GRUPPOSPAGGIARI PARMA Un futuro ricco di esperienza WHITEPAPER SERVIZI SAAS SGSI UNI CEI ISO/IEC 27001 Rev. 1.0 del 18/02/2021 Gruppo Spaggiari Parma S.p.A. info@spaggiari.eu * spaggiari@legalmail.it Via F. Bernini, 22/A - 43126 Parma WWwW.Spaggiari.eu Cap. Soc. 1.200.000 € interamente versato ess! WVVHITEPAPER SERVIZI SAAS _&gmeee8N]!î!!) REVISIONI APPROVAZIONE REV. PAG. MOD. TIPO / NATURA DELLA MODIFICA DATA VISTO Prima stesura 0.0 19/09/2018 Direzione aziendale _ Review del layout grafico 0.1 12/05/2020 Direzione AII Revisione del formato grafico del documento e della aziendale struttura societaria. Integrazione con i riferimenti delle Certificazioni 10 18/02/2021 Direzione 15 Inserimento dei collegamenti diretti alle Certificazioni aziendale ottenute dai carrier dei Data Center ove è intestata l’infrastruttura IT aziendale. Indice CertifiCaziONi................. 5 Infrastruttura.................. i 5 Continuità e sicurezza dei [omissis] ................ 5 LOG- [omissis] ......... 6 Controlli crittografici..................... i 6 Responsabilità condivisa e proprietà degli asset .................... 7 Smaltimento sicuro dell'hardware ................... 8 Reversibilità e Cancellazione sicura dati e fileS ...................... i 8 Sviluppo Sicuro e testing....................... 10 BaCKUp..............ii 10 LOGgINQ ......... 11 Comunicazione cifrata. . . . . . . . . . . . . e 12 SINCFONIZZAZIONE ................ 12 Sicurezza Organizzativa........................ 13 Gestione delle vulnerabilità ................ 14 [omissis] ............. 14 Gestione delle capacità e del cambiamento .............. 14 Policy di Sicurezza Logica e FiSICa..................... i 15 Certificazioni Data Center..................... 15 ess! WVVHITEPAPER SERVIZI SAAS _&gmeee8N]!î!!) ee WIITEPAPER SERVIZI SAAS mn Certificazioni I servizi SaaS Cloud offerti da Gruppo Spaggiari Parma S.p.A. (di seguito “Spaggiari”) sono progettati e gestiti in accordo ai principali standard internazionali e best practices tra le quali: n Codice Etico —- MOG 231/2001 Spaggiari si sottopone volontariamente a verifiche da parte di Organismi di Certificazione terzi ed indipendenti sulla propria organizzazione del servizio, al fine di fornire garanzie specifiche ed indipendenti. Infrastruttura I servizi del gruppo sono erogati da due Data Center in housing, il principale si trova in provincia di Milano, a Rozzano presso TIM S.p.A., ed il secondario è situato ad Arezzo presso la sede Aruba S.p.A. utilizzato per il Disaster Recovery. A questi Data Center si aggiungono le strutture di Akamai Technology Inc. che eroga servizi per bilanciare e ridistribuire le richieste di accesso alle ns. piattaforme. | Data Center utilizzati da Spaggiari, sono scelti secondo i più moderni standard in termini di affidabilità, prestazioni e sicurezza. Connessi ad Internet con oltre 5 Gbit/s, garantiscono una capacità trasmissiva doppia rispetto al fabbisogno effettivo, per assicurare continuità e qualità dei servizi. Continuità e sicurezza dei Data Center I due Data Center utilizzati da Spaggiari rispettano entrambi i massimi standard di resilienza previsti, il Data Center di Rozzano ha ottenuto certificazione di livello Rating 3 (former Tier III Facility), mentre quello di Arezzo il livello Rating 4 (former Tier IV) secondo la normativa ANSI/TIA 942-B-2017. ess! WVVHITEPAPER SERVIZI SAAS _&gmeee8N]!