposita modulistica, la proposta relativa alle correzioni e azioni correttive stabilite (a fronte di analisi e formalizzazione delle cause radice che le hanno generate), con la tempistica di attuazione.
2. Il TSP dovrà implementare il piano di azioni correttive stabilito, entro e non oltre 3 mesi dalla conclusione dell’audit (in funzione del tipo e criticità di azioni correttive da mettere in atto);
Le modalità di valutazione della risoluzione delle non conformità (in campo o documentalmente) saranno stabilite da Kiwa Cermet in funzione degli aspetti da visionare. In generale:
• In caso di non conformità minori: la verifica dell’attuazione e dell’efficacia delle correzioni e azioni correttive può essere effettuata da Kiwa Cermet mediante una verifica documentale (in occasione dell’Audit successivo ne sarà rivalutata implementazione ed efficacia in campo).
• In caso di non conformità maggiori, Kiwa Cermet deve verificare l’attuazione e l’efficacia delle correzioni e azioni correttive necessariamente con un audit supplementare presso il TSP.
5.1.4 Verifica della Robustezza delle infrastrutture “cloud” del TSP
Durante gli audit condotti da Kiwa Cermet, in merito all'uso di infrastrutture "cloud", il TSP deve dare evidenza a Kiwa Cermet della capacità di reale "controllo operativo" di tali servizi e della garanzia dell’ubicazione dell’infrastruttura tecnologica di supporto (server, storage e infrastrutture di trasmissione dei dati, come VPN) all’interno dell’UE.
Deve essere sempre garantita la trasmissione dei dati di conservazione in modalità sicura attraverso qualsiasi canale adottato.
Il TSP deve dare evidenza a Kiwa Cermet anche dell’esistenza del diritto contrattuale di svolgere attività di audit interno su tali servizi che preveda la possibilità di accesso anche del personale Kiwa Cermet e all’Autorità di controllo.
L’esistenza di una certificazione del fornitore di servizi “cloud” rilasciata sotto accreditamento a fronte della Norma ISO/IEC 27001, corroborata dall’utilizzo della Linea Guida ISO 27017, per il perimetro sottostante la realizzazione dei servizi cloud, comprese le linee di comunicazione punto-punto, sarà considerata da Kiwa Cermet una modalità accettabile per considerare il servizio conforme.
Le infrastrutture fisiche di elaborazione e memorizzazione dei dati debbono risiedere all’interno del territorio dell’UE. La gestione dei dati dovrà essere conforme ai requisiti del GDPR (Regolamento 679/2016), vuoi che la stessa avvenga tramite l’infrastruttura proprietaria, vuoi che avvenga tramite servizi “cloud”.
5.1.5 Verifica della Robustezza del sistema IT del TSP
Kiwa Cermet verificherà l’esistenza e l’accettabilità dei controlli operativi relativi ai processi di VA (Vulnerability Assessment) e PT (Penetration Test). Tali test dovranno essere svolti da Laboratori interni o esterni al TSP, la cui qualificazione deve essere basata sulla Norma UNI CEI EN ISO/IEC 17025 e che, sin da subito, forniscano evidenza almeno di:
- Individuazione e applicazione dei requisiti inerenti alla metodologia di valutazione tecnica adottata, che richiami, preferibilmente, l'applicazione dei requisiti della norma ISO/IEC 27008;
- Competenza (in termini di qualifiche rilasciate sulla base di evidenze oggettive, esperienza nel settore etc.) delle Risorse Umane addette a tali test;
- Qualifica (certificazione in gergo IT) dei SW utilizzati (almeno la garanzia che le versioni siano compatibili e aggiornate ai rilasci dei Sistemi Operativi e delle applicazioni da analizzare del TSP).
La valutazione di cui sopra, ove il Laboratorio di test sia scelto dal TSP è di pertinenza dello stesso TSP e sarà oggetto di valutazione nell'ambito del processo di audit da parte di Kiwa Cermet. Diversamente, se il Laboratorio viene scelto da Kiwa Cermet, Kiwa Cermet selezionerà un laboratorio qualificato sulla base della Norma UNI CEI EN ISO/IEC 17025
Dal 28 Febbraio 2021, i Laboratori che effettueranno tali attività di PT e VA, dovranno essere accreditati secondo la norma UNI XXX XX XXX/XXX 00000.
5.1.6 Outsourcing
In caso di servizi affidati in outsourcing, Kiwa Cermet effettuerà l’audit presso tali operatori, tenendo conto del fatto che i processi essenziali (es. gestione dei QSCD; gestione dei database delle revoche CRL; gestione delle Registration Authority RA) alla realizzazione dei servizi gestiti a fronte del Regolamento “eIDAS” (non processi di supporto) debbono essere comunque svolti da un TSP qualificato (QTSP). Kiwa Cermet verificherà che tali outsourcer siano qualificati come QTSP.
In tale caso, l’audit sarà riconducibile all'applicazione della sola ETSI EN 319 401 e alle modalità adottate per garantire il controllo dei processi in "outsourcing". Ciò vale anche per l'erogazione dei processi di TSP qualificati in modalità "full outsourcing".
Nel caso di TSP qualificati, che allocano sotto la propria responsabilità uno o più QSCD presso uno o più Clienti, il TSP qualificato deve garantire degli adeguati criteri di monitoraggio e controllo operativo di tali apparati, facendosi garantire il diritto di audit e l'autorizzazione di accesso per gli Auditor di Kiwa Cermet e per gli Osservatori di AgID e dell’Organismo di accreditamento Accredia.
5.2 Richiesta di Certificazione
Sulla base delle informazioni fornite dal TSP, Kiwa Cermet elabora un’Offerta per la Certificazione, indicando la Norma/e di riferimento e i servizi da valutare ai fini della qualifica di AgID.
