Misure di sicurezza tecniche organizzative

A partire dalla data di redazione del presente documento Archiva Srl dichiara di avere implementato le misure di sicurezza tecniche organizzative qui di seguito elencate, raggruppate per ambito di competenza.

L’elenco è da intendersi come insieme minimo e non esaustivo:

Ambito applicativo

ControlloTitoloDescrizioneMisure di sicurezza implementate
A.9.4.1Limitazione dell’accesso alle informazioni.L'accesso a informazioni e funzioni di sistemi applicativi deve essere limitato secondo le politiche di controllo degli accessi.Gestione dei diritti d'accesso tramite profili.

Applicazione del principio del privilegio minimo di accesso agli utenti.
A.9.4.2Procedure di log-on sicure.Quando richiesto dalle politiche di controllo degli accessi, l’accesso a sistemi e applicazioni deve essere controllato da procedure di log-on sicure.Limitazione del tempo di validità delle sessioni.

Limitazione della dimensione e del numero delle sessioni.

Meccanismi di rinforzo della gestione delle sessioni utente.
A.9.4.3Sistema di gestione delle password.I sistemi di gestione delle password devono essere interattivi e devono assicurare password di qualità.Assenza di dati riservati nei log applicativi.
A.10.1.1Politica sull’uso dei controlli crittografici.Deve essere sviluppata e attuata una politica sull'uso dei controlli crittografici per la protezione delle informazioni.Protezione crittografica dei dati trasmessi.
A.12.4.1Raccolta di log degli eventi.La registrazione dei log degli eventi, delle attività degli utenti, delle eccezioni, dei malfunzionamenti e degli eventi relativi alla sicurezza delle informazioni deve essere effettuata, mantenuta e riesaminata periodicamente.Tracciatura degli eventi applicativi rilevanti.
A.12.4.2Protezione delle informazioni di log.Le strutture per la raccolta dei log e le informazioni di log devono essere
protette da manomissioni e accessi non autorizzati.
Protezione dei log dalle modifiche degli utenti dell'applicazione.
A.14.1.1Analisi e specifica dei requisiti per la sicurezza delle informazioni.I requisiti relativi alla sicurezza delle informazioni devono essere inclusi
all’interno dei requisiti per i nuovi sistemi informativi o per l’aggiornamento di quelli esistenti.
Nessuna elaborazione di dati critici sul client.
A.14.2.1Politica per lo sviluppo sicuro.Le regole per lo sviluppo del software e dei sistemi devono essere stabilite ed applicate agli sviluppi all’interno dell’organizzazione.Gestione di tutti gli errori applicativi.

Riesame della sicurezza del codice.
A.14.2.5Principi per l’ingegnerizzazione sicura dei sistemi.I principi per l’ingegnerizzazione di sistemi sicuri devono essere stabiliti,
documentati, manutenuti e applicati ad ogni iniziativa di implementazione di un sistema informativo.
Analisi e validazione delle operazioni sui dati prima della loro esecuzione.

Filtro delle informazioni in ingresso all'applicazione.

Filtro delle informazioni in uscita dall'applicazione.

Tutte le validazioni effettuate sul client sono ripetute lato server.

Blocco delle richieste non corrispondenti ad un uso autorizzato del sistema.
A.14.2.9Test di accettazione dei sistemi.Devono essere stabiliti dei programmi di test e di accettazione ed i criteri ad essi relativi per i nuovi sistemi informativi, per gli aggiornamenti e per le nuove versioni.Realizzazione di test di carico e di robustezza dell'applicazione.
A.14.3.1Protezione dei dati di test.I dati di test devono essere scelti con attenzione, protetti e tenuti sotto
controllo.
Limitazione/Uso controllato dei dati di produzione per finalità di sviluppo o test.
A.18.2.3Verifica tecnica della conformità.I sistemi informativi devono essere regolarmente riesaminati per conformità con le politiche e con le norme per la sicurezza dell'organizzazione.Effettuazione di vulnerability assessment o penetration test applicativi.

Gestione delle informazioni

Controllo TitoloDescrizioneMisure di sicurezza implementate
A.05.1Politiche per la sicurezza delle informazioni.Un insieme di politiche per la sicurezza delle informazioni deve
essere definito, approvato dalla direzione, pubblicato e comunicato al personale e alle parti esterne pertinenti.
Redazione e mantenimento di politiche e procedure a supporto della sicurezza delle informazioni come da certificazione ISO/IEC 27001 e AgID.
A.05.2Riesame delle politiche per la sicurezza delle informazioni.Le politiche per la sicurezza delle informazioni devono essere
riesaminate ad intervalli pianificati o nel caso in cui si siano verificati cambiamenti significativi, al fine di garantirne sempre l’idoneità, l’adeguatezza e l’efficacia.
Redazione e mantenimento di politiche e procedure a supporto della sicurezza delle informazioni come da certificazione ISO/IEC 27001 e AgID.
A.6.1.2Separazione dei compiti.I compiti e le aree di responsabilità in conflitto tra loro devono essere separati per ridurre le possibilità di uso improprio, modifica non autorizzata o non intenzionale degli
asset dell’organizzazione.
Delega del controllo delle operazioni critiche ad almeno due persone diverse.
A.11.2.7Dismissione sicura o riutilizzo delle apparecchiature.Tutte le apparecchiature contenenti supporti di memorizzazione devono essere controllate per assicurare che ogni dato critico od il software concesso in licenza sia rimosso o sovrascritto in modo sicuro prima della dismissione o del riutilizzo.Cancellazione sicura dei dati su supporti che devono essere riutilizzati o soggetti a manutenzione.
A.15.1.2Indirizzare la sicurezza all’interno degli accordi con i fornitori.Tutti i requisiti relativi alla sicurezza delle informazioni devono essere stabiliti e concordati con ciascun fornitore che potrebbe avere accesso, elaborare, archiviare, trasmettere o fornire componenti dell'infrastruttura IT per le informazioni dell'organizzazione.Piano di continuità operativa del fornitore per i servizi a supporto del processo di conservazione.