î!!) Entrambe le certificazioni ottenute classificano le due strutture ai massimi livelli previsti, assicurando altissimi livelli di affidabilità delle infrastrutture anche in presenza di gravi guasti grazie a livelli di ridondanza degli impianti che consentono di eseguire operazioni di manutenzione ordinaria senza la necessità di interrompere il servizio erogato. I due Data Center sono attrezzati per sopportare guasti in un qualsiasi punto dell’impianto senza causare downtime dell’infrastruttura oltre a garantire alti livelli di protezione nei confronti degli eventi fisici (Come meglio dettagliato nel documento “Policy di Sicurezza” disponibile online). Per conoscere tutte le misure di prevenzione adottate nelle rispettive strutture, protezioni passive, attive ed organizzative, si rimanda al documento dedicato “Policy di Sicurezza” aggiornato dall'Area Cloud&Infrastrutture anch'esso pubblicato online. Log-on sicuro Per garantire elevati standard di sicurezza relativamente all'accesso dei servizi SaaS di Spaggiari è possibile attivare il servizio di “Autenticazione a due fattori” che permette di vincolare l’accesso all’utilizzo di una ulteriore codice alfanumerico monouso in aggiunta alle credenziali già normalmente richieste (username e password). Il codice alfanumerico monouso sarà generato su un dispositivo mobile dotato del servizio di generazione token Google Authenticator. Preme ricordare infine che il processo di “log-on” degli applicativi Cloud è soggetto a diverse misure di sicurezza (scadenza, lunghezza, complessità della password, memorizzazione delle password utilizzate in precedenza, etc.), la cui configurazione può essere personalizzata dal singolo cliente. Controlli crittografici Nei servizi SaaS Cloud, i flussi di dati da/verso i sistemi ed i server esposti su Internet, sono protetti utilizzando un canale sicuro SSL/HTTPS, mediante opportuna configurazione sui server, tale da assicurare: =» Autenticazione del server (con chiave RSA da 2048 bit); = Cifratura della sessione con un algoritmo di cifratura simmetrica considerato sufficientemente sicuro alla data, e con una chiave di sessione di almeno 256 bit. ee WIITEPAPER SERVIZI SAAS mn Questo vale sia per i flussi originati in modo interattivo (Web browsing) sia quelli generati in modo automatico (per esempio Web services). Come algoritmo di cifratura simmetrica, si utilizza AES 256 bit. Responsabilità condivisa e proprietà degli asset Spaggiari ha identificato le attribuzioni di proprietà per quanto riguarda infrastruttura, licenze, indirizzi IP, software forniti, dati e contenuti immessi dal cliente, suddividendole per servizio/finalità secondo la seguente tabella: Software Cloud SaaS | " Tutti gli asset fisici sono di proprietà di Spaggiari, mentre l’infrastruttura è in ClasseViva, RES, housing presso il provider che eroga il servizio (TIM S.p.A. e Aruba S.p.A.). Oggi a Scuola, =» ]|software Cloud sono di proprietà di Spaggiari che concede in licenza d’uso SegreteriaDigitale, il servizio al cliente per tutta la durata della sua permanenza sulla piattaforma NuoviGestionaliScolastici, Spaggiari, come meglio descritto nelle Condizioni Generali di Contratto Scuola&Territorio, sottoscritte dal cliente in fase di acquisto. PrimaVisioneWeb, School Academy » Gili indirizzi IP dei servizi SaaS forniti sono di proprietà Spaggiari. = Tutto il contenuto a livello di dati, informazioni e documenti forniti e/o condivisi o caricato dal cliente mediante i software SaaS rimangono di proprietà e sotto la responsabilità del cliente. =» Tutti gli asset fisici sono di proprietà di Spaggiari, mentre l'infrastruttura è in Assistenza Tecnica housing presso il provider che eroga il servizio (TIM S.p.A.). Social Customer Care » L'attività di assistenza e supporto al cliente viene erogata tramite le seguenti modalità: (i) assistenza telefonica al numero dedicato di ogni servizio SaaS; (i) FAQ, (iii) Video-tutorial, (iv) webinar e (v) servizio di ticketing diretto per la segnalazione. = Le linee telefoniche ed il centralino utilizzato sono del provider TIM S.p.A. che garantisce all’azienda livelli di affidabilità contrattualizzati. = (Gili indirizzi IP e le modalità di erogazione informatiche dell'assistenza sono di proprietà di Spaggiari. =» Tutti gli asset fisici sono di proprietà di Spaggiari, mentre l'infrastruttura è in Cloud Backup housing presso il provider che eroga il servizio (TIM S.p.A. e Aruba S.p.A.). =» La licenza del software di backup compresi gli agenti installati sui