GRUPPOSPAGGIARI PARMA Un futuro ricco di esperienza POLICY DI SICUREZZA SGSI UNI CEI ISO/IEC 27001 Rev. 2.0 del 10/02/2021 Gruppo Spaggiari Parma S.p.A. info@spaggiari.eu * spaggiari@legalmail.it Via F. Bernini, 22/A - 43126 Parma WWw.Spaggiari.eu Cap. Soc. 1.200.000 € interamente versato BEI POLICY DI SICUREZZA eee -\|:.!I REVISIONI APPROVAZIONE REV. PAG. MOD. TIPO / NATURA DELLA MODIFICA DATA VISTO Prima stesura 0.0 21/05/2018 Direzione aziendale _ Review del layout grafico 10 18/07/2019 DIFEZIONE al Revisione del formato grafico del documento e della aziendale struttura societaria. Introduzione delle Certificazioni ottenute dal provider 20 10/02/2021 Direzione 21 Aggiunta del Cap. dedicato alle certificazioni fornite dal aziendale carrier che ospita l’infrastruttura IT. Indice INÉPO......... 5 MISSION... 5 Obiettivi .............. 5 | sistemi critici... 6 Aggiornamento del documento................... 6 Gruppo Spaggiari Parma S.p.A... T La riorganizzazione ............... 9 [omissis] .............. 10 [omissis] ............ 10 [omissis] .................... 11 [omissis] ........... 12 Data Center Rozzano (Ml). . . . . . . . . . 12 Dispositivi di protezione................... 14 Dispositivi antintrusione al Data Center....................... 15 [omissis] ............ 16 Rivelazione fumi e sistemi antincendio .................. 16 Sistemi di condizionamento e controllo della tempe-ratura ..................... 17 Sistemi antiallagamento ................... 17 Certificazioni Data Center Rozzano (MI) ............... 17 Data Center Arezzo (AR). . . . . . . . . . 18 Dispositivi di protezione................... 19 [omissis] ............ 20 Rivelazione fumi e sistemi antincendio .................. 20 Sistemi di condizionamento e controllo della temp-eratura [omissis] ............. 20 Certificazioni Data Center Arezzo (AR) ................ 21 Informazioni di contatto .................... 22 Informazioni sulla società ................. 22 BEI POLICY DI SICUREZZA eee -\|:.!I EEE « POLICY DI SICUREZZA ln Intro Il presente documento descrive le policy di sicurezza e le infrastrutture antintrusione utilizzate nei Data Center a disposizione di Gruppo Spaggiari Parma S.p.A. Questo manuale, disponibile per la propria clientela, vuole essere un ulteriore dimostrazione di trasparenza e di affidabilità nelle infrastrutture aziendali nate per la gestione e la protezione dei dati sensibili. Tale documento non è da intendersi come sostitutivo del più corposo “Manuale Operativo per la Sicurezza delle Informazioni’, ma parte integrante dello stesso. Mission Una delle “Mission” dei Sistemi Informativi aziendali è certamente quello di garantire un servizio affidabile e sicuro, ma non solo, ulteriore compito del Reparto IT è stimolare e supportare lo studio, l’analisi e la creazione di procedure alternative, per favorirne l'integrazione con gli altri processi aziendali informatici. Obiettivi Lo scopo del presente documento è di presentare alcune linee guida quale strumento utile alla stesura delle procedure sostitutive, nell’intento di fornire un supporto ed un aiuto pratico a chi deve sviluppare procedure informatiche critiche aziendali; le linee guida sono di natura informativa e programmatica e non precettiva, in quanto si è ben consapevoli della complessità e vastità dell’organizzazione aziendale; dei diversi assetti, degli aspetti organizzativi e funzionali delle sue strutture interne, dell’eterogeneità ed infine delle professioni in essa operanti. Questo documento risulterà inoltre un utile strumento di sensibilizzazione in termini di sicurezza in quanto: dà evidenza delle attività svolte dagli organi Dirigenti; tutela chi assume le decisioni dando prova della propria diligenza; fissa la conoscenza sviluppata in azienda trasformando adempimenti dovuti per legge in valore aggiunto ed infine permette di formalizzare le policy privacy (corretta gestione e manutenzione). BEI POLICY DI SICUREZZA eee -\|:.!I | sistemi critici Il presente documento analizzerà quindi ogni policy ideata per prevenire ogni possibile criticità dell’infrastruttura IT, proprio per questo è necessario già nella premessa definire al meglio quali sono le attività “critiche” secondo l’Azienda. =» L'Azienda definisce come “Mission Critical’ i servizi critici o le attività di supporto al Business (interne o in outsourcing) senza i quali l’organizzazione non può raggiungere i propri obiettivi. Si ricorda infine che secondo l'Agenzia per l'Italia Digitale Ag/D i sistemi "critici" non possono essere sostituiti da nulla di alternativo (solo da qualcosa di identico). Per definizione quindi i sistemi critici non prevedono nessuna procedura sostitutiva. [omissis] presente documento sarà disponibile sia in forma cartacea presso l'Area Cloud&Infrastrutture di Gruppo Spaggiari Parma S.p.A. sia sotto forma digitale. L'aggiornamento dello stesso sarà compito ed obbligo della stessa Area Cloud& Infrastrutture aziendale, in modo da poter revisionare la documentazione sulla sicurezza proposta con le soluzioni più aggiornate