Come gestiamo gli aspetti inerenti alla Sicurezza

La sicurezza dell’infrastruttura e dei dati

Shellrent ritiene centrale operare una distinzione fra sicurezza dei dati ospitati dal cliente e sicurezza delle infrastrutture che ospitano questi stessi dati.

Sicurezza dei dati ospitati dal cliente: il cliente è l’unico responsabile della sicurezza delle proprie risorse e dei sistemi applicativi implementati per l’utilizzo dei servizi. Shellrent mette a disposizione degli strumenti a supporto del cliente per la protezione dei propri dati.

Sicurezza delle infrastrutture: Shellrent si impegna a garantire la massima sicurezza delle proprie infrastrutture, in particolare implementando una politica di sicurezza dei sistemi informativi e rispondendo alle esigenze di legge.

In tale contesto, Shellrent adotta, per le proprie infrastrutture, le necessarie misure atte a preservare la sicurezza e la riservatezza dei dati personali degli utenti, in particolare per impedire che siano violati, danneggiati, o che soggetti terzi non autorizzati vi accedano.

Regolamentazione e gestione degli aspetti riguardanti la Sicurezza

1. Sistema di gestione della sicurezza

Come impegno, Shellrent ha implementato una policy di sicurezza dei sistemi che descrive l’insieme dei provvedimenti in materia, la quale è repentinamente aggiornata in caso di modifiche. I Servizi di Shellrent sono a loro volta regolati da sistemi di gestione della sicurezza delle informazioni.

2. Conformità e certificazione

Per valutare le prestazioni dei propri sistemi e infrastruttura, Shellrent si impegna affinché siano eseguiti regolarmente audit di sicurezza.

Esistono vari tipi di audit:

  • Audit tecnici: test di intrusione, scansioni di vulnerabilità, revisioni del codice, effettuati da auditor interni
  • Audit delle attività svolte da terzi
  • Audit dei datacenter: effettuati da auditor esterni, la cui natura e frequenza dipendono dal fornitore dei servizi.

Quando si identifica una falla di sicurezza, è identificata la modalità più corretta per risolverla e successivamente pianificato il piano di rientro. Tutte queste sono soggette ad una verifica periodica per riesaminarne l’efficacia.

3. Audit del cliente

Il cliente può eseguire verifiche (test d’intrusione) sui propri Servizi ospitati da Shellrent, così come sui relativi componenti di gestione. Le condizioni per lo svolgimento delle verifiche sono gestite su richiesta.

In quanto Responsabile del trattamento dei dati, Shellrent raccomanda al cliente di eseguire periodicamente queste verifiche.

4. Gestione dei rischi

Il cliente deve assicurarsi che le misure di sicurezza messe in atto da Shellrent siano adeguate agli eventuali rischi relativi all’utilizzo dell’infrastruttura.

Shellrent applica un metodo di gestione del rischio che viene valutato in caso di modifiche importanti, relativo anche al trattamento di dati personali e informazioni sensibili.

Alla fine che ogni verifica sia eseguita correttamente, è messo in atto un piano di trattamento del rischio identificato. Ogni misura è soggetta a ripetuti controlli periodica per riesaminarne l’efficacia.

5. Gestione delle modifiche

Il cliente è invitato ad assicurarsi che le informazioni inserite siano corrette, affinché Shellrent possa comunicare ad esso eventuali modifiche sui Servizi attivi. Dove richiesto, spetta al cliente implementare le azioni necessarie relative alla configurazione dei propri servizi, al fine di adattarsi a queste evoluzioni.

Shellrent applica una procedura formale di gestione delle modifiche:

  • I ruoli e le responsabilità sono definiti in modo chiaro
  • Esistono determinati criteri di classificazione per identificare gli step da seguire quando si eseguono modifiche
  • Vengono gestite le priorità; si effettua un’analisi dei rischi relativi alle modifiche
  • Prima di ogni rilascio, gli aggiornamenti software sono regolarmente oggetto di una code review; si possono eseguire eventuali test di intrusione (se applicabili); la modifica è pianificata e programmata con i clienti (se applicabile)
  • In caso di rischio, è prevista un’operazione di rollback
  • Viene effettuata una revisione a posteriori delle diverse risorse interessate dalla modifica
6. Policy di sviluppo dei sistemi e delle applicazioni

I processi destinati agli sviluppatori Shellrent seguono i principi per un processo di sviluppo sicuro, le misure di “privacy by design”, nonché una code review policy (rilevamento di vulnerabilità, trattamento degli errori, gestione degli accessi e delle entrate, protezione dello storage e delle comunicazioni).