Il TSP dovrà fornire tutti i dati e documenti richiesti, compreso l’elenco dei siti esterni e quelli in cui sono presenti dei QSCD.
La presenza nell’infrastruttura del TSP di QSCD di firma remota, installati in rete o presso strutture esterne che operano sotto la responsabilità del TSP, ma non dichiarati, sarà verbalizzata come Non Conformità Maggiore.
La restituzione a Kiwa Cermet dell’Offerta di Certificazione, firmata da parte del TSP, costituisce la richiesta formale per le attività di Certificazione, nonché l’accettazione delle condizioni contrattuali ed economiche (definite dall’Offerta), delle condizioni contenute nel presente Regolamento, nel Regolamento Kiwa per la Certificazione, nonché dei Termini e Condizioni Generali (disponibili anche sul sito www.kiwa.it3).
Xxx intenda accettare l’Offerta, il TSP deve inoltre far pervenire a Kiwa Cermet:
- Certificato iscrizione C.C.I.A.A. in data non anteriore a 6 mesi, o altro documento equivalente;
- Documentazione attestante il pagamento dell’acconto concordato (ove applicabile);
Al ricevimento dell’offerta firmata e dei suddetti documenti, Kiwa Cermet li esamina, verificando che:
♦ I dati e documenti richiesti siano stati forniti in modo completo e non vi siano differenze rispetto ai dati forniti all’atto della richiesta di offerta;
♦ Siano stati chiaramente definiti e compresi da ambo le parti i requisiti del servizio di certificazione;
♦ Siano state correttamente comprese le aree di attività e i rischi associati del TSP,
♦ Vi sia capacità da parte di Kiwa Cermet di svolgere le attività richieste, con particolare riferimento alle aree di attività del TSP e i rischi aziendali associati, alle competenze necessarie per erogare il servizio di certificazione, in relazione alle attività identificate relative ai servizi fiduciari, ai rischi di sicurezza correlati agli aspetti di vulnerabilità e impatti sul TSP.
Qualora l’esito del precedente esame sia positivo, viene avviato l’iter di Certificazione. In caso di esito negativo è facoltà di Kiwa Cermet richiedere tutte le integrazioni o modifiche necessarie prima del formale avvio dell’iter o comunicare l’impossibilità a tale avvio, motivandone le ragioni al TSP.
Kiwa Cermet comunica al TSP, entro 3 giorni lavorativi dalla data di Stadio 1, i nominativi del Gruppo di Audit; qualora sussistano conflitti di interesse, il TSP può chiederne la sostituzione, formalizzando e motivando la richiesta.
5.3 Audit Preliminare
Nel caso in cui il TSP chieda lo svolgimento di un Audit Preliminare, che può costituire un’opzione proposta in sede di offerta, questo può essere eseguito al fine di valutare il grado di conformità dei servizi da verificare rispetto ai requisiti di riferimento, prima di attivare l’iter di certificazione (Stadio 1 e Stadio 2).
I risultati dell’Audit Preliminare sono documentati, ma non sono considerati ai fini dell’iter di certificazione e relativo rilascio del certificato, pertanto sono espressi solo in termini di non conformità, non comportano da parte del TSP la comunicazione a Kiwa Cermet delle azioni correttive che intende intraprendere e non sono sottoposti ad analisi per il rilascio della certificazione.
L’eventuale audit preliminare non influisce in alcun modo nelle durate degli audit successivi.
5.4 Audit Iniziale di Certificazione
Durante l’Audit iniziale di certificazione, il Gruppo di Audit deve valutare i servizi fiduciari in accordo ai requisiti applicabili. L’Audit iniziale di certificazione viene condotto in due stadi: Stadio 1 e Stadio 2.
5.4.1 Audit di Stadio 1
Lo Stadio 1, effettuato sempre presso la sede del TSP, ha come scopo principale quello di riesaminare la documentazione del TSP. Kiwa Cermet si accorderà con il TSP circa il luogo e le date in cui svolgere lo Stadio 1. Lo Stadio 1 ha anche lo scopo di:
• Acquisire una comprensione della struttura e estensione dei servizi fiduciari offerti dal TSP al fine di pianificare correttamente lo Stadio 2.
• Verificare le registrazioni relative all’entità giuridica, le responsabilità del TSP, nonché i rapporti contrattuali con potenziali contraenti che operano o che forniscono i loro servizi al TSP;
• Verificare lo stato di audit interni / esterni e il riesame della direzione;
3 Kiwa Cermet comunicherà al TSP tutte le successive eventuali modifiche ai documenti contrattuali, è responsabilità del TSP avere sempre la versione aggiornata di tali documenti, scaricandoli dal sito internet xxx.xxxx.xx
• Approfondire ulteriori valutazioni relative ad eventuali audit preliminari o autodichiarazioni di conformità o non conformità;
• Analizzare (e fornire un resoconto) dell’analisi dei rischi della sicurezza delle informazioni del TSP e dei servizi fiduciari oggetto di audit.
• Identificare eventuali aree critiche relative ai servizi fiduciari che devono essere verificare per valutarne la conformità ai requisiti di riferimento.
• Presentare le check-list che saranno utilizzate durante lo Stadio 2 lasciando il compito della loro compilazione e dell’invio a Kiwa Cermet almeno 3 gg prima dell’audit di Stadio 2.
In ogni caso il riesame della documentazione dovrà essere eseguito e completato prima dell’inizio dello Stadio 2. Durante la fase contrattuale e in particolare durante la fase di Stadio 1, Kiwa Cermet verificherà:
- La documentazione sulle politiche e le pratiche che regolano la fornitura e il funzionamento del servizio fiduciario e, ove richiesto, la documentazione associata come i piani dell'infrastruttura di rete IT con tutti i sistemi, i manuali e le istruzioni pertinenti per il funzionamento del servizio fiduciario.