alla data di sottoscrizione. Sarà possibile richiedere una copia digitale del presente documento scrivendo all'indirizzo e-mail: it@spaggiari.eu. Ultimo Aggiornamento (Data — Ora — Autore): 10/02/2021 — 11:33 — L. Todesco EEE « POLICY DI SICUREZZA ln Gruppo Spaggiari Parma S.p.A. Il Gruppo Spaggiari Parma S.p.A. lavora nel mondo della scuola dal 1926. Siamo da sempre focalizzati su questo mercato e l'abbiamo seguito in tutte le sue evoluzioni. Tradizione e innovazione, da sempre La storia della Spaggiari è sempre stata improntata ad un mix equilibrato di tradizione e innovazione. Ogni società/attività che ha aggregato nel tempo è stata fortemente innovativa all'esordio ed ha dimostrato di sapersi rinnovare garantendo una perfetta sintesi di tradizione e innovazione. 1926 - Spaggiari Registri e stampati dal 1926 progetta, produce e distribuisce registri e stampati per il mondo della scuola. Questa è stata per tantissimi anni l’attività principale e, con un catalogo di oltre 2000 prodotti e con oltre 1000 lavori personalizzati all'anno, serve con continuità più di 6000 scuole. 1949 - Spaggiari Casa Editrice pubblica manuali, libri e riviste di aggiornamento tecnico- professionale per il DSGA e il personale di segreteria. In particolare, il Bergantini, giunto alla 71a edizione, ha contribuito a formare intere generazioni di personale amministrativo; Pais, inoltre, rivista fondata e gestita in collaborazione con FNADA ANQUAP, aggiorna e informa oltre 2000 scuole. 1980 - Infoschool, Sisdata e Soluzione negli anni Ottanta hanno creato i primi software di gestione delle segreterie scolastiche e del mondo educativo; da allora sono stati protagonisti dei più importanti cambiamenti tecnologici che si sono susseguiti negli anni. In particolare, ClasseViva (2009), il sistema di registro elettronico in cloud computing è stato preso a modello dal Ministero dell'Istruzione, Università e Ricerca (MIUR) per formulare la legge di Spending Review. 1991 - Edizioni Junior, editore storico della rivista Bambini, creata e diretta da Loris edita e pubblica numerosi testi universitari per le facoltà di pedagogia, psicologia e scienze della formazione. 1998 - Spaggiari Distribuzione gestisce un catalogo di oltre 20.000 prodotti in pronta consegna utili per ogni necessità della scuola. Attraverso la propria piattaforma logistica cura oltre 50.000 spedizioni all'anno per oltre 500.000 righe d’ordine. Un’innovativa piattaforma cloud, progettata e gestita in proprio, integra in tempo reale scuole, reti commerciali, buyer, fornitori, produzione, logistica e spedizioni. 2001 - Italiascuola.it, società creata e gestita in collaborazione con l'Associazione nazionale Presidi (ANP) offre servizi di consulenza e formazione in presenza e online per Dirigenti, DSGA e alte professionalità. BEI POLICY DI SICUREZZA eee -\|:.!I Oltre 1600 scuole sono abbonate al servizio di consulenza online e oltre 3000 scuole hanno partecipato ad almeno un evento formativo organizzato da Italiascuola.it sul territorio nazionale. 2013 - Nel 2013 è stata avviata una profonda trasformazione, che si è completata nei primi mesi del 2014 dando vita al Gruppo Spaggiari [omissis] ività del Gruppo sono state ripensate e aggregate in cinque Divisioni che collaborano per selezionare e creare prodotti, contenuti, servizi e progetti sempre più integrati e innovativi. Le attività operative, dall'assistenza clienti alla produzione, dagli acquisti alla logistica, dall'avvio di progetti alla consulenza direzionale sono state riorganizzate per poter offrire al cliente la massima qualità di prodotto e di servizio. L'organizzazione commerciale di relazione con la scuola e con le comunità scolastiche è stata integrata per offrire assistenza e proattività in ognuna delle fasi della relazione commerciale. Il Gruppo potrà così soddisfare l'esigenza delle scuole di avere al proprio fianco un partner qualificato in grado di assolvere alle proprie necessità. 2017 - Nel maggio del 2017 Gruppo Spaggiari Parma S.p.A. assieme a Cooperativa Sociale Coopselios danno vita alla nuova società Bambini S.r.l. destinata al sistema di educazione e d'struzione preadolescenziale, sia in ambito nazionale, che internazionale, con particolare attenzione all'innovazione tecnologica, al pensiero creativo e divergente, ai processi partecipativi e di condivisione. Nel dicembre 2017 Gruppo Spaggiari Parma S.p.A. ha partecipato all'acquisizione di Soluzione S.r.l. unipersonale, società brianzola specializzata in servizi informatici, nell'ottica di rafforzare la propria posizione nel mercato delle scuole paritarie laiche e religiose. A partire dalla fine del 2017 è stata avviata una profonda riorganizzazione aziendale, che si è completata nel 2018. La nuova organizzazione ha permesso di definire tutti i prodotti e servizi offerti in tre Aree Strategiche d'Affari (ASA) per rispondere al meglio alle nuove esigenze del mercato. 