server utilizzati dalla clientela è di proprietà di Spaggiari e viene garantita al cliente per tutta la durata della sua permanenza sulla piattaforma Spaggiari fino alla scadenza del Contratto con esso sottoscritto. = Anche i dati, le informazioni e i documenti forniti e/o condivisi o caricati dal cliente mediante i software SaaS sono sottoposti a backup da parte di Spaggiari, sono quindi sotto la sua responsabilità e viene garantito al cliente per tutta la durata della sua permanenza sulla piattaforma Spaggiari fino alla scadenza del Contratto sottoscritto. =» Gili asset eroganti il servizio di monitoraggio sono di proprietà di Spaggiari. Cloud Monitoring =» Le licenze dei software di monitoraggio dell’infrastruttura sono di proprietà Spaggiari. = | dati, le informazioni e i documenti forniti e/o condivisi, memorizzati e visualizzati mediante i software SaaS, non sono monitorati, esaminati o ess! WVVHITEPAPER SERVIZI SAAS _&gmeee8N]!î!!) verificati e sono di proprietà e sotto la responsabilità del cliente. =» Tutti gli asset fisici sono di proprietà di Spaggiari, mentre l'infrastruttura è in Cloud Object Storage housing presso il provider che eroga il servizio (TIM S.p.A. e Aruba S.p.A.). Repository documentale | dati, le informazioni e i documenti forniti e/o condivisi o introdotti nella piattaforma SaaS da parte del cliente sono di proprietà e sotto la responsabilità del cliente. Gli storage ridondati sono di proprietà di Spaggiari e gli stessi sono L'infrastruttura in housing utilizzata per erogare il servizio è di proprietà del IAAS e CSP rispettivo provider (TIM S.p.A. per il Data Center di Rozzano e Aruba S.p.A. per quello di Arezzo). Entrambi i provider sono qualificati dall’Agenzia per l’Italia Digitale AgID come fornitori di servizi laaS e Cloud Service Provider assicurando livelli di affidabilità e compliance prevista dalla normativa di riferimento. | dati, le informazioni e i documenti forniti e/o condivisi o introdotti nella piattaforma SaaS da parte del cliente sono di proprietà e sotto la responsabilità del cliente. L'utilizzo dell’infrastruttura laaS e del relativo CSP è implicito nella licenza d’uso del servizio SaaS di Spaggiari concessa al cliente per tutta la durata della sua permanenza sulla piattaforma Spaggiari fino alla scadenza del Contratto sottoscritto. Domain Il dominio dei servizi SaaS https://Wweb.spaggiari.eu è di proprietà di Spaggiari. Smaltimento sicuro dell'hardware Spaggiari attua una specifica procedura di smaltimento per garantire che ogni dato presente negli storage che abbiano raggiunto il loro fine vita e che devono essere sostituiti e smaltiti sia completamente e definitivamente rimosso così come previsto dagli standard ottobre 2008 "Smaltimento e cancellazione sicura dei datî’. Reversibilità e Cancellazione sicura dati e files In base a quanto definito nel “Contratto di nomina a responsabile del trattamento dei dati personali ai sensi dell'articolo 28, Regolamento (UE) 2016/679° siglato dal Cliente, le tempistiche di salvaguardia dei dati memorizzati nel sistema informativo aziendale sono di 90 (novanta) giorni. La tempistica è da intendersi come tempo tecnico necessario per il completamento delle verifiche sui dati da restituire e cancellare, da compiersi in coordinamento con il Cliente. ee WIITEPAPER SERVIZI SAAS mn Fermo restando quanto previsto, è fatto salvo il diritto di Spaggiari di trattare i dati anche successivamente alla data di cessazione del contratto al fine di ottemperare a specifici obblighi disposti dal diritto nazionale o dell’Unione, applicabile al Fornitore, nonché di conservare i dati, previa l'adozione di opportune misure di minimizzazione, per finalità difensive e nei limiti dei termini stabiliti nel Registro dei Trattamenti e di prescrizione previsti dal diritto nazionale in relazione alle controversie, potenziali o in essere, connesse all'erogazione dei servizi SaaS. Così come previsto dalla propria procedura di