- Il livello di responsabilità civile massimo assunto dal TSP nei confronti dei propri clienti. A questo livello di responsabilità dovrà corrispondere un’adeguata polizza assicurativa, che consideri il massimo livello di perdite cumulabile per un determinato evento legato ai disservizi potenziali e al numero di clienti con il valore di transazioni dichiarato.
Le risultanze dello Stadio 1 sono opportunamente documentate e prontamente comunicate al TSP; il Gruppo di Audit concorda quindi con il TSP i dettagli per lo Stadio 2, provvedendo anche alla pianificazione di quest’ultimo, compreso il Piano di Audit dettagliato, che sarà consegnato al TSP prima dello Stadio 2.
A seguito dello svolgimento dello Stadio 1, nel caso di rilevazione di modifiche ai dati e attività aziendali, rispetto a quanto comunicato dal TSP all’atto della predisposizione dell’Offerta, le modalità e durata di svolgimento dello Stadio 2 e dei successivi audit di sorveglianza, possono differire da quelle inizialmente proposte nell’Offerta.
In base al risultato dello Stadio 1 il TSP è tenuto ad apportare le eventuali modifiche o integrazioni. Kiwa Cermet può richiedere i documenti modificati da sottoporre ad una nuova analisi, prima di procedere alle attività successive.
Il TSP deve mantenere per Kiwa Cermet una copia ad aggiornamento controllato dei documenti analizzati e renderla disponibile su richiesta, per tutto il periodo di validità del contratto con Kiwa Cermet.
Al termine dell’audit di Stadio 1, il Gruppo di Valutazione lascia una copia del rapporto di audit al TSP, che lo sottoscrive. Il rapporto viene sottoposto ad analisi ed approvazione interna da parte di Kiwa Cermet.
Entro 30 giorni di calendario dal termine dello Stadio 1 (o comunque prima della effettuazione dello Stadio 2), il TSP riceve la comunicazione di conferma dei contenuti del rapporto di stadio 1. Di contro, se a seguito di analisi interna, Kiwa Cermet dovesse ritenere opportune modifiche ai contenuti del rapporto, ne darà formale comunicazione al TSP, fornendo spiegazioni per ogni variazione apportata e indicazioni in merito alle azioni successive.
In funzione dei risultati dello Stadio 1, Kiwa Cermet può stabilire il rinvio o la cancellazione dello Stadio 2.
5.4.2 Audit di Stadio 2 e rilascio della certificazione
Lo scopo dell’audit di Stadio 2 è:
a) Xxxxxxxx l’aderenza del TSP alle proprie politiche, obiettivi e procedure.
b) Confermare che i servizi fiduciari implementati sono conformi ai criteri di audit applicabili e rispettino politiche, obiettivi e procedure così come formulate dal TSP.
Per ottenere tale obiettivo, l'audit di Stadio 2 si concentra sulla raccolta di evidenze relative ai servizi fiduciari relativi a:
a) applicazione dei requisiti dei servizi fiduciari;
b) processi e procedure organizzative e tecniche relative ai servizi fiduciari;
c) sicurezza delle interfacce delle componenti date in outsourcing ad un TSP già qualificato;
d) misure di sicurezza delle informazioni messe in atto per i servizi fiduciari, compresa la protezione della rete informatica del TSP;
e) prodotti correlati ai servizi fiduciari (sistemi affidabili) quali moduli di crittografia, (sistemi di analisi log, sistemi di back-up e comunque tutti quei sistemi che il TSP decida di implementare);
f) sicurezza fisica dei siti del TSP.
Lo Stadio 2 è pianificato ad una distanza di tempo dallo Stadio 1, tale da consentire al TSP la risoluzione dei rilievi emersi in Stadio 1, la compilazione delle check-list presentate e la corretta pianificazione dello Stadio 2 da parte di Kiwa Cermet. I due Stadi quindi non potranno mai essere effettuati consecutivamente.
Il tempo massimo che può trascorrere tra lo Stadio 1 e lo Stadio 2 deve essere tale da garantire che il TSP e i suoi processi e modalità di gestione dei servizi fiduciari, nonché il contesto normativo e legislativo non devono subire variazioni significative tra i due stadi, pertanto è stabilito in 6 mesi.
Nel caso in cui si verifichino cambiamenti significativi che avrebbero un impatto sulla gestione dei servizi fiduciari, nel tempo che intercorre tra lo Stadio 1 e la data prevista per lo Stadio 2, Kiwa Cermet può richiedere la ripetizione di tutto o parte dello Stadio 1, che sarà a carico del TSP.
L’Audit di Stadio 2 viene sempre eseguito presso i luoghi ove si svolgono i servizi fiduciari oggetto di certificazione. Tale Audit è esteso a tutti i requisiti delle norme di riferimento e a tutti i servizi che il TSP ha dichiarato ad AgID.
All’inizio dello Stadio 2, viene valutata la risoluzione di eventuali rilievi notificati nello Stadio 1.
Al termine dell’audit di Stadio 2, il Gruppo di Valutazione lascia una copia del rapporto di audit al TSP, che lo sottoscrive.
Entro 30 giorni di calendario dal termine dello Stadio 2, il TSP riceve da Kiwa Cermet la comunicazione di conferma o meno dei contenuti del rapporto, con allegato il rapporto ufficiale di audit. In caso di modifiche ai contenuti del rapporto, nella comunicazione, verrà fornita ogni spiegazione e indicazioni in merito alle azioni successive.
