Vai al contenuto

Termini sulla sicurezza delle informazioni

Il FORNITORE fornirà i Servizi e adempirà ai propri obblighi ai sensi del Contratto in conformità con:

un. (I) i presenti Termini sulla sicurezza delle informazioni

b. (ii) Buone pratiche di sicurezza

1. DEFINIZIONI

un. “Risorsa” indica qualsiasi articolo o elemento di hardware e software che è o può essere utilizzato allo scopo di creare, accedere, elaborare, proteggere, monitorare, archiviare, recuperare, visualizzare o trasmettere i dati del CLIENTE.

B. Per "Dati del CLIENTE" si intendono tutti i dati che il CLIENTE, o una persona che agisce per suo conto, fornisce al FORNITORE o consente al FORNITORE di accedere ed elaborare, in relazione al Contratto.

C. “Crittografia” indica il processo di conversione di informazioni o dati in un codice, in particolare per impedire l'accesso non autorizzato.

D. Per "patch" si intende qualsiasi aggiornamento del software e del sistema operativo (SO) che risolva le vulnerabilità della sicurezza all'interno di un programma o prodotto.

e. Per "Penetration Testing" si intende un attacco informatico simulato e autorizzato su un sistema informatico, eseguito per valutare la sicurezza del sistema.

F. “Sistema del FORNITORE” indica qualsiasi Sistema o Bene posseduto o gestito (in tutto o in parte) per il funzionamento da o per conto del FORNITORE o di una sua Affiliata.

G. Per “Incidente di sicurezza” si intende un incidente, evento e/o problema che ha comportato un'effettiva compromissione della riservatezza, dell'integrità e/o della disponibilità dei dati del CLIENTE e/o del Servizio.

H. Per “Ambiente di Produzione” si intende l'ambiente in cui vengono archiviati e trattati i dati del CLIENTE.

io. “Ambiente di test” indica l'ambiente reso disponibile per il test di programmi o prodotti software recentemente sviluppati prima di essere rilasciati in un ambiente di produzione.

J. “Vulnerabilità” indica l'esistenza di un punto debole/difetto riscontrato all'interno del sistema.

k. Per "Traffico gonfiato artificialmente" si intende qualsiasi traffico generato con mezzi automatizzati o fraudolenti, inclusi, a titolo esemplificativo, bot, click farm o qualsiasi altro mezzo inteso a gonfiare artificialmente i volumi di traffico.

2. ORGANIZZAZIONE DELLA SICUREZZA DELLE INFORMAZIONI

Il FORNITORE dovrà:

2.1. definire, documentare, implementare e mantenere politiche di sicurezza conformi agli standard di settore, mentre: - garantire il mantenimento della riservatezza, dell'integrità e della disponibilità dei dati e dei sistemi informativi. - rispettare i requisiti legali e regolamentari ai quali il CLIENTE e i Dati del CLIENTE possono essere soggetti.

2.2. rivedere le proprie politiche e procedure su base annuale e/o in risposta a qualsiasi cambiamento significativo.

2.3. garantire che le politiche di sicurezza siano documentate e approvate dalla direzione del FORNITORE e pubblicate e comunicate alle parti interessate.

2.4. garantire di disporre del numero richiesto di professionisti della sicurezza che saranno responsabili del coordinamento e del monitoraggio di tutte le funzioni, politiche e procedure di sicurezza delle informazioni.

2.5. mantenere un processo di convalida periodica interna ed esterna dell'efficacia dei propri controlli di sicurezza. Il FORNITORE affronterà e risolverà tempestivamente eventuali carenze nella misura necessaria per rispettare gli obblighi del FORNITORE ai sensi del Contratto e dei presenti Termini.

3. RISORSE UMANE E FORMAZIONE SULLA SICUREZZA

Il FORNITORE dovrà:

3.1. definire, documentare, implementare e mantenere adeguate politiche e procedure di controllo dei precedenti. I controlli possono includere l'istruzione e la storia lavorativa precedente dell'individuo, i precedenti penali, i controlli delle referenze e qualsiasi ulteriore requisito di controllo dei precedenti standard del settore in conformità con le leggi e i regolamenti pertinenti e applicabili.

