External Supplier Control Requirements

Transcript

Requisiti di controllo dei
fornitori esterni
Sicurezza cibernetica
Per fornitori classificati ad Alto Rischio Cibernetico
Versione 6.0 - luglio 2015
Requisito di sicurezza
cibernetica
Descrizione
Perché è importante?
1 Protezione delle attività e
configurazione del sistema
I Dati Barclays e le attività o i sistemi che li memorizzano o li
elaborano devono essere protetti contro l'alterazione fisica, la
perdita, i danni o la confisca, oltre che contro la configurazione o le
modifiche non appropriate.
La mancata implementazione di questo principio potrebbe
compromettere i Dati Barclays protetti in modo non idoneo; tale
condizione può dare luogo a provvedimenti normativi o generare
danni alla reputazione. Anche i servizi possono risultare vulnerabili
ai problemi di sicurezza che potrebbero compromettere i Dati
Barclays, causare perdite di servizio o consentire altre attività
dannose.
2 Gestione delle modifiche e
degli aggiornamenti
I Dati Barclays e i sistemi utilizzati per memorizzarli o elaborarli
devono essere protetti contro le modifiche non appropriate che
possono comprometterne la disponibilità o l'integrità.
La mancata implementazione di questo principio può dare luogo alla
vulnerabilità dei servizi rispetto ai problemi di sicurezza che
potrebbero compromettere i dati dei clienti, causare perdite di
servizio o consentire altre attività dannose.
3 Clouding / Internet Computing
I Dati Barclays memorizzati in clouding o piattaforme Internet ad
accesso pubblico devono essere protetti in modo adeguato tramite
controlli appropriati per prevenire la perdita di dati.
compromettere i Dati Barclays protetti in modo non idoneo; tale
condizione può dare luogo a provvedimenti normativi o generare
danni alla reputazione.
4 Gestione dei rischi di sicurezza
cibernetica
I Dati Barclays e le infrastrutture fondamentali devono essere
adeguatamente protetti tramite appropriati controlli eseguiti da
persone, procedure e tecnologie al fine di prevenire l'interruzione del
servizio o la perdita di dati in conseguenza di attacchi cibernetici.
comportare la divulgazione dei dati di Barclays e/o potrebbe
verificarsi una perdita del servizio che può dare luogo a
provvedimenti legali o normativi o generare danni alla reputazione.
5 Protezione contro i malware
È necessario attivare controlli e strumenti anti-malware per ottenere
un'adeguata protezione contro i software maligni come virus e altri
tipi di malware.
comportare la divulgazione dei dati di Barclays che può dare luogo a
6 Sicurezza della rete
Tutte le reti esterne e interne che costituiscono parte del servizio
devono essere identificate e devono essere protette adeguatamente
contro gli attacchi informatici.
comportare l'attacco delle reti esterne o interne da parte di hacker al
fine di ottenere l'accesso ai servizi o ai dati contenuti.
Requisito di sicurezza
cibernetica
Descrizione
Perché è importante?
7 Sviluppo sicuro
I servizi e i sistemi che comprendono applicazioni mobili devono
essere progettati e sviluppati al fine di ridurre e proteggere contro le
vulnerabilità e le minacce alla rispettiva sicurezza.
La mancata implementazione di questo principio può dare luogo alla
vulnerabilità dei servizi rispetto ai problemi di sicurezza che
potrebbero compromettere i dati dei clienti, causare perdite di
servizio o consentire altre attività dannose.
8 Valutazione della sicurezza
I sistemi e i servizi devono essere controllati rigorosamente e in
modo indipendente rispetto alle vulnerabilità.
comportare la divulgazione dei dati di Barclays e/o potrebbe
verificarsi una perdita del servizio che può dare luogo a
9 Monitoraggio dei sistemi
È necessario eseguire il monitoraggio, la verifica e la registrazione dei
sistemi per rilevare eventuali attività improprie o dannose.
comportare l'impossibilità da parte dei fornitori di rilevare e
rispondere all'uso improprio o dannoso dei loro servizi o dei dati
forniti entro periodi di tempo ragionevoli.
10 Spazio dedicato alla banca
Per i servizi forniti che richiedono uno Spazio Bancario Dedicato
(Bank Dedicated Space - BDS) ufficiale, devono essere attivati
requisiti fisici e tecnici BDS specifici. (L'Allegato 7 del contratto
conferma se BDS è un requisito per il servizio).
La mancata implementazione di questo principio impedisce di
attivare gli adeguati controlli fisici e tecnici provocando ritardi o