Il TSP avrà cura di inviare il rapporto di audit all’Organismo di Vigilanza (AgID), nei termini previsti dal Regolamento 910.
La pratica non potrà essere analizzata per la delibera di certificazione, se non è stata verificata la risoluzione di tutte le non conformità rilevate come indicato al precedente § 5.1.3.
Nel caso si vada oltre i tre mesi per la risoluzione delle non conformità rilevate, si renderà necessario condurre un altro Stadio 2 prima di procedere con l’iter di certificazione.
In caso di rilascio del certificato, Kiwa Cermet invia una comunicazione, con allegato il certificato e comprensiva delle eventuali richieste scaturite in fase di Decisione di Certificazione.
In caso di diniego del certificato, Kiwa Cermet invierà comunicazione al TSP, che riporterà quanto stabilito in fase di Decisione di Certificazione e le relative azioni conseguenti.
A seguito del rilascio della certificazione, Kiwa Cermet inserisce il TSP nell’Elenco delle Organizzazioni con servizi certificati. Tale elenco è aggiornato è consultabile sul sito internet (xxx.xxxx.xx) insieme al certificato rilasciato al TSP.
L’elenco dei certificati coperti da accreditamento viene fornito su richiesta anche all’Organismo di accreditamento secondo frequenze e modalità stabilite dall’ente di accreditamento stesso.
Eventuali richieste di modifica dei contenuti del certificato, devono essere inviate a Kiwa Cermet in forma scritta e preventivamente alla prima attività di verifica utile.
La validità del Certificato di Conformità è di due anni dalla data di prima emissione.
La data di prima emissione non può essere precedente alla data della decisione di certificazione.
5.5 Sorveglianza e Rivalutazione
5.5.1 Requisiti Generali
Kiwa Cermet definisce un programma periodico di sorveglianza e rivalutazione complessiva dei servizi fiduciari certificati, che prevede audits on site per accertare che i TSP certificati continuino ad essere conformi alle regole di riferimento.
In caso di Non Conformità numerose o che evidenziano una sostanziale difformità dei servizi ai requisiti di riferimento per la certificazione, Kiwa Cermet può stabilire un provvedimento immediato di sospensione o revoca della certificazione come indicato nel § 8 del presente Regolamento.
L’effettuazione degli Audit di sorveglianza e rivalutazione previsti nel ciclo di certificazione è subordinata al regolare pagamento delle attività precedenti da parte del TSP.
Sulla base delle indicazioni riportate nel Rapporto di Audit (controfirmato dal TSP), relative a modifiche significative del TSP, al contesto di riferimento (es. modifiche legislative) e/o al numero di personale coinvolto, Kiwa Cermet si riserva il diritto di modificare le condizioni contrattuali per gli audit successivi (ad esempio a seguito di esigenza di variazione della durata degli audit), con comunicazione al TSP. In sede di audit di rivalutazione, queste modifiche possono comportare anche l’esecuzione di un Audit di Stadio 1 completo, precedente l’audit di rivalutazione.
Il rinvio di un Audit già programmato e concordato, per ragioni imputabili al TSP, deve essere comunicato a Kiwa Cermet almeno 30 giorni prima della data pianificata, in caso contrario verrà fatturata una penale pari al 50% del compenso previsto, oltre alle eventuali spese sostenute.
Gli Audit di sorveglianza e rivalutazione sono fatturati a conclusione della valutazione presso il TSP, secondo la cadenza prevista; in caso di slittamento dell’audit per ragioni imputabili al TSP, la fatturazione avverrà comunque con il metodo a canone per il 100% dell’importo, con riferimento al mese di pertinenza dell’attività di audit programmata (indipendentemente dalla data di effettuazione dell’Audit).
5.5.2 Sorveglianza
L’audit di sorveglianza deve essere effettuato una volta all’anno.
Nel corso dell’audit di sorveglianza i processi e i requisiti da visionare vengono campionati, è tuttavia assicurata sempre la valutazione dei seguenti aspetti:
a) Riesame delle azioni intraprese per la risoluzione delle non conformità identificate nei precedenti audit e riesame della gestione delle non conformità registrate internamente o da altre parti competenti alla valutazione dei processi del TSP;
b) Riesame delle modalità di campionamento multi-sito, se sono stati applicati dei criteri di campionamento nei precedenti audit;
c) Riesame di ogni modifica della documentazione e processi operativi del TSP;
d) Riesame degli audit interni e del riesame della Direzione;
e) Trattamento dei reclami;
f) Verifica del corretto utilizzo del marchio di certificazione e del certificato Kiwa Cermet;
g) Riesame di ogni dichiarazione pubblica del TSP rispetto alle proprie attività (es. materiale promozionale, sito web).
Durante l’audit di sorveglianza il Gruppo di Valutazione esegue un campionamento delle registrazioni correlate alle attività del TSP, in modo da permettere l’esame degli eventi accaduti e delle azioni intraprese nel periodo trascorso.
Entro 30 giorni di calendario dal termine dell’audit, il TSP riceve la comunicazione di conferma o meno dei contenuti del rapporto, con allegato il rapporto ufficiale di audit. In caso di modifiche ai contenuti del rapporto, nella comunicazione, verrà fornita ogni spiegazione e indicazioni in merito alle azioni successive.
In caso di mancata risoluzione di eventuali Non conformità verbalizzate, nei termini indicati al precedente § 5.1.3, Kiwa Cermet attiverà il processo di sospensione della certificazione o, nei casi ritenuti più gravi, di revoca (rif. § 8).
Nel caso delle sorveglianze annuali, che non sono previste dal Regolamento 910, non è richiesto che il TSP invii il rapporto di tale audit ad AgID, se non dietro specifica richiesta di XxXX.