reversibilità dei servizi SaaS, Spaggiari si assicura che lo spazio disco messo a disposizione dei clienti venga pulito al termine del tempo di salvaguardia concordato secondo le modalità descritte nella tabella che segue. Dati presenti nei Alla cessazione del contratto con il cliente, si interrompe ogni trattamento Software Cloud SaaS effettuato per mezzo del servizio SaaS utilizzato dal cliente. ClasseViva, RES, L'estrazione dei dati è indicativamente disponibile entro 24 (ventiquattro) ore, Oggi a Scuola, mentre la disattivazione completa del servizio avviene orientativamente in 3 SegreteriaDigitale, (tre) giorni lavorativi. | dati sono cancellati entro 90 (novanta) giorni dalla data NuoviGestionaliScolastici, di cessazione del contratto siglato tra le parti e tale tempistica è da intendersi Scuola&Territorio, come tempo tecnico necessario per il completamento delle verifiche sui dati PrimaVisioneWeb, da restituire e da cancellare in coordinamento con il Cliente. ho l Acad . er . . . Schoo! Academy Dopo i 90 (novanta) giorni indicati i dati presenti nel database sono anoni- mizzati con una cancellazione logica per tutelare la struttura della base dati considerata asset aziendale, gli stessi, in base a quanto definito nella Scheda del Registro dei Trattamenti (Allegato A) della Nomina a Resp. del Tratt. Dati sottoscritta dal cliente vengono successivamente cancellati definitivamente e non possono più essere recuperati. Tutti i dati salvati vengono sottoposti a backup quotidianamente per i due mesi Cloud Backup successivi dal loro inserimento sul server, successivamente la frequenza scende progressivamente: tre volte al mese fino ad un anno e una volta al mese dopo un anno. La cancellazione dei backup memorizzati nell’infrastruttura viene effettuata ogni dieci anni al termine di tale periodo le informazioni contenute nei backup non potranno più essere recuperate. La cancellazione avviene attraverso tool del sistema operativo dei server dedicati a tale processo. Nell’infrastruttura dei servizi SaaS sono presenti dei server dedicati Log di accesso “Concentratori di Log’ capaci di registrare ogni genere di attività (accesso, modifica, eliminazione, ricerca) effettuata dagli stakeholder IT per 15 (quindici) giorni, oltre a registrare i log di accesso di tutti gli utenti che usufruiscono dei servizi Cloud SaaS. Dopo tale periodo i log vengono cancellati permanente dalla base dati e non possono più essere recuperati. La cancellazione definitiva dei files presenti negli asset fisici dedicati allo Files presenti nel storage avviene in base a quanto indicato nella Scheda del Registro dei Cloud Object Storage Trattamenti (Allegato A) della Nomina a Resp. del Tratt. Dati sottoscritta dal Repository documentale cliente, una volta cancellati definitivamente i dati non possono più essere recuperati. Preme ricordare che in base all’indicizzazione dei files condivisi attraverso servizi Cloud SaaS effettuata dai motori di ricerca, i files eliminati non saranno più disponibili solo dopo 24 ore. ess! WVVHITEPAPER SERVIZI SAAS _&gmeee8N]!î!!) Sviluppo Sicuro e testing Gli ambienti di sviluppo di Spaggiari sono chiusi e non accessibili ad esclusione del personale Spaggiari formalmente autorizzato (Cloud&Infrastrutture e Sviluppo Software). | deploy vengono effettuati attraverso procedure di progettazione e sviluppo degli applicativi web e rigorose linee guida di sviluppo sicuro, atte ad assicurare il rispetto dei principi di Privacy by Design e Privacy by Default. Ogni modifica/aggiornamento viene testato secondo fasi di test (di funzionalità, di sicurezza e di non regressione) predefinite e rigorose, il sistema di rilascio in produzione, oltre a richiedere la supervisione di figure di comprovata esperienza (Risk Owner ed Asset Owner), prevede una tracciatura delle attività e delle implementazioni svolte [omissis] . Infine, tanto per le attività di sviluppo e test è garantito un ambiente sicuro e