Amilon

Security Measures

SECURITY POLICY

  1. Amilon implementa una Information Security Policy adeguata al proprio ambito di servizio, con particolare attenzione al trattamento dei dati personali
  2. Amilon aggiorna la Security Policy almeno annualmente e la comunica al proprio personale dipendente, ai collaboratori e alle terze parti coinvolte nel trattamento dei dati

RUOLI E RESPONSABILITÀ

  1. Amilon definisce, documentata e comunica i ruoli e le responsabilità del personale coinvolto nella gestione dei processi inerenti la data protection.
  2. I ruoli e le aree di responsabilità attribuite ai principali attori coinvolti nella gestione della data protection (es. security officer, security auditor, DPO) sono definiti nel rispetto del principio di Segregation of Duties, ossia sono il più possibile distinti e indipendenti.

ACCESS MANAGEMENT

  1. Amilon, in base a criteri di eleggibilità verificati, identifica i ruoli cui sono concessi poteri da amministratore e ne limita l'assegnazione a un numero minimo di utenti.
  2. Amilon implementa un sistema di controlli degli accessi su tutti gli utenti dei sistemi informativi che preveda la creazione, approvazione, monitoraggio e cancellazione degli account.
  3. Non è concesso l'utilizzo di account generici o comuni, ma gli account sono individuali e univoci.
  4. Il meccanismo di autenticazione implementato prevede l'accesso ai sistemi attraverso l'utilizzo di uno user ID e di una password o attraverso autenticazione biometrica (impronte digitali). La password è complessa (lunghezza, numeri, lettere, caratteri speciali) e ha una data di validità di massimo 90 giorni. Dopo 90 giorni l'utente è obbligato a modificarla.
  5. La password policy è formalmente documentata e diffusa al personale.
  6. Le password degli utenti sono archiviate in forma "hashed", ossia criptate con un algoritmo che non permette la reversibilità della codifica.

ASSET MANAGEMENT

  1. Amilon redige e mantiene aggiornato un inventario degli asset IT (hardware, software, network, utilizzati per il trattamento dei dati personali che contiene le seguenti informazioni: asset, tipologia, locazione, responsabile dell'asset, assegnatario dell'asset.
  2. Amilon identifica il personale che può avere accesso o meno a ciascun asset informativo, specialmente se coinvolto nel trattamento di dati personali particolari.

CHANGE MANAGEMENT

  1. Amilon registra e monitora tramite personale autorizzato tutte le change effettuate sui propri asset IT.
  2. Le attività di sviluppo vengono svolte in ambiente protetto e separato dai sistemi IT utilizzati per il trattamento di dati personali.
  3. L'ambiente di test, separato da quello di sviluppo e da quelli di produzione, non contiene dati reali e, qualora presenti, essi sono protetti da misure di sicurezza equivalenti a quelle presenti in ambiente di produzione.
  4. Amilon stabilisce e documenta una Policy per la Gestione delle Change che definisce i ruoli e le responsabilità delle funzioni coinvolte e l'iter di controllo.

INCIDENT MANAGEMENT

  1. Amilon implementa un piano di Gestione degli Incident.
  2. Amilon implementa una procedura di Gestione dei Data Breach e di Notifica al Garante.
  3. Amilon dispone di un registro degli incident ad alto impatto avvenuti (compresi i data breach) nel quale indica le azioni di mitigazione intraprese.

BUSINESS CONTINUITY E DISASTER RECOVERY

  1. Amilon stabilisce, documenta e implementa un piano di Business Continuity che definisce il livello di qualità del servizio garantito e che identifica i ruoli e le responsabilità coinvolte nel processo.
  2. Amilon stabilisce, documenta e implementa un piano di Disaster Recovery.

FORMAZIONE DEL PERSONALE

  1. I principi base e le norme di data protection sono diffusi a tutto il personale.
  2. Sono previsti programmi di formazione e aggiornamento specifici inerenti il GDPR a seconda del ruolo ricoperto dal personale nel trattamento dei dati personali.

