Certificazioni
nCore è certificata ISO/IEC 27001, ISO/IEC 27017 e ISO/IEC 27018.
La certificazione ISO/IEC 27001 è un riconoscimento di alto valore che attesta l’implementazione e il mantenimento di un sistema di gestione della sicurezza delle informazioni (ISMS) di qualità superiore. Questo standard internazionale fornisce un quadro completo e metodico per gestire in modo efficace la sicurezza delle informazioni, aiutando le organizzazioni a identificare, gestire e ridurre i rischi legati alla sicurezza dei dati.
ISO/IEC 27001 stabilisce i requisiti per un ISMS, un sistema progettato per preservare la confidenzialità, l’integrità e la disponibilità delle informazioni aziendali. Questo standard si concentra sull’analisi dei rischi, sull’implementazione di misure di sicurezza adeguate e sul continuo miglioramento del sistema.
Ottenere la certificazione ISO/IEC 27001 dimostra l’impegno di un’organizzazione nel garantire la sicurezza delle informazioni a tutti i livelli. Ciò include l’adozione di politiche e procedure di sicurezza, la gestione dei rischi informatici, la formazione del personale e la costante revisione per mantenere un alto livello di sicurezza.
Questa certificazione è cruciale per le organizzazioni di qualsiasi dimensione o settore, dimostrando il loro impegno nella protezione delle informazioni sensibili e nella gestione dei rischi legati alla sicurezza. L’ISO/IEC 27001 è un distintivo di affidabilità per clienti, partner e stakeholder, mostrando l’attuazione di robuste misure di sicurezza informatica e l’impegno verso la protezione dei dati sensibili.
La certificazione ISO/IEC 27017 rappresenta una guida fondamentale per la sicurezza delle informazioni nelle prestazioni e nell’utilizzo dei servizi cloud. Questo standard fornisce linee guida e controlli specifici volti a garantire un ambiente sicuro e protetto nell’ambito dei servizi offerti tramite il cloud. La ISO/IEC 27017 si concentra sulle questioni relative alla protezione dei dati e all’assicurazione della privacy all’interno dell’ambiente del cloud computing.
Questa certificazione stabilisce un insieme di controlli e di best practices per i fornitori di servizi cloud e per gli utenti che utilizzano questi servizi. In particolare, fornisce indicazioni sulle misure di sicurezza necessarie per proteggere le informazioni sensibili e personali. Tali misure includono l’implementazione di controlli di accesso, crittografia, protezione dell’identità, riservatezza dei dati e garanzie di continuità operativa.
La ISO/IEC 27017 è cruciale per garantire che i dati trattati nei servizi cloud siano gestiti e protetti in modo appropriato. Questo standard fornisce una serie di linee guida che mirano a evitare rischi di violazione della sicurezza e della privacy, assicurando che i dati siano trattati in conformità con le normative e le migliori pratiche internazionali. Ottenere la certificazione ISO/IEC 27017 dimostra l’impegno nell’assicurare un’adeguata gestione della sicurezza delle informazioni nell’ambiente del cloud computing.
La certificazione ISO/IEC 27018 è un importante standard che fornisce linee guida e controlli specifici per la protezione dei dati personali all’interno dei servizi cloud. Questo standard è incentrato sulla privacy dei dati e si concentra sull’assicurare che i fornitori di servizi cloud trattino le informazioni personali in modo conforme alle normative sulla privacy.
ISO/IEC 27018 offre orientamenti dettagliati riguardo al trattamento dei dati personali nel cloud, garantendo la trasparenza e il controllo sui dati gestiti da terzi. Essa richiede l’implementazione di misure di sicurezza specifiche per proteggere i dati personali, come controlli di accesso, cifratura, anonimizzazione e procedure di gestione delle violazioni dei dati.
Questa certificazione è di particolare importanza per le organizzazioni che trattano informazioni sensibili, offrendo una garanzia aggiuntiva riguardo al rispetto della privacy dei dati. La ISO/IEC 27018 dimostra l’impegno nel proteggere le informazioni personali all’interno dell’ambiente del cloud, assicurando che i dati siano gestiti e trattati in conformità alle normative sulla privacy e alle migliori pratiche di settore.
