External Supplier Control Requirements
Transcript
External Supplier Control Requirements
Requisiti di controllo dei fornitori esterni Sicurezza cibernetica Per fornitori classificati ad Alto Rischio Cibernetico Versione 6.0 - luglio 2015 Requisito di sicurezza cibernetica Descrizione Perché è importante? 1 Protezione delle attività e configurazione del sistema I Dati Barclays e le attività o i sistemi che li memorizzano o li elaborano devono essere protetti contro l'alterazione fisica, la perdita, i danni o la confisca, oltre che contro la configurazione o le modifiche non appropriate. La mancata implementazione di questo principio potrebbe compromettere i Dati Barclays protetti in modo non idoneo; tale condizione può dare luogo a provvedimenti normativi o generare danni alla reputazione. Anche i servizi possono risultare vulnerabili ai problemi di sicurezza che potrebbero compromettere i Dati Barclays, causare perdite di servizio o consentire altre attività dannose. 2 Gestione delle modifiche e degli aggiornamenti I Dati Barclays e i sistemi utilizzati per memorizzarli o elaborarli devono essere protetti contro le modifiche non appropriate che possono comprometterne la disponibilità o l'integrità. La mancata implementazione di questo principio può dare luogo alla vulnerabilità dei servizi rispetto ai problemi di sicurezza che potrebbero compromettere i dati dei clienti, causare perdite di servizio o consentire altre attività dannose. 3 Clouding / Internet Computing I Dati Barclays memorizzati in clouding o piattaforme Internet ad accesso pubblico devono essere protetti in modo adeguato tramite controlli appropriati per prevenire la perdita di dati. La mancata implementazione di questo principio potrebbe compromettere i Dati Barclays protetti in modo non idoneo; tale condizione può dare luogo a provvedimenti normativi o generare danni alla reputazione. 4 Gestione dei rischi di sicurezza cibernetica I Dati Barclays e le infrastrutture fondamentali devono essere adeguatamente protetti tramite appropriati controlli eseguiti da persone, procedure e tecnologie al fine di prevenire l'interruzione del servizio o la perdita di dati in conseguenza di attacchi cibernetici. La mancata implementazione di questo principio potrebbe comportare la divulgazione dei dati di Barclays e/o potrebbe verificarsi una perdita del servizio che può dare luogo a provvedimenti legali o normativi o generare danni alla reputazione. 5 Protezione contro i malware È necessario attivare controlli e strumenti anti-malware per ottenere un'adeguata protezione contro i software maligni come virus e altri tipi di malware. La mancata implementazione di questo principio potrebbe comportare la divulgazione dei dati di Barclays che può dare luogo a provvedimenti legali o normativi o generare danni alla reputazione. 6 Sicurezza della rete Tutte le reti esterne e interne che costituiscono parte del servizio devono essere identificate e devono essere protette adeguatamente contro gli attacchi informatici. La mancata implementazione di questo principio potrebbe comportare l'attacco delle reti esterne o interne da parte di hacker al fine di ottenere l'accesso ai servizi o ai dati contenuti. Versione 6.0 - luglio 2015 Requisito di sicurezza cibernetica Descrizione Perché è importante? 7 Sviluppo sicuro I servizi e i sistemi che comprendono applicazioni mobili devono essere progettati e sviluppati al fine di ridurre e proteggere contro le vulnerabilità e le minacce alla rispettiva sicurezza. La mancata implementazione di questo principio può dare luogo alla vulnerabilità dei servizi rispetto ai problemi di sicurezza che potrebbero compromettere i dati dei clienti, causare perdite di servizio o consentire altre attività dannose. 8 Valutazione della sicurezza I sistemi e i servizi devono essere controllati rigorosamente e in modo indipendente rispetto alle vulnerabilità. La mancata implementazione di questo principio potrebbe comportare la divulgazione dei dati di Barclays e/o potrebbe verificarsi una perdita del servizio che può dare luogo a provvedimenti legali o normativi o generare danni alla reputazione. 9 Monitoraggio dei sistemi È necessario eseguire il monitoraggio, la verifica e la registrazione dei sistemi per rilevare eventuali attività improprie o dannose. La mancata implementazione di questo principio potrebbe comportare l'impossibilità da parte dei fornitori di rilevare e rispondere all'uso improprio o dannoso dei loro servizi o dei dati forniti entro periodi di tempo ragionevoli. 