Notizie per la Stampa - Hosting Polimi

AREA SERVIZI ICT
Servizi di hosting offerti dall'Area Servizi ICT
Policy di sicurezza
hosting.polimi.it
Indice
1.
Finalità del documento ............................................................................................................ 5
1.1.
Premessa ................................................................................................................................. 5
1.2.
Obiettivo ................................................................................................................................. 5
1.3.
Contenuto del documento........................................................................................................ 5
1.4.
Ambito di applicazione ............................................................................................................. 6
1.5.
Definizioni ............................................................................................................................... 7
2.
Statement ................................................................................................................................ 8
2.1.
Sicurezza delle risorse informative ........................................................................................... 8
2.1.1.
Tipologia delle risorse disponibili e/o ammesse ............................................................................... 8
2.1.2.
Proprietà delle risorse ....................................................................................................................... 8
2.1.3.
Destinazione d’utilizzo delle risorse .................................................................................................. 8
2.1.4.
Modalità d’utilizzo delle risorse ........................................................................................................ 8
2.1.5.
Vincoli nell’utilizzo delle risorse ........................................................................................................ 9
2.2.
Sicurezza fisica del datacenter .................................................................................................. 9
2.2.1.
Sicurezza degli edifici......................................................................................................................... 9
2.2.2.
Monitoraggio delle sale ..................................................................................................................... 9
2.3.
Sicurezza di rete ..................................................................................................................... 10
2.3.1.
Descrizione architettura e segmentazione degli ambienti .............................................................. 10
2.3.2.
Comunicazione con servizi di rete generali ..................................................................................... 10
2.3.2.1.
Specificità per l’ambito IaaS ............................................................................................................ 10
2.3.3.
Connessioni sicure ........................................................................................................................... 10
2.3.4.
Monitoraggio della rete................................................................................................................... 11
2.4.
Sicurezza del software ............................................................................................................ 11
2.4.1.
Progettazione del sistema ............................................................................................................... 11
2.4.2.
Software supportato ....................................................................................................................... 11
2.4.2.1.
Moduli e software installato ........................................................................................................... 12
2.4.3.
Hardening dei sistemi ...................................................................................................................... 12
2.4.3.1.
Specificità per l’ambito IaaS ............................................................................................................ 12
2.4.4.
Aggiornamento e manutenzione dei sistemi................................................................................... 13
2.4.5.
Software di sicurezza ....................................................................................................................... 13
2.4.6.
Monitoraggio dei sistemi e delle applicazioni ................................................................................. 14
2.4.7.
Sicurezza nei processi di configurazione e sviluppo ........................................................................ 14
2.5.
Controllo degli accessi ............................................................................................................ 14
2.5.1.
Controllo accessi fisici al datacenter ............................................................................................... 15
2.5.2.
Controllo accessi alla rete................................................................................................................ 15
2.5.3.
Controllo accessi al sistema operativo ............................................................................................ 15
2
2.5.3.1.
Specificità per ambito IaaS .............................................................................................................. 15
2.5.4.
Controllo accessi agli applicativi ...................................................................................................... 15
2.5.5.
Controllo accessi esterni/VPN ......................................................................................................... 16
2.6.
Gestione vulnerabilità ............................................................................................................ 16
2.6.1.
Vulnerability tracking management ................................................................................................ 16
2.6.2.
Patching di sicurezza dei sistemi ..................................................................................................... 17
2.6.3.
Gestione continuità operativa e incidenti ....................................................................................... 17
2.6.4.
Attuazione dei backup ..................................................................................................................... 17
2.6.5.
Modalità di gestione degli incidenti ................................................................................................ 18
2.7.
Organizzazione e governance della sicurezza .......................................................................... 18
2.7.1.
Indicazioni per la gestione degli accordi con personale esterno..................................................... 18
2.7.2.
Audit di sicurezza............................................................................................................................. 19
2.7.3.
Compliance normativa .................................................................................................................... 21
3
Versioni
Data
Titolo
Versione
Autore
Stato doc
22/05/2013
Servizi di hosting offerti
dall'Area Servizi ICT: policy di
sicurezza
1.1
ASICT - Servizio infrastrutture
software e identità digitale
Approvato
ASICT
4
1.
Finalità del documento
1.1. Premessa
Data l’impossibilità di garantire la totale salvaguardia dell’infrastruttura e dei servizi da minacce
inerenti la sicurezza informatica, l’Area Servizi ICT del Politecnico di Milano si dota di un sistema di
contromisure atto a contrastare tale rischio, che affronta i seguenti ambiti:
• prevenzione delle minacce e degli attacchi, per minimizzare le vulnerabilità e gli eventuali
rischi annessi;
• registrazione e conservazione degli eventi utili per una loro eventuale analisi, atta a
prevenire e contrastare i rischi di sicurezza informatica;
• reazione ad eventuali attacchi, onde evitare o limitare le eventuali conseguenze negative;
• ripristino della situazione antecedente al verificarsi di un evento malevolo;
• investigazione dell’attacco attraverso l’analisi degli eventi registrati per l’identificazione
le responsabilità e per la valutazione dei danni subiti.
La realizzazione e la conseguente gestione di tale sistema di contromisure richiede
l’indirizzamento di un insieme eterogeneo di interventi, di natura sia tecnologica che
organizzativa, atti a garantire il raggiungimento e il mantenimento nel tempo dei livelli di
sicurezza ritenuti adeguati.
1.2. Obiettivo
Uno degli obiettivi delle attività di sicurezza svolte da Area Servizi ICT è di contribuire a contenere,
entro limiti accettabili, il rischio di compromissioni dell’infrastruttura di hosting che minaccino la
sicurezza, intesa come riservatezza, integrità e disponibilità dei servizi applicativi erogati da tale
infrastruttura e delle informazioni in essi contenute.
Un fondamentale contributo in tal senso, data la natura dei servizi erogati attraverso tale
infrastruttura, deve provenire anche dal fruitore del servizio stesso, al quale viene richiesta una
collaborazione proattiva allo scopo di garantire e mantenere un adeguato livello di sicurezza.
A taI fine, il presente documento ha come obiettivo la definizione della policy di sicurezza
informatica alla quale i fruitori dei servizi di hosting offerti dall’Area Servizi ICT del Politecnico di
Milano devono conformarsi, in modo da contribuire al raggiungimento dell’obiettivo delle attività
già descritte in precedenza.
