rev.0 15/07/2024
1. GLOSSARIO
Evento di sicurezza delle informazioni: evento che indica una possibile violazione della sicurezza delle informazioni o un fallimento dei controlli
Kelyon Cloud Infrastructure: l’infrastruttura logica costituita da istanze di calcolo, istanze di database, storage, servizi e applicazioni accessibili via Internet, che abilita i Servizi Interni di Kelyon
Kelyon Network: insieme di protocolli e risorse fisiche e/o accessibili in cloud che formano l’infrastruttura Kelyon Cloud
Kelyon Systems: i sistemi presenti sull’infrastruttura cloud Kelyon.
2. INTRODUZIONE
L’affidamento dei dati in cloud ai sensi della norma EN ISO/IEC 27017:2021 comporta la verifica di alcuni requisiti sia per il Cliente che per Kelyon.
Kelyon, in totale trasparenza per la gestione dei servizi offerti, fornisce nel seguito una sintesi degli adempimenti riferiti al Cliente e di quelli adottati da Kelyon in qualità di fornitore in ottemperanza alle norme EN ISO/IEC 27001:2023, EN ISO/IEC 27017:2021 e EN ISO/IEC 27018:2020.
Qualora il Cliente riscontri delle discrepanze rispetto a quanto di seguito riportato e agli eventuali servizi offerti, è invitato a segnalarle inviando una mail a cso@kelyon.com.
3. PROTOCOLLO DEI SERVIZI CLOUD
I dati conservati nell’ambiente di cloud computing possono essere soggetti ad accesso e gestione da parte di Kelyon; a tutela del Cliente, Kelyon adotta metodi e processi certificati da enti terzi in ambito EN ISO/IEC 27001:2023, EN ISO/IEC 27017:2021 e EN/ISO IEC 27018:2020.
Qualora il Cliente decida di modificare e/o integrare tali organi, è tenuto a definire preventivamente tali aspetti, in apposito accordo tra le parti.
- Kelyon eroga i propri servizi cloud su infrastrutture ubicate nell’Unione Europea e gestite da Amazon Web Services (https://aws.amazon.com), salvo diversa esplicita richiesta del Cliente di ospitare servizi cloud su infrastrutture ubicate in altre aree geografiche e/o appartenenti ad altri cloud provider.
Amazon Web Services (AWS) supporta 143 standard di sicurezza e certificazioni di conformità, tra cui PCI-DSS, HIPAA/HITECH, FedRAMP, GDPR, FIPS 140-2 e NIST 800-171, aiutando i clienti a soddisfare i requisiti di conformità in tutto il mondo. AWS dispone di certificazioni di conformità ISO/IEC 27001:2022, 27017:2015 e 27018:2019.
- Kelyon comunicherà al Cliente con un preavviso di 30 giorni eventuali variazioni dei fornitori di cloud utilizzati. Kelyon garantisce che le infrastrutture che erogano i servizi cloud saranno sempre ubicate nell’Unione Europea, salvo diversa ed esplicita richiesta del Cliente, e che il trattamento dei dati sarà conforme alla Direttiva Europea sulla Protezione dei Dati (GDPR – Regolamento UE 2016/679).
- Kelyon classifica tutte le informazioni scambiate con il Cliente. L’etichettatura segue i seguenti livelli di classificazione:
Categoria di informazioni | Descrizione | Esempi |
Pubblica o senza etichetta | Le informazioni fornite non sono riservate e pertanto possono essere pubbliche senza che ciò abbia implicazioni negative se vengono rilevate. La mancanza di disponibilità di queste informazioni in caso di tempi di inattività è un rischio accettabile. L’integrità è importante ma non fondamentale e vitale per la vita o l’attività del Cliente. | Volantini, brochure, comunicati stampa, siti web, newsletter |
Confidential | Documentazione riservata per uso interno o esterno che contiene informazioni sensibili a cui dovrebbe accedere solo un piccolo gruppo di persone autorizzate, in quanto la sua divulgazione non autorizzata potrebbe causare danni significativi all’organizzazione.