10 Spazio dedicato alla banca Per i servizi forniti che richiedono uno Spazio Bancario Dedicato (Bank Dedicated Space - BDS) ufficiale, devono essere attivati requisiti fisici e tecnici BDS specifici. (L'Allegato 7 del contratto conferma se BDS è un requisito per il servizio). La mancata implementazione di questo principio impedisce di attivare gli adeguati controlli fisici e tecnici provocando ritardi o interruzione dell'erogazione del servizio o Violazioni della Sicurezza Cibernetica. 11 Crittografia I Dati Riservati e di Barclays devono essere criptati. La mancata implementazione di questo principio impedisce di attivare gli adeguati controlli fisici e tecnici provocando ritardi o interruzione dell'erogazione del servizio o Violazioni della Sicurezza Cibernetica. Versione 6.0 - luglio 2015 1 Protezione delle attività - Requisiti minimi di controllo Area di controllo Titolo di controllo Descrizione del controllo Gestione delle attività IT Inventario Deve essere eseguito l'inventario di tutte le attività IT appropriate e almeno un test all'anno per confermare che tale inventario sia aggiornato, completo e preciso. Gestione delle attività IT Protezione fisica durante il trasporto Tutto l'hardware IT deve essere protetto fisicamente in qualsiasi momento durante il trasporto Gestione delle attività IT Dispositivi di backup Tutti i dispositivi di backup e di archiviazione contenenti i dati Barclays utilizzati nell'erogazione dei Servizi devono essere criptati e custoditi in aree di stoccaggio sicure e controllate dal punto di vista ambientale, di proprietà, gestite o prese in locazione dal Fornitore e in linea con la Classificazione delle Informazioni e il Programma di Gestione. Gestione delle attività IT Sicurezza dei dati / Smaltimento dei dispositivi I Dati / le Informazioni Riservate di Barclays stampati/scritti su carta devono essere distrutti in modo sicuro non appena non sono più necessari. I dati presenti sui dispositivi che non sono più necessari devono essere cancellati in modo sicuro in modo che le informazioni non possano essere recuperate. Gestione delle attività IT Dispositivi mobili L'uso di dispositivi mobili deve essere configurato in qualsiasi momento in modo sicuro secondo le politiche e le procedure per l'uso aziendale dei dispositivi mobili al fine di prevenire la Perdita di Dati e l'uso improprio. Versione 6.0 - luglio 2015 2 Gestione delle modifiche e degli aggiornamenti - Requisiti minimi di controllo Area di controllo Titolo di controllo Descrizione del controllo Gestione delle modifiche e degli aggiornamenti Gestione delle modifiche Tutte le modifiche IT fondamentali devono essere registrate, verificate e approvate prima dell'implementazione tramite una procedura di gestione delle modifiche solida e approvata al fine di prevenire qualsiasi interruzione del servizio o violazione della sicurezza Gestione delle modifiche e degli aggiornamenti Risoluzione delle emergenze Il Fornitore garantisce che saranno implementate le Risoluzioni delle emergenze se disponibili e approvate, a meno che tale condizione non comporti maggiori rischi operativi. I Sistemi del Fornitore che per qualsiasi motivo non possono essere aggiornati devono contenere le misure di sicurezza idonee a proteggere completamente il sistema vulnerabile. Tutte le modifiche devono essere eseguite conformemente alla procedura di gestione delle modifiche del Fornitore. Gestione delle modifiche e degli aggiornamenti Gestione degli aggiornamenti Versione 6.0 - luglio 2015 • Il Fornitore si impegna a sviluppare e implementare una strategia di gestione degli aggiornamenti che sia supportata da controlli e da procedure di gestione degli aggiornamenti nonché da documentazione operativa. Il Fornitore si impegna a sviluppare e implementare una strategia di gestione degli aggiornamenti che sia supportata da controlli e da procedure di gestione degli aggiornamenti nonché da documentazione operativa. • Non appena saranno disponibili, devono essere installati in modo tempestivo gli aggiornamenti della Sicurezza IT e della vulnerabilità della sicurezza attraverso una procedura approvata al fine di prevenire qualsiasi violazione della sicurezza. I Sistemi del Fornitore che per qualsiasi motivo non possono essere aggiornati devono contenere le misure di sicurezza idonee a proteggere il sistema vulnerabile. Tutte le modifiche devono essere eseguite conformemente alla procedura di gestione delle modifiche approvata. • Le applicazioni open source sono verificate per rilevare eventuali vulnerabilità salienti. 