separato da quello di produzione; le cui richieste di accesso vengono sottoposte a verifica e validazione. Backup Le componenti funzionali all'erogazione dei servizi [omissis] gestione degli utenti e le altre componenti architetturali del servizio seguono le logiche di ridondanza e di backup che vengono periodicamente verificate e testate. | backup automatizzati dei servizi SaaS di Spaggiari prevedono proprie politiche in termini di cifratura, periodicità, tipologia (completi o incrementali) in base alle tipologie ed alle specificità dei singoli asset. Tutti i dati salvati vengono sottoposti a backup quotidianamente per i due mesi successivi dal loro inserimento sul server, successivamente la frequenza scende progressivamente: tre volte al mese fino ad un anno e una volta al mese dopo un anno. In dettaglio: i dati registrati nei database del Data Center principale grazie a procedure automatiche di replica (la schedulazione è programmata indicativamente ogni trenta secondi) vengono ridondati anche sul Data Center di Disaster Recovery; mentre | files (documenti, immagini, etc.) immagazzinati nei sistemi di storage del Data Center principale sono sincronizzati sul Data Center di Disaster Recovery continuamente, l'esecuzione del processo è legata alla mole di dati trasferiti e può richiedere anche alcune ore. 10 ee WIITEPAPER SERVIZI SAAS mn Logging Spaggiari raccoglie e conserva i log dei server per assicurare ai propri clienti alti livelli di sicurezza dei servizi SaaS erogati oltre che la conformità normativa. Tali log vengono periodicamente verificati dall’Area Cloud&Infrastrutture di Spaggiari. Spaggiari registra e conserva per le tempistiche definite nel precedente paragrafo “Reversibilità e Cancellazione sicura dei dati e dei files” i log applicativi nell'utilizzo dei servizi SaaS. Il cliente può richiedere all’Assistenza Social Customer Care i Log degli accesi Log degli Accessi ai Software Cloud SaaS effettuati ai servizi SaaS erogati da Spaggiari. | Log degli accessi alle piattaforme online sono conservati nel database per finalità difensive e nei limiti ClasseViva, RES, Oggi a Scuola, dei termini stabiliti nel Registro dei Trattamenti. SegreteriaDigitale, NuoviGestionaliScolastici, Scuola&Territorio, PrimaVisioneWeb, School [omissis] ività | Log delle operazioni svolte dagli utenti (sia interni - dipendenti- che esterni - clienti - a Spaggiari) sono registrate nell’infrastruttura per un periodo di 6 (sei) mesi, così come previsto dalla vigente normativa, al termine di tale tempistica i Log vengono cancellati da una procedura automatica e non sono più accessibili. Oltre alle operazioni svolte, i [omissis] ività registrano anche l'utenza personale di colui che le ha compiute. | Log generati per il reverse proxy (recupero dei contenuti per conto di un client Log Rev-Proxy da uno o più server) sono conservati per 15 giorni per le solo finalità di analisi del sistema informatico. Al termine del periodo previsto gli stessi sono cancellati automaticamente dall’infrastruttura. I Log per operazioni sui bilanciatori quali creazione bilanciatore, modifica Log Bilanciatori Nginx bilanciatore cancellazione bilanciatore, attivazione o disattivazione bilanciatore, aggiunta modifica e rimozione di regole, sono conservati per 6 (sei) mesi, al termine di tale periodo gli stessi vengono cancellati in maniera automatica e non risultano più accessibili. 11 ess! WVVHITEPAPER SERVIZI SAAS _&gmeee8N]!