I. Glossario

Termine Definizione
Regolamento di sicurezza Un insieme di regolamenti promulgati e fatti rispettare dalle autorità nazionali di vigilanza.
Informazioni sanitarie protette elettroniche (ePHI) Informazioni sanitarie identificabili individualmente, comprese le informazioni demografiche raccolte da un individuo, protette dalla legge governativa e dalle leggi e dai regolamenti correlati, trasmesse o conservate su supporti elettronici. ePHI include informazioni che identificano un individuo o potrebbero essere ragionevolmente utilizzate per identificare un individuo e si riferiscono a: salute o condizione fisica o mentale passata, presente o futura di un individuo; la fornitura di assistenza sanitaria a un individuo; o il pagamento passato, presente o futuro per l’assistenza sanitaria a un individuo. Le informazioni sanitarie identificabili individualmente includono, ma non sono limitate a, molti identificatori comuni (ad esempio, nome, indirizzo, data di nascita, numero di previdenza sociale).
Autenticazione a più fattori (MFA) Un metodo di autenticazione elettronica in cui a un utente viene concesso l’accesso a un sito Web o a un’applicazione solo dopo aver presentato con successo a un meccanismo di autenticazione due o più elementi di prova che potrebbero essere qualcosa che l’utente e solo l’utente conosce, qualcosa che l’utente e solo l’utente ha, o qualcosa che l’utente e solo l’utente è.
Informazioni non pubbliche (NPI) Tutte le informazioni elettroniche che non sono informazioni pubblicamente disponibili, come le informazioni relative all’attività, la cui divulgazione non autorizzata, l’accesso o il cui utilizzo potrebbe avere un impatto negativo materiale sulle operazioni o sulla sicurezza dell’azienda. Una combinazione di qualsiasi informazione riguardante un individuo che a causa del nome, numero, marchio personale o altro identificatore può essere utilizzata per identificare tale individuo. Qualsiasi informazione o dato sanitario, ad eccezione dell’età o del sesso, in qualsiasi forma o mezzo creato da o derivato da un operatore sanitario o da un individuo.
Informazioni di identificazione personale (PII)

 

 (PII) Qualsiasi dato che non è disponibile al pubblico e che potrebbe essere potenzialmente utilizzato per identificare una determinata persona. Gli esempi includono nome completo, indirizzo postale, indirizzo e-mail, numero di previdenza sociale, numero di patente di guida, numero di conto bancario e numero di passaporto.
Programma di Penetration Testing La pratica di testare un sistema informatico, una rete o un’applicazione Web per trovare vulnerabilità di sicurezza che un utente malintenzionato potrebbe sfruttare. L’obiettivo principale dei test di penetrazione è identificare i punti deboli della sicurezza, segnalare tali punti deboli alla direzione e rimediare ai punti deboli in modo sistematico.
Valutazione del rischio Una valutazione del rischio è lo sforzo combinato di: identificare e analizzare potenziali eventi che possono avere un impatto negativo sulle risorse di un’organizzazione e/o sull’ambiente; formulare giudizi sulla probabilità e sull’impatto degli eventi negativi; e affrontare tali eventi in modo sistematico.

Service Level Agreement (SLA) Un impegno tra un fornitore di servizi e un cliente che copre i servizi da fornire ed evidenzia gli standard di qualità richiesti al fornitore per garantire la soddisfazione del cliente.
Fornitore di servizi di terze parti (TPSP) Una persona o entità che fornisce servizi e mantiene, elabora o in altro modo può accedere alle informazioni non pubbliche di un’organizzazione attraverso la fornitura di servizi a tale organizzazione. Una terza parte non è un affiliato di Kelyon.
Gestione delle vulnerabilità La pratica sistematica di identificare, classificare, assegnare priorità, rimediare e mitigare le vulnerabilità del software.

 

 

II. Ambito della politica

Questa politica stabilisce i requisiti in base ai quali Kelyon gestirà i rischi per la sicurezza associati ai fornitori di servizi di terze parti (TPSP) e tutti gli altri accordi di fornitori convenzionati. L’intento è garantire che la sicurezza delle informazioni e delle risorse informative di Kelyon non venga ridotta durante lo scambio di informazioni con terze parti o l’introduzione di prodotti o servizi di terze parti nell’ambiente Kelyon.