3.2. effettuare controlli di verifica dei precedenti su tutti i dipendenti esistenti e nuovi, compresi i dipendenti a contratto.

3.3. garantire che tutti i dipendenti siano vincolati da un adeguato accordo di riservatezza.

3.4. definire, documentare, implementare e mantenere una formazione formale sulla sicurezza e sulla consapevolezza della privacy per tutti i dipendenti. Il FORNITORE dovrà garantire che tali corsi di formazione siano forniti prima di concedere l'autorizzazione all'accesso o all'utilizzo di informazioni sensibili e successivamente su base continuativa.

4. GESTIONE PATRIMONIALE

Il FORNITORE dovrà:

4.1. definire, documentare, implementare e mantenere un inventario accurato e aggiornato che registri tutto l'hardware e il software, con le informazioni sul proprietario e sull'ubicazione di ciascuno.

4.2. garantire che solo le applicazioni software e/o i sistemi operativi attualmente supportati e/o che ricevono aggiornamenti del fornitore vengano aggiunti all'inventario software autorizzato del FORNITORE.

4.3. garantire che tutto il software e l'hardware che supporta l'EOL (fine vita) venga rimosso dall'uso e che l'inventario venga aggiornato in modo tempestivo.

4.4. definire regole per l'uso accettabile delle informazioni e delle risorse associate alle informazioni e al trattamento delle informazioni.

4.5. garantire che tutte le informazioni siano classificate in termini di requisiti legali, valore, criticità e sensibilità e gestite in linea con la relativa etichetta di classificazione.

4.6. garantire la corretta gestione e smaltimento dei dati del CLIENTE dai sistemi del FORNITORE: - lo smaltimento dei dati dei CLIENTI deve essere effettuato in modo sicuro per garantire che i dati siano resi irrecuperabili. - il certificato di cancellazione dovrà essere disponibile per eventuali richieste ad hoc del CLIENTE di cancellazione dei dati.

5. CONTROLLO ACCESSI

5.1. Disposizioni generali

Il FORNITORE dovrà:

5.1.1. definire, documentare, implementare e mantenere politiche e procedure di controllo degli accessi sulla base delle esigenze aziendali e del principio del "privilegio minimo" e garantire che solo i dipendenti autorizzati abbiano accesso ai sistemi del FORNITORE.

5.1.2. garantire che vengano utilizzati solo ID univoci e documentare qualsiasi eccezione e utilizzo di account condivisi.

5.1.3. garantire che qualsiasi accesso ai Sistemi del FORNITORE che archiviano o elaborano i Dati del CLIENTE sia soggetto a Multi-Factor Authentication (MFA).

5.1.4. periodicamente, almeno su base annuale, verificare l'adeguatezza dei privilegi utente assegnati.

5.1.5. garantire che le attività di gestione degli utenti (aggiunta, modifica o rimozione dei privilegi dell'utente) siano eseguite sulla base di una richiesta formale valida e in modo tempestivo.

5.2. SICUREZZA DELL'ACCESSO REMOTO

Il FORNITORE dovrà:

5.2.1. garantire che sia messo in atto un insieme appropriato di controlli di sicurezza per impedire l'accesso remoto non autorizzato ai sistemi del FORNITORE. Tali controlli includono almeno: - Qualsiasi accesso remoto ai Sistemi e/o alla Rete del FORNITORE dovrà avvenire solo tramite VPN e Multi-Factor Authentication (MFA). - Tutti i dati che viaggiano attraverso un meccanismo di accesso remoto devono essere crittografati dall'endpoint (ad esempio, un laptop) alla rete. - Tutti i tentativi di connessione ai Sistemi FORNITORE utilizzando un meccanismo di accesso remoto non autorizzato saranno rifiutati e registrati. - Le attività sospette saranno gestite in linea con i protocolli di sicurezza pertinenti.

5.3. GESTIONE DELLE PASSWORD

Il FORNITORE dovrà:

5.3.1. definire, documentare, implementare e mantenere la politica sulle password in linea con le migliori pratiche del settore e le esigenze aziendali interne.