Inoltre, il presente documento ha l’obiettivo di definire le modalità di interfacciamento e di
utilizzo da parte di servizi all’anagrafica unica di Ateneo, lo strumento utilizzato per la gestione
centralizzate delle informazioni degli utenti del Politecnico di Milano. Tali indicazioni sono
discusse in dettaglio in [Servizi di hosting offerti dall'Area Servizi ICT: integrazione con
l'Anagrafica Unica di Ateneo] e sono finalizzate a garantire un adeguato livello di sicurezza, sia
nell’interconnessione dei sistemi, sia per la protezione di tali informazioni.
1.3. Contenuto del documento
La policy contiene indicazioni di alto livello sulle modalità con cui l’Area Servizi ICT si relaziona con
i fruitori dei servizi di hosting per il mantenimento di un accettabile livello di sicurezza informatica
5
nell’erogazione dei servizi stessi, indipendentemente dalle specifiche tecnologie utilizzate. La
policy è strutturata traendo ispirazione dai macro-ambiti identificati all’interno dello standard
ISO/IEC 27001, il quale fornisce i requisiti di un sistema di gestione della sicurezza delle
informazioni. Tali macro-ambiti sono stati riorganizzati e aggregati secondo le specifiche esigenze
nell’ambito dei servizi offerti, escludendo alcuni aspetti non attinenti. Inoltre, gli ambiti proposti
sono riportati secondo un livello di astrazione crescente, dalla sicurezza fisica ad aspetti
maggiormente organizzativi e di governance.
Per alcuni degli ambiti inclusi nella policy, il documento offre una contestualizzazione delle
indicazioni di alto livello, declinandole su alcune tecnologie in uso nell’infrastruttura gestita
dall’Area Servizi ICT, anche attraverso la rielaborazione delle più recenti best practice del settore.
In particolare, sono fornite alcune linee guida per la configurazione degli aspetti di sicurezza di
alcuni dei blocchi tecnologici che costituiscono l’infrastruttura stessa. Le modalità realizzative
adottate per la contestualizzazione tecnologica (tecnologie selezionate sufficientemente diffuse,
indicazioni generalizzabili) fanno sì che essa possa rappresentare un possibile riferimento per la
configurazione sicura di tecnologie analoghe, o comunque ricadenti nei blocchi tecnologici
trattati. La contestualizzazione tecnologica potrà quindi essere utile come riferimento per la
configurazione sicura di altri sistemi, anche al di fuori del contesto di applicabilità del presente
documento, indipendenti quindi rispetto all’ambito operativo dell’Area Servizi ICT. Tale
contestualizzazione è trattata in dettaglio in [Servizi di hosting offerti dall'Area Servizi ICT:
contestualizzazione tecnologica]
Infine, il documento sviluppa un approfondimento sulle problematiche e le opportunità collegate
ai servizi legati all’anagrafica unica di ateneo, definendo da un lato i requisiti e le limitazioni
d’utilizzo, dall’altro alcuni elementi tecnologici a tutela della sicurezza di questa componente
infrastrutturale critica per il Politecnico di Milano. Tali indicazioni sono discusse in dettaglio in
[Servizi di hosting offerti dall'Area Servizi ICT: integrazione con l'Anagrafica Unica di Ateneo]
1.4. Ambito di applicazione
I servizi offerti da Area sistemi ICT, la cui modalità di fruizione è oggetto della presente policy,
riguardano principalmente l’hosting applicativo, ossia servizi legati alla gestione dell’infrastruttura
utilizzata per ospitare contenuti e applicazioni fruibili tramite web, ma anche a servizi quali lo
storage (inteso ad esempio come fornitura di spazio disco, oppure database), oppure la fornitura
di macchine virtuali in modalità Infrastructure as a Service (IaaS). I servizi appena descritti sono da
considerarsi puramente esemplificativi e per un loro elenco esaustivo, si rimanda al più recente
documento disponibile contenente l’offerta di servizi aggiornata [Polimi Offerta_hosting_ASICT]. Le indicazioni riportate nel presente documento sono da intendersi
come prescrittive solo relativamente alle modalità di fruizione e a ruoli/responsabilità del fruitore.
Gli aspetti introdotti nella contestualizzazione tecnologica non sono da ritenersi prescrittivi nello
specifico, ma si applicano secondo l’accezione di “linea guida” per i blocchi tecnologici a cui si
riferiscono. Tali aspetti possono, infatti, costituire una traccia utile per comprendere le
problematiche legate alla sicurezza informatica, guidando un attore che desideri provvedere in
autonomia alla realizzazione ed erogazione di un servizio web nell’implementazione di soluzioni
idonee a garantire un livello di sicurezza in linea con quello fornito dall’Area sistemi ICT. Questo
anche qualora un attore desideri procedere alla realizzazione del servizio sviluppando soluzioni
6
proprietarie gestite autonomamente, differenti da quelle effettivamente supportate da Area
Servizi ICT.
Infine, in funzione della specifica tipologia di servizio e del soggetto che la eroga, la policy
stabilisce le tipologie attività di audit applicabili. In particolare, tali attività sono indirizzate ai
servizi ospitati all’interno del datacenter gestito da Area Servizi ICT e all’interno della rete del
Politecnico di Milano (connessa alla rete GARR), ma sono estese anche a qualunque soggetto
realizzi e gestisca autonomamente un servizio che faccia uso in qualsivoglia forma (loghi, nomi,
ecc.) del brand “Politecnico di Milano”, oppure utilizzi dati di proprietà o condivisi con strutture
del Politecnico di Milano.
1.5. Definizioni
•
•
•
•
•
•
Area Servizi ICT: la struttura del Politecnico di Milano che gestisce i servizi ICT ed è
fornitore dei servizi di hosting oggetto della presente policy.
Fruitore: il soggetto che utilizza i servizi di hosting erogati dall’Area Servizi ICT per lo
sviluppo di applicazioni e servizi.
Fornitore: il soggetto che fornisce ad Area Servizi ICT gli apparati e le tecnologie
necessarie alla realizzazione dell’infrastruttura di hosting.
Utente: l’utilizzatore finale dell’applicazione/servizio ospitato presso l’infrastruttura di
hosting erogata dall’Area Servizi ICT.
Hosting: l’insieme di tutti i servizi offerti dall’Area servizi ICT, volti a ospitare applicazioni
informatiche su tecnologia web.
IaaS (Infrastructure as a Service): tipologia di servizio di hosting, tipico del paradigma del
cloud computing, che consiste sostanzialmente nella fornitura di una macchina virtuale
accessibile da remoto da parte del cliente. Nella presente policy ci si riferirà al termine
“ambito IaaS” per intendere tali servizi in cui al fruitore viene concesso privilegio di
accesso a una macchina virtuale anche a livello di sistema operativo mediante specifiche
interfacce di amministrazione, secondo le modalità previste dall’offerta di hosting.