In questa categoria rientrano le informazioni ricevute dal Cliente. |
Contratti con i clienti, offerte, progetti di sviluppo prodotto, documenti legali interni, informazioni finanziarie riservate |
Strictly confidential | Documentazione che contiene informazioni estremamente sensibili che, se divulgate, potrebbero causare gravi danni all’organizzazione, ai suoi Clienti o ai suoi partner. L’accesso a queste informazioni è limitato a un numero molto ridotto di persone, con rigorose misure di protezione. | Codici sorgente software, know-how utilizzato per elaborare le informazioni del Cliente, informazioni sui brevetti in corso di deposito, dati sanitari sensibili, chiavi crittografiche o certificati di sicurezza |
- L’inventario periodico delle risorse di Kelyon include le informazioni e le risorse associate, comprese quelle archiviate nell’infrastruttura cloud di Kelyon. I registri di inventario indicano dove sono conservate le risorse.
- Kelyon adotta un’adeguata allocazione dei ruoli e delle responsabilità in materia di sicurezza delle informazioni e conferma di essere in grado di adempiere ai propri ruoli e responsabilità in materia di sicurezza dei dati.
A tal fine, vengono condotte rivalutazioni periodiche dell’analisi dei rischi, delle valutazioni delle vulnerabilità e dei test di penetrazione. A tal proposito, Kelyon attua una propria politica per la prevenzione e la gestione delle minacce, sulla quale, su richiesta del Cliente, può fornire documentazione al riguardo.
Il Cliente che decide di modificare e/o integrare le pratiche di controllo di Kelyon è tenuto a definire preventivamente tali aspetti, in apposito accordo tra le parti.
- Tutti gli accessi ai sistemi, ai servizi e alle applicazioni dell’infrastruttura Kelyon Cloud sono sicuri e protetti. Per garantire elevati livelli di protezione e bloccare eventuali tentativi di accesso malevoli, l’autenticazione a due fattori (MFA) è abilitata su tutti i servizi interni Kelyon per quanto possibile.
- La gestione del servizio cloud offerto al Cliente considera il profilo di accesso al servizio fornito da Kelyon. Kelyon comunica al Cliente le modalità standard di accesso al momento dell’attivazione del servizio.
- La politica di controllo degli accessi di Kelyon per la sua infrastruttura cloud incorpora la compartimentazione per ogni servizio.
- Kelyon adotta una politica di segregazione della rete per ottenere la segregazione degli ambienti cloud dei clienti.
Nel dettaglio, la Kelyon Cloud Infrastructure garantisce:
- segregazione di gruppi di servizi informativi, utenti e sistemi informativi, suddividendoli in domini di rete separati;
- segregazione logica dei dati dei clienti dei servizi cloud, delle applicazioni virtualizzate, dei sistemi operativi, dello storage e delle reti per garantire l’integrità e la riservatezza dei dati.
- Il Cliente deve assicurarsi che la capacità di erogazione del servizio concordata con Kelyon venga soddisfatta.
Kelyon fornisce al Cliente gli strumenti necessari per monitorare l’utilizzo del servizio e anticipare le esigenze di capacità, garantendo prestazioni ottimali dei servizi cloud richiesti nel tempo.
- I servizi erogati sulla Kelyon Cloud Infrastructure implementano controlli di crittografia conformi a standard di sicurezza riconosciuti e approvati.
A tal proposito Kelyon implementa pratiche per il controllo e il mantenimento dell’efficacia delle chiavi crittografiche durante tutto il loro ciclo di vita, compresa la generazione, l’installazione, l’aggiornamento, la revoca e la distruzione. Come prassi standard, Kelyon applica controlli crittografici a tutte le transazioni da e verso il Cliente.
