Come gestiamo gli aspetti inerenti alla Sicurezza

La sicurezza dell’infrastruttura e dei dati:

È essenziale distinguere tra la sicurezza dei dati ospitati dal cliente e la sicurezza delle infrastrutture che ospitano questi dati.

Sicurezza dei dati ospitati dal cliente: il cliente è l’unico responsabile della sicurezza delle proprie risorse e dei sistemi applicativi implementati per l’utilizzo dei servizi. Shellrent S.r.l. mette a disposizione degli strumenti per supportare il cliente nella protezione dei propri dati.

Sicurezza delle infrastrutture: Shellrent S.r.l. si impegna a garantire la massima sicurezza delle proprie infrastrutture, in particolare implementando una politica di sicurezza dei sistemi informativi e rispondendo alle esigenze di legge.

Sicurezza delle infrastrutture Shellrent S.r.l.
Shellrent S.r.l. adotta le misure necessarie per preservare la sicurezza e la riservatezza dei dati personali trattati, in particolare per impedire che vengano violati, danneggiati o che soggetti terzi non autorizzati vi accedano.

Regolamentazione e gestione degli aspetti riguardanti la Sicurezza

1. Sistema di gestione della sicurezza

Impegni assunti da Shellrent S.r.l. in qualità di hosting provider
È stata implementata una policy di sicurezza dei sistemi che descrive l’insieme dei nostri provvedimenti in materia, che viene solitamente aggiornata in caso di modifiche importanti relative al contenuto. I nostri servizi sono a loro volta regolati da sistemi di gestione della sicurezza delle informazioni.

2. Conformità e certificazione

Impegni assunti da Shellrent S.r.l. in qualità di hosting provider

Per valutare le prestazioni dei nostri sistemi, vengono eseguiti regolarmente audit di sicurezza. Esistono vari tipi di audit :

  • Audit tecnici (test di intrusione, scansioni di vulnerabilità, revisioni del codice) effettuati da auditor interni
  • Audit delle attività svolte da terzi
  • Audit dei datacenter, effettuati da auditor esterni. La natura e la frequenza degli audit effettuati dipendono dal fornitore dei servizi

Quando si identifica una falla di sicurezza, viene identificata la modalità più corretta per risolverla e successivamente viene pianificato il piano di rientro. Tutte queste subiscono una verifica periodica per riesaminarne l’efficacia.

3. Audit del cliente

Raccomandazioni destinate al cliente responsabile del trattamento dei dati

Il cliente può eseguire verifiche (test d’intrusione) sui propri servizi ospitati da Shellrent S.r.l., così come sui relativi componenti di gestione. Le condizioni per lo svolgimento delle verifiche sono gestite su richiesta.

Impegni assunti da Shellrent S.r.l. in qualità di hosting provider

Le condizioni per lo svolgimento delle verifiche sono gestite su richiesta.

4. Gestione dei rischi

Raccomandazioni destinate al cliente responsabile del trattamento dei dati

Il cliente deve assicurarsi che le misure di sicurezza messe in atto da Shellrent S.r.l. siano adeguate agli eventuali rischi relativi all’utilizzo dell’infrastruttura.

Impegni assunti da Shellrent S.r.l. in qualità di hosting provider

Shellrent S.r.l. applica un metodo di gestione del rischio che viene valutato in caso di modifiche importanti, relativo anche al trattamento di dati personali e informazioni sensibili.
Alla fine di ogni verifica viene messo in atto un piano di trattamento del rischio identificato. Ogni misura è soggetta a ripetuti controlli periodica per riesaminarne l’efficacia.

5. Gestione delle modifiche

Raccomandazioni destinate al cliente responsabile del trattamento dei dati

Il cliente deve assicurarsi che le informazioni inserite siano corrette, affinché Shellrent S.r.l. possa comunicargli eventuali modifiche sui servizi utilizzati. Dove richiesto, spetta al cliente implementare le azioni necessarie relative alla configurazione dei propri servizi per adattarsi a queste evoluzioni.