3 Cloud e Internet Computing - Requisiti minimi di controllo Area di controllo Titolo di controllo Cloud Computing Cloud Computing Cloud Computing Cloud Computing Versione 6.0 - luglio 2015 Descrizione del controllo L'uso del cloud computing impiegato come parte dei servizi resi a Barclays deve essere approvato da Barclays e i controlli finalizzati alla protezione dei dati e dei servizi devono essere proporzionati al profilo di rischio per prevenire la perdita di dati e le violazioni cibernetiche. • Le attività devono essere svolte in Paesi / località approvati, comprese le località in cui si esegue il disaster recovery. • Devono essere raccolte informazioni sulle attività svolte compresi i sistemi virtuali usati per fornire i servizi in clouding. Le attività devono essere protette con requisiti DLP, Anti-Virus, criptazioni HIDS, NIDS, HD e controlli crittografici. Per tutti i dati classificati e quelli inventariati deve assere stipulato un accordo preventivo ufficiale per il trasferimento dei dati in ambienti di clouding, per l'archiviazione in dispositivi portatili e così via. • I dispositivi utilizzati per il backup devono essere criptati. Le chiavi di criptazione devono essere custodite in un luogo sicuro il cui accesso sia riservato. • Tutti i controlli relativi ai servizi in clouding devono essere discussi e concordati con Barclays. 4 Gestione del rischio di sicurezza cibernetica - Requisiti minimi di controllo Area di controllo Gestione dei rischi di sicurezza cibernetica Titolo di controllo Valutazione dei rischi cibernetici Descrizione del controllo Il profilo di rischio per la sicurezza cibernetica riferito alle operazioni organizzative, alle attività e alle singole persone deve essere compreso attraverso • La vulnerabilità delle attività di valutazione • L'identificazione delle minacce interne ed esterne • La valutazione dei possibili impatti sull'azienda I rischi e le minacce devono essere individuati, deve essere assegna loro una priorità e si deve agire di conseguenza per ridurne l'impatto. Il Fornitore si impegna ad eseguire regolarmente la Valutazione dei Rischi relativa alla sicurezza delle informazioni (in qualsiasi caso almeno ogni 12 mesi) nonché a implementare i controlli e a prendere i provvedimenti necessari a ridurre i rischi individuati. Qualora sia identificato un rischio concreto che potrebbe influenzare negativamente la reputazione di Barclays o i servizi erogati, il fornitore deve darne comunicazione a Barclays entro 24 ore. Gestione dei rischi di sicurezza cibernetica Gestione dei rischi di sicurezza cibernetica Versione 6.0 - luglio 2015 Governance della sicurezza cibernetica Ruoli e responsabilità È necessario mettere in atto un'adeguata governance della sicurezza cibernetica accertandosi che: • Sia attiva una specifica funzione per la sicurezza informatica / cibernetica il cui compito sia quello di integrare regolarmente la sicurezza delle informazioni nelle attività dei Fornitori • Le politiche, le procedure e i processi finalizzati alla gestione e al monitoraggio dei requisiti normativi, legali, per il rischio cibernetico e operativi siano compresi, documentati, attivi e approvati dalla Direzione su base annuale. • Il Fornitore si impegna a garantire che lo stato di sicurezza delle informazioni presenti negli ambienti IT critici (compresi i Sistemi del Fornitore), nelle applicazioni, nelle installazioni dei computer, nelle reti e nelle attività di sviluppo dei sistemi che supportano i Servizi sia soggetto ad accurate e regolari verifiche/revisioni di sicurezza svolte da una funzione indipendente all'interno dell'organizzazione del Fornitore. Qualora sia identificata una vulnerabilità concreta che potrebbe influenzare negativamente la reputazione di Barclays o i servizi erogati, il fornitore deve darne comunicazione a Barclays entro 24 ore. • Il Fornitore deve valutare, controllare e documentare la propria conformità con il presente Programma con cadenza regolare e, in ogni caso, almeno una volta all'anno durante il periodo di validità del Programma. Come misura minima, il Fornitore deve compilare tempestivamente e accuratamente il questionario fornito da Barclays e restituirlo entro 20 giorni lavorativi. • Senza pregiudizi rispetto agli altri diritti e rimedi di Barclays, quest'ultima può valutare il rischio di qualsiasi mancata conformità segnalata dal Fornitore e comunicare un periodo di tempo entro il quale il Fornitore si impegna a realizzare qualsiasi rimedio ragionevolmente richiesto. Gestione dei rischi di sicurezza cibernetica Risposta agli incidenti Gli incidenti di sicurezza e le violazioni dei dati devono ottenere risposta e devono essere segnalati a Barclays immediatamente, così come gli sviluppi delle azioni di rimedio. Deve essere istituita una procedura di risposta agli incidenti per la tempestiva gestione e la segnalazioni di intrusioni che coinvolgono i dati Barclays e/o i servizi