- Kelyon mantiene politiche e procedure scritte specifiche per lo smaltimento o il riutilizzo sicuro delle risorse. Su esplicita richiesta del Cliente, Kelyon è disponibile a fornire tali documenti.
- Le credenziali di accesso ai servizi applicativi forniti dalla Kelyon Cloud Infrastructure sono univoche per ogni utente e non possono essere condivise.
Le credenziali non devono essere conservate su supporti scritti in modo da facilitare l’accesso non autorizzato da parte di terzi.
- Per i servizi applicativi forniti dalla Kelyon Cloud Infrastructure, Kelyon offre un servizio di backup come previsto dal contratto con il Cliente.
Salvo diverso accordo con il Cliente, la politica di backup prevede backup giornalieri con un periodo di conservazione di almeno 60 giorni.
I log dei backup vengono conservati per un periodo minimo di 6 mesi.
I backup vengono archiviati in almeno 3 data center in modo ridondante, fornendo una resilienza integrata contro i disastri diffusi.
- Kelyon testa i backup due volte al mese per garantirne l’integrità e l’affidabilità per ripristini sicuri e senza compromessi.
- Kelyon implementa un set di log standard che consentono al Cliente di monitorare vari eventi.
Il Cliente è responsabile di determinare se questo set di registri soddisfa le sue esigenze e si allinea con le sue politiche; in caso contrario, il Cliente dovrà definire con Kelyon i propri requisiti di registrazione degli eventi.
I log sono archiviati su una piattaforma centralizzata che garantisce che siano immutabili e non possano essere eliminati, nemmeno accidentalmente.
- Tutte le attività relative alla risoluzione dei problemi di sicurezza e al miglioramento dell’usabilità dei servizi forniti dalla Kelyon Cloud Infrastructure sono condotte dal personale Kelyon con le autorizzazioni e le deleghe appropriate. L’accesso viene registrato con il timestamp.
- Per i servizi erogati dalla Kelyon Cloud Infrastructure, i clock di sistema sono sincronizzati con fonti approvate.
Questa sincronizzazione viene eseguita regolarmente per garantire timestamp accurati per le attività di elaborazione, registrazione e controllo dei dati.
- Il Cliente deve determinare i requisiti di sicurezza delle informazioni e quindi valutare se i servizi offerti da Kelyon soddisfano tali requisiti. A tal fine, il Cliente ha la facoltà di richiedere a Kelyon informazioni sulle funzionalità di sicurezza delle informazioni adottate.
- Kelyon conduce le operazioni di sviluppo in un ambiente sicuro e dedicato utilizzando dati di test non di produzione. Tali operazioni sono disciplinate da specifiche procedure scritte. Kelyon può fornire documentazione su tale processo su esplicita richiesta del Cliente.
- Il Cliente deve includere Kelyon nella propria politica di sicurezza delle informazioni, nei rapporti con i fornitori. Ciò contribuirà a mitigare i rischi associati all’accesso e alla gestione dei dati gestiti nei servizi offerti da Kelyon.
- Il Cliente deve confermare i ruoli e le responsabilità in merito alla sicurezza delle informazioni relative ai servizi forniti da Kelyon e descritti nel relativo contratto.
- Kelyon dispone di una procedura scritta specifica per la gestione degli incidenti di sicurezza delle informazioni.
Questa politica garantisce un approccio coerente ed efficace alla risoluzione di tali incidenti, comprese le comunicazioni relative agli eventi di sicurezza.
La politica mira a mitigare i seguenti rischi:
- Ridurre l’impatto delle violazioni della sicurezza delle informazioni assicurandoti che gli incidenti siano seguiti correttamente.
- Aiutare a identificare le aree di miglioramento per ridurre il rischio e l’impatto di incidenti futuri, diminuendo la superficie di attacco e le possibilità di violazioni dei dati.