5.5.3 Rivalutazione
L’audit di rivalutazione deve essere effettuato al massimo ogni 24 mesi.
Al termine dell’Audit, il Gruppo di Valutazione lascia una copia del rapporto di audit al TSP, che lo sottoscrive.
Entro 30 giorni di calendario dal termine dell’audit, il TSP riceve la comunicazione di conferma o meno dei contenuti del rapporto, con allegato il rapporto ufficiale di audit. In caso di modifiche ai contenuti del rapporto, nella comunicazione, verrà fornita ogni spiegazione e indicazioni in merito alle azioni successive.
Il TSP avrà cura di inviare il rapporto di audit all’Organismo di Vigilanza (AgID), nei termini previsti dal Regolamento 910.
In caso di mancata risoluzione di eventuali Non conformità verbalizzate, nei termini indicati al precedente § 5.1.3, Kiwa Cermet attiverà il processo di sospensione della certificazione o, nei casi ritenuti più gravi, di revoca (rif. § 8).
In ogni caso non sarà consentito il rinnovo del certificato, se non a fronte della evidenza di risoluzione di tutte le non conformità riscontrate.
In caso di esito positivo dell’audit di rivalutazione, si potrà procedere con il successivo rinnovo del certificato; mentre in caso di esito negativo, il certificato non sarà rinnovato e al TSP sarà addebitato quanto dovuto, comprese le spese. Nel caso in cui il TSP intenda riattivare la certificazione, occorrerà iniziare un nuovo iter di certificazione, come descritto ai paragrafi precedenti del presente Regolamento.
Non è consentito lo slittamento della data dell’audit di rivalutazione oltre la data di scadenza del certificato.
5.6 Organizzazioni Multisito
Nel caso di organizzazioni multisito Kiwa Cermet stabilirà se è possibile effettuare un campionamento dei siti da auditare e a quali condizioni.
In ogni caso il TSP dovrà analizzare gli eventuali rilievi identificati in un sito specifico (da Kiwa Cermet e/o durante gli audit interni), con conseguente gestione estesa a tutti i siti coperti dal campo di applicazione della certificazione di eventuali Non conformità o Azioni Correttive.
Il TSP deve inoltre assicurare che gli audit interni e il riesame da parte della direzione siano estesi a tutti i siti coperti dal campo di applicazione della certificazione.
6. MODIFICHE AL CAMPO DI APPLICAZIONE DELLA CERTIFICAZIONE
6.1 Estensione del campo di applicazione
Il TSP può richiedere l'estensione del campo di applicazione del certificato che può riguardare l'inserimento di nuovi servizi e/o di nuovi siti.
L'estensione richiede un Audit, eseguito presso il TSP, che riguarderà tutti gli elementi oggetto di estensione e l’esame della documentazione correlata all’oggetto di estensione.
L’Audit di estensione può essere organizzato in concomitanza con gli Audit di sorveglianza o di rivalutazione.
Le modalità di conduzione dell’Audit e la gestione delle risultanze sono analoghe a quelle degli Audit di sorveglianza o rivalutazione.
In caso di esito positivo, si potrà procedere con la decisione di estensione della certificazione, mentre in caso di esito negativo si interrompe l’iter di estensione.
Nessuna modifica del campo di applicazione della Certificazione potrà essere discussa in sede di Audit, se il TSP non ha preventivamente informato per iscritto Kiwa Cermet e in assenza di accettazione della richiesta di estensione da parte di Kiwa Cermet.
A seguito dell’estensione Kiwa Cermet riemette il certificato in vigore, con il campo di applicazione esteso.
6.2 Riduzione del campo di applicazione
La riduzione può riferirsi ai servizi e/o ai siti oggetto di certificazione.
Kiwa Cermet provvede alla riduzione del campo di applicazione della certificazione esistente, nel caso in cui alcune parti vengano riscontrate non più conformi ai requisiti, o il TSP abbia mancato in modo persistente o grave di soddisfare i requisiti relativamente ad alcune parti del campo di applicazione della certificazione, oppure su richiesta del TSP.
La riduzione può anche essere proposta dal Responsabile del Gruppo di Audit durante un Audit di sorveglianza / rivalutazione e riportata sul rapporto di Xxxxx.
Le riduzioni, scaturite da richieste delle Organizzazioni o da iniziative di Kiwa Cermet, possono riguardare anche l'interruzione di una parte delle attività citate nello scopo, per un periodo dell'ordine di un anno, o la chiusura di siti fissi.
A seguito di riduzione verrà riemesso il Certificato di Conformità, con il nuovo campo di applicazione ridotto, mantenendo la data di scadenza originale, inoltre il TSP dovrà tempestivamente adeguare tutte le forme di comunicazione e pubblicità riguardanti la certificazione, al nuovo campo di applicazione ridotto.
Nel caso di riduzione dello scopo della certificazione, per la cessazione del/dei servizi da parte del TSP, Kiwa Cermet verificherà che siano state adottate dal TSP le misure necessarie a garantire il mantenimento nel tempo delle informazioni inerenti il rilascio dei diversi certificati afferenti ai diversi servizi e che siano mantenuti attivi i database con le liste di revoca. Il TSP dovrà dare evidenza di aver definito un piano di cessazione dei servizi, da far approvare a Kiwa Cermet prima di attivare tale cessazione.
Kiwa Cermet comunicherà il provvedimento di riduzione agli enti di accreditamento e/o ad altri terzi che ne facciano richiesta e si riserva il diritto di inserire la notizia sul proprio sito Internet.