5.3.2. assicurarsi che le password siano sufficientemente lunghe e complesse, non contengano parole facilmente indovinabili e vengano modificate a intervalli regolari.

5.3.3. garantire che gli account utente vengano bloccati dopo un certo numero di tentativi falliti di immissione della password errata e che l'account venga bloccato per un certo periodo di tempo.

5.3.4. garantire che le password siano archiviate in un modo sicuro che le renda incomprensibili mentre rimangono valide.

6. CRITTOGRAFIA

Il FORNITORE dovrà:

6.1. definire, documentare, implementare e mantenere politiche e procedure pertinenti che regolano l'uso di controlli crittografici appropriati e i processi di gestione delle chiavi stabilendo le regole di utilizzo, protezione e durata delle chiavi crittografiche e del materiale di codifica.

6.2. Garantire che i dati CLIENTE siano protetti mentre sono in transito o inattivi utilizzando protocolli sicuri (ad esempio, TLS 1.2, AES-256 o altri standard consigliati dal settore).

6.3. gestire tutte le chiavi di crittografia in un sistema di gestione delle chiavi di proprietà e gestito dal FORNITORE.

6.4. garantire un'adeguata separazione dei compiti all'interno del processo di gestione delle chiavi di crittografia.

7. SICUREZZA FISICA E AMBIENTALE

Il FORNITORE dovrà:

7.1. definire, documentare, implementare e mantenere politiche e procedure di sicurezza fisica per prevenire l'accesso fisico non autorizzato, danni e interferenze alle informazioni dell'organizzazione e alle strutture di elaborazione delle informazioni che archiviano i dati del CLIENTE.

7.2. implementare processi e controlli di sicurezza fisica e ambientale in linea con le politiche e le procedure definite. Il FORNITORE può esternalizzare alcuni o tutti i controlli di sicurezza fisica a una terza parte e dovrà garantire che siano in atto controlli dello stesso livello e valutare regolarmente la conformità della terza parte.

7.3. garantire che le aree sicure siano protette da adeguati controlli di accesso e che solo il personale autorizzato sia autorizzato ad accedere.

7.4. garantire che tutti i visitatori siano autorizzati, abbiano un'identificazione adeguata e abbiano accesso solo alle aree necessarie.

7.5. garantire che gli armadietti con serratura vengano utilizzati per proteggere le informazioni riservate.

7.6. garantire che le apparecchiature contenenti i supporti di memorizzazione vengano sovrascritte in modo sicuro prima dello smaltimento o del riutilizzo.

7.7. garantire che venga applicata una politica chiara sulla scrivania e una politica chiara sullo schermo per le strutture di elaborazione delle informazioni.

8. SICUREZZA DELLE OPERAZIONI

Il FORNITORE dovrà:

8.1. definire, documentare, implementare e mantenere procedure operative di sicurezza per backup, protezione degli endpoint, gestione delle vulnerabilità, antivirus e antimalware, applicazione di patch, rafforzamento del sistema e registrazione.

8.2. eseguire regolarmente valutazioni delle vulnerabilità e test di penetrazione in conformità con le migliori pratiche del settore e le esigenze aziendali interne. Il FORNITORE dovrà inoltre eseguire una valutazione del rischio, seguita da una risoluzione dei problemi identificati.

8.3. garantire che le vulnerabilità siano gestite in conformità con la priorità definita e entro le tempistiche di risoluzione richieste.

8.4. applicare patch e aggiornamenti a tutti i livelli dell'infrastruttura in conformità con la priorità definita.

8.5. garantire che endpoint, server, dispositivi di archiviazione, gateway di posta/web e traffico di posta siano protetti con strumenti antimalware attivi ove tecnicamente fattibile per rilevare e ove possibile prevenire infezioni da malware.

8.6. creare copie di backup di informazioni, software e immagini di sistema e testarle regolarmente in conformità con le migliori pratiche del settore e le esigenze aziendali interne.

8.7. garantire che venga eseguita una registrazione adeguata, con dettagli sufficienti e mantenuta in conformità con i periodi di conservazione definiti, pur essendo protetti da manomissioni e accessi non autorizzati.