7
2. Statement
2.1. Sicurezza delle risorse informative
In questa sezione introduttiva sono descritte le tipologie di risorse (sia fisiche che virtuali)
disponibili e/o ammesse all’interno dei datacenter gestiti dall’Area servizi ICT del Politecnico di
Milano. Inoltre, sono introdotte alcune prescrizioni a carattere generale sulla proprietà e l’utilizzo
delle stesse.
2.1.1. Tipologia delle risorse disponibili e/o ammesse
Le risorse disponibili all’interno del datacenter sono principalmente composte da server virtuali.
In via eccezionale è consentita l’ammissione di apparecchiature fisiche appartenenti al fruitore,
previa autorizzazione da parte dell’Area Servizi ICT e conformità nei confronti dei vincoli
tecnologici.
In generale, lo spazio di storage offerto (database, file system, ecc.) è da ritenersi strettamente
funzionale all’utilizzo effettuato dagli applicativi utilizzati all’interno dei servizi di hosting.
2.1.2. Proprietà delle risorse
In generale, salvo eccezioni autorizzate dal responsabile di Area Servizi ASICT, il datacenter di Area
Servizi ICT ospita risorse di proprietà dell’amministrazione centrale del Politecnico di Milano.
L’accesso diretto a tutte le risorse fisiche, incluse quelle non direttamente di proprietà
dell’amministrazione centrale del Politecnico di Milano, è comunque ristretto al solo personale di
competenza appartenente ad Area Servizi ICT ed eventualmente ai fornitori, in linea con quanto
descritto nella sezione 2.5.1 (Controllo accessi fisici al datacenter).
2.1.3. Destinazione d’utilizzo delle risorse
L’utilizzo delle risorse facenti parte del datacenter di Area Servizi ICT è consentito soltanto per
l’erogazione di servizi o applicativi le cui finalità sono coerenti con i principi e le attività promossi
dal Politecnico di Milano, rispettando le clausole contrattuali incluse nell’offerta di servizio.
2.1.4. Modalità d’utilizzo delle risorse
L’utilizzo delle risorse messe a disposizione dall’Area Servizi ICT da parte del fruitore deve ispirarsi
ai principi di correttezza e diligenza alla base di ogni comportamento nell’ambito professionale e
comunque sempre rispettando le norme vigenti.
L’aggiunta di componenti applicativi o la modifica di configurazione di alcuni sistemi, ove
applicabile in funzione della tipologia di servizio fruito, deve essere a priori concordata con l’Area
Servizi ICT durante le fasi di progettazione e deve rispettare le normative vigenti in tale materia
(es. norma sul diritto di autore, ecc.).
8
L’utilizzo intensivo di risorse condivise, quali la banda o lo storage, o, nel caso di risorse virtuali, il
potere computazionale e la quantità di memoria, deve essere evitato o opportunamente
pianificato e concordato con i responsabili di Area Servizi ICT, in caso di particolari necessità.
2.1.5. Vincoli nell’utilizzo delle risorse
Ulteriori vincoli potranno essere applicati all’utilizzo delle risorse che per loro natura sono
condivise tra differenti fruitori (ad esempio banda, memoria, CPU, storage, ecc.), al fine di
garantire un equo e adeguato livello di servizio. Tali vincoli potranno essere imposti anche
dinamicamente e, a tal fine, Area Servizi ICT si riserva il diritto di attuare monitoraggio sui sistemi.
Area Servizi ICT si riserva inoltre la facoltà di sospendere l’erogazione del servizio, o di modificare
le configurazioni del sistema, qualora l’uso intensivo delle risorse pregiudichi o rischi di
pregiudicare il funzionamento di altri servizi o quando a seguito di ripetute violazioni dei vincoli di
utilizzo intensivo non siano state prese adeguate contromisure da parte del fruitore.
2.2. Sicurezza fisica del datacenter
La sicurezza fisica include gli aspetti legati all’accesso e al monitoraggio dei locali nei quali sono
collocate le macchine che realizzano l’infrastruttura del datacenter. Tali aspetti sono di
competenza esclusiva del personale predisposto di Area Servizi ICT e introducono alcune
limitazioni per i fruitori, in particolare per quanto riguarda l’accesso agli edifici che ospitano il
datacenter.
2.2.1. Sicurezza degli edifici
Il perimetro degli edifici che ospitano il datacenter è opportunamente protetto in modo da
limitare gli accessi al solo personale autorizzato. In particolare, l’accesso alla sala macchine, nella
quale sono ospitati gli apparati che realizzano il datacenter, è ristretto al solo personale di Area
Servizi ICT e ai fornitori di tecnologie durante le fasi di installazione o manutenzione degli
apparati, previo accompagnamento di un responsabile appartenente ad Area Servizi ICT.
In nessun caso ai fruitori dei servizi di hosting è consentito l’accesso alla sala macchine, mentre
potrà essere concesso l’accesso all’edificio in funzione delle specifiche esigenze, limitatamente
all’area adiacente la sala macchine, in linea con quanto descritto nella sezione 2.5.1 (Controllo
accessi fisici al datacenter).
2.2.2. Monitoraggio delle sale
Al fine di tutelare eventuali accessi non autorizzati alle sale nelle quali sono ospitate le macchine
fisiche che realizzano l’infrastruttura di erogazione dei servizi di hosting, ogni accesso sarà
registrato e conservato per un periodo temporale adeguato, e comunque conforme alla vigente
normativa, attraverso un sistema di videosorveglianza . Date le prerogative di accesso concesse
solo al personale di Area Servizi ICT e ai fornitori di tecnologie, le registrazioni di tali sale non
potranno essere consultate dal fruitore.
9
2.3. Sicurezza di rete
La sicurezza di rete concerne aspetti legati alla comunicazione interna tra le risorse e i servizi attivi
all’interno dell’infrastruttura di erogazione dei servizi, oltre che alla comunicazione dei servizi
interfacciati con l’esterno. Tipicamente la progettazione degli aspetti di sicurezza in tale ambito è
a carico dell’area servizi ICT. La relazione tra fruitore e Area Servizi ICT sarà incentrata sulla
definizione delle esigenze applicative dello specifico progetto di hosting.
2.3.1. Descrizione architettura e segmentazione degli ambienti
L’architettura di rete realizzata all’interno del datacenter di Area Servizi ICT è segmentata in zone
omogenee, suddivise tra loro da opportuni livelli di firewall. Tale architettura è realizzata anche
allo scopo di consentire l’implementazione di applicativi mediante il paradigma 3-tier, il quale è
consigliato nel caso di sviluppo di applicazioni dedicate da parte del fruitore.