Gli incidenti di sicurezza delle informazioni devono essere segnalati il prima possibile inviando un’email a cso@kelyon.com. A seguito della verifica dell’incidente, il personale responsabile valuterà la situazione e metterà in atto opportune azioni correttive e/o misure di contenimento.
In caso di data breach, questo dovrà essere segnalato al DPO di Kelyon (dpo@kelyon.com), che attiverà la specifica procedura operativa di Kelyon per la gestione dei data breach. Ciò include la tempestiva comunicazione della violazione all’Autorità Garante per la Protezione dei Dati Personali e ai responsabili del progetto del Cliente.
Verrà creato un “Rapporto sull’incidente di sicurezza” per gli incidenti di sicurezza delle informazioni.
Un “Incidente di Sicurezza delle Informazioni” è un evento che ha causato o ha il potenziale di causare danni agli asset, alla reputazione e/o ai Clienti di Kelyon. Tali incidenti includono, a titolo esemplificativo ma non esaustivo:
- la perdita o il furto di dati o informazioni (Data Loss);
- il trasferimento di dati o informazioni a coloro che non hanno il diritto di ricevere tali informazioni (Data Leakege);
- tentativi (falliti o riusciti) di ottenere l’accesso non autorizzato ai file di dati o informazioni (DataStore) di un sistema informatico di Kelyon o dei suoi Clienti;
- modifiche fraudolente di informazioni o dati in un sistema informatico;
- interruzione non richiesta di un servizio fornito dalla Kelyon Cloud Infrastructure;
- l’azione di malware o di un attacco DDOS.
Il Cliente deve fornire le seguenti informazioni essenziali:
- se la perdita di dati mette a rischio qualsiasi persona o altri dati;
- la data e l’ora in cui si è verificato l’incidente di sicurezza.
È quindi fondamentale che il Cliente identifichi qualsiasi punto debole relativo alla sicurezza delle informazioni che sia stato osservato o sospettato nei servizi forniti da Kelyon.
Kelyon risponderà agli incidenti di sicurezza delle informazioni in conformità con le procedure documentate.
Le conoscenze acquisite dall’analisi e dalla risoluzione degli incidenti di sicurezza delle informazioni saranno utilizzate da Kelyon per ridurre la probabilità o l’impatto di incidenti futuri.
- Tutti i dati in transito gestiti sulla Kelyon Cloud Infrastructure sono crittografati utilizzando protocolli di crittografia sicuri come TLS.
- In caso di forza maggiore, calamità naturali, atti terroristici o qualsiasi altro evento catastrofico ragionevolmente imprevedibile che abbia un impatto sull’infrastruttura sottostante la Kelyon Cloud Infrastructure, Kelyon si riserva il diritto di migrare i servizi forniti al Cliente ad un altro fornitore certificato ISO 27001, ISO 27017 e ISO 27018, a condizione che il servizio di Disaster Recovery sia incluso nel contratto con il Cliente.
- I dati trattati dal Cliente in qualità di Titolare del trattamento sull’Infrastruttura Kelyon Cloud rimarrano sempre di proprietà del Cliente.
- Kelyon, in ottemperanza al Regolamento UE 2016/679 (GDPR), garantisce al titolare del trattamento la possibilità di ricevere in qualsiasi momento una copia dei dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico (“diritto di accesso”), nonché di conoscere il luogo fisico in cui risiedono i dati.
- Kelyon garantisce la portabilità dei dati e delle applicazioni, se il Cliente sceglie di migrare a un altro cloud provider, evitando così il vendor lock-in.
- Kelyon, in ottemperanza al Regolamento UE 2016/679 (GDPR), garantisce al titolare del trattamento la cancellazione dei propri dati (“diritto all’oblio“).
Il diritto alla cancellazione prevale sull’interesse alla conservazione dei dati. In tali casi, se un titolare del trattamento richiede la cancellazione dei propri dati, Kelyon procederà senza ingiustificato ritardo e non si riserverà il diritto di continuare a trattare i dati fino alla scadenza originariamente stabilita, indipendentemente dal fatto che tale scadenza sia imminente o meno.