8.8. definire, documentare, implementare e mantenere le regole che regolano l'installazione del software da parte degli utenti.

8.9. definire, documentare, implementare e mantenere standard per la configurazione sicura degli endpoint, inclusi, ma non limitati a laptop, server, macchine virtuali, database e dispositivi di rete per proteggere dalla perdita di riservatezza, integrità e disponibilità dei dati CLIENT a riposo e in transito.

9. SICUREZZA DELLE RETI E DELLE COMUNICAZIONI

Il FORNITORE dovrà:

9.1. definire, documentare, implementare e mantenere meccanismi di sicurezza e requisiti di gestione di tutti i servizi di rete.

9.2. definire, documentare, implementare e mantenere solidi standard di crittografia e configurazione di sicurezza per proteggere la comunicazione sulle reti pubbliche e non pubbliche.

9.3. garantire che gli orologi di tutti i sistemi di elaborazione delle informazioni pertinenti siano sincronizzati con un'unica fonte temporale di riferimento.

9.4. monitorare il traffico web e il perimetro della rete per rilevare attacchi informatici e bloccare servizi, pagine web e traffico dannosi.

9.5. garantire che le modifiche alle regole del firewall siano controllate attraverso un processo formale di richiesta/approvazione e siano regolarmente riviste.

9.6. limitare e controllare l'accesso alle organizzazioni in linea con le migliori pratiche del settore e le esigenze aziendali interne.

9.7. garantire che venga applicato il modello di zonizzazione e che la rete sia adeguatamente segmentata mentre in ciascun segmento sono consentiti solo l'accesso e il traffico approvati.

10. CICLO DI VITA DELLO SVILUPPO SOFTWARE (SDLC)

Il FORNITORE dovrà:

10.1. stabilire un ciclo di vita di sviluppo sicuro per garantire che i Servizi siano sviluppati e mantenuti in modo sicuro.

10.2. controllare le modifiche ai sistemi all'interno del ciclo di vita dello sviluppo mediante procedure formali di controllo delle modifiche.

10.3. garantire che gli ambienti di sviluppo, test e produzione siano separati per ridurre i rischi di accesso non autorizzato o modifiche all'ambiente di produzione.

10.4. garantire che i requisiti relativi alla sicurezza delle informazioni siano inclusi nei requisiti per nuovi Servizi o miglioramenti ai Servizi esistenti.

10.5. garantire che i dati di test vengano creati con attenzione e in modo controllato e che i dati di produzione non vengano utilizzati a fini di test.

11. RAPPORTI CON I FORNITORI

Il FORNITORE dovrà:

11.1. definire, documentare, implementare e mantenere politiche e procedure di gestione dei rapporti con i fornitori che definiscono i principi e le regole di base per la gestione dei rapporti con i fornitori che siano conformi ai requisiti aziendali e di sicurezza, nonché alle normative applicabili, alle migliori pratiche e agli standard internazionali.

11.2. per ciascun fornitore che può accedere, elaborare o archiviare i dati del CLIENTE, il FORNITORE valuterà e documenterà la conformità della soluzione del fornitore. Per i fornitori critici, compresi i sub-responsabili del trattamento, la rivalutazione dovrà essere eseguita su base annuale.

11.3. garantire che tutti i requisiti rilevanti di sicurezza delle informazioni siano stabiliti e concordati con ciascun fornitore che possa accedere, elaborare o archiviare i dati del CLIENTE.

11.4. garantire che sia in vigore un accordo valido che definisca l'ambito di lavoro, la riservatezza, la sicurezza e i requisiti tecnici (se applicabili) del rapporto commerciale con ciascun fornitore che può accedere, elaborare o archiviare i dati del CLIENTE.