interruzione dell'erogazione del servizio o Violazioni della Sicurezza
Cibernetica.
11 Crittografia
I Dati Riservati e di Barclays devono essere criptati.
La mancata implementazione di questo principio impedisce di
attivare gli adeguati controlli fisici e tecnici provocando ritardi o
interruzione dell'erogazione del servizio o Violazioni della Sicurezza
Cibernetica.
1 Protezione delle attività - Requisiti minimi di controllo
Area di
controllo
Titolo di
controllo
Descrizione del controllo
Gestione delle
attività IT
Inventario
Deve essere eseguito l'inventario di tutte le attività IT appropriate e almeno un test all'anno per confermare che tale inventario sia
aggiornato, completo e preciso.
Gestione delle
attività IT
Protezione fisica
durante il trasporto
Tutto l'hardware IT deve essere protetto fisicamente in qualsiasi momento durante il trasporto
Gestione delle
attività IT
Dispositivi di backup
Tutti i dispositivi di backup e di archiviazione contenenti i dati Barclays utilizzati nell'erogazione dei Servizi devono essere criptati e
custoditi in aree di stoccaggio sicure e controllate dal punto di vista ambientale, di proprietà, gestite o prese in locazione dal
Fornitore e in linea con la Classificazione delle Informazioni e il Programma di Gestione.
Gestione delle
attività IT
Sicurezza dei dati /
Smaltimento dei
dispositivi
I Dati / le Informazioni Riservate di Barclays stampati/scritti su carta devono essere distrutti in modo sicuro non appena non sono
più necessari. I dati presenti sui dispositivi che non sono più necessari devono essere cancellati in modo sicuro in modo che le
informazioni non possano essere recuperate.
Gestione delle
attività IT
Dispositivi mobili
L'uso di dispositivi mobili deve essere configurato in qualsiasi momento in modo sicuro secondo le politiche e le procedure per
l'uso aziendale dei dispositivi mobili al fine di prevenire la Perdita di Dati e l'uso improprio.
2 Gestione delle modifiche e degli aggiornamenti - Requisiti minimi di
controllo
Area di
controllo
Titolo di
controllo
Gestione delle
modifiche e degli
aggiornamenti
Gestione delle
modifiche
Tutte le modifiche IT fondamentali devono essere registrate, verificate e approvate prima dell'implementazione tramite una
procedura di gestione delle modifiche solida e approvata al fine di prevenire qualsiasi interruzione del servizio o violazione della
sicurezza
Gestione delle
modifiche e degli
aggiornamenti
Risoluzione delle
emergenze
Il Fornitore garantisce che saranno implementate le Risoluzioni delle emergenze se disponibili e approvate, a meno che tale
condizione non comporti maggiori rischi operativi. I Sistemi del Fornitore che per qualsiasi motivo non possono essere aggiornati
devono contenere le misure di sicurezza idonee a proteggere completamente il sistema vulnerabile. Tutte le modifiche devono
essere eseguite conformemente alla procedura di gestione delle modifiche del Fornitore.
Gestione delle
modifiche e degli
aggiornamenti
Gestione degli
aggiornamenti
•
Il Fornitore si impegna a sviluppare e implementare una strategia di gestione degli aggiornamenti che sia supportata da
controlli e da procedure di gestione degli aggiornamenti nonché da documentazione operativa. Il Fornitore si impegna a
sviluppare e implementare una strategia di gestione degli aggiornamenti che sia supportata da controlli e da procedure
di gestione degli aggiornamenti nonché da documentazione operativa.
•
Non appena saranno disponibili, devono essere installati in modo tempestivo gli aggiornamenti della Sicurezza IT e della
vulnerabilità della sicurezza attraverso una procedura approvata al fine di prevenire qualsiasi violazione della sicurezza. I
Sistemi del Fornitore che per qualsiasi motivo non possono essere aggiornati devono contenere le misure di sicurezza
idonee a proteggere il sistema vulnerabile. Tutte le modifiche devono essere eseguite conformemente alla procedura di
gestione delle modifiche approvata.
•
Le applicazioni open source sono verificate per rilevare eventuali vulnerabilità salienti.
3 Cloud e Internet Computing - Requisiti minimi di controllo
Area di
controllo
Titolo di
controllo
Cloud Computing
Cloud Computing
Cloud Computing
Cloud Computing
L'uso del cloud computing impiegato come parte dei servizi resi a Barclays deve essere approvato da Barclays e i controlli finalizzati
alla protezione dei dati e dei servizi devono essere proporzionati al profilo di rischio per prevenire la perdita di dati e le violazioni