Questa politica copre tutti i TPSP Kelyon e tutti gli altri accordi di fornitori convenzionati. Tutti i dipendenti Kelyon, inclusi terzi e appaltatori, sono tenuti a rispettare questa politica.

 

III. Dichiarazione policy

Gestione del rischio

Kelyon gestirà e affronterà il rischio per la sicurezza dei TPSP che potrebbero avere accesso ai dati di Kelyon o fornire prodotti o servizi a Kelyon.

 

Obiettivi

  • Kelyon istituirà un processo di valutazione del rischio per identificare, misurare, mitigare e monitorare i rischi per i dati, i sistemi informativi e le informazioni riservate (NPI) di Kelyon accessibili o detenuti da terzi.
  • Kelyon istituirà un processo di due diligence per potenziali TPSP, che affronti, come minimo, un TPSP:
    • condizione finanziaria,
    • reputazione,
    • pratiche di sicurezza,
    • copertura assicurativa,
    • terze parti critiche, e
    • partner strategici.
  • o Kelyon eseguirà una revisione periodica dell’aderenza agli accordi sul livello di servizio (SLA), alle misure di sicurezza e ai requisiti contrattuali e normativi.
  • o Kelyon manterrà un elenco aggiornato e accurato di tutti i TPSP e condurrà periodicamente una valutazione del rischio di ciascuno.
  • o RGI informerà la gestione dei rischi associati agli accordi di esternalizzazione per garantire pratiche efficaci di gestione del rischio.

 

Valutazione del rischio di terze parti

  • Kelyon, durante il processo di qualificazione di un TPSP, stabilirà una checklist o un questionario per identificare i rischi dell’utilizzo di un TPSP per determinare se le pratiche di tali terze parti potrebbero avere un impatto negativo su Kelyon. Gli elementi di un questionario TPSP dovrebbero includere, per i TPSP:
    • la necessità di accedere a NPI, informazioni di identificazione personale (PII) o informazioni sanitarie elettroniche (ePHI)
    • la necessità di accedere a dati finanziari o riservati
    • la necessità di accedere alla rete interna di Kelyon
    • la necessità di un programma di test di vulnerabilità e penetrazione
    • la necessità di un’assicurazione di sicurezza o altra assicurazione correlata
    • il coinvolgimento in qualsiasi recente attacco informatico o violazione dei dati
    • la conformità alle leggi e ai regolamenti governativi applicabili
  • Kelyon esaminerà la checklist o il questionario per valutare e mitigare i rischi, se possibile, e decidere se proseguire il rapporto con la terza parte.
  • Kelyon condurrà un’ulteriore due diligence per analizzare se il TPSP soddisfa le esigenze e i requisiti normativi di Kelyon.

 

Revisione di terze parti

  • Kelyon avrà un programma di revisione per garantire che i TPSP forniscano la quantità e la qualità dei servizi previsti e/o concordati.
  • Kelyon monitorerà gli aspetti chiave delle sue relazioni con terze parti, inclusi i controlli di sicurezza e la solidità finanziaria di ciascuna terza parte, e l’impatto di eventuali eventi esterni sui suoi rapporti con le terze parti.

 

Tracciamento di terze parti

  • Per aumentare l’efficacia del monitoraggio, Kelyon classificherà periodicamente le relazioni TPSP in base al rischio per determinare quali fornitori di servizi richiedono un monitoraggio più attento.
  • I rapporti con terze parti che Kelyon ha ritenuto essere a più alto rischio riceveranno un monitoraggio più rigoroso delle loro prestazioni.

 

Resoconto dei servizi di terze parti

  • Kelyon monitorerà il servizio, i rapporti, gli audit e le registrazioni forniti da un TPSP e li esaminerà.

 

IV. Approvazione della politica

Kelyon esaminerà questa politica periodicamente (almeno ogni 3 anni) per verificarne l’accuratezza, la completezza e l’applicabilità.