12. GESTIONE DEGLI INCIDENTI SULLA SICUREZZA DELLE INFORMAZIONI

Il FORNITORE dovrà:

12.1. definire, documentare, implementare e mantenere un processo formale per segnalare, rispondere e gestire gli incidenti di sicurezza delle informazioni. Ciò includerà come minimo: - Una procedura per segnalare tali incidenti/violazioni alla direzione appropriata all'interno dell'organizzazione del FORNITORE. - Un processo di identificazione, valutazione e gestione degli incidenti legati alla sicurezza delle informazioni. - Un team chiaramente designato per gestire e coordinare la risposta a un incidente. - Un processo documentato e testato per gestire la risposta a un incidente, incluso il requisito di conservare problemi e registri delle azioni appropriati che includano il momento in cui si è verificato l'incidente, la persona che ha segnalato l'incidente, a chi è stato segnalato e gli effetti dello stesso. - L'obbligo di avvisare il CLIENTE in modo tempestivo e entro e non oltre 72 ore dalla conferma dell'incidente di sicurezza delle informazioni e dell'impatto negativo sui servizi forniti al CLIENTE. Si applicherà un periodo di notifica più breve se tale requisito si basa sulla legislazione e/o regolamento applicabile. - Il team di gestione degli incidenti del FORNITORE dovrà, se del caso, collaborare con i rappresentanti della sicurezza del CLIENTE fino a quando l'incidente di sicurezza delle informazioni non sarà stato risolto in modo soddisfacente. - Il FORNITORE si allineerà a tutte le normative e legislazioni nazionali relative alla notifica degli incidenti legati alla sicurezza delle informazioni alle forze dell'ordine, alle autorità normative o a qualsiasi altra autorità nazionale.

13. GESTIONE DELLA CONTINUITÀ AZIENDALE

Il FORNITORE dovrà:

13.1. definire, documentare, implementare e mantenere un programma di continuità aziendale.

13.2. identificare e dare priorità ai prodotti e servizi critici di SMSBAT utilizzando un processo di analisi dell'impatto aziendale (BIA).

13.3. utilizzare informazioni e metodi di valutazione del rischio per valutare la minaccia di interruzione.

13.4. sulla base dei risultati dell'analisi dell'impatto aziendale e della valutazione del rischio, sviluppare strategie di risposta e ripristino per mitigare l'impatto sui servizi critici durante un incidente dirompente.

13.5. sviluppare piani di continuità aziendale e di ripristino adatti allo scopo, regolarmente rivisti, disponibili e semplici da seguire e comprendere.

13.6. sviluppare piani di gestione e comunicazione delle crisi per una gestione efficace delle crisi, definizione delle priorità nella comunicazione e modalità di allerta degli incidenti.

13.7. fornire formazione ed esercitazioni, sviluppate rispetto alle competenze richieste e fornite ai dipendenti con una responsabilità diretta di continuità aziendale.

13.8. migliorare continuamente il programma di continuità aziendale di SMSBAT attraverso valutazioni regolari e tenendo conto di eventuali modifiche ai requisiti legali e normativi.

14. CONFORMITÀ

Il FORNITORE dovrà:

14.1. Sottoporsi a controlli regolari rispetto agli standard di settore su base annuale. Su richiesta scritta del CLIENTE, il FORNITORE fornirà al CLIENTE una copia completa o sintetica, a seconda dei casi, dei suoi rapporti in vigore al momento. Il FORNITORE fornirà inoltre, entro e non oltre dieci (10) giorni lavorativi, risposte scritte a tutte le richieste ragionevoli (questionari, moduli, ecc.) avanzate dal CLIENTE al fine di verificare che il FORNITORE rispetti i requisiti previsti dalle presenti Condizioni.

14.2. Nella misura richiesta dalla normativa applicabile, una volta all'anno con almeno 30 giorni di calendario di preavviso, il FORNITORE consentirà al CLIENTE, ai suoi rispettivi revisori o ad altri agenti (ciascuno una "Parte di revisione"), di accedere ai locali, ai registri e ai documenti del Fornitore come ragionevolmente richiesto dalla Parte di revisione per verificare che il FORNITORE rispetti i requisiti previsti dai presenti Termini. Qualsiasi revisione ai sensi del presente paragrafo non richiederà la revisione di dati di terze parti e alla Parte di revisione potrebbe essere richiesto di stipulare un accordo di riservatezza con il FORNITORE come potrebbe essere ragionevolmente necessario per rispettare la riservatezza delle informazioni di cui la Parte di revisione potrebbe venire a conoscenza nel corso dell'esecuzione della revisione. Ciascuna Parte sopporterà le proprie spese relative a tale audit. Nel caso in cui l'audit riveli il mancato rispetto degli obblighi del FORNITORE ai sensi dei presenti Termini, il FORNITORE dovrà rettificare tale non conformità entro un termine concordato di comune accordo e sostenere i costi di tali azioni.

