Policy Requisiti Di Sicurezza Delle Informazioni del Fornitore

Valido a partire dal 17.06.2020
Proprietario: Tarmo Randel, Responsabile Della Sicurezza Delle Informazioni

Scopo

Questi requisiti si applicano a tutte le terze parti che hanno accesso ai dati di Bolt. Alcuni requisiti sono raggruppati in base alla classificazione dei dati trattati da terzi. Fai riferimento alla Politica di classificazione dei dati per una spiegazione dettagliata delle categorie di classificazione. Si prega di notare che, prima che qualsiasi servizio o prodotto venga sperimentato, deve essere effettuato un controllo adeguato per garantire che i terzi possano soddisfare tali requisiti.

Requisiti generali

Un NDA firmato, è richiesto ogni volta che i dati che saranno trattati da terzi sono classificati come interni, limitati o riservati. Se i dati personali vengono scambiati con terze parti, è NECESSARIO firmare un Contratto di trattamento dei dati prima che si possa procedere a qualsiasi tipo di scambio.

Ogni fornitore deve applicare tutte le migliori pratiche concordate, oltre alle generali, in materia di sicurezza delle informazioni su tutti i componenti e i materiali forniti, inclusi software, hardware e informazioni al fine di salvaguardare la riservatezza, la disponibilità e l'integrità dei dati di Bolt. Se necessario, il Fornitore deve fornire a Bolt tutta la documentazione relativa all’attuazione dei controlli di sicurezza.

I seguenti elementi devono essere implementati e verificati:

  • in caso di scambio di dati personali, è richiesto un accordo di trattamento dei dati conforme alla GDPR.
  • misure adeguate a livello tecnico e organizzativo da attuare nei sistemi collegati; a fini di chiarezza, il minimo assoluto richiesto è il seguente:
    • in caso di scambio di dati personali, è richiesto un accordo di trattamento dei dati conforme alla GDPR.
    • misure adeguate a livello tecnico e organizzativo da attuare nei sistemi collegati; a fini di chiarezza, il minimo assoluto richiesto è il seguente:
    • regole e meccanismi di controllo dell'accesso.
    • protezione degli endpoint esposti.
    • sviluppo sicuro e test ambietali.
    • dimostrare come le informazioni sono sicure quando archiviate e in transito.
    • dimostrazione dell'esistenza delle capacità di gestione delle vulnerabilità.
    • dimostrazione dell'esistenza della gestione degli incidenti e del processo di aggiornamento software.
    • Segreti PI e gestione delle password.
    • raccolta e monitoraggio dei log.
    • accordo sul livello di servizio chiaramente definito con i dati di contatto.

Qualsiasi fornitore, che abbia dimostrato la certificazione/convalida HIPAA, PCI DSS, GDPR, ISO27001, dimostra di solito di aver implementato questi requisiti, tuttavia questo deve essere verificato. Il riferimento ai pertinenti controlli di sicurezza dovrebbe essere incluso anche nel contratto con il fornitore.

Per tutti i fornitori di apparecchiature per il trattamento delle informazioni e i fornitori di comunicazioni, deve essere effettuata un’adeguata valutazione dei rischi per valutare i possibili rischi e adottare le misure correttive necessarie a tal fine.

Requisiti dettagliati

I requisiti dettagliati in materia di sicurezza delle informazioni devono essere controllati dopo la firma di qualsiasi accordo e prima che il membro dei team, Internal IT o Information Security, effettui un vero trattamento dei dati. Oltre ai requisiti qui presentati, il terzo deve avere accesso e concordare per iscritto per conformarsi alla politica di sicurezza delle informazioni di Bolt. I requisiti dettagliati sono presentati nel formato della lista di controllo nell’appendice A.

Verifica

Su ragionevole preavviso o informazione, e durante il normale orario di lavoro, Bolt ha il diritto, ma non l'obbligo, di rivedere periodicamente le operazioni del Fornitore, processi e sistemi nella misura in cui si riferiscono ai Servizi, al fine di monitorare il rispetto da parte del Fornitore dei termini e delle condizioni della presente Informativa.

Revisione e aggiornamento

Tali requisiti devono essere rivisti almeno una volta all'anno dal proprietario del documento.

Allegato A

Checklist per i requisiti comuni di trattamento delle informazioni riservate, limitate e interne

  • Controllo d'accesso
    • sono gli account user gestiti centralmente
    • sono gli accessi degli utenti regolarmente esaminati
    • ci siano requisiti imposti per la lunghezza e la complessità della password
    • siano i fallimenti di accesso registrati, allertati e indagati
    • è presente l'autenticazione multi-fattore
    • è utilizzato il PKI nel controllo degli accessi
    • sono i sistemi acceduti direttamente con Internet pubblica
    • esiste una politica o una pratica per il lavoro-da casa
  • Prevenzione degli incidenti e gestione delle vulnerabilità
    • è il software nelle postazioni di lavoro regolarmente, gestito e aggiornato a livello centrale
    • esiste un software di sicurezza endpoint gestito e monitorato a livello centrale
    • esiste un requisito o una pratica per applicare la crittografia ai dati a riposo
    • esiste un obbligo o una prassi per applicare la crittografia ai dati in transito
    • sono le postazioni di lavoro gestibili centralmente
    • esiste un tipo di politica di “uso accettabile” che affronta argomenti comuni in materia di igiene informatica
    • sono presenti politiche o procedure di backup dei dati
    • è il perimetro esterno e interno della rete regolarmente scansionato
  • Politica e procedure di gestione degli incidenti
    • esiste una matrice di classificazione degli incidenti e di definizione delle priorità
    • esiste un processo di escalation della risoluzione degli incidenti
    • nel caso in cui la classificazione del tipo di violazione dei dati esista per gli avvenimenti -quante violazioni di dati sono state registrate negli ultimi 6 mesi

Checklist per l'elaborazione di informazioni riservate

  • Politica e procedure di gestione degli avvenimenti
    • quali meccanismi di prevenzione extra dei dati sono applicati

Checklist per l'elaborazione di informazioni pubbliche

  • Integrità dei dati
    • esistano procedure atte a garantire l’integrità dei dati