7. AUDIT STRAORDINARI
7.1 Audit supplementari
Kiwa Cermet si riserva il diritto di effettuare Audit supplementari per le motivazioni indicate nel Regolamento Kiwa per la Certificazione, per richieste scaturite in fase di Decisione di Certificazione e comunicate preventivamente all’Organizzazione, o su richiesta dell’Organismo di vigilanza o di accreditamento. Tali audit vengono comunicati preventivamente al TSP.
Tali eventuali Audit supplementari, a carico del TSP, non sostituiscono e non modificano l’iter e le frequenze degli Audit di sorveglianza e rivalutazione periodica.
7.2 Audit con breve preavviso
Kiwa Cermet si riserva il diritto di effettuare Audit con breve preavviso (5 giorni lavorativi dalla data stabilita per l’audit), in seguito a segnalazioni, reclami o mancata notifica di modifiche che presentino un’importanza e una significatività tali da suscitare seri dubbi sulla non rispondenza dei servizi certificati ai requisiti di riferimento.
Tali Audit, a carico del TSP, non sostituiscono e non modificano l’iter e le frequenze degli Audit di sorveglianza periodica.
Visto il preavviso minimo e l’impossibilità da parte del TSP di ricusare gli ispettori incaricati da Kiwa Cermet, massima attenzione sarà prestata nella selezione del gruppo di Audit.
In caso di mancata disponibilità da parte del TSP alla effettuazione di tali audit, Kiwa Cermet si riserva il diritto di sospendere o di revocare (nei casi ritenuti più gravi) la certificazione rilasciata.
8. SOSPENSIONE E REVOCA DELLA CERTIFICAZIONE
8.1 Requisiti Generali
Nei casi di sospensione o revoca della certificazione, di seguito descritti, è responsabilità del TSP darne tempestiva comunicazione all’Organismo di Vigilanza (AgID).
8.2 Sospensione della Certificazione
La Certificazione può essere sospesa per le motivazioni indicate nel Regolamento Kiwa per la Certificazione, su richiesta del TSP o in caso di Ritiro della qualifica del TSP o di un servizio certificato del TSP da parte dell’Organismo di Vigilanza per assenza di conformità a requisiti di riferimento per la certificazione.
Salvo casi particolari (stabiliti comunque da Kiwa Cermet) il periodo di sospensione non può durare oltre 6 mesi, in caso contrario si procede alla revoca della certificazione.
Durante il periodo di sospensione il TSP perde il diritto di utilizzo del Marchio di Certificazione Kiwa Cermet, del certificato e viene cancellata dagli elenchi delle Organizzazioni con servizi certificati. Le condizioni per il ripristino della certificazione sospesa (comprese le necessarie attività di audit), saranno stabilite da Kiwa Cermet in base alle motivazioni che hanno portato alla sospensione e in base alla durata della sospensione.
Qualora il TSP non metta in atto le azioni indicate da Kiwa Cermet per il ripristino della certificazione sospesa, la certificazione sarà revocata ovvero, nei casi possibili, ne sarà ridotto il campo di applicazione.
Kiwa Cermet si riserva il diritto di comunicare il provvedimento di sospensione agli enti di accreditamento, all’organismo di vigilanza e/o ad altri terzi che ne facciano richiesta.
8.3 Revoca della certificazione
La Certificazione può essere revocata per le motivazioni indicate nel Regolamento Kiwa per la Certificazione, su richiesta del TSP o a seguito di ritiro della qualifica del TSP o di un servizio certificato del TSP da parte dell’Organismo di Vigilanza per assenza di conformità a requisiti di riferimento per la certificazione.
La revoca della certificazione comporta la risoluzione automatica ex art. 1456 c.c. del contratto a cui si applica il presente regolamento, fatto salvo, in ogni caso, il risarcimento di ogni danno subito da Kiwa Cermet.
A seguito di revoca della certificazione, il TSP perde il diritto di utilizzo del Marchio di Certificazione Kiwa Cermet e viene cancellata dall’albo delle Organizzazioni con servizi certificati.
Kiwa Cermet comunicherà il provvedimento di revoca agli enti di accreditamento e/o ad altri terzi che ne facciano richiesta.
9. TRASFERIMENTO DELLA CERTIFICAZIONE
Sono ammissibili trasferimenti di certificazioni rilasciate da altri Organismi di Certificazione accreditati alle seguenti condizioni:
1. I trasferimenti dovranno essere effettuati solo a seguito di un riesame dell’intera pratica di certificazione da parte di Kiwa Cermet (precedenti rapporti di audit di almeno un biennio).
2. È necessario un sopralluogo da parte di Kiwa Cermet, di almeno 2 giorni lavorativi presso la sede centrale del TSP e di 1 giorno presso ogni sede secondaria ove venga gestito un dispositivo QSCD. Tale sopralluogo consisterà in una visita presso il TSP in cui saranno verificati almeno i seguenti:
a. I precedenti rapporti di audit (rif. punto 1);
b. L’esistenza di un certificato valido e in vigore (conforme alle regole dello schema rif. ETSI EN 319 403);
c. Le motivazioni del trasferimento richiesto (mediante intervista con la Direzione);
d. La continuità del servizio;
e. La gestione di eventuali non conformità pregresse;
f. La gestione di eventuali reclami/segnalazioni.
3. Nel caso di certificazioni ove siano state registrate delle non conformità nell’ultimo biennio, a fronte dei requisiti di certificazione, il sopralluogo presso il TSP dovrà essere di durata non inferiore al tempo di una sorveglianza, al fine di verificare l’efficacia delle azioni correttive adottate.
4. Kiwa Cermet potrà agganciarsi all’iter di certificazione in corso, nell’ambito di un certificato esistente e valido, solo dopo aver deliberato la propria certificazione.