cibernetiche.
•
Le attività devono essere svolte in Paesi / località approvati, comprese le località in cui si esegue il disaster recovery.
•
Devono essere raccolte informazioni sulle attività svolte compresi i sistemi virtuali usati per fornire i servizi in clouding. Le
attività devono essere protette con requisiti DLP, Anti-Virus, criptazioni HIDS, NIDS, HD e controlli crittografici. Per tutti i
dati classificati e quelli inventariati deve assere stipulato un accordo preventivo ufficiale per il trasferimento dei dati in
ambienti di clouding, per l'archiviazione in dispositivi portatili e così via.
•
I dispositivi utilizzati per il backup devono essere criptati. Le chiavi di criptazione devono essere custodite in un luogo
sicuro il cui accesso sia riservato.
•
Tutti i controlli relativi ai servizi in clouding devono essere discussi e concordati con Barclays.
4 Gestione del rischio di sicurezza cibernetica - Requisiti minimi di controllo
Area di
controllo
Gestione dei rischi di
sicurezza cibernetica
Titolo di
controllo
Valutazione dei
rischi cibernetici
Il profilo di rischio per la sicurezza cibernetica riferito alle operazioni organizzative, alle attività e alle singole persone deve essere
compreso attraverso
•
La vulnerabilità delle attività di valutazione
•
L'identificazione delle minacce interne ed esterne
•
La valutazione dei possibili impatti sull'azienda
I rischi e le minacce devono essere individuati, deve essere assegna loro una priorità e si deve agire di conseguenza per ridurne
l'impatto. Il Fornitore si impegna ad eseguire regolarmente la Valutazione dei Rischi relativa alla sicurezza delle informazioni (in
qualsiasi caso almeno ogni 12 mesi) nonché a implementare i controlli e a prendere i provvedimenti necessari a ridurre i rischi
individuati. Qualora sia identificato un rischio concreto che potrebbe influenzare negativamente la reputazione di Barclays o i
servizi erogati, il fornitore deve darne comunicazione a Barclays entro 24 ore.
Governance della
Ruoli e
responsabilità
È necessario mettere in atto un'adeguata governance della sicurezza cibernetica accertandosi che:
•
Sia attiva una specifica funzione per la sicurezza informatica / cibernetica il cui compito sia quello di integrare
regolarmente la sicurezza delle informazioni nelle attività dei Fornitori
•
Le politiche, le procedure e i processi finalizzati alla gestione e al monitoraggio dei requisiti normativi, legali, per il rischio
cibernetico e operativi siano compresi, documentati, attivi e approvati dalla Direzione su base annuale.
•
Il Fornitore si impegna a garantire che lo stato di sicurezza delle informazioni presenti negli ambienti IT critici (compresi i
Sistemi del Fornitore), nelle applicazioni, nelle installazioni dei computer, nelle reti e nelle attività di sviluppo dei sistemi
che supportano i Servizi sia soggetto ad accurate e regolari verifiche/revisioni di sicurezza svolte da una funzione
indipendente all'interno dell'organizzazione del Fornitore. Qualora sia identificata una vulnerabilità concreta che
potrebbe influenzare negativamente la reputazione di Barclays o i servizi erogati, il fornitore deve darne comunicazione a
Barclays entro 24 ore.
•
Il Fornitore deve valutare, controllare e documentare la propria conformità con il presente Programma con cadenza
regolare e, in ogni caso, almeno una volta all'anno durante il periodo di validità del Programma. Come misura minima, il
Fornitore deve compilare tempestivamente e accuratamente il questionario fornito da Barclays e restituirlo entro 20
giorni lavorativi.
•
Senza pregiudizi rispetto agli altri diritti e rimedi di Barclays, quest'ultima può valutare il rischio di qualsiasi mancata
conformità segnalata dal Fornitore e comunicare un periodo di tempo entro il quale il Fornitore si impegna a realizzare
qualsiasi rimedio ragionevolmente richiesto.
Risposta agli
incidenti
Gli incidenti di sicurezza e le violazioni dei dati devono ottenere risposta e devono essere segnalati a Barclays immediatamente,
così come gli sviluppi delle azioni di rimedio. Deve essere istituita una procedura di risposta agli incidenti per la tempestiva
gestione e la segnalazioni di intrusioni che coinvolgono i dati Barclays e/o i servizi utilizzati da Barclays. La procedura deve
prevedere anche un approccio adeguato alle indagini di natura legale.
Corso di formazione
sulla sensibilità