Inoltre, l’architettura di rete è opportunamente configurata in modo da offrire una visibilità
ristretta. In ogni caso, al fruitore è proibito tentare di esplorare la topologia della rete, ad esempio
attraverso scansioni automatiche.
Il fruitore deve collaborare con l’Area Servizi ICT al fine di garantire che le configurazioni
impostate su tutte le componente dei server gestiti (per quanto di competenza secondo le
modalità di fruizione) evitino la proliferazione di comunicazioni e servizi di rete non necessari,
anche in linea con quanto prescritto in sezione 2.4.3 (Hardening dei sistemi).
2.3.2. Comunicazione con servizi di rete generali
Di norma le comunicazioni a livello di rete all’interno dell’infrastruttura gestita da Area Servizi ICT
sono abilitabili soltanto verso specifici servizi di rete generali, quali ad esempio mail server, dns,
ecc. Per un elenco completo dei servizi di rete generali, si rimanda al relativo catalogo aggiornato.
Tali comunicazioni sono configurate in maniera puntuale per i soli servizi richiesti e approvati in
fase di progettazione. Area Servizi ICT si riserva il diritto di autorizzare e di disporre le modalità
con le quali tali canali possono essere abilitati.
2.3.2.1. Specificità per l’ambito IaaS
In casi specifici, sempre in funzione dell’autorizzazione espressa da parte di Area Servizi ICT e
comunque limitatamente per i servizi fruiti in modalità IaaS, sarà possibile concordare
un’architettura di rete virtuale che abiliti le specifiche connessioni richieste tra le sole macchine
virtuali in oggetto.
2.3.3. Connessioni sicure
Le connessioni sicure con l’esterno dei servizi in hosting, effettuate attraverso l’utilizzo di
protocolli cifrati quali ad esempio https, ftps, ssh, sono consentite previa autorizzazione in
relazione alle specifiche esigenze emerse in fase di progettazione del servizio.
10
La richiesta di eventuali certificati digitali necessari all’erogazione sicura dei servizi deve essere
inoltrata dal fruitore ad Area Servizi ICT che provvederà alla fornitura di un certificato.
2.3.4. Monitoraggio della rete
Area Servizi ICT si riserva di adottare meccanismi per il monitoraggio specifico delle configurazioni
e del traffico della rete all’interno della propria infrastruttura, al fine di garantirne la sicurezza e
verificarne il corretto utilizzo da parte dei fruitori del servizio. Inoltre, si riserva di introdurre
meccanismi di prevenzione e controllo della diffusione di software malevolo, quali ad esempio
dispositivi come Intrusion Detection System (IDS), o Unified Threat Managment (UTM), ecc. In
conseguenza di ciò alcune tipologie di connessione/servizio potrebbero essere inaspettatamente
inibite, qualora ritenute malevole o potenzialmente rischiose.
Violazioni o anomalie eventualmente riscontrate saranno gestite secondo le linee generali
descritte nella sezione 2.6.3 (Gestione continuità operativa e incidenti).
2.4. Sicurezza del software
Area servizi ICT, secondo la tipologia di offerta, propone alcune categorie di software (di base e
applicativo) e framework applicativi supportati, ammettendo eventualmente anche l’installazione
di soluzioni alternative, previa condivisione e autorizzazione. Durante la definizione del progetto
di hosting, in base alle specifiche esigenze, l’Area servizi ICT guida il fruitore nella scelta della
tipologia di servizio e del software necessario.
Secondo quanto definito in fase di progettazione, i due attori cooperano nella definizione e nel
mantenimento del corretto livello di sicurezza per quanto riguarda le diverse categorie di
software.
2.4.1. Progettazione del sistema
Il fruitore, all’atto di richiesta di un servizio di hosting, dovrà fornire le esigenze necessarie alla
realizzazione del progetto associato in termini di servizi di rete necessari, software da utilizzare,
requisiti tecnici, ecc.
Area Servizi ICT si riserva il diritto di valutare la fattibilità del progetto, e comunque partecipa alla
progettazione architetturale dei servizi e delle applicazioni e alle loro successive evoluzioni,
fornendo supporto per la corretta scelta del modello di hosting maggiormente idoneo, del
corretto framework applicativo, ecc. Inoltre, sulla base dei requisiti potrà definire vincoli
sull’utilizzo delle risorse (ad esempio rete, banda, hardware, ecc.), secondo quanto definito in
2.1.5 (Vincoli nell’utilizzo delle risorse).
2.4.2. Software supportato
Area Servizi ICT è in grado di fornire supporto alla realizzazione di soluzioni tramite alcune
tecnologie specifiche che includono sistemi operativi, software e framework applicativi di diversa
11
natura. Per un catalogo degli ultimi elementi si rimanda all’ultima versione dell’offerta disponibile
[Polimi - Offerta_hosting_ASICT]
Area Servizi ICT consiglia l’adozione di software direttamente supportato, ma non esclude la
possibilità di concedere l’autorizzazione all’utilizzo di software alternativo (che comunque dovrà
essere in linea con i prodotti supportati) in funzione di specifiche esigenze di progetto da parte del
fruitore. In tal caso saranno concordate anche le modalità di gestione del software.
In ogni caso il software utilizzato su tutti i sistemi appartenenti all’infrastruttura gestita da Area
Servizi ICT deve essere conforme a eventuali brevetti applicabili e/o ai termini delle licenze
specifici.
2.4.2.1. Moduli e software installato
Per quanto riguarda il software supportato, tutti gli applicativi sono forniti secondo configurazioni
e a un livello di aggiornamento adeguato per garantire la sicurezza dell’intera infrastruttura. I
framework applicativi, inoltre, possono essere forniti con un insieme di moduli aggiuntivi utilizzati
per estenderne le funzionalità. Tali moduli sono opportunamente testati e valutati da Area Servizi
ICT.
In generale, non sono previste e consentite personalizzazioni rispetto alle funzionalità di base
offerte per i prodotti supportati. Eventuali richieste in tal senso, saranno valutate singolarmente.
In ogni caso, anche dopo la fase di progettazione del sistema, il fruitore è tenuto a richiedere
l’autorizzazione per l’installazione di ulteriore software, o moduli aggiuntivi su sistemi da lui
direttamente gestiti.
2.4.3. Hardening dei sistemi
Il software installato sui sistemi al momento della definizione di un servizio di hosting è di norma
aggiornato all’ultima versione disponibile, salvo particolari esigenze da concordare in fase di
progettazione.