  • Vengono eseguite regolarmente code review
  • Rilettura sistematica e indipendente dal codice prima del rilascio;
  • Verifica delle nuove funzionalità prima del rilascio eseguendo test nell’ambiente di convalida (se applicabile)
  • Separazione dei ruoli e delle responsabilità
7. Monitoraggio dei servizi e delle infrastrutture

Tutti i servizi offerti da Shellrent sono monitorati da un’apposita infrastruttura, con i seguenti obiettivi:

  • Individuare gli incidenti di produzione e di sicurezza
  • Monitorare le funzioni critiche attraverso l’inoltro di alert al sistema di supervisione
  • Avvisare i responsabili e avviare le procedure necessarie
  • Assicurare la continuità del servizio nello svolgimento delle operazioni automatizzate
  • Garantire l’integrità delle risorse monitorate
8. Gestione degli incidenti

Il cliente è esortato ad assicurarsi che le informazioni inserite siano corrette, in modo che Shellrent possa avvisarlo qualora si manifestassero incidenti; inoltre, è tenuto ad implementare processi di gestione degli stessi, interessanti il proprio sistema informativo, includendo Shellrent come potenziale fonte di allarme.

Shellrent prevede un processo di gestione degli incidenti atto a permettere la previsione, rilevazione e risoluzione di questo tipo di eventi, nelle infrastrutture di gestione del Servizio e nello stesso.

Questo processo include:

  • Il trattamento degli eventi di sicurezza
  • La comunicazione con il cliente
9. Gestione delle vulnerabilità

Il cliente deve necessariamente assicurarsi che le informazioni inserite siano corrette, in modo che Shellrent possa avvisarlo in caso di vulnerabilità rilevate nel proprio sistema informativo.

Shellrent, in qualità di hosting provider, si impegna, attraverso il suo team tecnico, a garantire un controllo tecnologico sulle nuove vulnerabilità, identificate tramite:

  • Siti d’informazione pubblica
  • Alert dei costruttori e degli editori delle soluzioni messe in atto
  • Le osservazioni segnalate dai team operativi, da terzi o dai clienti
  • Scansioni di vulnerabilità interne ed esterne eseguite regolarmente
  • Audit tecnici, nonché code and configuration review

Alla rilevazione di una vulnerabilità, i team dedicati eseguono un’analisi per determinare l’impatto sui sistemi e i potenziali scenari operativi. Vengono immediatamente implementate delle azioni per risolvere talivulnerabilità e, se necessario, viene definito un piano correttivo.

Tutte le misure sono soggette a una revisione periodica per riesaminarne l’efficacia.

10. Gestione della continuità operativa

Il cliente è responsabile della continuità del proprio sistema informativo ed è necessario che si assicuri che i servizi messi a disposizione da Shellrent, le opzioni selezionate e i sistemi aggiuntivi da esso implementati, lo mettano in condizione di raggiungere i propri obiettivi.

D’altro canto, Shellrent, in qualità di hosting provider, garantisce la continuità operativa delle infrastrutture (dispositivi, applicazioni e processi operativi), adottando i seguenti meccanismi:

  • La continuità del datacenter
  • La gestione dei server e dei sistemi sotto responsabilità diretta
  • Il supporto tecnico del servizio
  • La ridondanza dei dispositivi e dei server utilizzati per l’amministrazione dei sistemi

Parallelamente, altri meccanismi, come il backup delle configurazioni e dei device di rete, garantiscono il ripristino in caso di incidente. In base al servizio, Shellrent metterà a disposizione del cliente funzionalità di backup e ripristino che potrebbero essere sia incluse nell’offerta di base, sia opzioni a pagamento.

11. Gestione degli accessi fisici da parte di terzi

Shellrent, in qualità di Responsabile del trattamento dei dati, non interviene mai presso le strutture dei propri clienti, in quanto sono essi stessi i responsabili della sicurezza dei propri locali.

Shellrent, regolamenta la circolazione di visitatori e fornitori occasionali:

  • Ogni visita deve essere dichiarata con anticipo
  • I visitatori sono sotto la responsabilità di un dipendente e sono sempre accompagnati
12. Sensibilizzazione e formazione del personale

Lo staff di Shellrent, in quanto hosting provider, è a conoscenza delle regole di sicurezza e di conformità del trattamento dei dati personali:

  • Sono organizzate sessioni di formazione su questi temi, sulla realizzazione degli audit e sui servizi tecnici per i team interessati
  • Si effettua una sensibilizzazione sulla sicurezza del sistema informativo durante l’integrazione di nuovi dipendenti
  • Il personale è costantemente aggiornato attraverso comunicazioni riguardanti la sicurezza
13. Gestione degli accessi logici al sistema informativo di Shellrent S.r.l.