Il materiale idoneo alla formazione riguarda anche la sensibilità sulla sicurezza cibernetica e garantisce che tutti i dipendenti
interessati siano formati adeguatamente per portare a termine i rispettivi ruoli e responsabilità
5 Protezione contro i malware - Requisiti minimi di controllo
Area di
controllo
Protezione contro i
malware
Titolo di
controllo
Protezione contro i
malware
A tutte le attività IT svolte per fornire il servizio deve essere sempre applicata la protezione contro i malware più aggiornata al fine
di prevenire l'interruzione del servizio o la violazione della sicurezza
•
Il Fornitore si impegna ad adottare e mantenere aggiornata una protezione contro i Codici Maligni / Malware
conformemente alla Buona Prassi del Settore.
•
Il Fornitore si impegna a proteggere contro il trasferimento dei Codici Maligni i sistemi di Barclays, i clienti di Barclays e le
altre Terze Parti che utilizzano i sistemi di Barclays o i sistemi del Fornitore impiegando gli attuali metodi standard in uso
nel settore.
6 Sicurezza della rete - Requisiti minimi di controllo
Area di
controllo
Sicurezza della rete
Titolo di controllo
Collegamenti esterni
Accesso wireless
•
Il Fornitore garantisce che la propria rete è progettata e implementata in modo tale da poter fare fronte ai livelli di
traffico attuali e previsti e che è protetta con l'impiego di tutti i controlli di sicurezza strutturali disponibili.
•
Il Fornitore garantisce che la rete utilizzata per la fornitura dei Servizi è supportata da diagrammi precisi e
aggiornati che comprendono tutti i componenti di sistema e le interfacce ad altri sistemi, nonché da requisiti e
procedure di controllo documentati.
•
Tutti i collegamenti esterni alla rete devono essere documentati, devono passare attraverso un firewall e devono
essere verificati e approvati prima di stabilire la connessione al fine di prevenire violazioni della sicurezza dei dati.
Tutti gli accessi wireless alla rete devono essere soggetti a protocolli di autorizzazione, autenticazione, segregazione e
criptazione come ad es. WPA2 per prevenire le violazioni della sicurezza.
Qualsiasi connessione wireless è consentita solo dalle località del fornitore approvate dai Firewall
di sicurezza della
rete
di Barclays
•
Il Fornitore garantisce che tutte le reti non possedute o gestite dal Fornitore transitano attraverso un firewall prima
di ottenere l'accesso alla rete del Fornitore.
•
I firewall devono garantire la sicurezza della connessione tra i sistemi interni e quelli esterni e devono essere
configurati in modo tale da consentire il transito solo al traffico richiesto. Le configurazioni dei firewall devono
essere regolarmente verificate per eliminare le regole superflue o inadeguate e per rendere disponibili al bisogno i
blocchi applicabili.
Individuazione/prevenzione
delle intrusioni
Sulla rete devono essere impiegati strumenti e sistemi di individuazione e prevenzione delle intrusioni a tutti i livelli e i dati in
uscita devono essere monitorati di conseguenza per rilevare eventuali violazioni della sicurezza cibernetica, tra cui le
Minacce Avanzate Permanenti (Advanced Persistent Threats - APT).
Rifiuto di servizio diffuso
(Distributed Denial of
Service - DDoS)
È necessario implementare nella rete e nei principali sistemi un metodo di difesa per l'accesso avanzato al fine di proteggere
in qualsiasi momento dall'interruzione dei servizi a causa di attacchi cibernetici. Sono compresi gli attacchi Rifiuto di servizio
(Denial of Service - DoS) e Rifiuto di servizio diffuso (Distributed Denial of Services - DDoS).
7 Sviluppo sicuro - Requisiti minimi di controllo
Area di
controllo
Titolo di
controllo
Sviluppo sicuro
Metodologia per lo
Sviluppo sicuro
In qualsiasi momento tutti gli sviluppi devono essere eseguiti in linea con la Metodologia per lo Sviluppo dei Sistemi approvata e
documentata. Per prevenire le vulnerabilità della sicurezza e le interruzioni del servizio devono essere adottati e mantenuti gli
standard di codifica della sicurezza in linea con la Buona Prassi del Settore. Codice di difesa contro eventuali vulnerabilità
conosciute.
Sviluppo sicuro
Segregazione
ambientale
In qualsiasi momento tutti gli sviluppi / le costruzioni di sistemi devono essere eseguiti in un ambiente non destinato alla
produzione e deve essere applicata la segregazione delle mansioni al fine di prevenire la perdita di dati e la modifica /