2018 - Al termine del 2018 si concretizza un processo di scissione che esternalizza da Gruppo Spaggiari Parma S.p.A. alcune funzioni aziendali nella nuova holding industriale Finedit Finanziaria Editoriale S.r.l. al fine di assicurare una maggiore agilità e sviluppo organizzativo ad altre realtà aziendali accomunate dal rapporto con l'impresa emiliana. 2019 - Nell'aprile 2019 Gruppo Spaggiari Parma S.p.A. partecipa alla creazione di una nuova società dedicata al mondo assicurativo scolastico : nasce così ABZ Broker and Consulting S.r.I., rivolta al mondo education e a tutti i suoi protagonisti (Dirigenti scolastici, Docenti, operatori, famiglie e studenti), destinata a migliorare i processi interni di ogni Istituto con soluzioni innovative ed attente a garantire protezione e serenità in ogni fase scolastica . EEE « POLICY DI SICUREZZA ln Nel dicembre 2019 SOGI Scuola S.r.l., software-house veronese specializzata nel campo educativo dell'istruzione per gli adulti e nella formazione professionale in tutto il territorio nazionale, entra nell’ecosistema di Gruppo Spaggiari Parma S.p.A. ampliando i servizi offerti nel mondo scolastico al fine di offrire soluzioni personalizzate per ogni esigenza. 2020 - Nel dicembre 2020 entra a far parte dell'ecosistema di Gruppo Spaggiari Parma S.p.A. la società di consulenza EuService S.r.l. realtà romana incentrata sulla Gestione dei dati personali e sulla Sicurezza sul lavoro all’interno del settore scolastico nazionale. La riorganizzazione A partire dalla fine del 2017 è stata avviata una profonda riorganizzazione aziendale, che si è completata nel 2018. La nuova organizzazione permetterà di definire tutti i prodotti e servizi offerti in tre Aree Strategiche d’Affari (ASA) per rispondere al meglio alle nuove esigenze del mercato. Il nuovo assetto societario, che ha coinvolto ogni figura e ruolo aziendale, ha permesso maggiore agilità e precisione organizzativa al fine di garantire puntualità e professionalità alla propria rete. Oggi i ricavi sono un mix bilanciato di: MI infrastrutture & Tecnologie (Hardware, Software, Sistemi, Cloud, App) 37% MI Prodotti & Servizi (Stampati, Badge, Libri, Riviste, Servizi, ...) 37% LL] Contenuti & Consulenza (Know-how didattico e gestionale) 26% Nella direzione di tale riorganizzazione, Gruppo Spaggiari Parma vuole aiutare il Dirigente Scolastico a guidare la propria comunità verso un futuro migliore, migliorando gli ambienti della scuola, sia fisici sia virtuali. Costruire un ecosistema digitale totalmente integrato e supportare la crescita professionale e umana di tutto il personale della Scuola, ponendo la Scuola al centro della comunità educativa (Enti, Lavoro, ...). BEI POLICY DI SICUREZZA eee -\|:.!I [omissis] problema della sicurezza di funzionamento, e cioè la continuità operativa e la disponibilità di dati, oltre che su un impianto infrastrutturale adeguato si basa anche su un'architettura informatica che permetta di salvare i dati in modo sicuro e ripristinarli quando necessario, correlato alla continuità di funzionamento vi è quindi il problema di come dar fronte a disastri che minino la disponibilità dei dati aziendali e la continuità di elaborazione degli stessi. Poiché attacchi esterni, guasti hardware o errori nelle applicazioni responsabili di crash dei sistemi e conseguente indisponibilità delle informazioni non possono essere del tutto evitati, la capacità di un'azienda a contenere tali minacce dipende dal suo stato di preparazione. Molti disastri possono essere evitati con un'attenta pianificazione, implementazione e sperimentazione di un adeguato piano di emergenza. A prescindere dalle sue dimensioni Gruppo Spaggiari Parma S.p.A. ha predisposto degli interventi significativi per assicurare una continuità operativa capace di affrontare eventuali eventi calamitosi, grandi o piccoli che siano. Nel documento saranno descritte le politiche di sicurezza adottate differenziando ovviamente le policy Logiche da quelle Fisiche, per queste ultime saranno infatti ulteriormente differenziati i vari Data Center di Milano (presso il comprensorio TIM S.p.A. sito a Rozzano) ed Arezzo (Datacenter IT1 Aruba S.p.A.). [omissis] Sicurezza Logica si occupa dell'integrità, disponibilità, e riservatezza delle informazioni aziendali, ed è pertanto una componente estremamente critica nel processo di produzione del business. Devono essere definite adeguate policy di autenticazione ai sistemi, in grado di garantire riservatezza ed integrità dei dati trattati. Gruppo Spaggiari Parma S.p.A. sfrutta le tecnologie più avanzate per garantire un alto livello di servizio in termini di tempestiva installazione di patch di sicurezza, gestione dei sistemi di Firewalling (in configurazione Fail-Over), Intrusion Detection, sistemi di accesso remoto con VPN, sistemi di autenticazione sia standard che avanzati (questi ultimi dotati di certificati digitali, doppie chiavi di accesso e Token-Card RSA Security). 