utilizzati da Barclays. La procedura deve prevedere anche un approccio adeguato alle indagini di natura legale. Gestione dei rischi di sicurezza cibernetica Corso di formazione sulla sensibilità Il materiale idoneo alla formazione riguarda anche la sensibilità sulla sicurezza cibernetica e garantisce che tutti i dipendenti interessati siano formati adeguatamente per portare a termine i rispettivi ruoli e responsabilità Versione 6.0 - luglio 2015 5 Protezione contro i malware - Requisiti minimi di controllo Area di controllo Protezione contro i malware Versione 6.0 - luglio 2015 Titolo di controllo Protezione contro i malware Descrizione del controllo A tutte le attività IT svolte per fornire il servizio deve essere sempre applicata la protezione contro i malware più aggiornata al fine di prevenire l'interruzione del servizio o la violazione della sicurezza • Il Fornitore si impegna ad adottare e mantenere aggiornata una protezione contro i Codici Maligni / Malware conformemente alla Buona Prassi del Settore. • Il Fornitore si impegna a proteggere contro il trasferimento dei Codici Maligni i sistemi di Barclays, i clienti di Barclays e le altre Terze Parti che utilizzano i sistemi di Barclays o i sistemi del Fornitore impiegando gli attuali metodi standard in uso nel settore. 6 Sicurezza della rete - Requisiti minimi di controllo Area di controllo Sicurezza della rete Sicurezza della rete Titolo di controllo Collegamenti esterni Accesso wireless Descrizione del controllo • Il Fornitore garantisce che la propria rete è progettata e implementata in modo tale da poter fare fronte ai livelli di traffico attuali e previsti e che è protetta con l'impiego di tutti i controlli di sicurezza strutturali disponibili. • Il Fornitore garantisce che la rete utilizzata per la fornitura dei Servizi è supportata da diagrammi precisi e aggiornati che comprendono tutti i componenti di sistema e le interfacce ad altri sistemi, nonché da requisiti e procedure di controllo documentati. • Tutti i collegamenti esterni alla rete devono essere documentati, devono passare attraverso un firewall e devono essere verificati e approvati prima di stabilire la connessione al fine di prevenire violazioni della sicurezza dei dati. Tutti gli accessi wireless alla rete devono essere soggetti a protocolli di autorizzazione, autenticazione, segregazione e criptazione come ad es. WPA2 per prevenire le violazioni della sicurezza. Qualsiasi connessione wireless è consentita solo dalle località del fornitore approvate dai Firewall di sicurezza della rete di Barclays • Il Fornitore garantisce che tutte le reti non possedute o gestite dal Fornitore transitano attraverso un firewall prima di ottenere l'accesso alla rete del Fornitore. • I firewall devono garantire la sicurezza della connessione tra i sistemi interni e quelli esterni e devono essere configurati in modo tale da consentire il transito solo al traffico richiesto. Le configurazioni dei firewall devono essere regolarmente verificate per eliminare le regole superflue o inadeguate e per rendere disponibili al bisogno i blocchi applicabili. Sicurezza della rete Individuazione/prevenzione delle intrusioni Sulla rete devono essere impiegati strumenti e sistemi di individuazione e prevenzione delle intrusioni a tutti i livelli e i dati in uscita devono essere monitorati di conseguenza per rilevare eventuali violazioni della sicurezza cibernetica, tra cui le Minacce Avanzate Permanenti (Advanced Persistent Threats - APT). Sicurezza della rete Rifiuto di servizio diffuso (Distributed Denial of Service - DDoS) È necessario implementare nella rete e nei principali sistemi un metodo di difesa per l'accesso avanzato al fine di proteggere in qualsiasi momento dall'interruzione dei servizi a causa di attacchi cibernetici. Sono compresi gli attacchi Rifiuto di servizio (Denial of Service - DoS) e Rifiuto di servizio diffuso (Distributed Denial of Services - DDoS). Versione 6.0 - luglio 2015 Versione 6.0 - luglio 2015 7 Sviluppo sicuro - Requisiti minimi di controllo Area di controllo Titolo di controllo Descrizione del controllo Sviluppo sicuro Metodologia per lo Sviluppo sicuro In qualsiasi momento tutti gli sviluppi devono essere eseguiti in linea con la Metodologia per lo Sviluppo dei Sistemi approvata e documentata. Per prevenire le vulnerabilità della sicurezza e le interruzioni del servizio devono essere adottati e mantenuti gli standard di codifica della sicurezza in linea con la Buona Prassi del Settore. Codice di difesa contro eventuali vulnerabilità conosciute. Sviluppo sicuro Segregazione ambientale In qualsiasi momento tutti gli sviluppi / le costruzioni di sistemi devono