cancellazione accidentale dei dati. Non devono essere eseguiti test sui dati attuali senza il consenso preventivo di Barclays.
Sviluppo sicuro
Dati attuali in
ambienti non
produttivi
Il Fornitore garantisce che i dati attuali (compresi i Dati Personali) non saranno utilizzati in ambienti non produttivi senza il
consenso scritto preventivo di Barclays e un accordo sui controlli da implementare per proteggere tali dati attuali. Laddove i dati
attuali sono utilizzati in ambienti non produttivi il Fornitore ne garantisce la sicurezza nella stessa misura adottata negli ambienti
produttivi, dopo l'approvazione del titolare dei Dati Barclays.
Sviluppo sicuro
Prassi per la codifica
sicura
Il Fornitore si impegna, per sè stesso e per gli eventuali subappaltatori, ad adottare una prassi per lo sviluppo sicuro che preveda i
requisiti di definizione e verifica di sicurezza. Tale prassi deve essere completamente documentata.
Sviluppo sicuro
Segregazione delle
mansioni
Il Fornitore garantisce che, per lo sviluppo del sistema, è attiva la segregazione delle mansioni e garantisce che gli sviluppatori del
sistema non hanno accesso ai dati attuali, salvo in caso di emergenza in cui tale accesso è protetto con controlli adeguati come le
procedure break-glass. In queste circostanze, tali attività sono registrate e sono soggette a verifica indipendente.
Sviluppo sicuro
Garanzia di qualità
La funzione Garanzia di qualità deve verificare che tutte le principali attività di sicurezza siano state inserite nelle procedure di
sviluppo dei sistemi per prevenire interruzioni di servizio e vulnerabilità della sicurezza.
8 Valutazione della sicurezza - Requisiti minimi di controllo
Area di
controllo
Valutazione della
sicurezza
Titolo di
controllo
Test di penetrazione
•
•
•
•
Il Fornitore deve eseguire una valutazione della sicurezza IT indipendente / test di penetrazione dell'infrastruttura IT
compresi i siti di Disaster Recovery. Questa procedura deve essere ripetuta almeno una volta all'anno per individuare le
vulnerabilità che potrebbero essere sfruttate per violare la privacy dei Dati Barclays tramite attacchi cibernetici. Tutte le
vulnerabilità devono ottenere la massima priorità e devono essere tracciate fino alla risoluzione. Il test deve essere svolto
in linea con la Buona Prassi del settore e da un Rivenditore di sistemi di Valutazione della sicurezza autorizzato.
Il Fornitore si impegna a rendere noto a Barclays e a concordare con quest'ultima l'ambito di valutazione della sicurezza
nonché a verificare le attività, in particolare data/ora di inizio e termine, per consentire le azioni svolte dai sistemi di
monitoraggio Barclays. Il Fornitore si impegna inoltre a prevenire l'interruzione delle attività chiave di Barclays come ad
es. i resoconti finanziari di fine anno e così via.
Barclays e/o i propri Agenti si riservano il diritto di condurre una Valutazione della Sicurezza dei Sistemi del Fornitore
previo preavviso scritto di 20 giorni lavorativi inviato da Barclays al Fornitore. La frequenza, l'ambito e i metodi utilizzati
per condurre la Valutazione della Sicurezza saranno comunicati al Fornitore 15 giorni lavorativi prima dell'inizio della
Valutazione della Sicurezza.
Il Fornitore deve discutere e concordare con Barclays tutte le questioni di cui ha deciso di accettare il rischio.
Con Valutazione della sicurezza si intendono i test svolti sui Sistemi del Fornitore al fine di:
a) individuare i problemi di progettazione e/o funzionalità nelle applicazioni o nelle infrastrutture;
b) sondare i punti deboli delle applicazioni, dei perimetri delle reti o di altri elementi delle infrastrutture nonché i punti deboli delle procedure o delle contromisure
tecniche;
c) individuare le potenziali vulnerabilità che possono derivare da una scarsa o inadeguata configurazione del sistema e i difetti noti e/o sconosciuti di hardware o
software tra cui, a titolo esemplificativo ma non esaustivo, i seguenti esempi di verifica di infrastrutture e applicazioni che possono esporre il Fornitore e Barclays ai
rischi derivanti da attività dannose;
i.
input invalidati o non depurati;
ii.
controllo degli accessi interrotto;
iii.
autenticazione e gestione della sessione interrotta;
iv.
carenze dovute a cross-site scripting (XSS);
v.
vi.
eccesso di caricamento;
vii.
carenza di contributi;
viii.
gestione impropria degli errori;
ix.
memorizzazione non sicura;
x.
rifiuto di servizio;
xi.
gestione della configurazione non sicura;