10 EEE « POLICY DI SICUREZZA ln La gestione della sicurezza logica dei dati viene garantita attraverso diverse policy studiate e adottate ad hoc per ogni attività, sono elencate di seguito le principali: =m Policy perl'accesso ai dati (restrizioni in base ad utenti, gruppi e postazioni); = Regole perl'accesso alla rete dall'esterno; =» Policy dedicate per l'amministrazione remota dei Server tramite VPN; = Policy di accesso ad Internet; =» Continuo aggiornamenti software Antivirus e relativo Database; =» Monitoraggio giornaliero dei software e delle postazioni; =» Analisi del traffico di rete (Network based); =» Intrusion Detection System (ISS Real Secure); =» Backupe Restore dei dati ove necessario. Trattamento dei dati Uno dei temi più importanti nella sicurezza logica, oltre che la protezione di dati dall'accesso abusivo, è sicuramente il trattamento degli stessi. L'importanza delle politiche di sicurezza aziendale adottate in materia di trattamento dei dati riguarda due principali settori, quello interno (inteso come sezione interna all'azienda, per semplificare idealmente identificato nella Lan aziendale) e quello esterno (inteso come l'insieme degli accessi provenienti dall'esterno della rete aziendale e quindi dall'esterno della Lan protetta). [omissis] trattamento dei dati interni nella Lan aziendale deve obbligatoriamente subire un trattamento differente da chi effettua accessi dall'esterno di tale rete. Le policy interne sono solitamente meno restrittive che verso l'esterno ed anche in questo caso si conferma tale regola. Attraverso l'utilizzo di appositi profili informatici e l'adozione di un Domain Controller è possibile assegnare specifiche autorizzazioni agli utenti e a gruppi di utenti (suddivisi in base al loro ruolo o al settore di appartenenza). POLICY ESTERNE Per quanto riguarda l’accesso ai dati dall'esterno, le policy di sicurezza risultano molto più elevate rispetto alle precedenti. Le connessioni remote vengono infatti garantite attraverso connessioni VPN crittografate. La VPN (acronimo di rete privata virtuale) è una connessione point-to-point che permette di stabilire una connessione sicura tra un pc client dell'utente ed un Server remoto aziendale utilizzando la rete pubblica di Internet. 11 BEI POLICY DI SICUREZZA eee -\|:.!I Il Server di accesso remoto risponde alla chiamata proveniente dall'esterno richiedendo ovviamente un’autenticazione, solo se il client fornisce tali dati (delineati dall'Area Cloud&Infrastrutture aziendale solo ed esclusivamente a dipendenti che ne necessitano) viene stabilito un tunneling dove i dati vengono incapsulati, o racchiusi, in un'intestazione in modo da crittografarli e garantirne la riservatezza. Si ricorda che una volta stabilita la connessione VPN nominale 2FA con autenticazione SHA 1 e cifratura a 256 bit, l'utente esterno sarà comunque soggetto alle policy di trattamento dati definite all’interno della Lan aziendale (garantendo ulteriormente la riservatezza e la sensibilità dei dati). Sicurezza Fisica Lo scopo principale della Sicurezza Fisica nel settore IT è quello di proteggere i beni coinvolti nel funzionamento del processo aziendale. In particolare, occorre definire le politiche di salvaguardia sia dei beni, che di tutti gli impianti coinvolti nel processo di produzione del business. Le soluzioni adottate nei due Data Center sono differenti in quanto sia la loro dimensione che le loro caratteristiche risultano completamente diverse. Per questo in questo capitolo non saranno elencate tutte le policy in maniera indistinta, ma saranno proposte le soluzioni adottate nelle due location differenziandole e definendole in maniera particolareggiata. Data Center Rozzano (MI) Il Data Center principale di Gruppo Spaggiari Parma S.p.A. si trova in housing presso la Sede TIM S.p.A. di Via Toscana 3 a Rozzano (Milano). Tale Sala Server rappresenta il vero core dell’azienda da cui fornisce attività di data-collection delle vendite, sistemi a supporto dell’Assurance e soprattutto servizi SaaS Cloud per la propria clientela. Quest'infrastruttura tecnologica d'avanguardia rappresenta un asset di grande importanza strategica per Gruppo Spaggiari Parma S.p.A. Il Data Center di TIM S.p.A. rappresenta l'adeguata risposta alle ns. esigenze in quanto presenta strutture altamente industrializzate dotate dei più moderni sistemi, impianti e risorse professionali frutto di massicci investimenti e di una esperienza pluriennale nei servizi alle imprese che assicurano elevati standard qualitativi ed una capacità complessiva di oltre 5 Gbit/s (la struttura ha ottenuto certificazioni di livello Rating 3 — former Tier III Facility). 