essere eseguiti in un ambiente non destinato alla produzione e deve essere applicata la segregazione delle mansioni al fine di prevenire la perdita di dati e la modifica / cancellazione accidentale dei dati. Non devono essere eseguiti test sui dati attuali senza il consenso preventivo di Barclays. Sviluppo sicuro Dati attuali in ambienti non produttivi Il Fornitore garantisce che i dati attuali (compresi i Dati Personali) non saranno utilizzati in ambienti non produttivi senza il consenso scritto preventivo di Barclays e un accordo sui controlli da implementare per proteggere tali dati attuali. Laddove i dati attuali sono utilizzati in ambienti non produttivi il Fornitore ne garantisce la sicurezza nella stessa misura adottata negli ambienti produttivi, dopo l'approvazione del titolare dei Dati Barclays. Sviluppo sicuro Prassi per la codifica sicura Il Fornitore si impegna, per sè stesso e per gli eventuali subappaltatori, ad adottare una prassi per lo sviluppo sicuro che preveda i requisiti di definizione e verifica di sicurezza. Tale prassi deve essere completamente documentata. Sviluppo sicuro Segregazione delle mansioni Il Fornitore garantisce che, per lo sviluppo del sistema, è attiva la segregazione delle mansioni e garantisce che gli sviluppatori del sistema non hanno accesso ai dati attuali, salvo in caso di emergenza in cui tale accesso è protetto con controlli adeguati come le procedure break-glass. In queste circostanze, tali attività sono registrate e sono soggette a verifica indipendente. Sviluppo sicuro Garanzia di qualità La funzione Garanzia di qualità deve verificare che tutte le principali attività di sicurezza siano state inserite nelle procedure di sviluppo dei sistemi per prevenire interruzioni di servizio e vulnerabilità della sicurezza. Versione 6.0 - luglio 2015 8 Valutazione della sicurezza - Requisiti minimi di controllo Area di controllo Valutazione della sicurezza Titolo di controllo Test di penetrazione Descrizione del controllo • • • • Il Fornitore deve eseguire una valutazione della sicurezza IT indipendente / test di penetrazione dell'infrastruttura IT compresi i siti di Disaster Recovery. Questa procedura deve essere ripetuta almeno una volta all'anno per individuare le vulnerabilità che potrebbero essere sfruttate per violare la privacy dei Dati Barclays tramite attacchi cibernetici. Tutte le vulnerabilità devono ottenere la massima priorità e devono essere tracciate fino alla risoluzione. Il test deve essere svolto in linea con la Buona Prassi del settore e da un Rivenditore di sistemi di Valutazione della sicurezza autorizzato. Il Fornitore si impegna a rendere noto a Barclays e a concordare con quest'ultima l'ambito di valutazione della sicurezza nonché a verificare le attività, in particolare data/ora di inizio e termine, per consentire le azioni svolte dai sistemi di monitoraggio Barclays. Il Fornitore si impegna inoltre a prevenire l'interruzione delle attività chiave di Barclays come ad es. i resoconti finanziari di fine anno e così via. Barclays e/o i propri Agenti si riservano il diritto di condurre una Valutazione della Sicurezza dei Sistemi del Fornitore previo preavviso scritto di 20 giorni lavorativi inviato da Barclays al Fornitore. La frequenza, l'ambito e i metodi utilizzati per condurre la Valutazione della Sicurezza saranno comunicati al Fornitore 15 giorni lavorativi prima dell'inizio della Valutazione della Sicurezza. Il Fornitore deve discutere e concordare con Barclays tutte le questioni di cui ha deciso di accettare il rischio. Con Valutazione della sicurezza si intendono i test svolti sui Sistemi del Fornitore al fine di: a) individuare i problemi di progettazione e/o funzionalità nelle applicazioni o nelle infrastrutture; b) sondare i punti deboli delle applicazioni, dei perimetri delle reti o di altri elementi delle infrastrutture nonché i punti deboli delle procedure o delle contromisure tecniche; c) individuare le potenziali vulnerabilità che possono derivare da una scarsa o inadeguata configurazione del sistema e i difetti noti e/o sconosciuti di hardware o software tra cui, a titolo esemplificativo ma non esaustivo, i seguenti esempi di verifica di infrastrutture e applicazioni che possono esporre il Fornitore e Barclays ai rischi derivanti da attività dannose; i. input invalidati o non depurati; ii. controllo degli accessi interrotto; iii. autenticazione e gestione della sessione interrotta; iv. carenze dovute a cross-site scripting (XSS); v. vi. eccesso di caricamento; vii. carenza di contributi; viii. gestione impropria degli errori; ix. memorizzazione non sicura; x. rifiuto di servizio; xi. gestione della configurazione