10. USO DEL MARCHIO E DEL CERTIFICATO DI CONFORMITÁ
Il TSP con servizi fiduciari certificati da Kiwa Cermet, può utilizzare il Marchio di Certificazione Kiwa Cermet (marchio depositato).
Nell’utilizzo del marchio di certificazione il cliente deve soddisfare tutte le regole applicabili indicate nel
Regolamento Kiwa per la Certificazione e quelle di seguito riportate.
Il marchio è presentato in una delle due versioni nelle figure 1 o 2. Il marchio di figura 2 può essere utilizzato solo per le certificazioni sottoposte al controllo dell’Organismo di Accreditamento ACCREDIA. I due marchi, marchio ACCREDIA e marchio Kiwa Cermet, devono essere utilizzati esclusivamente in maniera combinata e nella posizione indicata in figura 2. L’altezza minima indicata andrà rapportata al valore di “M” per mantenere proporzionati i marchi.
min. 15,00 mm
Inserire codice norma/e e anno di edizione contenuto nel certificato
min. 12,60 mm
Inserire codice norma/e e anno di edizione contenuto nel certificato
Fig. 1
M 1/2M
Fig. 2
L’uso del marchio dell’Organismo ACCREDIA è regolato dal regolamento ACCREDIA RG 09 (consultabile o scaricabile dal sito xxx.xxxxxxxx.xx), per quanto non specificato nel presente documento, o nel Regolamento Kiwa per la Certificazione o in caso di conflitto con gli stessi, il RG 09 ha la prevalenza.
Il marchio di certificazione Kiwa Cermet:
♦ deve essere riportato unitamente ai riferimenti alla/e norma/e (con l’anno di edizione) rispetto alla quale i servizi sono stati certificati. Il TSP può utilizzare il marchio Kiwa Cermet in riferimento a una o più norme contemporaneamente, purché il servizio, sia certificato da Kiwa Cermet in riferimento a tutte le norme citate;
♦ può essere utilizzato solo in associazione ai servizi certificati (cioè quelli riportati sul certificato), in modo da non creare fraintendimenti con altri servizi erogati dal TSP, ma non coperti da certificazione;
♦ può essere apposto su documenti relativi al servizio certificato, purché associato al nome del servizio stesso;
♦ deve essere utilizzato in modo da evitare che la certificazione di servizio sia attribuibile a requisiti differenti da quelli per i quali è stata effettuata la valutazione, ad esempio non deve essere utilizzata in modo da essere scambiata per una certificazione di sistema di gestione;
♦ deve essere utilizzato su sfondo bianco o trasparente;
♦ deve essere utilizzato con i colori della fig.1; in alternativa al colore nero può essere utilizzato il colore “Kiwa bleu” (Pantone 300);
♦ può essere ingrandito o ridotto garantendo le proporzioni in fig. 1 e deve sempre permettere la lettura delle parole e dei numeri inscritti nel marchio stesso; nel caso di utilizzo del marchio combinato devono essere rispettate le dimensioni riportate in figura 2;
♦ se riportato su sistemi di trasporto o movimentazione, deve rispettare le regole sopra indicate.
Le prescrizioni sopraindicate si applicano anche nel caso in cui si faccia uso di marchi trasferibili (ad es. adesivi). Il TSP deve informare il personale che può far uso del marchio, delle sopraindicate prescrizioni.
È possibile la riproduzione (anche a colori) dei certificati di conformità rilasciati da Kiwa Cermet, purché riproducano integralmente l’originale.
L’utilizzo difforme o ingannevole del marchio e/o del certificato, così come l’abuso degli stessi, costituiscono comportamenti vietati, i quali generano le responsabilità previste dalla legge e dal contratto. Nelle citate ipotesi di utilizzo difforme e/o di abuso, Kiwa Cermet potrà contestare al TSP gli inadempimenti e pretendere dal TSP l’immediata esecuzione di azioni correttive per il ripristino della legalità violata.
11. MODIFICHE CHE INFLUENZANO LA CERTIFICAZIONE
Il TSP certificato deve informare tempestivamente Kiwa Cermet per iscritto nel caso di modifiche come quelle indicate al punto 5.2 del Regolamento Kiwa per la Certificazione.
In particolare, il TSP deve comunicare a Kiwa Cermet le eventuali modifiche alle proprie infrastrutture o configurazione dei processi. Ove tale situazione si realizzi, Kiwa Cermet valuterà l'impatto di tali modifiche
apportate dai TSP alla propria infrastruttura o all’allocazione all’esterno di processi critici per i servizi gestiti e valuterà se tali modifiche debbano riguardare anche le revisioni dei “TSP Practice Statement” e/o del SoA per la certificazione ISO 27001.
Ove il TSP non abbia già provveduto autonomamente, a fronte di una valutazione dei rischi e successivo processo di pianificazione del processo di “corretta gestione del Change Management”, Kiwa Cermet registrerà una NC maggiore.
Per modifica significativa si deve intendere una variazione di configurazione dell'infrastruttura di rete che abbia impatto sul servizio o sulla sicurezza delle informazioni, così come modifiche delle politiche di sicurezza e delle modalità tecniche per la loro applicazione, ma anche le modifiche agli assetti organizzativi del sistema di gestione, una variazione del SOA o del TSP Practice Statement, la sostituzione di un QSCD che preveda un diverso livello di certificazione di sicurezza dell'apparato, l'eliminazione di posizioni organizzative che hanno impatto sulla sicurezza.
Non sono da considerarsi modifiche significative: il normale turnover del personale, le normali operazioni di manutenzione che prevedano anche sostituzione di componenti, altrettanto non sono modifiche significative le revisioni della valutazione dei rischi, ove non comportino variazioni nell'applicazione dei controlli operativi o nella progettazione dei processi.