12 EEE « POLICY DI SICUREZZA ln In questa sezione saranno dettagliati i vari sistemi di sicurezza fisica a disposizione nel Data Center di Rozzano (Milano). Le policy di sicurezza fisica sono suddivise in base al loro settore ed al loro grado di importanza: = Dispositivi di protezione =» Dispositivi antintrusione al Data Center =m Sistemadi Alimentazione =» Rivelazione fumi e sistemi antincendio =» Sistemidi condizionamento e controllo della temperatura =» Sistemiantiallagamento. Il fornitore di housing TIM S.p.A. garantisce inoltre l'applicazione dello standard UNI quindi la definizione ed implementazione di un Sistema di Gestione per la Sicurezza delle Informazioni (SGSI), assicurando il controllo dei fattori legati alla tutela delle informazioni, per quanto riguarda gli aspetti tecnologici, operativi, procedurali e umani, proponendo un approccio integrato e sistematico per poter perseguire gli obiettivi di sicurezza prefissati. Tale standard vuole quindi rappresentare non solo una certezza sulla protezione dei dati, ma un ulteriore certificazione capace di garantire ulteriormente serietà ed impegno verso la propria clientela. Dal 6 ottobre 2003, la struttura di TIM S.p.A. si è inoltre certificata anche per le estensioni linee guida della propria sicurezza delle informazioni e perseguirne la conformità. Il provider dal 2019 è infine stato qualificato dall’Agenzia per l’Italia Digitale AgiD come fornitore laaS e Cloud Services Provider per la Pubblica Amministrazione, a riprova della bontà della propria infrastruttura e dei servizi offerti. 13 BEI POLICY DI SICUREZZA eee -\|:.!I Dispositivi di protezione [omissis] : Doppia recinzione esterna con grigliato metallico, strutturata in modo da facilitarne l'ispezione visiva da parte del personale di guardiania, che delimita fisicamente il perimetro esterno e per altezza, spessore; Un cancello esterno, la cui apertura è a cura del personale di sorveglianza; La portineria è realizzata con adeguate protezioni strutturali e presenta la porta di accesso posizionata verso l’interno dell’area protetta; è, inoltre, dotata di passa- documenti per lo svolgimento delle operazioni di controllo in condizioni di massima sicurezza; Ingresso esterno ad accesso singolo regolamentato da un sistema di tornelli a lettura badge. [omissis] : Barriere di allarme antintrusione e/o sistemi di video analisi avanzata, consentono il monitoraggio di eventuali intrusioni nelle aree esterne adiacenti le sale sistemi offrendo una corretta affidabilità; Un sistema di telecamere con videoregistrazione, barriere laser fence e a raggi infrarossi per la supervisione e il controllo del perimetro delle sedi e/o per la verifica ed il controllo delle aree adiacenti le sale sistemi, in alcuni casi la tecnologia utilizzata è il sistema di video analisi avanzata. [omissis] : Presidio di sorveglianza 24 ore al giorno per tutti i giorni dell’anno, presso la portineria centrale che supervisiona i transiti, identifica i visitatori ed eventualmente autorizza l’accesso all’interno della struttura; All'interno del presidio operano gli addetti alla sorveglianza che verificano la regolarità dei transiti con badge, nonché presiedono la gestione di tutte le operazioni richieste per l’accesso degli automezzi e dei visitatori al fine di garantire, nel rispetto delle procedure di sicurezza, l’integrazione tra i vari sistemi di protezione adottati e l'attivazione degli interventi previsti dalle procedure in vigore; Un badge definitivo assegnato al personale eventualmente appartenente ad una rete temporanea di impresa (RTI) previa autorizzazione attraverso sistema informatico eRAS contenente data inizio e fine validità dell'accesso ed estremi di un documento di riconoscimento della persona. Tale autorizzazione dovrà essere autorizzata da Responsabile del Centro Servizi. 14 EEE « POLICY DI SICUREZZA ln Nel caso in cui il badge venga dimenticato potrà essere richiesto alla portineria un badge visitatore dietro la consegna di un documento; = Un badge provvisorio giornaliero assegnato dal personale di portineria, a seguito della consegna di un documento di riconoscimento e la conferma della visita da parte del Responsabile di riferimento. = L'RTI implementa una politica di sicurezza degli accessi estremamente rigida e selettiva: possono accedere alle sedi solamente le persone precedentemente e preventivamente autorizzate attraverso opportuni aggiornamenti dei registri elettronici (white list), integrati con i sistemi di tornelli a lettori di badge; l'autorizzazione e l'inserimento alla white list è soggetta ad una verifica di una black list. Dispositivi antintrusione al [omissis] Sala Server del Data Center di Rozzano (Milano) è protetta da diverse misure antintrusione. Saranno elencate di seguito le soluzioni adottate ed i relativi dettagli. = Il Security Operation Center (SOC) fornito dal provider costituisce l'elemento per gli ambiti “Delivery ed esercizio di soluzioni di sicurezza ICT. Esercizio di soluzioni VOIP, fonia e dati? è composto da circa 100 specialisti che operano con un presidio H24 7x7 in due Control Room dislocate rispettivamente a Milano e Roma, ha il mandato di assicurare le attività di prevenzione e contrasto delle minacce informatiche allo scopo di mantenere il livello di sicurezza dei servizi interni e di quelli erogati alla clientela, in linea con gli obiettivi prefissati. =» l’accesso avviene tramite porte (porte tipo REI 120) costruite in modo da resistere ad elevate sollecitazioni meccaniche e termiche; =» le finestree le vetrate sono dotate di apparati di sicurezza passiva (grate in ferro, vetri blindati, resistenti ad oltre 500 Joule) e/o sistemi attivi in grado di rilevare eventuali effrazioni; =» Sono utilizzati dei sensori istallati su porte e finestre (sensori magnetici, avvisatori ottici acustici e sensori RTA) collegati ad un sistema di segnalazione degli allarmi di tipo locale e remoto; =» le areedicarico e scarico merci sono fisicamente separate dagli altri punti di accesso normalmente utilizzati dal personale interno ed esterno. Inoltre, per consentire un efficace monitoraggio degli accessi fisici e delle risorse è previsto l'utilizzo di un registro degli accessi fisici conservato in modo protetto. 