xii.
uso corretto di SSL/TLS;
xiii.
uso corretto della criptazione; e
xiv.
affidabilità e controllo dell'antivirus.
Questa valutazione di solito comprende attività che sono comunemente definite anche test di penetrazione.
Con Rivenditore di sistemi di Valutazione della sicurezza si intende un soggetto terzo adeguatamente qualificato a svolgere la Valutazione della Sicurezza.
9 Configurazione dei sistemi - Requisiti minimi di controllo
Area di
controllo
Configurazione del
sistema
Titolo di
controllo
Ora del sistema
In qualsiasi momento tutti i dispositivi e i sistemi devono avere impostata l'ora in modo corretto e allineato al fine di prevenire
errori di sistema e garantire che le attività possano sopportare un'indagine a livello legale.
Procedura accettabile per garantire l'allineamento dell'ora e soddisfare il rigore legale. Ad esempio, si raccomanda di
sincronizzare il sistema con la media ricavata da 3 o 4 server NTP di livello 2 o con 2 server approvati di livello 1.
Configurazione del
sistema
Accesso remoto
Tutti gli accessi remoti al sistema devono essere autorizzati e approvati da Barclays prima di stabilire l'accesso al fine di
prevenire violazioni della sicurezza. L'accesso remoto deve avvenire tramite autenticazione a più fattori. L'attività dell'utente
deve essere registrata ed è soggetta a verifica.
Configurazione del
sistema
Sicurezza della
struttura
I sistemi ospiti e i dispositivi di rete che fanno parte dei Sistemi del Fornitore devono essere configurati in modo tale da
funzionare conformemente alla Buona Prassi del Settore, alle specifiche applicabili e ai requisiti operativi, al fine di prevenire
l'applicazione a tali sistemi e dispositivi di rete di aggiornamenti non autorizzati o inappropriati
10 Monitoraggio dei sistemi - Requisiti minimi di controllo
Area di
controllo
Monitoraggio dei
sistemi
Titolo di
controllo
Gestione dei registri
Tutti i sistemi principali comprese le applicazioni chiave devono essere impostati in modo tale da registrare gli eventi principali. I
registri devono essere centralizzati, adeguatamente protetti e custoditi per almeno 12 mesi. Gli eventi principali devono essere
quelli che hanno la possibilità di influenzare la riservatezza, l'integrità e la disponibilità del Servizio reso a Barclays e che possono
contribuire all'identificazione o alla ricerca di incidenti materiali e/o violazioni dei diritti di accesso che si verificano in relazione ai
Sistemi del Fornitore.
Il Fornitore deve informare Barclays in merito a gravi problemi come la perdita di dati del cliente o il grave danneggiamento del
sistema. Esistono dei requisiti normativi per segnalare una violazione?
Come misura minima il Fornitore deve registrare e monitorare quanto segue:
Monitoraggio dei
sistemi
Revisione dei registri
i.
ID utente
ii.
Tipo di evento
iii.
Data e ora
iv.
Indicazione di successo o insuccesso
v.
Origine dell'evento
vi.
Identità o nome dei dati interessati, dei componenti del sistema o delle risorse.
vii.
Attività dell'amministratore
I registri devono essere controllati per possibili violazioni della Sicurezza Cibernetica / attività illecite che devono essere in sintonia
con NTP. I dati degli eventi devono essere raccolti e correlati da fonti multiple e da sensori. Gli eventi rilevati devono essere
analizzati per comprendere gli obiettivi degli attacchi e i metodi utilizzati. L'individuazione degli incidenti materiali e/o delle
violazioni dei diritti di accesso garantisce il rispetto della Procedura di Gestione degli Incidenti
11 Diritto di ispezione - Requisiti minimi di controllo
Area di
controllo
Titolo di
controllo
Diritto di ispezione
Diritto di ispezione
di Barclays
Barclays può, con un preavviso scritto di almeno 10 Giorni Lavorativi, svolgere un controllo di sicurezza di qualsiasi sito
utilizzato o utilizzabile dal Fornitore o dai Subappaltatori per sviluppare, testare, migliorare, eseguire la manutenzione o
gestire i Sistemi del Fornitore utilizzati per l'erogazione o il ripristino dei Servizi al fine di controllare la conformità del
Fornitore con i propri obblighi. Inoltre Barclays può svolgere un'ispezione subito dopo il verificarsi di un Incidente di
Sicurezza.
Qualsiasi mancata conformità individuata da Barclays durante un'ispezione è valutata da Barclays sotto il profilo del rischio
e Barclays si impegna a specificare un periodo di tempo entro il quale il Fornitore deve completare i rimedi richiesti e il
