I. Glossario

Regolamento di sicurezza Una serie di regolamenti promulgati e applicati dalle autorità nazionali di vigilanza.
Informazioni sanitarie protette elettroniche (ePHI) Informazioni sanitarie identificabili individualmente, comprese le informazioni demografiche raccolte da un individuo, che sono protette dalla legge governativa e dalle leggi e dai regolamenti correlati e vengono trasmesse o conservate nei media elettronici. Le ePHI includono informazioni che identificano un individuo o che potrebbero essere ragionevolmente utilizzate per identificare un individuo e si riferiscono a: la salute o la condizione fisica o mentale passata, presente o futura di un individuo; la fornitura di assistenza sanitaria a un individuo; o il pagamento passato, presente o futuro per l’assistenza sanitaria a un individuo. Le informazioni sanitarie identificabili individualmente includono, a titolo esemplificativo ma non esaustivo, molti identificatori comuni (ad esempio, nome, indirizzo, data di nascita, numero di previdenza sociale).
Autenticazione a più fattori (MFA) Un metodo di autenticazione elettronica in cui a un utente viene concesso l’accesso a un sito web o a un’applicazione solo dopo aver presentato con successo a un meccanismo di autenticazione due o più elementi di prova che potrebbero essere qualcosa che l’utente e solo l’utente conosce, qualcosa che l’utente e solo l’utente possiede, o qualcosa che l’utente e solo l’utente è.
Informazioni non pubbliche (NPI) Tutte le informazioni elettroniche che non sono informazioni pubblicamente disponibili, come le informazioni relative all’attività che la divulgazione non autorizzata, il cui accesso o utilizzo causerebbe un impatto negativo significativo sulle operazioni o sulla sicurezza dell’azienda. Una combinazione di qualsiasi informazione riguardante un individuo che, a causa del nome, del numero, del marchio personale o di altro identificatore, può essere utilizzata per identificare tale individuo. Qualsiasi informazione o dato sanitario, ad eccezione dell’età o del sesso, in qualsiasi forma o mezzo creato o derivato da un operatore sanitario o da un individuo.
Informazioni di identificazione personale (PII) Tutti i dati che non sono disponibili al pubblico e che potrebbero essere potenzialmente utilizzati per identificare una determinata persona. Gli esempi includono nome completo, indirizzo postale, indirizzo e-mail, numero di previdenza sociale, numero di patente di guida, numero di conto bancario e numero di passaporto.
Programma di penetration test La pratica di testare un sistema informatico, una rete o un’applicazione Web per trovare vulnerabilità di sicurezza che un utente malintenzionato potrebbe sfruttare. L’obiettivo principale dei penetration test è identificare i punti deboli della sicurezza, segnalare tali punti deboli alla direzione e rimediare ai punti deboli in modo sistematico.
Valutazione del rischio Una valutazione del rischio è lo sforzo combinato di: identificare e analizzare potenziali eventi che possono avere un impatto negativo sulle risorse di un’organizzazione e/o sull’ambiente; formulare giudizi basati sulla probabilità e sull’impatto degli eventi negativi; e affrontare tali eventi in modo sistematico.
Contratto di servizio (SLA) Un impegno tra un fornitore di servizi e un cliente che copre i servizi da fornire e mette in evidenza gli standard di qualità richiesti al fornitore per garantire la soddisfazione del cliente.
Fornitore di servizi di terze parti (TPSP) Una persona o entità che fornisce servizi e mantiene, elabora o altrimenti è autorizzata l’accesso alle informazioni non pubbliche di un’organizzazione attraverso la fornitura di servizi a tale organizzazione. Una terza parte non è un’affiliata di Kelyon.
Gestione delle vulnerabilità La pratica sistematica di identificare, classificare, assegnare priorità, correggere e mitigare le vulnerabilità del software.

II. Ambito di applicazione della politica

La presente Politica stabilisce i requisiti in base ai quali Kelyon gestirà i rischi per la sicurezza associati ai Fornitori di servizi di terze parti (TPSP) e a tutti gli altri accordi contrattualizzati con i fornitori. L’intento è quello di garantire che la sicurezza delle informazioni e del patrimonio informativo di Kelyon non venga ridotta durante lo scambio di informazioni con terze parti o dall’introduzione di prodotti o servizi di terze parti nell’ambiente Kelyon.

La presente Politica copre tutti i TPSP Kelyon e tutti gli altri accordi contrattuali con i fornitori. Tutti i dipendenti di Kelyon, comprese le terze parti e gli appaltatori, sono tenuti a rispettare la presente Politica.

III. Dichiarazione politica

Gestione del rischio

Kelyon gestisce e affronta i rischi per la sicurezza dei TPSP che potrebbero avere accesso ai dati di Kelyon o fornire prodotti o servizi a Kelyon. Come misura di mitigazione, i requisiti specifici di sicurezza delle informazioni devono essere inclusi nell’accordo con la terza parte. Questi accordi garantiscono la conformità a tutte le politiche e ai requisiti normativi di Kelyon, ove applicabili.

Obiettivi

  • Kelyon istituisce un processo di valutazione del rischio per identificare, misurare, mitigare e monitorare i rischi per i dati, i sistemi informativi e le informazioni non pubbliche (NPI) di Kelyon accessibili o detenute da terze parti.
  • Kelyon mantiene un elenco aggiornato e accurato di tutti i TPSP e conduce periodicamente una valutazione del rischio dei TPSP attuali e dei potenziali TPSP quando necessario.
  • RGI informerà la Direzione dei rischi associati agli accordi di esternalizzazione per garantire pratiche efficaci di gestione del rischio.

 

Valutazione del rischio di terze parti

  • La valutazione del rischio è condotta con il modulo di valutazione del rischio di terze parti M-TPR-01 per identificare i rischi dell’utilizzo di un TPSP per determinare se le pratiche di tali terze parti potrebbero avere un impatto negativo su Kelyon. Gli elementi di un questionario TPSP includono:
    • condizione finanziaria,
    • reputazione
    • pratiche di sicurezza,
    • copertura assicurativa e,
    • terze parti critiche.
  • Kelyon applica tutte le misure di mitigazione applicabili per mitigare i rischi per quanto possibile secondo lo stato dell’arte e per decidere se proseguire il rapporto con il TPSP o qualificare il potenziale TPSP.

Criteri di valutazione del rischio

  • Per ogni elemento da valutare, il livello di rischio viene valutato in base ai seguenti criteri:
    • 1: Basso
    • 2: Medio
    • 3: Alto
  • Ogni situazione di pericolo viene valutata in termini di gravità del pericolo e di probabilità che si verifichi.
  • L’efficacia delle misure di mitigazione viene valutata in base ai seguenti criteri:
    • 1: Unssoddisfacente
    • 2: Limitato
    • 3: Soddisfacente
    • 4: Buono
    • 5: Molto alto
  • I criteri di accettabilità del rischio sono i seguenti:
    • <=1: Accettabile
    • >1 e <=2: per quanto possibile
    • >2: Inaccettabile

Reportistica di servizi di terze parti

  • Kelyon monitorerà il servizio, i rapporti, gli audit e le registrazioni fornite da un TPSP e li esaminerà secondo PRQ 7.4A Qualificazione e Monitoraggio Fornitori.

 

IV. Approvazione dei criteri

Kelyon esaminerà periodicamente (almeno ogni 3 anni) la presente Informativa per verificarne l’accuratezza, la completezza e l’applicabilità.