Ottenere la certificazione ISO/IEC 27018 significa assicurare ai clienti e agli utenti finali che i dati personali sono gestiti con la massima attenzione e rispettando rigorose politiche di sicurezza e privacy. Questo standard sottolinea l’importanza di un approccio responsabile nel trattamento dei dati personali all’interno del contesto del cloud computing.
Sicurezza delle informazioni
Le responsabilità relative alla sicurezza delle informazioni vengono completamente definite e assegnate. I compiti e le aree di responsabilità in conflitto tra loro sono separati per ridurre le possibilità di uso improprio, modifica non autorizzata o non intenzionale degli asset dell’organizzazione.
nCore adotta tutte le misure necessarie al fine di assicurare che il personale e i collaboratori siano a conoscenza delle loro responsabilità per la sicurezza delle informazioni e vi adempiano.
Le competenti funzioni si assicurano che nuovi dipendenti, collaboratori, personale a contratto o in genere destinato ad operare in azienda, siano adatti al ruolo che devono ricoprire e che abbiano compreso le loro responsabilità, al fine di ridurre il rischio di danneggiamenti o frodi.
Le funzioni aziendali competenti effettuano controlli per la verifica delle caratteristiche di idoneità su tutti i candidati all’impiego, in accordo con le leggi, con i regolamenti pertinenti e con l’etica. Tali controlli sono effettuati in proporzione alle esigenze di business, alla classificazione delle informazioni da accedere e ai rischi percepiti nell’impiego previsto. Gli accordi contrattuali con il personale e con i collaboratori specificano le responsabilità loro e dell’organizzazione relativamente alla sicurezza delle informazioni.
La direzione nCore richiede a tutto il personale e ai collaboratori di applicare la sicurezza delle informazioni in conformità con le politiche e le procedure stabilite dall’organizzazione. Tutto il personale nCore e, qualora opportuno, i collaboratori esterni, ricevono un’adeguata sensibilizzazione, istruzione, formazione e addestramento e aggiornamenti periodici sulle politiche e procedure organizzative, in modo pertinente alla loro attività lavorativa.
Le autorizzazioni agli accessi vengono rimosse in caso di termine del rapporto di impiego/collaborazione o modificate in caso di variazioni di appartenenza a strutture organizzative o incarico.
nCore ha implementato nell’ambito dei propri DataCenter dei sistemi di sicurezza definiti “perimetrali”, ovvero in uso per tutti i sistemi posti all’interno del DataCenter stesso, con particolare riferimento agli accessi da e per le reti internet; di seguito vengono descritti tali sistemi e la loro gestione.
nCore limita l’accesso alle informazioni ed ai servizi di elaborazione delle informazioni secondo il criterio del “need to access” ovvero alle effettive e legittime necessità operative di ciascun soggetto. nCore emette specifiche Politiche in merito all’utilizzo delle workstation e dei dispositivi di elaborazione anche mobili individuali, dei servizi di posta e internet.
Inoltre nCore pubblica una Politica di sicurezza sull’utilizzo e gestione delle credenziali di autenticazione nei sistemi informatici.
Tutto il personale nCore e le terze parti interessate vengono informati dell’esistenza di una Politica specifica per la gestione ed il controllo degli accessi logici alle risorse e vincolati, in dipendenza delle loro responsabilità o competenze, a rispettarne le prescrizioni.
La strumentazione e le istruzioni per il controllo degli accessi vengono mantenute costantemente adeguate alle esigenze di business e di sicurezza degli accessi, anche in relazione alle evoluzioni organizzative e tecnologiche.
A fine di assicurare un uso corretto ed efficace della crittografia per proteggere la riservatezza, l’autenticità e/o l’integrità delle informazioni nCore prevede l’utilizzo di idonei controlli crittografici.
Ove valutato necessario, con idonea analisi dei rischi incombenti sugli asset, sono attuati controlli crittografici per la protezione delle informazioni dalle minacce di violazione della riservatezza e dell’integrità dei dati, anche ai fini di “non ripudio” della autenticità degli stessi.