î!!) Comunicazione cifrata Tutti | servizi SaaS di Spaggiari rivolti all’esterno utilizzano dei canali di comunicazione cifrati (ad esempio canale HTTPS, che è il risultato dell’applicazione di un protocollo di crittografia asimmetrica al protocollo di trasferimento di ipertesti http e che viene utilizzato per garantire trasferimenti riservati di dati nel web, in modo da impedire intercettazioni dei contenuti ed evitare diffusioni e modifiche non autorizzate). Il seguente elenco descrive il dettaglio dei protocolli utilizzati su rete pubblica dei servizi SaaS Cloud: Software Cloud SaaS Tutti i software SaaS Cloud di Spaggiari sono accessibili solo previa autenticazione dell’utente e sono raggiungibili online tramite certificato cifrato ClasseViva, RES, SSL/HTTPS. Oggi a Scuola, SegreteriaDigitale, NuoviGestionaliScolastici, Scuola&Territorio, PrimaVisioneWeb, School Academy Tutte le attività di assistenza erogate nei confronti dei clienti consentono Assistenza Tecnica l'accesso a dati solo previa autenticazione da parte dell'operatore, Social Customer Care registrazione delle operazioni svolte, autorizzazione formale da parte del cliente ed in caso di utilizzo di servizi di tele-assistenza crittografia delle sessioni AES (a 256 bit). | processi di backup sono cifrati all’origine e l’accesso a tali dati è disponibile Cloud Backup solo tramite connessioni crittografate con cifratura asimmetrica a 2048 bit nominale per ogni autorizzato. | sistemi di monitoraggio utilizzano il protocollo HTTPS e l’accesso ai pannelli Cloud Monitoring di controllo è possibile solo a figure formalmente autorizzate (Cloud& Infrastrutture). Il piano di storage è definito attraverso il pannello di controllo del relativo asset Cloud Object Storage che utilizza il protocollo HTTPS. | fileserver adibiti a storage sono protetti da Repository documentale crittografia basata su software, a livello di volume e granulare per i dati su qualsiasi tipo di disco (Volume Encryption AES 256 bit). L'accesso all’infrastruttura è possibile solo tramite connessione nominale VPN IAAS e CSP O. . | iu 2FA con autenticazione SHA-1 e cifratura a 256 bit, oltre a token proprietario con algoritmi HOTP e TOTP. Ogni accesso viene registrato ed è possibile solo per utenti formalmente autorizzati. Sincronizzazione Spaggiari utilizzano il sistema NTP per sincronizzare i propri orologi e mantenere coerenza degli eventi. La fonte autoritativa per la sincronizzazione dell'orologio è INRiM (https://www.inrim.it). 12 ee WIITEPAPER SERVIZI SAAS mn Il fuso orario su tutti | sistemi utilizzato è CEST su cui viene utilizzato GMT+1. Tutte le macchine virtuali dell’infrastruttura hanno fuso orario basato su CEST e utilizzano come fonte di sincronizzazione clock quella dell’host su cui risiedono. Sicurezza Organizzativa In accordo alla propria Politica SGSI, Spaggiari assicura che tutti coloro che operano per l'erogazione dei servizi siano adeguatamente formati e consapevoli dell’importanza del patrimonio informativo gestito. Questa misura applica in particolar modo per le nuove figure aziendali con i quali viene condivisa la politica adottata ed il rispetto dei termini previsti nello specifico accordo di riservatezza (Non Disclosure Agreements) per coloro svolgono funzioni di sviluppo e manutenzione dell’area IT. Per ciascuna area aziendale sono stati sviluppati programmi di formazione specifici, che vengono ripetuti e testati con cadenza periodica. Per garantire la sicurezza dei propri servizi, Spaggiari controlla gli accessi ai dati ed ai sistemi e limita e monitora gli accessi ad essi. Tra i principi adottati per la gestione della sicurezza organizzativa ci sono: = “need to know” (Allegato B del D.Lgs. 196/2003) secondo il quale i soggetti che devono compiere attività di trattamento di informazioni sono autorizzati a trattare | soli dati essenziali allo svolgimento dell’attività attribuita; =» “dual control” per il quale sono stabilite alcune procedure operative che richiedono la compresenza di almeno due diversi operatori per la loro esecuzione, con particolare riferimento a figure senior dedicate quali Risk Owner ed Asset Owner; = “least privilege” secondo il quale ad ogni operatore è concesso il privilegio minimo necessario per poter svolgere i propri compiti in modo da ridurre per quanto possibile il rischio di accesso/modifica/cancellazione degli asset e dei dati gestiti; = “privacy by design” per il quale l’obiettivo già in fase di