Impegni assunti da Shellrent S.r.l. in qualità di hosting provider

Shellrent S.r.l. applica una procedura formale di gestione delle modifiche:

  • I ruoli e le responsabilità sono definiti in modo chiaro
  • Esistono determinati criteri di classificazione per identificare gli step da seguire quando si eseguono modifiche
  • Vengono gestite le priorità; si effettua un’analisi dei rischi relativi alle modifiche
  • Prima di ogni rilascio, gli aggiornamenti software sono regolarmente oggetto di una code review; si possono eseguire eventuali test di intrusione (se applicabili); la modifica è pianificata e programmata con i clienti (se applicabile)
  • In caso di rischio, è prevista un’operazione di rollback
  • Viene effettuata una revisione a posteriori delle diverse risorse interessate dalla modifica
6. Policy di sviluppo dei sistemi e delle applicazioni

Impegni assunti da Shellrent S.r.l. in qualità di hosting provider

I processi destinati agli sviluppatori Shellrent S.r.l. seguono i principi per un processo di sviluppo sicuro, le misure di ‘privacy by design’, nonché una code review policy (rilevamento di vulnerabilità, trattamento degli errori, gestione degli accessi e delle entrate, protezione dello storage e delle comunicazioni).

  • Vengono eseguite regolarmente anche ‘code review’
  • Rilettura sistematica e indipendente dal codice prima del rilascio; Verifica delle nuove funzionalità prima del rilascio eseguendo test nell’ambiente di convalida (se applicabile)
  • Separazione dei ruoli e delle responsabilità
7. Monitoraggio dei servizi e delle infrastrutture

Impegni assunti da Shellrent S.r.l. in qualità di hosting provider

Tutti i servizi Shellrent S.r.l. sono monitorati da un’apposita infrastruttura, con i seguenti obiettivi:

  • Individuare gli incidenti di produzione e di sicurezza
  • Monitorare le funzioni critiche attraverso l’inoltro di alert al sistema di supervisione
  • Avvisare i responsabili e avviare le procedure necessarie
  • Assicurare la continuità del servizio nello svolgimento delle operazioni automatizzate
  • Garantire l’integrità delle risorse monitorate
8. Gestione degli incidenti

Raccomandazioni destinate al cliente responsabile del trattamento dei dati

Il cliente deve assicurarsi che le informazioni inserite siano corrette, in modo che Shellrent S.r.l. possa avvisarlo in caso di incidenti; inoltre, deve implementare processi di gestione degli incidenti che interessano il proprio sistema informativo, includendo Shellrent S.r.l. come potenziale fonte di allarme.

Impegni assunti da Shellrent S.r.l. in qualità di hosting provider

Shellrent S.r.l. prevede un processo di gestione degli incidenti che permette di prevenire, rilevare e risolvere questo tipo di eventi nelle infrastrutture di gestione del servizio e nel servizio stesso. Questo processo include:

  • Il trattamento degli eventi di sicurezza
  • La comunicazione con il cliente
9. Gestione delle vulnerabilità

Raccomandazioni destinate al cliente responsabile del trattamento dei dati

Il cliente deve assicurarsi che le informazioni inserite siano corrette, in modo che Shellrent S.r.l. possa avvisarlo in caso di vulnerabilità rilevate nel proprio sistema informativo.

Impegni assunti da Shellrent S.r.l. in qualità di hosting provider

Il team tecnico garantisce un controllo tecnologico sulle nuove vulnerabilità, identificate tramite:

  • Siti d’informazione pubblica
  • Alert dei costruttori e degli editori delle soluzioni messe in atto
  • Le osservazioni segnalate dai team operativi, da terzi o dai clienti
  • Scansioni di vulnerabilità interne ed esterne eseguite regolarmente
  • Audit tecnici, nonché code and configuration review

Se viene rilevata una vulnerabilità, i team dedicati eseguono un’analisi per determinare l’impatto sui sistemi e i potenziali scenari operativi.

Vengono immediatamente implementate delle azioni per risolvere la vulnerabilità e, se necessario, viene definito un piano correttivo.

Tutte le misure sono soggette a una revisione periodica per riesaminarne l’efficacia.