14.3. Il FORNITORE si riserva il diritto di imporre limitazioni e restrizioni alla presentazione di informazioni riservate interne e alla copia di qualsiasi prova richiesta ai punti 14.1 e 14.2.

15. REQUISITI DI SICUREZZA DEL CLIENTE

15.1. Misure generali di sicurezza

Il FORNITORE dovrà:

15.1.1. IL FORNITORE ha definito, documentato, implementato e mantiene raccomandazioni sulla sicurezza per i CLIENTI che utilizzano i suoi servizi di comunicazione cloud. Il CLIENTE esaminerà tali raccomandazioni e le implementerà in conformità con le proprie esigenze aziendali, capacità tecnica e propensione al rischio.

15.1.2. Il CLIENTE sarà pienamente responsabile della corretta impostazione delle misure di sicurezza da parte sua e non imporrà alcuna responsabilità al FORNITORE in caso di un incidente di sicurezza derivante da un'impostazione impropria delle misure di sicurezza e tecniche o dalla negligenza nell'attuazione delle misure raccomandate dal FORNITORE.

15.2. Misure di mitigazione della sicurezza AIT

Il FORNITORE dovrà:

15.2.1. IL FORNITORE ha definito, documentato e mantiene linee guida di sicurezza per la prevenzione di casi di frode.

15.2.2. Potrebbe verificarsi un rischio potenziale sul sito Web del CLIENTE o sull'applicazione mobile integrata con i sistemi del FORNITORE se una registrazione o un altro modulo che esegue SMS MT con OTP non è protetto con un meccanismo anti-bot come CAPTCHA. Le vulnerabilità in tali applicazioni possono portare ad attacchi AIT (traffico artificialmente inflazionato). Un meccanismo anti-bot come CAPTCHA è essenziale per proteggere il flusso di registrazione dell'utente da false registrazioni automatizzate che eseguono SMS MT con OTP.

15.2.3. Quando si verificano attacchi AIT, il traffico viene inviato all'infrastruttura del FORNITORE con l'indirizzo IP di origine utilizzato dal CLIENTE al momento dell'invio. Il contenuto del traffico SMS MT è indistinguibile dal traffico reale del CLIENTE. In assenza di feedback da parte del CLIENTE, il FORNITORE non è in grado di distinguere tra l'AIT sull'applicazione del CLIENTE e il traffico reale della stessa applicazione. Di conseguenza, il FORNITORE non può essere ritenuto responsabile della sicurezza della/e applicazione/i web o mobile/i del CLIENTE. CLIENTE riconosce inoltre che tutto il traffico ricevuto dall'infrastruttura del CLIENTE sarà instradato verso gli Operatori di Rete e addebitato al CLIENTE in conformità con i termini del Contratto.

15.2.4. Il blocco delle reti interessate non impedirebbe che un problema simile si ripeta sulle reti abilitate, poiché la causa principale del problema risiede nell'infrastruttura del CLIENT. Pertanto, è imperativo che il CLIENTE indirizzi tutti i moduli sul proprio sito web o applicazione mobile che eseguono codici SMS MT OTP.

15.3. Richiesta di aumento del limite di credito

Il FORNITORE dovrà:

15.3.1. Il limite può essere rapidamente esaurito se le vulnerabilità sul sito CLIENT non vengono risolte. Pertanto, il FORNITORE richiede la conferma da parte del CLIENTE della consapevolezza dei rischi e della comprensione delle potenziali conseguenze dell'aumento del limite di credito.

15.3.2. Richiedendo un aumento del limite di credito, il CLIENTE riconosce la responsabilità di qualsiasi potenziale perdita dovuta ad attacchi AIT e si impegna a sostenere tutte le spese che potrebbero derivarne.