Fornitore si impegna a completare i rimedi richiesti entro il periodo indicato. Il Fornitore si impegna a fornire tutta
l'assistenza ragionevolmente richiesta da Barclays in relazione alle ispezioni effettuate.
12 Spazio dedicato alla Banca – Requisiti di controllo (NB: Verificare con il responsabile del Sourcing se
necessario)
Area di
controllo
Titolo di
controllo
Spazio dedicato alla
banca
Separazione fisica
L'area fisica occupata deve essere dedicata a Barclays e non condivisa con altre società / altri venditori.
banca
Controllo
dell'accesso fisico
Per l'accesso a BDS devono essere svolti controlli automatici di sicurezza, tra cui:
1) In caso di personale autorizzato;
i) Tesserino identificativo con foto sempre visibile
ii) Sono utilizzati lettori ottici di card
iii) Sono attivi dispositivi anti-pass back
2) Controlli di visitatori/venditori
i) Registro firme
ii) Tesserino identificativo ad uso temporaneo sempre visibile
banca
Controllo
dell'accesso fisico
È necessario configurare degli allarmi per la segnalazione tramite un sistema di accesso centralizzato con controllo degli
accessi verificabile
banca
Controllo
dell'accesso fisico
Il monitoraggio dei controlli che garantiscono l'idoneità degli accessi è concesso all'area BDS e alle altre aree critiche
banca
Servizio di pulizia
L'accesso all'area BDS è consentito solo agli addetti alle pulizie e al personale di supporto come elettricisti, manutentori AC
e così via
Controlli ambientali
È necessario implementare controlli utili a proteggere contro i fattori ambientali come incendi, allagamenti, uragani,
tornado, epidemie, infestazioni, umidità, cambiamenti repentini di temperatura, polvere e contaminazione di cibo e
banca
bevande
banca
Gestione dei mezzi
di comunicazione
L'accesso a tutti i mezzi di comunicazione inerenti o relativi ai servizi erogati a Barclays deve essere rigorosamente
controllato e autorizzato
banca
Controlli della
Camera Pulita (solo
Dati di Salute)
Sono implementati solo controlli specifici per i requisiti della Camera Pulita come consigliato dai requisiti sulla protezione
dei Dati di Salute.
banca
Accesso remoto ID&V
Ciascun utente che vuole autenticarsi sulla rete Barclays dall'area BDS, può utilizzare esclusivamente un dispositivo di
autenticazione a più fattori fornito da Barclays
banca
Accesso remoto Token
L'installazione di software RSA e token deve essere eseguita dagli amministratori che dispongono dell'approvazione per
operare nell'area BDS
banca
Accesso remoto Supporto di Out of
Office
L'accesso remoto all'area BDS non è fornito di default per il supporto di out of office/out of business. Qualsiasi accesso
remoto deve essere approvato da Barclays
banca
E-mail e Internet
La connettività di rete deve essere configurata in modo sicuro per bloccare le e-mail e l'attività Internet sulla rete del
venditore
banca
Sistemi e desktop
È necessario configurare in modo sicuro e secondo la best practice del settore la struttura dei desktop dei computer situati
nell'area BDS
banca
Sistemi e desktop
Gli account con accesso generico, condiviso o privilegiato e le stampe non devono essere consentiti dal sistema ospite di
Barclays all'interno dell'area BDS. Qualsiasi applicazione o strumento installato aggiuntivi non deve introdurre punti deboli
per la sicurezza
banca
Sistemi e desktop
I processi e le procedure di riparazione e aggiornamento devono essere attivi per eseguire le riparazioni automatiche e
manuali
banca
Ambiente di testing
e sviluppo
Gli sviluppi di software devono essere eseguiti solo per i programmi di proprietà di Barclays all'interno dell'area BDS
banca
Codice sorgente
Il codice sorgente deve essere eseguito, memorizzato e inviato a Barclays in modo sicuro.
banca
Controlli di rete Trasmissioni
Tutte le informazioni devono essere trasmesse in modo sicuro tra l'ambiente BDS e Barclays e la gestione dei dispositivi di
rete deve essere eseguita usando protocolli sicuri
banca
Controlli di rete Percorso
La configurazione del percorso deve garantire solo le connessioni alla rete Barclays e non deve condurre ad altre reti
banca
Controlli di rete Wireless
Le reti wireless non devono essere utilizzate nel segmento delle reti Barclays per erogare i servizi.
banca
Segregazione della
rete
Devono esserci segmenti di rete separati (cioè elaborazione aziendale / supporto ai sistemi attivi / sviluppo dei sistemi)
banca
Memorizzazione
dei file