non sicura; Versione 6.0 - luglio 2015 xii. uso corretto di SSL/TLS; xiii. uso corretto della criptazione; e xiv. affidabilità e controllo dell'antivirus. Questa valutazione di solito comprende attività che sono comunemente definite anche test di penetrazione. Con Rivenditore di sistemi di Valutazione della sicurezza si intende un soggetto terzo adeguatamente qualificato a svolgere la Valutazione della Sicurezza. Versione 6.0 - luglio 2015 9 Configurazione dei sistemi - Requisiti minimi di controllo Area di controllo Configurazione del sistema Titolo di controllo Ora del sistema Descrizione del controllo In qualsiasi momento tutti i dispositivi e i sistemi devono avere impostata l'ora in modo corretto e allineato al fine di prevenire errori di sistema e garantire che le attività possano sopportare un'indagine a livello legale. Procedura accettabile per garantire l'allineamento dell'ora e soddisfare il rigore legale. Ad esempio, si raccomanda di sincronizzare il sistema con la media ricavata da 3 o 4 server NTP di livello 2 o con 2 server approvati di livello 1. Configurazione del sistema Accesso remoto Tutti gli accessi remoti al sistema devono essere autorizzati e approvati da Barclays prima di stabilire l'accesso al fine di prevenire violazioni della sicurezza. L'accesso remoto deve avvenire tramite autenticazione a più fattori. L'attività dell'utente deve essere registrata ed è soggetta a verifica. Configurazione del sistema Sicurezza della struttura I sistemi ospiti e i dispositivi di rete che fanno parte dei Sistemi del Fornitore devono essere configurati in modo tale da funzionare conformemente alla Buona Prassi del Settore, alle specifiche applicabili e ai requisiti operativi, al fine di prevenire l'applicazione a tali sistemi e dispositivi di rete di aggiornamenti non autorizzati o inappropriati Versione 6.0 - luglio 2015 10 Monitoraggio dei sistemi - Requisiti minimi di controllo Area di controllo Monitoraggio dei sistemi Titolo di controllo Gestione dei registri Descrizione del controllo Tutti i sistemi principali comprese le applicazioni chiave devono essere impostati in modo tale da registrare gli eventi principali. I registri devono essere centralizzati, adeguatamente protetti e custoditi per almeno 12 mesi. Gli eventi principali devono essere quelli che hanno la possibilità di influenzare la riservatezza, l'integrità e la disponibilità del Servizio reso a Barclays e che possono contribuire all'identificazione o alla ricerca di incidenti materiali e/o violazioni dei diritti di accesso che si verificano in relazione ai Sistemi del Fornitore. Il Fornitore deve informare Barclays in merito a gravi problemi come la perdita di dati del cliente o il grave danneggiamento del sistema. Esistono dei requisiti normativi per segnalare una violazione? Come misura minima il Fornitore deve registrare e monitorare quanto segue: Monitoraggio dei sistemi Versione 6.0 - luglio 2015 Revisione dei registri i. ID utente ii. Tipo di evento iii. Data e ora iv. Indicazione di successo o insuccesso v. Origine dell'evento vi. Identità o nome dei dati interessati, dei componenti del sistema o delle risorse. vii. Attività dell'amministratore I registri devono essere controllati per possibili violazioni della Sicurezza Cibernetica / attività illecite che devono essere in sintonia con NTP. I dati degli eventi devono essere raccolti e correlati da fonti multiple e da sensori. Gli eventi rilevati devono essere analizzati per comprendere gli obiettivi degli attacchi e i metodi utilizzati. L'individuazione degli incidenti materiali e/o delle violazioni dei diritti di accesso garantisce il rispetto della Procedura di Gestione degli Incidenti 11 Diritto di ispezione - Requisiti minimi di controllo Area di controllo Titolo di controllo Diritto di ispezione Diritto di ispezione di Barclays Descrizione del controllo Barclays può, con un preavviso scritto di almeno 10 Giorni Lavorativi, svolgere un controllo di sicurezza di qualsiasi sito utilizzato o utilizzabile dal Fornitore o dai Subappaltatori per sviluppare, testare, migliorare, eseguire la manutenzione o gestire i Sistemi del Fornitore utilizzati per l'erogazione o il ripristino dei Servizi al fine di controllare la conformità del Fornitore con i propri obblighi. Inoltre Barclays può svolgere un'ispezione subito dopo il verificarsi di un Incidente di Sicurezza. Qualsiasi mancata conformità individuata da Barclays durante un'ispezione è valutata da Barclays sotto il profilo del rischio e Barclays si impegna a specificare un periodo di tempo entro il quale il Fornitore deve completare i rimedi richiesti e il Fornitore si impegna a completare i rimedi