Le istanze dei sistemi sono soggette ad hardening in modo da garantire l’esposizione dei soli
servizi strettamente necessari alla realizzazione del progetto e approvati da Area Servizi ICT,
secondo quanto definito nella sezione 2.3 (Sicurezza di rete).
Per i sistemi direttamente gestiti, il fruitore è tenuto a adottare le medesime accortezze,
installando le ultime versioni disponibili dei software e verificando la corretta configurazione dei
servizi, in modo da esporre soltanto quelli effettivamente necessari agli scopi del progetto.
2.4.3.1. Specificità per l’ambito IaaS
L’hardening delle macchine virtuali fruite secondo il paradigma IaaS dovrà essere eseguito allo
stesso modo, garantendo l’esposizione dei soli servizi approvati da Area Servizi ICT durante la fase
di progettazione. Inoltre, nel caso di utilizzo di servizi specifici, la raggiungibilità sarà limitata
all’interno di un layout di rete virtuale, in linea con quanto riportato in sezione 2.3.2.1
(Comunicazione con servizi di rete generali). Il fruitore, per i sistemi nei quali detiene privilegi di
accesso a livello di sistema operativo, ha il compito di mantenere la configurazione conforme a
quanto stabilito dalla presente policy.
12
2.4.4. Aggiornamento e manutenzione dei sistemi
Area Servizi ICT ha in carico l’aggiornamento di tutto il software supportato, inclusi i sistemi
operativi, i framework applicativi e i relativi moduli aggiuntivi. Gli aggiornamenti sono classificati
in due differenti categorie, secondo il possibile impatto che può avere sull’ambiente in
produzione:
• gli aggiornamenti major sono quelli che una volta eseguiti possono influire sul
funzionamento del sistema a cui sono applicati, ad esempio modificandone le API o
rendendo incompatibili alcuni moduli software aggiuntivi;
• gli aggiornamenti minor, invece, sono quelli che non comportano modifiche significative
funzionali importanti, ma consentono ad esempio la correzione di bug o l’applicazione di
patch di sicurezza.
Gli aggiornamenti major sono soggetti a una fase di pre-analisi da parte di Area Servizi ICT, atta a
valutare il potenziale impatto al sistema in essere. Area Servizi ICT si riserva il diritto di decidere
qualora sia necessario o meno procedere con un aggiornamento di tale categoria. In ogni caso, tali
aggiornamenti verranno sempre eseguiti entro un tempo congruo rispetto alla data di scadenza
del supporto professionale associato allo specifico software. Una volta valutata positivamente
l’applicazione di un aggiornamento, Area Servizi ICT notificherà il fruitore dell’imminente
aggiornamento dei sistemi e provvederà alla verifica della compatibilità in ambiente di test,
applicando in seguito gli aggiornamenti all’ambiente in produzione. Nel caso in cui tale
installazione dovesse richiedere modifiche applicative, il fruitore si impegna ad assumersene
l’onere, concordando le modalità con Area Servizi ICT. Al fine di facilitare eventuali modiche, Area
Servizi ICT fornirà il supporto sistemistico necessario.
Gli aggiornamenti minor sono invece sempre applicati il più presto possibile dal momento del
rilascio da parte del produttore. Anche in questo caso Area Servizi ICT provvederà alla notifica
verso il fruitore dell’aggiornamento, e alla verifica della compatibilità con i propri sistemi
nell’ambiente di test, prima di applicare gli aggiornamenti anche all’ambiente in produzione.
In ogni caso, il fruitore è tenuto alla verifica di compatibilità di eventuali software o moduli
aggiuntivi da lui gestito. Inoltre, qualora utilizzi software non direttamente supportati da Area
Servizi ICT, ma comunque autorizzato secondo le modalità descritte in 2.4.2 (Software
supportato), il fruitore è responsabile del mantenimento dei sistemi aggiornati, in maniera
analoga a quanto descritto in precedenza.
2.4.5. Software di sicurezza
In funzione della tipologia di servizio erogato, dei sistemi, o degli applicativi utilizzati, Area Servizi
ICT potrà installare o richiedere l’installazione di uno specifico software di sicurezza quale, ad
esempio, antivirus, anti-malware, personal firewall, ecc.
Nel caso in cui vengano giudicati potenzialmente pericolosi da tali software, alcuni contenuti
potrebbero risultare non disponibili al fruitore. In tal caso Area Servizi ICT provvederà comunque
a notificare tale condizione al fruitore e, qualora fosse necessario, verificherà l’effettivo rischio
legato a tali contenuti.
13
2.4.6. Monitoraggio dei sistemi e delle applicazioni
Al fine di consentire la protezione da eventi malevoli, quali abusi sul sistema o diffusione di
contenuti malevoli, Area Servizi ICT si riserva il diritto introdurre processi di monitoraggio anche
attraverso la collezione e l’analisi di registrazioni delle operazioni effettuate, quali log di sicurezza,
statistiche e performance dei sistemi. Tali memorizzazioni saranno conservate per un periodo di
tempo conforme alle normative vigenti in materia. In ogni caso tali registrazioni saranno utilizzate
soltanto ai fini di monitoraggio e non saranno resi disponibili per alcun motivo al fruitore o a terzi.
In particolare, per i sistemi gestiti direttamente dal fruitore, Area Servizi ICT si riserva il diritto di
richiedere l’attivazione di software o funzionalità specifici al fine di garantire un adeguato livello di
monitoraggio.
Violazioni o anomalie eventualmente riscontrate saranno gestite secondo le linee generali
descritte nella sezione 2.6.3 (Gestione continuità operativa e incidenti).
2.4.7. Sicurezza nei processi di configurazione e sviluppo
Area Servizi ICT segue le più recenti best practice e linee guida per la configurazione dei sistemi e
lo sviluppo sicuro delle applicazioni. Il fruitore è tenuto ad allinearsi a tali pratiche in modo che i
sistemi gestiti e il software sviluppato siano adeguatamente protetti, così da limitare errori,
perdite, modifiche non autorizzate delle informazioni o costituire potenziali vulnerabilità del
sistema, per quanto applicabile alle tecnologie di riferimento supportate.
Area Servizi ICT si riserva di introdurre procedure formali atte a controllare le modifiche
applicative al fine di verificarne la sicurezza. Pertanto il fruitore è tenuto a comunicare qualsiasi
modifica alle configurazioni di sistemi già in essere, o pianificazione di sviluppi applicativi, in modo
da supportare tale processo di controllo.
Nel capitolo che riporta la contestualizzazione delle indicazioni incluse nella presente policy
[Servizi di hosting offerti dall'Area Servizi ICT: contestualizzazione tecnologica] sono riportati
esempi di configurazioni e di best practice di riferimento, i quali possono essere utilizzati come
riferimento in tal senso.