Clausole contrattuali relative alla riservatezza e alla conformità dei dati condivisi con i fornitori rispetto ai requisiti di legge applicabili; Nessuna fase del processo di conservazione è data in outsourcing.

Piattaforma tecnologica

ControlloTitoloDescrizioneMisure di sicurezza implementate
A.9.2.4Gestione delle informazioni segrete di autenticazione degli utenti.L'assegnazione di informazioni segrete di autenticazione deve essere controllata attraverso un processo di gestione formale.
A.9.4.1Limitazione dell’accesso alle informazioni.L'accesso a informazioni e funzioni di sistemi applicativi deve essere limitato secondo le politiche di controllo degli accessi.
A.9.4.2Procedure di log-on sicure.Quando richiesto dalle politiche di controllo degli accessi, l’accesso a
sistemi e applicazioni deve essere controllato da procedure di log-on sicure.
A.9.4.3Sistema di gestione delle password.I sistemi di gestione delle password devono essere interattivi e devono assicurare password di qualità.
A.10.1.2Gestione delle chiavi.Deve essere sviluppata e attuata una politica sull'uso, sulla protezione e sulla
durata delle chiavi crittografiche attraverso il loro intero ciclo di vita.
A.12.2.1Controlli contro il malware.Devono essere attuati controlli di individuazione, di prevenzione e di ripristino relativamente al malware, congiuntamente ad un’appropriata consapevolezza degli utenti.
A.12.3.1Backup delle informazioni.Devono essere effettuate copie di backup delle informazioni, del software e delle immagini dei sistemi e quindi sottoposte a test periodici secondo una politica di backup concordata.
A.12.4.1Raccolta di log degli eventi.La registrazione dei log degli eventi, delle attività degli utenti, delle eccezioni, dei malfunzionamenti e degli eventi relativi alla sicurezza delle informazioni deve essere effettuata, mantenuta e riesaminata periodicamente.
A.12.4.2Protezione delle informazioni di log.Le strutture per la raccolta dei log e le informazioni di log devono essere protette da manomissioni e accessi non autorizzati.
A.12.6.2Limitazioni all’installazione del software.Devono essere stabilite e attuate regole per il governo dell’installazione del software da parte degli utenti.
A.13.1.2Sicurezza dei servizi di rete.I meccanismi di sicurezza, i livelli di servizio e i requisiti di gestione di tutti i servizi di rete devono essere identificati e inclusi negli accordi sui livelli di servizio relativi alla rete, indipendentemente dal fatto che tali servizi siano forniti dall’interno o siano affidati all’esterno.
A.13.1.3Segregazione nelle reti.Nelle reti si devono segregare gruppi di servizi, di utenti e di sistemi informativi.
A.13.2.1Politiche e procedure per il trasferimento delle informazioni.Devono esistere politiche, procedure e controlli formali a protezione del trasferimento delle informazioni attraverso l’uso di tutte le tipologie di strutture di comunicazione.
A.14.1.3Protezione delle transazioni dei servizi applicativi.Le informazioni coinvolte nelle transazioni dei servizi applicativi devono essere protette al fine di prevenire trasmissioni incomplete, errori di instradamento, alterazione non autorizzata di messaggi, divulgazione non autorizzata, duplicazione non autorizzata di messaggi o attacchi di tipo "replay".
A.14.2.7Sviluppo affidato all’esterno.L’organizzazione deve supervisionare e monitorare l’attività di sviluppo dei sistemi affidata all’esterno.
A.15.1.2Indirizzare la sicurezza all’interno degli accordi con i fornitori.Tutti i requisiti relativi alla sicurezza delle
informazioni devono essere stabiliti e
concordati con ciascun fornitore che potrebbe avere accesso, elaborare, archiviare, trasmettere o fornire componenti dell'infrastruttura IT per le informazioni dell'organizzazione.
A.16.1.6Apprendimento dagli incidenti relativi alla sicurezza delle informazioni.La conoscenza acquisita dall’analisi e dalla soluzione degli incidenti relativi alla sicurezza delle informazioni deve essere utilizzata per ridurre la verosimiglianza o l’impatto degli incidenti futuri.
A.17.2.1Disponibilità delle strutture per l’elaborazione delle informazioni.Le strutture per l’elaborazione delle informazioni devono essere realizzate con una ridondanza sufficiente a soddisfare i requisiti di disponibilità.
A.18.2.3Verifica tecnica della conformità.I sistemi informativi devono essere regolarmente riesaminati per conformità con le politiche e con le norme per la sicurezza dell'organizzazione.

Villafranca di Verona, 12/01/2022
Archiva S.r.l.