richiesti entro il periodo indicato. Il Fornitore si impegna a fornire tutta l'assistenza ragionevolmente richiesta da Barclays in relazione alle ispezioni effettuate. Versione 6.0 - luglio 2015 12 Spazio dedicato alla Banca – Requisiti di controllo (NB: Verificare con il responsabile del Sourcing se necessario) Area di controllo Titolo di controllo Descrizione del controllo Spazio dedicato alla banca Separazione fisica L'area fisica occupata deve essere dedicata a Barclays e non condivisa con altre società / altri venditori. Spazio dedicato alla banca Controllo dell'accesso fisico Per l'accesso a BDS devono essere svolti controlli automatici di sicurezza, tra cui: 1) In caso di personale autorizzato; i) Tesserino identificativo con foto sempre visibile ii) Sono utilizzati lettori ottici di card iii) Sono attivi dispositivi anti-pass back 2) Controlli di visitatori/venditori i) Registro firme ii) Tesserino identificativo ad uso temporaneo sempre visibile Spazio dedicato alla banca Controllo dell'accesso fisico È necessario configurare degli allarmi per la segnalazione tramite un sistema di accesso centralizzato con controllo degli accessi verificabile Spazio dedicato alla banca Controllo dell'accesso fisico Il monitoraggio dei controlli che garantiscono l'idoneità degli accessi è concesso all'area BDS e alle altre aree critiche Spazio dedicato alla banca Servizio di pulizia L'accesso all'area BDS è consentito solo agli addetti alle pulizie e al personale di supporto come elettricisti, manutentori AC e così via Spazio dedicato alla Controlli ambientali È necessario implementare controlli utili a proteggere contro i fattori ambientali come incendi, allagamenti, uragani, tornado, epidemie, infestazioni, umidità, cambiamenti repentini di temperatura, polvere e contaminazione di cibo e Versione 6.0 - luglio 2015 banca bevande Spazio dedicato alla banca Gestione dei mezzi di comunicazione L'accesso a tutti i mezzi di comunicazione inerenti o relativi ai servizi erogati a Barclays deve essere rigorosamente controllato e autorizzato Spazio dedicato alla banca Controlli della Camera Pulita (solo Dati di Salute) Sono implementati solo controlli specifici per i requisiti della Camera Pulita come consigliato dai requisiti sulla protezione dei Dati di Salute. Spazio dedicato alla banca Accesso remoto ID&V Ciascun utente che vuole autenticarsi sulla rete Barclays dall'area BDS, può utilizzare esclusivamente un dispositivo di autenticazione a più fattori fornito da Barclays Spazio dedicato alla banca Accesso remoto Token L'installazione di software RSA e token deve essere eseguita dagli amministratori che dispongono dell'approvazione per operare nell'area BDS Spazio dedicato alla banca Accesso remoto Supporto di Out of Office L'accesso remoto all'area BDS non è fornito di default per il supporto di out of office/out of business. Qualsiasi accesso remoto deve essere approvato da Barclays Spazio dedicato alla banca E-mail e Internet La connettività di rete deve essere configurata in modo sicuro per bloccare le e-mail e l'attività Internet sulla rete del venditore Spazio dedicato alla banca Sistemi e desktop È necessario configurare in modo sicuro e secondo la best practice del settore la struttura dei desktop dei computer situati nell'area BDS Spazio dedicato alla banca Sistemi e desktop Gli account con accesso generico, condiviso o privilegiato e le stampe non devono essere consentiti dal sistema ospite di Barclays all'interno dell'area BDS. Qualsiasi applicazione o strumento installato aggiuntivi non deve introdurre punti deboli per la sicurezza Spazio dedicato alla banca Sistemi e desktop I processi e le procedure di riparazione e aggiornamento devono essere attivi per eseguire le riparazioni automatiche e manuali Spazio dedicato alla banca Ambiente di testing e sviluppo Gli sviluppi di software devono essere eseguiti solo per i programmi di proprietà di Barclays all'interno dell'area BDS Versione 6.0 - luglio 2015 Spazio dedicato alla banca Codice sorgente Il codice sorgente deve essere eseguito, memorizzato e inviato a Barclays in modo sicuro. Spazio dedicato alla banca Controlli di rete Trasmissioni Tutte le informazioni devono essere trasmesse in modo sicuro tra l'ambiente BDS e Barclays e la gestione dei dispositivi di rete deve essere eseguita usando protocolli sicuri Spazio dedicato alla banca Controlli di rete Percorso La configurazione del percorso deve garantire solo le connessioni alla rete Barclays e non deve condurre ad altre reti Spazio dedicato alla banca Controlli di rete Wireless Le reti wireless non devono essere utilizzate nel segmento delle reti Barclays per erogare i servizi. Spazio