10. Gestione della continuità operativa

Raccomandazioni destinate al cliente responsabile del trattamento dei dati

Il cliente è responsabile della continuità del proprio sistema informativo. Il cliente deve assicurarsi che i servizi messi a disposizione da Shellrent S.r.l., le opzioni selezionate e i sistemi aggiuntivi da lui implementati, lo mettano in condizione di raggiungere i propri obiettivi.

Impegni assunti da Shellrent S.r.l. in qualità di hosting provider

La continuità operativa delle infrastrutture (dispositivi, applicazioni e processi operativi) è garantita da diversi meccanismi:

  • La continuità del datacenter
  • La gestione dei server e dei sistemi sotto la responsabilità diretta di Shellrent S.r.l.
  • Il supporto tecnico del servizio
  • La ridondanza dei dispositivi e dei server utilizzati per l’amministrazione dei sistemi

Parallelamente, altri meccanismi come il backup delle configurazioni e dei device di rete, garantiscono il ripristino in caso di incidente.

In base al servizio, Shellrent S.r.l. metterà a disposizione del cliente funzionalità di backup e ripristino che potrebbero essere sia incluse nell’offerta di base sia opzioni a pagamento.

11. Gestione degli accessi fisici da parte di terzi

Raccomandazioni destinate al cliente responsabile del trattamento dei dati

Shellrent S.r.l. non interviene mai presso le strutture dei propri clienti, in quanto sono loro i responsabili della sicurezza dei propri locali.

Impegni assunti da Shellrent S.r.l. in qualità di hosting provider

La circolazione di visitatori e fornitori occasionali è regolamentata

  • Ogni visita deve essere dichiarata con anticipo
  • I visitatori sono sotto la responsabilità di un dipendente e sono sempre accompagnati
12. Sensibilizzazione e formazione del personale

Impegni assunti da Shellrent S.r.l. in qualità di hosting provider

Lo staff di Shellrent S.r.l. è a conoscenza delle regole di sicurezza e di conformità del trattamento dei dati personali:

  • Vengono organizzate sessioni di formazione su questi temi, sulla realizzazione degli audit e sui servizi tecnici per i team interessati
  • Sulla realizzazione degli audit e sui servizi tecnici per i team interessati
  • Viene organizzata anche una sensibilizzazione sulla sicurezza del sistema informativo durante l’integrazione dei nuovi dipendenti
  • Vengono inviate regolarmente al personale interessato delle comunicazioni riguardo la sicurezza
13. Gestione degli accessi logici al sistema informativo di Shellrent S.r.l.

Impegni assunti da Shellrent S.r.l. in qualità di hosting provider

Shellrent S.r.l. applica una politica di gestione degli accessi logici per i dipendenti:

  • Le autorizzazioni vengono assegnate e monitorate dai manager, secondo il principio del privilegio minimo e dell’acquisizione graduale della fiducia
  • Per quanto possibile, tutte le autorizzazioni si basano sui ruoli e non sui diritti unitari
  • La gestione dei diritti di accesso e delle autorizzazioni assegnate a un utente o a un sistema si basa su una procedura di registrazione, modifica e cancellazione
  • Tutti i dipendenti utilizzano degli account utente nominativi
  • Le sessioni di accesso hanno sempre una scadenza adeguata a ciascuna applicazione
  • Se l’utente dimentica la password, solo il manager del collaboratore e il responsabile della sicurezza sono autorizzati a ripristinarla
  • L’utilizzo di account predefiniti, generici e anonimi è ove possibile vietato
  • È stata implementata una politica di password rigorosa
  • La dimensione minima della password è 8 caratteri alfanumerici
  • Il salvataggio delle password in file non crittografati, su carta o sui browser web è proibito
  • L’accesso da remoto al sistema informativo di Shellrent S.r.l. avviene tramite VPN e richiede una password conosciuta solo dall’utente
14. Gestione degli accessi amministrativi alle piattaforme di produzione

Impegni assunti da Shellrent S.r.l. in qualità di hosting provider

Shellrent S.r.l. applica una politica per la gestione dei diritti di accesso amministravi delle piattaforme:

  • La connessione al sistema di destinazione viene eseguita con un account di servizio condiviso o con un account personale; l’utilizzo di account predefiniti su sistemi è ove possibile vietato
  • Le autorizzazioni vengono assegnate e monitorate dai manager, secondo il principio del privilegio minimo e dell’acquisizione graduale della fiducia
  • Viene effettuata una revisione regolare dei diritti e degli accessi in collaborazione con i servizi competenti
15. Controllo dell’accesso al pannello Manager

Raccomandazioni destinate al cliente responsabile del trattamento dei dati

Il cliente è responsabile della gestione e della sicurezza dei propri mezzi di autenticazione.