- Kelyon, in qualità di responsabile del trattamento di dati personali in cloud, si impegna a includere nei suoi contratti con i clienti una disposizione che richiede la notifica di qualsiasi richiesta legalmente vincolante per la divulgazione di informazioni di dati personali da parte delle autorità preposte all’applicazione della legge. Kelyon fornirà tali notifiche in conformità con le procedure e i tempi concordati stabiliti nel contratto, a meno che non sia vietato dall’autorità preposta all’applicazione della legge di divulgare tali informazioni. Ciò garantisce che i clienti siano informati e possano intraprendere le azioni appropriate in merito a qualsiasi richiesta di divulgazione di dati personali.
- Kelyon ha una politica specifica in merito alla restituzione, al trasferimento e/o all’eliminazione di dati personali. In caso di esplicita richiesta da parte del Cliente, Kelyon è disponibile a fornire tale documento.
- È responsabilità del Cliente richiedere una descrizione documentata del processo di cessazione del servizio cloud fornito da Kelyon, che comprende la rimozione degli asset del Cliente seguita dall’eliminazione di tutte le copie di tali asset dai sistemi di Kelyon. A tal fine, Kelyon dispone di una procedura scritta specifica per la disattivazione di un servizio, comprese le modalità di restituzione dei dati (ove necessario).
- Kelyon si impegna a garantire che tutte le informazioni, i concetti, le idee, le procedure, i metodi e i dati tecnici di cui il proprio personale venga a conoscenza durante l’erogazione dei servizi al Cliente siano trattati in modo confidenziale e soggetto a segretezza.
Kelyon adotta con i propri collaboratori tutte le cautele necessarie per tutelare la riservatezza di tali informazioni e documentazione. Inoltre, Kelyon aderisce alla normativa in materia di trattamento dei dati personali e rispetta i diritti delle persone fisiche e di altri soggetti in conformità al Codice in materia di protezione dei dati personali (D.Lgs. 196/03 e successive modifiche) e al Regolamento 2016/679 e sue applicazioni.
Qualora il Cliente ritenga opportuno richiedere prove documentate dell’attuazione di specifici controlli di sicurezza relativi ai servizi forniti da Kelyon, e qualora ciò non rappresenti un rischio per la sicurezza delle informazioni di Kelyon e/o dei suoi Clienti, tali documenti saranno classificati come “Confidential” e forniti al Cliente.
- Kelyon implementa l’hardening coem processo per migliorare la sicurezza degli ambienti cloud utilizzati per fornire servizi ai clienti. Vengono seguiti due approcci:
- Hardening una tantum. viene effettuato una sola volta e dopo la prima configurazione dell’ambiente;
- Hardening multiplo. viene eseguito più volte durante la vita dell’ambiente, a seconda di importanti aggiornamenti del sistema operativo o dell’installazione di moduli/librerie aggiuntivi.
-
- Kelyon garantisce che, una volta deallocato, l’ambiente cloud del Cliente venga completamente eliminato e tutti i dati vengano completamente cancellati prima che le risorse vengano ridistribuite o riassegnate. Questo processo garantisce che non rimangano dati residui.
- Tutte le comunicazioni effettuate da Kelyon avvengono tramite protocollo HTTPS, SSL e TLS, garantendo che i dati trasmessi raggiungano la destinazione corretta.
- Kelyon garantisce l’uso limitato di materiali stampati, i quali vengono distrutti mediante triturazione quando non sono più necessari.
- Kelyon garantisce che le copie delle politiche di sicurezza e delle procedure operative siano conservate per un periodo di almeno 5 anni.
Il Cliente deve considerare che le leggi e i regolamenti applicabili possono includere quelli che regolano sia la giurisdizione di Kelyon che le sue attività.