Sono previste, da parte delle funzioni responsabili degli asset protetti da controlli crittografici, idonee tecniche di protezione e viene stabilita la durata delle chiavi crittografiche attraverso il loro intero ciclo di vita.
nCore intende assicurare gli asset rilevanti per il business e la sicurezza delle informazioni contro ogni rischio di danneggiamento, furto, perdita di riservatezza, eventi calamitosi naturali o atti dolosi. nCore predispone idonee misure di controllo degli accessi fisici e regole di accesso per il personale e prevede la sicurezza nella gestione degli apparati acquisiti a salvaguardia della erogazione dei servizi tecnologici quali generatori di emergenza, impianti antincendi, anti-allagamento ed anti-intrusione, i quali richiedono un controllo periodico della collocazione e dello stato di efficienza dei beni in generale, degli impianti, delle macchine e delle attrezzature presenti, oltre che la pianificazione degli interventi di manutenzione degli impianti, dei macchinari, delle attrezzature e dei beni in generale e l’alienazione dei beni inutilizzabili in quanto obsoleti e/o non più riparabili.
Sicurezza delle attività operative
nCore intende prevenire la perdita, il danneggiamento, il furto o la compromissione di asset e l’interruzione delle attività operative dell’organizzazione.
nCore intende assicurare che le attività operative nelle strutture di elaborazione delle informazioni siano conformi alle “best-practices” di sicurezza delle informazioni.
Vengono documentate e rese disponibili idonee procedure operative a tutti gli utenti che le necessitano. I cambiamenti all’organizzazione, ai processi di business, alle strutture di elaborazione delle informazioni e ai sistemi che potrebbero influenzare la sicurezza delle informazioni sono controllati.
L’uso delle risorse è monitorato e messo a punto. Vengono effettuate proiezioni sui futuri requisiti di capacità per assicurare le prestazioni di sistema richieste
Sono effettuate copie di backup delle informazioni, del software e delle immagini dei sistemi e quindi sottoposte a test periodici secondo una politica di backup concordata.
Sono registrati gli eventi rilevanti e vengono generate evidenze.
La registrazione dei log degli eventi, delle attività degli utenti, delle eccezioni, dei malfunzionamenti e degli eventi relativi alla sicurezza delle informazioni viene effettuata, mantenuta e riesaminata periodicamente.
Le strutture per la raccolta dei log e le informazioni di log sono protette da manomissioni e accessi non autorizzati.
Le attività degli amministratori e degli operatori di sistema sono registrate tramite log, e questi sono protetti e riesaminati periodicamente.
L’integrità dei sistemi di produzione è un requisito di sicurezza essenziale per nCore. Sono attuate procedure per controllare l’installazione del software sui sistemi di produzione.
Sicurezza delle comunicazioni
nCore emette specifica Politica di Controllo accessi alla rete.
Le reti sono presidiate e controllate adeguatamente e costantemente contro i tentativi di intrusione, intercettazione e attacco, al fine di proteggere le informazioni nei sistemi e nelle applicazioni.
I meccanismi di sicurezza, i livelli di servizio e i requisiti di gestione dei servizi di rete sono identificati e inclusi negli accordi sui livelli di servizio relativi alla rete, indipendentemente dal fatto che tali servizi siano forniti dall’interno o siano affidati all’esterno.
Nelle reti vengono segregati gruppi di servizi, di utenti e di sistemi informativi a seconda del livello di rischio incombente sui relativi asset. Gli ambienti di sviluppo e produzione sono separati, definendo idonee sottoreti tra loro isolate o ad interconnessione controllata.
- gestione sistemistica del firewall: il firewall, come sistema software, è soggetto ad aggiornamento di versione. L’aggiornamento viene effettuato in base alle raccomandazioni del produttore, per mantenerlo continuativamente in piena efficienza;
- gestione amministrativa del firewall: per gestione amministrativa si intende l’implementazione delle regole che permettono o negano l’accesso ai sistemi posti a valle del firewall, o l’accesso alla rete internet a partire dai sistemi stessi. Le regole vengono implementate in base alle necessità applicative su richiesta del Cliente, dopo valutazione comune di aderenza alle policy generali e di eventuali rischi di sicurezza che tali regole possono comportare.