2.5. Controllo degli accessi
L’accesso alle risorse deve essere opportunamente controllato a tutti i livelli, partendo dagli
accessi fisici al datacenter, fino ad arrivare agli accessi logici agli applicativi erogati tramite i servizi
offerti da Area Servizi ICT. Gli aspetti di sicurezza in tale ambito sono a carico dell’attore che
effettivamente gestisce lo specifico sottosistema (ad esempio sistema operativo, storage,
framework applicativo, modulo, ecc.). La suddivisione delle competenze tra il fruitore e l’Area
Servizi ICT varia a seconda del livello e della tipologia di implementazione prevista dal modello di
servizio fruito. Gli accessi logici saranno, quando possibile, con credenziali personali.
14
2.5.1. Controllo accessi fisici al datacenter
Gli accessi fisici al datacenter di norma sono consentiti al solo personale addetto di Area Servizi
ICT e, in particolare per quanto riguarda la sala macchine, sono limitati al solo personale
precedentemente identificato e selezionato.
I fornitori di tecnologie potranno accedere al datacenter e alla sala macchine durante le fasi di
installazione, configurazione e manutenzione degli apparati accompagnato dal personale addetto
di Area Servizi ICT. L’accesso in particolare alla sala macchine è proibito ai fruitori del servizio, per
i quali è consentito soltanto l’accesso alle sale adiacenti, in seguito a richieste motivate e
comunque previa presenza di personale addetto di Area Servizi ICT.
2.5.2. Controllo accessi alla rete
L’accesso alla rete interna mediante connessione diretta agli apparati è di norma prerogativa
soltanto del personale di Area Servizi ICT. Tale accesso può essere consentito anche al fruitore, in
seguito a richieste motivate, durante le fasi di installazione e configurazione dei servizi richiesti,
soltanto dalle sale adiacenti alla sala macchine, e comunque sempre in presenza di personale di
Area Servizi ICT.
2.5.3. Controllo accessi al sistema operativo
Area Servizi ICT dispone di utenze di tipo amministrativo per ogni sistema operativo direttamente
gestito.
Di norma le utenze di accesso al sistema operativo concesse al fruitore non hanno privilegi
amministrativi. Tuttavia, nell’eventualità in cui alcune applicazioni specifiche lo richiedano,
l’assegnazione di utenze di tal tipo al fruitore del servizio sarà valutata da Area Servizi ICT. In tal
caso, l’esatto livello di privilegio delle utenze sarà definito da Area Servizi ICT sulla base delle
effettive esigenze specifiche. A seconda di tale livello di privilegio, potranno essere richiesti al
fruitore gli estremi di persone fisiche alle quali associare la responsabilità di tali utenze.
2.5.3.1. Specificità per ambito IaaS
Al fruitore, nel caso utilizzi direttamente una macchina virtuale, potrebbero essere concesse delle
utenze amministrative per accedere alla console di gestione della macchina medesima. Il livello di
privilegio di tale utenza sarà comunque definito da Area Servizi ICT sulla base delle esigenze
specifiche.
Area Servizi ICT si riserva il diritto di mantenere comunque un accesso privilegiato ai sistemi
operativi di tali macchine, allo scopo di garantire un adeguato livello di servizio e sicurezza
dell’intera infrastruttura.
2.5.4. Controllo accessi agli applicativi
Area Servizi ICT dispone di accessi amministrativi per tutti i server e gli applicativi supportati e
direttamente gestiti dalla struttura stessa. Di norma utenze di tale livello sono possedute soltanto
15
da Area Servizi ICT. Tuttavia, nel caso in cui alcune applicazioni specifiche lo richiedano,
l’assegnazione di utenze amministrative al fruitore del servizio sarà valutata in via eccezionale da
Area Servizi ICT. ln alcuni casi al fruitore potrà essere consentito di avere accesso diretto ad alcuni
database. Tale accesso sarà permesso solo con utenze personali e tramite VPN.
2.5.5. Controllo accessi esterni/VPN
Gli accessi esterni all’infrastruttura gestita da Area Servizi ICT sono garantiti soltanto attraverso
l’utilizzo di connessioni sicure a utenze personali riconducibili a utenti riconosciuti, la cui identità è
stata cioè validata dal Politecnico di Milano.
Il fruitore potrà accedere al proprio spazio di hosting attraverso connessione sicura basata su
credenziali. Tale connessione consentirà l’accesso al file system per il caricamento dei contenuti, e
l’accesso ai file di configurazione e di log.
Per quanto riguarda i sistemi forniti in ambito IaaS, o per particolari esigenze concordate in fase
progettuale, il fruitore potrà accedere alla console di amministrazione delle macchine virtuali
attraverso un’apposita interfaccia attraverso una connessione sicura.
Di norma, non sono consentiti accessi alla rete interna da parte del fruitore dei servizi di hosting
attraverso connessioni dedicate VPN. Accessi di tale tipologia potranno essere concessi in via
eccezionale, in funzione di specifiche esigenze e comunque limitatamente ad alcune reti ed al solo
scopo di raggiungere gli effettivi servizi necessari.
2.6. Gestione vulnerabilità
La gestione di vulnerabilità include il processo di tracking management e di patching di sicurezza
dei sistemi, e rappresenta un elemento essenziale per il mantenimento di un livello di sicurezza
adeguato durante l’esercizio di un servizio. Tipicamente tale processo è in carico ai responsabili
dell’Area servizi ICT, ma richiede una cooperazione proattiva da parte dei fruitori del servizio, in
particolare per quanto riguarda i software non direttamente supportati da Area Servizi ICT e per le
macchine virtuali interamente gestite dai fruitori stessi.
2.6.1. Vulnerability tracking management
Area Servizi ICT svolge attività per l’identificazione di possibili vulnerabilità, valutandone l’entità di
un eventuale impatto, e individuando le relative azioni di rientro, eventualmente stimandone
l’effort previsto.
Il fruitore è tenuto a collaborare nelle modalità richieste da Area Servizi ICT, collaborando ad
esempio con i tecnici ASICT alle attività di monitoraggio dei sistemi da lui direttamente gestiti, e
con la segnalazione di rilevamento di vulnerabilità, ecc.
Inoltre, in particolare per i servizi gestiti direttamente, il fruitore è tenuto a garantire una
modalità di gestione delle vulnerabilità analoga, fornendo comunque tempestivamente le
informazioni necessarie ad Area Servizi ICT per la valutazione dell’impatto e l’individuazione delle
azioni di rientro.