15 BEI POLICY DI SICUREZZA eee -\|:.!I È previsto un inventario di tutti i sistemi e gli apparati appartenenti all’infrastruttura IT, situati all’interno dei Data Center. = A tutela delle misure specifiche per le apparecchiature e per l’accesso fisico è presente un presidio armato H24 7x7 con personale di vigilanza, con ronde da parte del personale di vigilanza, intensificate nelle ore notturne. [omissis] continuità elettrica è garantita da 4 catene di UPS, una da 3x800KkVA e tre da 4x400kVA ciascuno, tutte in configurazione ridondante N+1. Tali catene sono in grado di mantenere l'intera infrastruttura a pieno regime per mezz'ora. Il sistema di batterie di backup UPS permette di gestire un blackout di oltre mezz'ora, ma normalmente entrano in funzione solo per non creare disservizio durante l'entrata in funzione dei Gruppi Elettrogeni (in ridondanza N+1) capaci di partire in meno di un minuto. Ogni Sala Server è inoltre fornita di sistemi ridondati di Gruppi di Continuità UPS ed in ogni rack è presente un modulo capace di fornire ogni potenza ed assorbimento degli apparati installati. La configurazione descritta permette di erogare in media 4500 W per ogni rack, ma in caso di esigenze di potenza superiore a tale valore, la soluzione è stata progettata ad hoc per gestire punte fino a 5 kW su un singolo rack. Per ogni armadio sono presenti oltre 20 prese ridondate da 220V. L'intero sistema elettrico è sottoposto ad un test mensile per garantire funzionalità e affidabilità. Rivelazione fumi e sistemi antincendio Tutti gli ambienti della sede sono dotati di rilevatori antifumo (centrale CERBERUS CT 10-03 a copertura delle sale del Data Center) e antincendio con attivazione dei relativi impianti di spegnimento automatico degli incendi a saturazione di ambiente con estinguente chimico gassoso FM-200. La peculiarità del FM-200 (a prevalenza di azoto) è quella di essere un gas inerte, tollerabile dall'organismo dell’uomo, e pertanto, da un lato permette che l'evacuazione delle persone sia fatta in maniera ordinata senza rischi di ressa, dall’altro non danneggia i sistemi ed è efficace nello spegnimento della fiamma. 16 EEE « POLICY DI SICUREZZA ln Sistemi di condizionamento e controllo della tempe- ratura Gli impianti sono concepiti per poter smaltire tutta l’energia elettrica degradata in calore, al fine di garantire, sia in estate che in inverno, le seguenti condizioni ambientali: =» Temperatura 18 - 24 gradi °C; =» Umidità relativa: controllata (30-70%); =» Ricambi d'aria pari a 0.5 volumi/ora. Sistemi antiallagamento Sono previste delle sonde di rivelazione presenza liquidi nel sottopavimento in prossimità dei raccordi, delle valvole e delle derivazioni principali dell'impianto di distribuzione dell’acqua. Certificazioni Data Center Rozzano (MI) Sono riportate di seguito le certificazioni emesse da un Ente qualificato terzo sulle conformità rispettate dalla Sede TIM S.p.A. ove risiede il core dell’infrastruttura IT aziendale. Per visionare il certificato aggiornato cliccare sulla rispettiva immagine. i__ DINV:GL i MANAGEMENT SYSTEM CERTRIGNIE x 9111.TEL9 CERTIFICATE 51 [omissis] SISTEMA QUALITÀ! DI Cartitcato ca at || == Data prima envissione;Initialdateé === Vabdità/tal A REN INcERT e eee See DE MIE «08 arse io TELECOM ITALIA S.p.A. Sì cortifica che Îl sistema di Gest gestione di/This in to certifyveti that the management ge! system of VIA GAETANO NEGRI 1 - 20123 MILANO {MI} — SZ=TIM TIM S.p.A. CLIENTELA AFFARI Sede Legale: Via Gaetano Negri, 1 - 20123 Milano (MI) - Italy UNITA! OPERATIVE! GRERATTVE LITE {Riferimento al Certificato No,/ Reference to Certificate No. CERT-003-2003-AIS-ROM-SINCERT) VIA TONALE 11 - 20125 MILANO (MI) È conforme ai requisiti della norma per ll Sistema di Gestione) vai Has baen found to conform to the Management System standard: . ie n x Questa certificazione è valida This certificate ls valid VIENIRERNI HOME TERE RA RR per il seguente campo applicativo; for the following scope: modalità TaaS (In rulce) ce (Iaas) service 27018:2014., Network Services, Unified Metwork Services, Unified Communication & Communication & Collal arauan Services, Salubseation Services, ICT Security & Mobile ICT Security & MobileS {Settore EA: 35- 33) (EA Sector: 35- 33) In accordo con la Dichiarazione di Applicabilità, di ArrorA a Ni: the Statementof Applicabilit versione del 31 luglio 2017 of 31 July 2017 PARET CEMTIFIGATICAI CURRENT ISSUE EH 1996-07-25 2019-01-29. 