sviluppo dei servizi SaaS Cloud il tema del trattamento dei dati sia prioritario per garantire sicurezza e trasparenza oltre al fine ultimo di prevenire un problema; = “privacy by default” secondo cui si debbano trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste (art. 5 p. 1 lett. b) e per il periodo strettamente necessario a tali fini (art. 5 p. 1 lett. c). Nello specifico, caso in cui si renda necessario l'intervento di Amministratori di sistema Spaggiari sui sistemi Cloud, è garantito che i privilegi di accesso siano forniti solo sulla base di specifiche procedure definite e che tutte le attività siano eseguite secondo iter ed istruzioni predeterminate per le quali sia possibile mantenerne traccia. 13 ess! WVVHITEPAPER SERVIZI SAAS _&gmeee8N]!î!!) Gestione delle vulnerabilità Spaggiari riconosce che la gestione delle vulnerabilità tecniche dei sistemi informatici rappresenti una delle attività cruciali per poter garantire la sicurezza dei propri servizi: per questo motivo sono predisposte delle misure per ricercare, governare e risolvere le vulnerabilità tecniche individuate per evitare che possano comportare impatti negativi sul servizio e sui dati gestiti. Il Resp. dell'Area Cloud&Infrastrutture coadiuvato da Risk Owner ed Asset Owner compongono il gruppo deputato a eseguire periodiche e regolari scansioni di vulnerabilità e penetration-test sia sui servizi offerti alla clientela, sia sull’infrastruttura IT. Gestione degli incidenti Spaggiari ha definito controlli e procedure per poter permettere un approccio organizzato e regolato alla gestione degli incidenti come parte della propria strategia di sicurezza delle informazioni. attività di pianificazione e predisposizione ad una corretta e tempestiva risposta a eventuali eventi di sicurezza, anche con il supporto di una specifica squadra incaricata in base alla peculiarità della problematica riscontrata. Gestione delle capacità e del cambiamento AI fine di garantire la corretta consegna/erogazione del servizio Spaggiari ritiene fondamentale monitorare le risorse a disposizione e adottare gli opportuni accorgimenti per lo sfruttamento ottimale delle stesse. A tal fine sono state individuate alcune risorse cui applicare un costante monitoraggio ed analisi delle capacità per poter permettere di assicurare la normale fruizione dei servizi. I livelli di connettività, i livelli di occupazione delle risorse, lo spazio su disco ed il dimensionamento dell’infrastruttura sono monitorati con specifici strumenti di monitoraggio dell'Area Cloud&Infrastrutture, il cui compito si estende anche al monitoraggio di qualsiasi evento anomalo. Gli strumenti di monitoraggio permettono l'impostazione di controlli specifici per ciascun servizio, rilevando le anomalie e permettendo di anticipare le necessità di cambiamento. 14 ee WIITEPAPER SERVIZI SAAS mn I cambiamenti resi necessari dalle attività di monitoraggio e di gestione delle capacità oppure vengono gestiti in modo controllato per permettere di verificarne i risultati e di mantenere traccia delle attività svolte. Policy di Sicurezza Logica e Fisica Per conoscere in dettaglio le politiche di sicurezza logica e fisica adottate da Spaggiari nella propria infrastruttura presente nei due Data Center in housing si rimanda al documento dedicato “Policy di Sicurezza” disponibile per i propri stakeholder all'indirizzo online: http://\www.spaggiari.eu/sicurezza/sicurezza.html. Certificazioni Data Center Sono riportati di seguito i collegamenti diretti alle rispettive certificazioni emesse da Enti terzi qualificati relative alle conformità rispettate dalle due sedi IT dei carrier a cui Gruppo Spaggiari Parma S.p.A. si è rivolto per l’housing della propria infrastruttura IT aziendale. Certificazioni Aruba: https://www.aruba.it/certificazioni.aspx Certificazioni TIM: https://www.gruppotim.it/it/sostenibilita/bilanci-obiettivi/certificazioni.html 15 ess! WVVHITEPAPER SERVIZI SAAS _&gmeee8N]!î!!) 16