Nello strumento di IPS si evidenziano due differenti livelli di gestione, uno sistemistico e l’altro amministrativo:
- gestione sistemistica dell’IPS: l’IPS, come sistema software, è soggetto ad aggiornamento di versione. L’aggiornamento viene effettuato in base alle raccomandazioni del produttore, al fine di mantenerlo sempre in piena efficienza;
- gestione amministrativa dell’IPS: per gestione amministrativa si intende l’implementazione delle regole di analisi del traffico che hanno lo scopo di identificare possibili tentativi di violazione dei sistemi. L’aggiornamento di tali regole viene effettuato quando (tipicamente più volte al mese) il Fornitore ne rilascia un nuovo set. Gli aggiornamenti di regole vengono applicati automaticamente secondo le configurazioni raccomandate dal Fornitore, ed eventualmente intervenendo manualmente se dovessero emergere falsi positivi che bloccano le funzionalità applicative.
nCore ha realizzato un sistema di difesa da attacchi informatici di tipo DDoS (Distributed Denial of Service) in grado di individuare e bloccare il traffico anomalo prima che questo arrivi alla connessione Internet del Cliente.
Per traffico anomalo si intende, in questo contesto, un flusso massiccio di richieste dolose provenienti da sorgenti distribuite e dirette verso uno dei servizi erogati, in grado di saturare la banda trasmissiva o la capacità elaborativa dei dispositivi di rete.
Una protezione efficace da attacchi di tipo DDoS richiede meccanismi di intercettazione del traffico doloso distribuiti nell’infrastruttura di rete del Fornitore di connettività (operatore TLC), in modo da poter intervenire il più “a monte” possibile nei flussi che vanno dalle sorgenti degli attacchi ai loro obiettivi (che nel nostro caso sono posti all’interno dei datacenter nCore).
In caso di allarme di questo tipo, segnalato dai sistemi di controllo di nCore o da quelli dell’operatore TLC, il suddetto meccanismo DDoS prevede il dirottamento da parte dell’operatore stesso del traffico anomalo verso un sistema di “pulizia” del traffico, in grado di inoltrare ad nCore il solo traffico “pulito”. Per evitare falsi allarmi, il processo di dirottamento non sarà attivato in modo automatico ma solo su richiesta esplicita di nCore.
- nCore prevede controlli a protezione del trasferimento delle informazioni, per tutte le tipologie di comunicazione;
- sono formalizzati, in appositi accordi, i trasferimenti sicuri di informazioni di business tra l’organizzazione e le parti esterne;
- le informazioni trasmesse attraverso messaggistica elettronica sono protette in modo appropriato in relazione al rischio ad esse relativo di intercettazione, alterazione, violazione di riservatezza;
- sono previsti accordi di riservatezza o di non divulgazione (N.d.A.), in base alle necessità di proteggere le informazioni rilevanti per la sicurezza ed il business di nCore nei contratti ed accordi con le terze parti.
Gestione della continuità operativa
La continuità della sicurezza delle informazioni è integrata nei sistemi per la gestione della continuità operativa dell’organizzazione.
L’organizzazione determina i propri requisiti per la sicurezza delle informazioni e per la continuità della gestione della sicurezza delle informazioni in situazioni avverse, per esempio durante crisi o disastri. Sono fornite idonee istruzioni al personale al fine di assicurare il livello di continuità richiesto per la sicurezza delle informazioni durante una situazione avversa.
nCore verifica, ad intervalli di tempo regolari, i controlli di continuità della sicurezza delle informazioni stabiliti e attuati, al fine di assicurare che siano validi ed efficaci durante situazioni avverse.
Tutti i servizi del sito primario sono erogati in architettura logica e fisica di Alta Affidabilità e rispondono a stringenti requisiti di politiche di backup. Sono stati analizzati i fattori di rischio mettendo in atto le opportune e possibili contromisure. La zona è al livello minimo di rischio sismico e non ci sono evidenze di rischi da fenomeni naturali. Analoghi risultati emergono consultando le mappe della protezione civile, che non evidenziano situazioni di possibili rischi ad elevata probabilità e/o magnitudo.
nCore inoltre dispone di un Data Center di Disaster Recovery in ulteriori zone a Francoforte.
nCore intende assicurare la massima disponibilità possibile, in accordo con gli SLA stabiliti con i clienti e le disposizioni applicabili, delle strutture per l’elaborazione delle informazioni.
Le strutture per l’elaborazione delle informazioni sono realizzate con una ridondanza sufficiente a soddisfare i requisiti di disponibilità.