Impegni assunti da Shellrent S.r.l. in qualità di hosting provider

La gestione dei servizi Shellrent S.r.l. da parte del cliente viene effettuata attraverso il pannello Manager. L’accesso viene effettuato tramite un account nominativo e una password:

  • La password viene scelta dal cliente e deve rispettare i criteri di complessità imposti dall’interfaccia
  • Le password vengono salvati sui server di Shellrent S.r.l. in formato cifrato e sicuro
  • Tutte le attività svolte dal cliente nel pannello manager sono registrate
16. Sicurezza delle postazioni di lavoro e dei dispositivi mobili

Raccomandazioni destinate al cliente responsabile del trattamento dei dati

Il cliente deve garantire la sicurezza delle postazioni di lavoro e dei dispositivi mobili che consentono l’amministrazione del servizio e dei sistemi.

Impegni assunti da Shellrent S.r.l. in qualità di hosting provider

Sono state identificate delle misure per garantire la sicurezza delle postazioni di lavoro per il personale Shellrent S.r.l.:

  • Gestione automatica degli aggiornamenti
  • Installazione e aggiornamento di antivirus, con scansioni regolari
  • Installazione delle sole applicazioni inserite in un catalogo convalidato
  • Crittografia dei dischi rigidi
  • Procedura di trattamento di una postazione di lavoro potenzialmente compromessa
  • Standardizzazione dei dispositivi
  • Procedura di eliminazione delle sessioni e di ripristino delle postazioni di lavoro in caso di licenziamento dei dipendenti
17. Sicurezza della rete

Raccomandazioni destinate al cliente responsabile del trattamento dei dati

Il cliente è l’unico responsabile della crittografia del contenuto da comunicare attraverso la rete Shellrent S.r.l.

Impegni assunti da Shellrent S.r.l. in qualità di hosting provider

Tutti dispositivi sono protetti dalle seguenti misure:

  • Mantenimento di un inventario di gestione delle configurazioni
  • Implementazione di un processo di hardening, con guide che descrivono i parametri da modificare per garantire una configurazione sicura
  • Accessi limitati alle funzioni di amministrazione
  • I log vengono raccolti e centralizzati continuamente da sistemi dedicati
  • L’implementazione delle configurazioni è automatizzata e basata su dei modelli convalidati
18. Gestione della continuità operativa

Impegni assunti da Shellrent S.r.l. in qualità di hosting provider

È stata attuata una politica di backup sui server e sui dispositivi utilizzati da Shellrent S.r.l. per fornire i propri servizi:

  • Tutti i sistemi e i dati necessari alla continuità operativa, alla ricostruzione del sistema informativo o all’analisi successiva agli incidenti vengono memorizzati
  • Le frequenze, i tempi di memorizzazione e i metodi di archiviazione dei backup sono definiti in base alle esigenze di ciascuna risorsa memorizzata; la realizzazione dei backup è soggetta a un monitoraggio e a una gestione degli alert e degli errori
19. Journaling

Raccomandazioni destinate al cliente responsabile del trattamento dei dati

Il cliente è l’unico responsabile della politica di registrazione per i propri sistemi e applicazioni.

Impegni assunti da Shellrent S.r.l. in qualità di hosting provider

Shellrent S.r.l. effettua un backup e archiviazione centralizzati dei registri dei sistemi utilizzati per fornire i propri servizi.

Ecco l’elenco delle principali attività registrate:

  • Log dei server di backup che ospitano i dati dei clienti;
  • Log dei server che gestiscono l’infrastruttura dei clienti;
  • Log dei server per che forniscono il servizio ai clienti;
  • Attività ed eventi eseguiti dal cliente sulla sua infrastruttura tramite il pannello Manager;
  • Log delle macchine degli amministratori;