16
2.6.2. Patching di sicurezza dei sistemi
Il patching di sicurezza per i sistemi e i componenti software supportati è gestito direttamente da
Area Servizi ICT. Al fine di garantire la sicurezza generale, gli aggiornamenti legati alla sicurezza
informatica saranno sempre eseguiti nel minor tempo possibile, di norma secondo le modalità di
aggiornamenti come descritto in 2.4.4 (Aggiornamento e manutenzione dei sistemi).
Qualora fosse identificato un aggiornamento di sicurezza particolarmente critico, ad esempio in
seguito a specifico annuncio da parte del produttore del software, oppure in seguito a valutazioni
interne, Area Servizi ICT si riserva il diritto a procedere a tale aggiornamento eludendo la fase di
verifica della compatibilità dei sistemi nell’ambiente di test, comunque notificando il fruitore del
fatto.
Per quanto riguarda i sistemi e i moduli software direttamente gestiti, il fruitore è tenuto ad
adottare modalità analoghe per l’applicazione delle patch di sicurezza ai propri sistemi, sempre
fornendo opportuna notifica ad Area Servizi ICT.
2.6.3. Gestione continuità operativa e incidenti
La gestione della continuità operativa e di recupero in seguito a incidenti rilevanti al fine della
sicurezza informatica è a carico principalmente dell’Area Servizi ICT. Anche in questo caso, in
particolare per i sistemi o i sottosistemi direttamente gestiti dai fruitori del servizio, è richiesta
una collaborazione tra gli attori in modo da garantire una gestione uniforme delle problematiche
da parte di Area Servizi ICT che consenta anche di migliorare le attività di prevenzione e reazione
agli incidenti e, di conseguenza, la sicurezza dell’intera infrastruttura.
2.6.4. Attuazione dei backup
Area Servizi ICT ha in carico la definizione e l’attuazione di procedure di backup, attraverso
strumenti da essa selezionati. Tali procedure sono svolte sull’intera infrastruttura di hosting
principalmente per scopi di continuità operativa e disaster recovery. Area Servizi ICT verifica la
corretta esecuzione dei back-up e garantisce che l’archiviazione delle informazioni sia sicura ed
effettuata su supporti idonei, secondo criteri e i tempi di conservazione conformi alla normativa
vigente in materia. Eventuali differenze nelle procedure di backup tra differenti tipologie di servizi
sono specificate all’interno dell’offerta dei servizi stessi. Le attività di ripristino dei backup sono
effettuate principalmente in seguito di incidenti o guasti alla piattaforma. Per supplire a eventuali
errori di gestione, manutenzione, o pubblicazione contenuti riconducibili al fruitore del servizio
tali procedure potrebbero non rivelarsi adatte o sufficientemente snelle. ASICT quindi potrà
predisporre, ove possibile ed in base alle richieste, dei sistemi di backup e restore più orientati a
tali utilizzi.
Il fruitore del servizio non deve effettuare alcun tipo di configurazione che ostacoli il
funzionamento delle attività di backup predisposte da ASICT. Inoltre, qualsiasi attività batch
definita dal fruitore sui propri sistemi e non preventivamente concordata con Area Servizi ICT,
sarà eseguita con priorità inferiore rispetto alle attività di backup.
17
Necessità di backup diverse da quelle proposte andranno richieste all’Area Servizi ICT e, se non
soddisfatte, svolte in proprio dal fruitore. In ogni caso Area Servizi ICT dovrà essere informata
dell’esistenza di tali attività e della loro natura.
2.6.5. Modalità di gestione degli incidenti
La gestione degli incidenti rilevanti ai fini della sicurezza informatica è a carico di Area Servizi ICT,
definite in conformità alle vigenti normative in materia e ai Service Level Agreement (SLA)
concordati con il fruitore sulla base di quanto descritto nel documento [Polimi Offerta_hosting_ASICT]. La gestione degli incidenti include attività quali: la rilevazione di attività
potenzialmente malevole attraverso i processi di monitoraggio dei sistemi, la valutazione della
gravità dell’incidente, e la relativa pianificazione delle attività di rientro.
Nell’eventualità in cui accada un incidente di sicurezza di norma Area Servizi ICT provvederà ad
avvisare il fruitore o il responsabile del sistema, il quale è tenuto a collaborare proattivamente a
tutte le fasi della gestione dell’intervento. Tuttavia, in funzione del livello di urgenza di tale
intervento, Area Servizi ICT potrebbe procedere alla risoluzione dell’intervento in autonomia.
In particolare per quanto riguarda i sistemi direttamente gestiti, il fruitore è tenuto a segnalare le
versioni dei software utilizzati sui sistemi direttamente gestiti, secondo quanto indicato nella
sezione 2.4.2.1 (Moduli e software installato), e a monitorare l’eventuale insorgenza di
vulnerabilità o compromissioni specifiche (in particolare quelli che impattano sui contenuti),
segnalandole proattivamente al personale di Area Servizi ICT predisposto a tale attività.
Nel caso di attacco manifesto, il fruitore è tenuto in ogni caso a segnalare il fatto e, di norma, a
concordare le azioni di rientro con Area Servizi ICT. Tuttavia, in base alla gravità dell’accaduto,
qualora si trovi costretto a intervenire, il fruitore è tenuto a farlo senza eliminare informazioni
(log, files, configurazioni, etc.). Tali informazioni possono infatti essere utili ad Area Servizi ICT al
fine di estendere meccanismi di previsione degli attacchi o per assolvere a obblighi di legge.
Area Servizi ICT si riserva la possibilità di sospendere l’erogazione del servizio in caso di ripetuta
violazione da parte del fruitore del servizio dei vincoli di collaborazione per la sicurezza espressi.
2.7. Organizzazione e governance della sicurezza
La gestione organizzativa e la governance della sicurezza informatica si estendono alle relazioni
tra fruitore e Area Servizi ICT, allo svolgimento di audit di sicurezza e alla conformità alla
compliance normativa. Tali aspetti sono regolamentati da Area Servizi ICT.
2.7.1. Indicazioni per la gestione degli accordi con personale esterno
Al fine di garantire un adeguato servizio, il fruitore di un servizio di hosting offerto da Area Servizi
ICT deve fornire i recapiti di un referente tecnico e di un responsabile del sito/servizio, i quali
devono essere riconosciuti attraverso la verifica dei loro dati da parte di un addetto del
Politecnico di Milano. Per ognuna delle figure, il fruitore è tenuto a fornire chiara indicazione dei
contatti e degli orari di reperibilità ad essi associati.