Shellrent applica una politica di gestione degli accessi logici per i dipendenti:

  • Le autorizzazioni sono assegnate e monitorate dai manager, secondo il principio del privilegio minimo e dell’acquisizione graduale della fiducia
  • Per quanto possibile, tutte le autorizzazioni si basano sui ruoli e non sui diritti unitari
  • La gestione dei diritti d’accesso e d’autorizzazione assegnati ad un utente o ad un sistema si basano su una procedura di registrazione, modifica e cancellazione
  • Tutti i dipendenti utilizzano degli account utente nominativi
  • Le sessioni di accesso hanno sempre una scadenza adeguata a ciascuna applicazione
  • Se l’utente dimentica la password, solo il Manager del collaboratore e il Responsabile della sicurezza sono autorizzati a ripristinarla
  • L’utilizzo di account predefiniti, generici e anonimi è ove possibile vietato
  • È stata implementata una politica di password rigorosa: la dimensione minima è di 8 caratteri alfanumerici; il salvataggio delle password in file non crittografati, su carta o sui browser web è proibito

L’accesso da remoto al sistema informativo di Shellrent avviene tramite VPN e richiede una password conosciuta solo dall’utente

14. Gestione degli accessi amministrativi alle piattaforme di produzione

Shellrent, come hosting provider, applica una politica per la gestione dei diritti d’accesso amministrativi delle piattaforme:

  • La connessione al sistema di destinazione è eseguita con un account di servizio condiviso o con un account personale; l’utilizzo di account predefiniti su sistemi è, dove possibile, vietato
  • Le autorizzazioni vengono assegnate e monitorate dai manager, secondo il principio del privilegio minimo e dell’acquisizione graduale della fiducia
  • Viene effettuata una revisione regolare dei diritti e degli accessi in collaborazione con i servizi competenti
15. Controllo dell’accesso al pannello Manager

Il cliente è responsabile della gestione e della sicurezza dei propri mezzi di autenticazione.

La gestione dei servizi Shellrent da parte del cliente viene effettuata attraverso il pannello Manager, accessibile esclusivamente tramite un account nominativo e protetto da username e password:

  • La password è scelta dal cliente e deve rispettare i criteri di complessità imposti dall’interfaccia
  • Le password sono salvate sui server di Shellrent in formato cifrato e sicuro
  • Tutte le attività svolte dal cliente nel pannello manager sono registrate
16. Sicurezza delle postazioni di lavoro e dei dispositivi mobili

Il cliente deve garantire la sicurezza delle postazioni di lavoro e dei dispositivi mobili che consentono l’amministrazione del Servizio e dei sistemi.

Sono state identificate delle misure per garantire la sicurezza delle postazioni di lavoro per il personale Shellrent:

  • Gestione automatica degli aggiornamenti
  • Installazione e aggiornamento di antivirus, con scansioni regolari
  • Installazione delle sole applicazioni inserite in un catalogo convalidato
  • Crittografia dei dischi rigidi
  • Procedura di trattamento di una postazione di lavoro potenzialmente compromessa
  • Standardizzazione dei dispositivi
  • Procedura di eliminazione delle sessioni e di ripristino delle postazioni di lavoro dei dipendenti in caso di cessato rapporto
17. Sicurezza della rete

Il cliente è l’unico responsabile della crittografia del contenuto da comunicare attraverso la rete Shellrent.

Shellrent, protegge tutti dispositivi attraverso le seguenti misure:

  • Mantenimento di un inventario di gestione delle configurazioni
  • Implementazione di un processo di hardening, con guide che descrivono i parametri da modificare per garantire una configurazione sicura
  • Accessi limitati alle funzioni di amministrazione
  • I log sono raccolti e centralizzati continuamente da sistemi dedicati
  • L’implementazione delle configurazioni è automatizzata e basata su dei modelli convalidati
18. Gestione della continuità operativa

È stata attuata una politica di backup sui server e sui dispositivi utilizzati da Shellrent per fornire i propri servizi:

  • Tutti i sistemi e i dati necessari alla continuità operativa, alla ricostruzione del sistema informativo, o all’analisi successiva agli incidenti, sono memorizzati
  • Le frequenze, i tempi di memorizzazione e i metodi di archiviazione dei backup sono definiti in base alle esigenze di ciascuna risorsa memorizzata; la realizzazione dei backup è soggetta a un monitoraggio e a una gestione degli alert e degli errori
19. Journaling

Il cliente è l’unico responsabile della politica di registrazione per i propri sistemi e applicazioni.

Shellrent effettua un backup e archiviazione centralizzati dei registri dei sistemi utilizzati per fornire i propri servizi. Ecco l’elenco delle principali attività registrate:

  • Log dei server di backup che ospitano i dati dei clienti
  • Log dei server che gestiscono l’infrastruttura dei clienti
  • Log dei server per che forniscono il servizio ai clienti
  • Attività ed eventi eseguiti dal cliente sulla sua infrastruttura tramite il pannello Manager
  • Log delle macchine degli amministratori

Quanto descritto nella presente pagina è puramente a scopo informativo, pertanto non ha alcun valore contrattuale. Per indicazioni in tal merito, vai alla pagina Contrattualistica

Altri dubbi? Non sai da dove partire? Contattaci

Abbiamo tutte le risorse per aiutarti nella scelta giusta.