Nel dubbio se una modifica sia o meno da considerarsi significativa, il TSP deve chiedere a Kiwa Cermet e lasciare traccia di tale comunicazione.
La mancata comunicazione di modifiche che abbiano un impatto diretto sui servizi “eIDAS” e/o sulla sicurezza delle informazioni dell'infrastruttura a supporto di tali servizi, sarà verbalizzata come NC Maggiore. Kiwa Cermet valuterà inoltre in modo formale se tali modifiche possano aver creato delle brecce di sicurezza nel periodo intercorrente dalla applicazione di tali modifiche, sino alla data dell'audit in corso. Il TSP dovrà collaborare attivamente a tale analisi. In casi ritenuti gravi, Kiwa Cermet farà una specifica segnalazione ad ACCREDIA per ricevere specifiche istruzioni di vigilanza. Carenze inerenti la sicurezza delle informazioni, che possano compromettere o che possano aver compromesso i servizi verranno sempre classificate come NC Maggiori.
A fronte di comunicazione di modifiche, Kiwa Cermet valuterà le azioni conseguenti (quali: la necessità di effettuare un Audit supplementare, una analisi documentale etc.).
Potrà essere prevista una intera rivalutazione del TSP che fornisce i servizi fiduciari.
In ogni caso la comunicazione e la verifica del mantenimento della conformità devono essere preventivi alla messa in atto della modifica stessa. Il TSP è inoltre tenuto ad informare tempestivamente Kiwa Cermet di eventi eccezionali, procedimenti giudiziari e/o amministrativi, incidenti, casi di emergenza occorsi, o non conformità legislative. La non osservanza di tali condizioni può comportare la sospensione o, nei casi più gravi, la revoca della certificazione.
12. RECLAMI, RICORSI E CONTENZIOSI
12.1 Reclami
Il TSP può presentare reclamo documentato, avente per oggetto i suoi rapporti attinenti alle attività di certificazione con Kiwa Cermet.
Tale reclamo può scaturire da inconvenienti verificatisi nel corso dell’iter di certificazione, quali, ad esempio, ritardi nell’espletamento delle varie fasi e/o comportamenti non corretti da parte degli Auditor dell’Organismo.
Kiwa Cermet provvede a registrare i reclami, analizzarli ed informare il reclamante in merito alle azioni intraprese, entro trenta giorni dalla data di ricevimento del reclamo.
Kiwa Cermet stabilirà con il reclamante se e in quale misura, il contenuto del reclamo e la sua risoluzione debbano essere resi pubblici.
13.2 Ricorsi
Qualora il reclamante non risulti soddisfatto della risposta ricevuta, o intenda opporsi ad una decisione di Kiwa Cermet può presentare ricorso per iscritto.
Il ricorrente deve motivare le ragioni del suo ricorso e, nel caso in cui tale ricorso sia riferito ad una decisione di Kiwa Cermet (es. verbalizzazione di Non Conformità maggiore), esso va presentato a Kiwa Cermet entro un termine di 10 gg. di calendario dalla data di comunicazione della decisione.
Kiwa Xxxxxx fornirà al ricorrente risposta scritta e notificherà le eventuali azioni da intraprendere entro 30 giorni dalla data di ricevimento del ricorso.
Le modalità di dettaglio per la presentazione dei reclami e ricorsi sono riportate sul sito xxx.xxxx.xx.
12.3 Contenziosi
Qualora l’esito del ricorso non sia accettato dal ricorrente, qualsiasi controversia tra il Cliente e il Contraente, sarà gestita come previsto all’art. 18 comma 1 dei Termini e Condizioni Generali di Kiwa Cermet Italia per lo svolgimento degli incarichi.
13. FACOLTÀ DI RECESSO UNILATERALE DAL CONTRATTO
Kiwa Cermet può recedere liberamente dal presente contratto dandone comunicazione scritta all’Organizzazione cliente con un preavviso di sei mesi rispetto alla data di efficacia del recesso. Il recesso da parte di Kiwa Cermet comporta la revoca della certificazione emessa. L’Organizzazione è comunque tenuta a corrispondere a Kiwa Cermet gli importi dovuti per le prestazioni ricevute durante il periodo di preavviso, secondo quanto stabilito nell’ultima offerta valida.
In caso l’Organizzazione voglia recedere dal contratto, il recesso unilaterale durante il periodo di validità della Certificazione, prevede il rispetto dei tempi di preavviso previsti nei Termini e Condizioni Generali e nel Regolamento Kiwa per la Certificazione.
In particolare, per preavviso inferiore a tre mesi e superiori alle due settimane, il TSP dovrà provvedere al pagamento del 50% dell’importo relativo alla quota prevista per la successiva attività prevista da contratto. Per periodi di preavviso inferiori alle due settimane vale quanto indicato nei Termini e Condizioni Generali.
In caso di chiusura del contratto Kiwa Cermet provvederà ad emettere fattura, in relazione alle spese di chiusura della pratica di certificazione, secondo quanto stabilito nell’ultima offerta valida.
14. MODIFICA UNILATERALE DEL CONTRATTO
Kiwa Cermet si riserva la facoltà di modificare in qualsiasi momento il presente Regolamento. Le eventuali nuove clausole/variazioni effettuate, saranno efficaci dal momento in cui saranno comunicate al cliente per iscritto.
L’Organizzazione che non intenda accettare le variazioni, può recedere dal contratto dandone comunicazione scritta tramite raccomandata A/R o posta certificata entro 30 giorni solari, a pena di decadenza, dal giorno successivo alla comunicazione a Kiwa Cermet.
Il recesso avrà efficacia dall’ultimo giorno lavorativo del mese di ricevimento della comunicazione da parte del cliente.