Il referente tecnico è la figura responsabile per la gestione e la sicurezza degli applicativi o dei
sistemi utilizzati dal fruitore. Tale figura deve quindi essere in grado di interagire con i tecnici di
18
Area Servizi ICT durante la fase di progettazione del sistema e di far fronde a eventuali incidenti di
sicurezza, o problematiche dovute a problemi accidentali o nate in fase di aggiornamento dei
sistemi.
Il responsabile del sito/servizio è il principale riferimento associato all’applicativo o al sistema
installato nello spazio hosting offerto da Area Servizi ICT ed è responsabile dei contenuti
pubblicati ed erogati tramite tali sistemi.
Ogni modifica ai ruoli o ai nominativi delle persone indicate all’Area Servizi ICT dovrà essere
comunicata tempestivamente dal referente amministrativo. Sarà cura del fruitore assicurare un
corretto passaggio di consegne tra vecchi e nuovi gestori, siano essi referenti tecnici o
amministrativi.
2.7.2. Audit di sicurezza
È prevista la definizione di attività di audit di sicurezza al fine di garantire conformità rispetto a
quanto prescritto nella presente policy, e di prevenire violazioni quali la diffusione di virus,
l’accesso malevolo/abusivo alle macchine e alle infrastrutture, o la diffusione/sottrazione di
contenuti protetti da copyright.
In generale, Area Servizi ICT si riserva il diritto di attuare attività di audit, con modalità differenti
descritte in seguito alle seguenti macro-categorie di servizi:
• servizi in carico a fruitori, erogati all’interno del datacenter direttamente gestito da Area
Servizi ICT;
• servizi erogati da sistemi attestati sulla rete del Politecnico di Milano. Tale infrastruttura
di rete è direttamente connessa alla rete GARR, per la quale Area Servizi ICT è tenuta a far
rispettare le policy specifiche;
• servizi erogati da soggetti esterni, ma correlati con il Politecnico di Milano. In tal categoria
ricadono principalmente i servizi non ricadenti nei casi precedenti, che fanno uso in
qualsivoglia forma del brand “Politecnico di Milano”, oppure di dati di proprietà o
potenzialmente utili al Politecnico di Milano.
Le modalità con cui le attività di audit saranno attuate, sono descritte nella seguente tabella:
19
Controllo dei contenuti pubblicati, al
fine di verificarne l’idoneità rispetto
le finalità del Politecnico di Milano,
e/o con non violini diritti di copyright
Assessment di sicurezza dei
meccanismi di accesso
SERVIZI E RELATIVI SISTEMI COINVOLTI
Servizi erogati
Servizi erogati da
Servizi correlati con il
all’interno del
sistemi attestati sulla Politecnico di Milano,
datacenter gestito da
rete del Politecnico
ma erogati da sistemi
Area Servizi ICT
di Milano
esterni
ATTIVITA’ SVOLTE







Assessment sulla sicurezza e
sull’hardening della macchina che
eroga il servizio, nonché sulle
configurazioni dei servizi attivi

Assessment di sicurezza sulle
modalità di implementazione dei
servizi e sulle logiche applicative
adottate
In caso di anomalie
riscontrate durante
le attività di
monitoraggio delle
comunicazioni
Previo accordo con il
soggetto terzo
In caso di anomalie
riscontrate durante le
attività di assessment
di sicurezza dei
meccanismi di
accesso, previo
accordo con il
soggetto terzo


Monitoraggio delle comunicazioni di
rete al fine di prevenire la
propagazione di malware e
connessioni potenzialmente
malevole


A fronte di reiterate violazioni evidenziate in successive attività di audit, o in conseguenza di
situazioni giudicate particolarmente gravi a discrezione di Area Servizi ICT, saranno intrapresi i
seguenti provvedimenti, distinti in base alle macro-categorie di servizio descritte in precedenza:
• per i servizi erogati all’interno del datacenter gestito da Area Servizi ICT: sospensione
dell’erogazione del servizio, o isolamento dei sistemi e della connettività;
• per altri servizi erogati da sistemi attestati sulla rete del Politecnico di Milano:
sospensione della connettività di rete ed eventuale valutazione di spostamento di tali
servizi all’interno del datacenter direttamente gestito, in modo da consentire ad Area
Servizi ICT di mantenere un maggiore livello di controllo;
• per servizi esterni correlati con il Politecnico di Milano: inoltro della segnalazione di
possibile violazione all’autorità di competenza.
Al fine di migliorare l’efficacia dei controlli e ridurre quanto possibile l’identificazione di falsi
positivi, Area Servizi ICT effettua un censimento dell’intero parco servizi che sono attestati
all’interno della rete del Politecnico di Milano connessa alla rete scientifica GARR. Il fruitore, o
qualunque altro soggetto facente parte di strutture del Politecnico di Milano, è tenuto a notificare
l’attivazione di un servizio sulla rete, indicando la tipologia del servizio, il nome e l’indirizzo della
macchina su cui è erogato, e le finalità.
Le modalità secondo le quali verrà effettuato tale censimento sono in linea con quanto descritto
nella delibera di Ateneo n° 234 del 31/05/2005 per quanto concerne Censimento dei server e
filtraggio del traffico di rete.
20
2.7.3. Compliance normativa
Le informazioni raccolte da servizi erogati attraverso l’infrastruttura gestita da Area Servizi ICT
devono sempre essere trattate in conformità con quanto definito nel Decreto Legislativo n°
196/2003, “Codice in materia di protezione dei dati personali”. In particolare, per i servizi che
interagiscono con l’anagrafica unica di Ateneo, si rimanda a quanto descritto per tale ambito in
http://www.polimi.it/privacy.
Nell’eventualità in cui il fruitore abbia accesso amministrativo a sistemi in cui vengono
memorizzati dati personali, si impegna ad attenersi alle indicazioni del Politecnico di Milano per
quanto concerne gli amministratori di sistema esterni e comunque ad operare in conformità con
quanto indicato nel provvedimento del garante per la protezione dei dati personali del 27
novembre 2008, “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con
strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”.
L’accesso fisico a fornitori del servizio, qualora concesso nelle modalità descritte in sezione 2.5.1
(Controllo accessi fisici al datacenter), deve avvenire secondo modalità conformi al decreto
legislativo 9 aprile 2008, n 81. In particolare il fornitore è tenuto a munire il proprio personale,
occupato presso i locali tecnici di Area Servizi ICT, di un’apposita tessera di riconoscimento,
contenente le generalità del soggetto medesimo, e della società di appartenenza. Qualora si
avvalga di un fornitore esterno per l’installazione di apparati presso il datacenter di Area Servizi
ICT, il fruitore è tenuto a informarlo dell’obbligo di esporre suddetta tessera.
21