dedicato alla banca Segregazione della rete Devono esserci segmenti di rete separati (cioè elaborazione aziendale / supporto ai sistemi attivi / sviluppo dei sistemi) Spazio dedicato alla banca Memorizzazione dei file La memorizzazione di tutti i file deve essere eseguita nell'ambiente BDS Spazio dedicato alla banca Accesso remoto Token L'installazione di software RSA e token deve essere eseguita dagli amministratori che dispongono dell'approvazione per operare nell'area BDS Spazio dedicato alla banca Accesso remoto Supporto di Out of Office L'accesso remoto all'area BDS non è fornito di default per il supporto di out of office/out of business. Qualsiasi accesso remoto deve essere approvato da Barclays Spazio dedicato alla banca E-mail e Internet La connettività di rete deve essere configurata in modo sicuro per bloccare le e-mail e l'attività Internet sulla rete del venditore Spazio dedicato alla banca Sistemi e desktop È necessario configurare in modo sicuro e secondo la best practice del settore la struttura dei desktop dei computer situati nell'area BDS Spazio dedicato alla banca Sistemi e desktop Gli account con accesso generico, condiviso o privilegiato e le stampe non devono essere consentiti dal sistema ospite di Barclays all'interno dell'area BDS. Qualsiasi applicazione o strumento installato aggiuntivi non deve introdurre punti deboli Versione 6.0 - luglio 2015 per la sicurezza Spazio dedicato alla banca Sistemi e desktop I processi e le procedure di riparazione e aggiornamento devono essere attivi per eseguire le riparazioni automatiche e manuali Spazio dedicato alla banca Ambiente di testing e sviluppo Gli sviluppi di software devono essere eseguiti solo per i programmi di proprietà di Barclays all'interno dell'area BDS Spazio dedicato alla banca Codice sorgente Il codice sorgente deve essere eseguito, memorizzato e inviato a Barclays in modo sicuro. Spazio dedicato alla banca Controlli di rete Trasmissioni Tutte le informazioni devono essere trasmesse in modo sicuro tra l'ambiente BDS e Barclays e la gestione dei dispositivi di rete deve essere eseguita usando protocolli sicuri Spazio dedicato alla banca Controlli di rete Percorso La configurazione del percorso deve garantire solo le connessioni alla rete Barclays e non deve condurre ad altre reti Spazio dedicato alla banca Controlli di rete Wireless Le reti wireless non devono essere utilizzate nel segmento delle reti Barclays per erogare i servizi. Spazio dedicato alla banca Segregazione della rete Devono esserci segmenti di rete separati (cioè elaborazione aziendale / supporto ai sistemi attivi / sviluppo dei sistemi) Spazio dedicato alla banca Memorizzazione dei file La memorizzazione di tutti i file deve essere eseguita nell'ambiente BDS Versione 6.0 - luglio 2015 13 Crittografia - Requisiti minimi di controllo Area di controllo Titolo di controllo Descrizione del controllo Crittografia Gestione delle chiavi crittografiche Il Fornitore garantisce che laddove siano utilizzate chiavi crittografiche segrete o private per proteggere l'identità dei Dati Barclays e/o la reputazione di Barclays, le chiavi saranno gestite in modo sicuro per tutto il loro ciclo vitale, conformemente ai requisiti di controllo documentati e alle procedure che sono in linea con la Buona Prassi de Settore e garantisce che le chiavi saranno protette contro l'accesso non autorizzato o la distruzione. Crittografia Gestione delle chiavi crittografiche Il Fornitore si impegna a mantenere una registrazione di tutti gli usi crittografici, comprese tutte le chiavi, i certificati e i dispositivi crittografici gestiti dal Fornitore e messi a disposizione di Barclays su richiesta. Crittografia Infrastruttura delle chiavi pubbliche Il Fornitore garantisce che qualora siano utilizzate o gestite le infrastrutture di chiavi pubbliche (PKI), queste ultime saranno protette 'consolidando' il sistema o i sistemi operativi sottostanti e limitando l'accesso alle Autorità di Certificazione. Crittografia Infrastruttura delle chiavi pubbliche Il Fornitore garantisce che tutti i certificati digitali che rappresentano Barclays sono ottenuti direttamente dalla funzione centrale per la gestione dei certificati Barclays e che il Fornitore gestisce il ciclo vitale del certificato per garantire la continuità della validità. Crittografia Infrastruttura delle chiavi pubbliche Il Fornitore garantisce che, laddove le chiavi crittografiche private sono utilizzate per proteggere i dati, l'identità e/o la reputazione di Barclays, tutte le chiavi sono protette da moduli per la sicurezza dell'hardware certificati FIPS 140-2 Livello 3 o superiore (HSM). Versione 6.0 - luglio 2015