La memorizzazione di tutti i file deve essere eseguita nell'ambiente BDS
banca
Accesso remoto Token
L'installazione di software RSA e token deve essere eseguita dagli amministratori che dispongono dell'approvazione per
operare nell'area BDS
banca
Accesso remoto Supporto di Out of
Office
L'accesso remoto all'area BDS non è fornito di default per il supporto di out of office/out of business. Qualsiasi accesso
remoto deve essere approvato da Barclays
banca
E-mail e Internet
La connettività di rete deve essere configurata in modo sicuro per bloccare le e-mail e l'attività Internet sulla rete del
venditore
banca
Sistemi e desktop
È necessario configurare in modo sicuro e secondo la best practice del settore la struttura dei desktop dei computer situati
nell'area BDS
banca
Sistemi e desktop
Gli account con accesso generico, condiviso o privilegiato e le stampe non devono essere consentiti dal sistema ospite di
Barclays all'interno dell'area BDS. Qualsiasi applicazione o strumento installato aggiuntivi non deve introdurre punti deboli
per la sicurezza
banca
Sistemi e desktop
I processi e le procedure di riparazione e aggiornamento devono essere attivi per eseguire le riparazioni automatiche e
manuali
banca
Ambiente di testing
e sviluppo
Gli sviluppi di software devono essere eseguiti solo per i programmi di proprietà di Barclays all'interno dell'area BDS
banca
Codice sorgente
Il codice sorgente deve essere eseguito, memorizzato e inviato a Barclays in modo sicuro.
banca
Controlli di rete Trasmissioni
Tutte le informazioni devono essere trasmesse in modo sicuro tra l'ambiente BDS e Barclays e la gestione dei dispositivi di
rete deve essere eseguita usando protocolli sicuri
banca
Controlli di rete Percorso
La configurazione del percorso deve garantire solo le connessioni alla rete Barclays e non deve condurre ad altre reti
banca
Controlli di rete Wireless
Le reti wireless non devono essere utilizzate nel segmento delle reti Barclays per erogare i servizi.
banca
Segregazione della
rete
Devono esserci segmenti di rete separati (cioè elaborazione aziendale / supporto ai sistemi attivi / sviluppo dei sistemi)
banca
Memorizzazione
dei file
La memorizzazione di tutti i file deve essere eseguita nell'ambiente BDS
13 Crittografia - Requisiti minimi di controllo
Area di
controllo
Titolo di
controllo
Crittografia
Gestione delle
chiavi
crittografiche
Il Fornitore garantisce che laddove siano utilizzate chiavi crittografiche segrete o private per proteggere l'identità dei Dati
Barclays e/o la reputazione di Barclays, le chiavi saranno gestite in modo sicuro per tutto il loro ciclo vitale, conformemente
ai requisiti di controllo documentati e alle procedure che sono in linea con la Buona Prassi de Settore e garantisce che le
chiavi saranno protette contro l'accesso non autorizzato o la distruzione.
Crittografia
Gestione delle
chiavi
crittografiche
Il Fornitore si impegna a mantenere una registrazione di tutti gli usi crittografici, comprese tutte le chiavi, i certificati e i
dispositivi crittografici gestiti dal Fornitore e messi a disposizione di Barclays su richiesta.
Crittografia
Infrastruttura delle
chiavi pubbliche
Il Fornitore garantisce che qualora siano utilizzate o gestite le infrastrutture di chiavi pubbliche (PKI), queste ultime saranno
protette 'consolidando' il sistema o i sistemi operativi sottostanti e limitando l'accesso alle Autorità di Certificazione.
Crittografia
chiavi pubbliche
Il Fornitore garantisce che tutti i certificati digitali che rappresentano Barclays sono ottenuti direttamente dalla funzione
centrale per la gestione dei certificati Barclays e che il Fornitore gestisce il ciclo vitale del certificato per garantire la
continuità della validità.
Crittografia
chiavi pubbliche
Il Fornitore garantisce che, laddove le chiavi crittografiche private sono utilizzate per proteggere i dati, l'identità e/o la
reputazione di Barclays, tutte le chiavi sono protette da moduli per la sicurezza dell'hardware certificati FIPS 140-2 Livello 3
o superiore (HSM).

External Supplier Control Requirements

Transcript

Documenti analoghi

comunicato

barclays - FABI Vicenza

Barclays, scattano i tagli. Dal 2017 fuori 160 persone. Pagani

Documento in formato pdf

Barclays Bank PLC

Informazione Regolamentata n. 0997-16-2016

Com Dip Naz Ass Volo Banche e Privatizzazioni III del 26.04.16

of 1 Scandalo Barclays

Requisiti di controllo dei fornitori esterni

Antonella Trocino