2020-11-07 17 MEI POLICY DI SICUREZZA Data Center Arezzo (AR) Il Data Center di Disaster Recovery di Gruppo Spaggiari Parma S.p.A. si trova in housing presso il principale Data Center IT1 di Aruba S.p.A. (ad Arezzo). Questa installazione rappresenta la sicurezza per la continuità di servizio dei servizi SaaS Cloud forniti alla propria clientela. Quest'infrastruttura tecnologica d'avanguardia rappresenta un'adeguata risposta alle esigenze di Disaster Recovery in quanto presenta strutture, impianti e risorse professionali frutto di investimenti e di una esperienza pluriennale nei servizi alle imprese che assicurano elevati standard qualitativi (la struttura ha ottenuto certificazioni di livello Rating 4 — former Tier IV). In ogni modo si tratta di servizi di alta qualità erogati da un carrier diverso da quello che fornisce il servizio principale (e quindi diversamente soggetto a problematiche tecniche) e comunque locato in una posizione geograficamente separata (oltre 100 km dal Data Center principale). In questa sezione saranno dettagliati i vari sistemi di sicurezza fisica a disposizione nel Data Center IT1 Aruba (Arezzo). Le policy di sicurezza fisica sono suddivise in base al loro settore ed al loro grado di importanza: = Dispositivi di protezione = Dispositivi antintrusione al Data Center =m Sistemadi Alimentazione =» Rivelazione fumi e sistemi antincendio =» Sistemidi condizionamento e controllo della temperatura Il fornitore di housing Aruba S.p.A. garantisce inoltre l'applicazione dello standard per la Sicurezza delle Informazioni (SGSI), assicurando il controllo dei fattori legati alla tutela delle informazioni, per quanto riguarda gli aspetti tecnologici, operativi, procedurali e umani, proponendo un approccio integrato e sistematico per poter perseguire gli obiettivi di sicurezza prefissati. 18 EEE « POLICY DI SICUREZZA ln Tale standard vuole quindi rappresentare non solo una certezza sulla protezione dei dati, ma un ulteriore certificazione capace di garantire ulteriormente serietà ed impegno verso la propria clientela. Dal 21 settembre 2018, la struttura di Aruba S.p.A. si è inoltre certificata anche per le conformità. Il provider dal 29 marzo 2019 è infine stato qualificato dall'Agenzia per l’Italia Digitale AgiD come fornitore laaS e Cloud Services Provider per la Pubblica Amministrazione, a riprova della bontà della propria infrastruttura e dei servizi offerti. Dispositivi di protezione [omissis] : = Recinzione esterna con grigliato metallico, strutturata in modo da facilitarne l'ispezione visiva da parte del personale di guardiania, che delimita fisicamente il perimetro esterno; = lasala dati è realizzata ad un livello superiore a quello stradale, in modo da prevenire possibili infiltrazioni idriche; =» La portineria è realizzata con adeguate protezioni strutturali e presenta la porta di accesso posizionata verso l'interno dell’area protetta; è, inoltre, dotata di passa- documenti per lo svolgimento delle operazioni di controllo in condizioni di massima sicurezza; =» Ingresso esterno ad accesso singolo regolamentato da un sistema di tornelli a lettura badge. [omissis] : =» Barriere di allarme antintrusione e/o sistemi di video analisi avanzata, consentono il monitoraggio di eventuali intrusioni nelle aree esterne adiacenti le sale sistemi offrendo una corretta affidabilità; = Unsistemaditelecamere con videoregistrazione, barriere laser fence e a raggi infrarossi per la supervisione e il controllo del perimetro delle sedi e/o per la verifica ed il controllo delle aree adiacenti le sale sistemi, in alcuni casi la tecnologia utilizzata è il sistema di video analisi avanzata. 19 BEI POLICY DI SICUREZZA eee -\|:.!I [omissis] : =» Presidio di sorveglianza 24 ore al giorno per tutti i giorni dell’anno, presso la portineria centrale che supervisiona i transiti, identifica i visitatori ed eventualmente autorizza l’accesso all’interno della struttura; = Un badge definitivo assegnato al personale eventualmente appartenente ad una rete temporanea di impresa (RTI) previa autorizzazione attraverso sistema informatico Aruba (https://assistenza.aruba.it/it) contenente data inizio e fine validità dell'accesso ed estremi di un documento di riconoscimento della persona; = Unbadge provvisorio giornaliero assegnato dal personale di portineria, a seguito della consegna di un documento di riconoscimento e la conferma della visita da parte del Responsabile di riferimento. [omissis] continuità elettrica è garantita da 4,5 Mega Watt di potenza elettrica, completamente ridondata grazie a due Power Center Separati. Ogni Power Center ha la capacità di alimentare separatamente il data center, anche a pieno carico, ed è dotato di sistemi UPS a doppia conversione (ridondanza tipo 2N). Gli impianti di potenza e le batterie a servizio dei sistemi UPS si trovano in edifici dedicati e fisicamente separati tra di loro e rispetto all'edificio del Data Center, corredati anche di generatori di energia elettrica autonomi, con uno stoccaggio di carburante in grado di fornire energia per 48 ore a pieno carico senza fare rifornimento. Rivelazione fumi e sistemi antincendio Il Data Center è dotato di sistemi di rilevazione ed estinzione incendi automatico a gas inerte, innocuo per le persone e per i sistemi informatici ed impianto di rilevazione allagamento. Sistemi di condizionamento e controllo della temp- eratura [omissis] Grande attenzione è stata posta nell’ottimizzazione del Data Center per quanto riguarda gli aspetti di risparmio energetico. 20 EEE « POLICY DI SICUREZZA ln Tutto il sistema di condizionamento delle sale dati è realizzato con macchine ad espansione diretta di gas ad alta efficienza, collegate tra di loro in rete e ottimizzate da un sistema in grado di regolare la potenza di raffreddamento erogata. La struttura è dotata anche di sistema free-cooling. Utilizzando l’aria proveniente dall'esterno, opportunamente filtrata e corretta dal punto di vista di temperatura e umidità, è possibile ridurre al minimo lutilizzo del sistema a pompa di calore per il raffreddamento e con esso il consumo di energia elettrica e l’impatto ambientale. Gli armadi rack che ospitano i server sono dotati di un innovativo sistema di compartimentazione dell’aria fredda che garantisce la massima efficienza energetica ed il comfort degli operatori. Certificazioni Data Center Arezzo (AR) Sono riportate di seguito le certificazioni emesse da un Ente qualificato terzo sulle conformità rispettate dalla Sede Aruba S.p.A. ove risiede il sito secondario dell’infrastruttura IT aziendale. Per visionare il certificato aggiornato cliccare sulla rispettiva immagine. VE CIAU CASE Certification Certification \ 1828, Allegato al Certificato di Conformità n° JT268394/A Allegato al Certificato di Conformità ARUBA SPA N° 1IT257061/A Sede Legale a Operativa: ARUBA SPA Via San Clemente, 53 - 24036 PONTE SAN PIETRO (BG) Sede Legale e Operativa: Bureau Veritas Italia Spa certifica che il sistema di gestione Via San Clemente, 53 - 24036 PONTE SAN PIETRO (BG) dell'organizzazione sopra indicata è stato valutato e giudicato conforme ai requisiti della norma di sistema di gestione seguente Bureau Veritas Italia spa certifica che il sistema di gestione Norma dell'organizzazione sopra indicata è stato valutato e giudicato conforme ai requisiti della norma di sistema di gestione seguente Norma SEDE LEGALE E OPERATIVA | Scopo | Progettazione, sviluppo ad erogazione di software e servizi Elenco Siri hl di: 24036, PONTE SAN - Data Canter (Server Dedicati, Servar Virtuali, Colocatian, | - Soluzioni Cloud oriented in modalità laaS, SaaS a PaaS | SITO OPERATIVO + Posta sttronica convenzionale a corificata (PEC) | a o, - Firma digilale a firma qualificata, firma grafomebica e 52011 BIEGIENA (AR) — | altre soluzioni tecnologiche di firma elettronica avanzata, firma remota, servizi di Certification a ERA personalizzazionedi carte a microprocessore [omissis] Via Seno RATIO 8 Conservazione digitale sostitutiva SITOGobeti Viu OPERATIVO [Informatica ; 52100 Arezzo {AR} a . Raciun sDisaster Recoveny o malativa assistenza speciali 52100 AREZZO (AR) - Backupe Disaster Recovery - e e manutenzione di server, postazioni di lavoro, Î reti informatiche @ relativi apparati a sistemi di sicurezza SITO OPERATIVO Via Piero Gobetti,i) 96 Emissione e gestione di “Identità Digitale” &n dalle relative xcredenziali di autanticazione per l'accesso ai servizi "SPID" |: FR100 AREZZO ARI in qualità di Identity Provider ia per l'accesso al servizi °SPID' in qualità di kdentity ii » Rev. N. 1 del: 03 aprile 2018 Rav. N.1 del: 20 aprile 2018 FE pr Technical Manager dall'organismodi cenificazione: Veritas dalia SpA. Viale Monza, 7, - 20128 Miano, dalla dell'argarismo di certificazione: Borta Vertni italia SpA, Viale Monra, 37, POTFI Milano, Malo Per controllare la validità di questo certificato consultare ll sito Itinera Buraavarita a\coriicato È possibile visionare tutte le certificazioni acquisite da Aruba S.p.A. al fine di assicurare efficacia ed efficienza delle proprie strutture Data Center selezionando il seguente link: Certificazioni Gruppo Aruba S.p.A. 21 BEI POLICY DI SICUREZZA eee -\|:.!I Informazioni di contatto In questo capitolo sono riportati i contatti telefonici ed e-mail di alcuni dipendenti dell’Area Cloud&Infrastrutture di Gruppo Spaggiari Parma S.p.A. Tali recapiti sono da ritenersi indispensabili in caso di Disaster e/o Emergency Hardware o Software. Tali contatti sono i principali da utilizzare per richiedere maggiori dettagli e/o delucidazioni sul presente documento e sul sistema di Sicurezza Informatica [omissis] presente elenco risulterà inoltre necessario sia in caso di Disaster sia per attivare le corrette procedure di Escalation dettagliate nel “Manuale Operativo per la Sicurezza delle Informazionî'. Resp. Area Cloud&Infrastrutture Manutentore Reti & HW Tel. +39 0521 299420 Tel. +39 0521 299420 Mobile +39 334 6658952 Mobile +39 335 1217281 taruffi@spaggiari.eu culmone@spaggiari.eu Informazioni sulla società Gruppo Spaggiari Parma S.p.A. Via Bernini 22/A, 43126 — Parma (PR) Tel. 0521 2992 Fax 0521 291657 WWW. Spaggiari. eu 22