LOGGING E MONITORING

  1. I log degli accessi a tutti i sistemi informativi sono tracciati e conservati in maniera protetta.
  2. Le azioni compiute dagli Amministratori di sistema sono tracciate, incluse le operazioni di aggiunta, modifica o cancellazione dei privilegi delle utenze.
  3. L'accesso ai log e l'eventuale modifica sono a loro volta tracciati da apposito log.
  4. E' implementato un processo di monitoraggio periodico dei log.

DATABASE E SERVER SECURITY

  1. I database e gli application server sono configurati nel rispetto del principio di data minimization (nei sistemi non sono presenti più dati di quelli strettamente necessari).
  2. Sono previsti account separati per operare a livello di Database e Application Server concedendo privilegi minimi a livello di sistema operativo.

WORKSTATION SECURITY

  1. Gli utenti assegnatari della workstation non possono disattivare o bypassare le impostazioni di sicurezza.
  2. Su tutti i computer sono configurati Software antivirus e di detection signatures.
  3. I computer sono impostati sul blocco automatico della sessione dopo un certo periodo di inattività dell'utente (5 minuti).
  4. L'utenza viene bloccata per 10 minuti in caso di 5 inserimenti errati della password di accesso.
  5. Gli aggiornamenti rilevanti rilasciati dallo sviluppatore del sistema operativo sono installati regolarmente.
  6. E' disincentivata, attraverso la stesura di norme comportamentali, la possibilità di trasferire dati personali dalla workstation a un supporto di memorizzazione esterno (es. USB, hard disk esterni, CD/DVD).

NETWORK E COMMUNICATION SECURITY

  1. Le trasmissioni di informazioni tramite internet sono protette attraverso l'utilizzo di protocollo di comunicazione cifrati; in particolare Amilon adotta i protocolli https/ftps.
  2. L'accesso ai sistemi IT tramite rete wireless è consentito solo a utenti e sistemi autorizzati dal reparto Sistemi.
  3. Gli accessi da remoto, laddove necessari, sono effettuati solo da device pre-autorizzati tramite Virtual Private Network (VPN).
  4. Il traffico in entrata e in uscita dai sistemi IT è monitorato e tenuto sotto controllo tramite Firewalls e Intusion Detection Systems.

BACKUP E RESTORE

  1. I backup sono conservati in maniera sicura, secondo regole e procedure stabilite in base alla tipologia del dato e del servizio che utilizza il dato.
  2. L'esecuzione dei Backup viene monitorata e vengono effettuati test di restore periodici per valutarne la congruenza e la completezza.
  3. Backup totali e incrementali sui dati relativi alle movimentazioni delle gift cards vengono effettuati con scadenza giornaliera.

MOBILE DEVICE

  1. L'utilizzo di dispositivi mobili e portatili è normato attraverso la formulazione e pubblicazione di regole comportamentali.

APPLICATION LIFECYCLE SECURITY

  1. Durante le prime fasi dello sviluppo software vengono definiti specifici requisiti di sicurezza.
  2. Il ciclo di vita degli applicativi viene guidato dall'utilizzo e la consultazione di best practice e di standard di secure coding (https://safecode.org/).
  3. Periodicamente vengono svolti attività di Vulnerability Assessmet e di Penetration Test.
  4. Le patch sono testate e autorizzate in ambiente di test prima di essere installate in ambiente di produzione.

DATA DELETION AND DISPOSAL

  1. Tutti i dispositivi sono soggetti a riscrittura prima della dismissione.
  2. Amilon disincentiva l'utilizzo di supporti cartacei per i documenti contenenti dati personali e/o classificati, tuttavia ove necessario questi documenti sono conservati in maniera sicura in armadietti e/o cassetti chiusi a chiave, o distrutti in maniera sicura.
  3. I dispositivi informatici i cui dati non possono essere cancellati in maniera sicura sono distrutti fisicamente in maniera tale da rendere i dati irrecuperabili.

SICUREZZA FISICA

  1. I sistemi informativi sono protetti attraverso l'utilizzo di barriere fisiche da accessi non autorizzati.
  2. Gli accessi a locali contenenti sistemi informativi sono tracciati e monitorati.
  3. Il personale addetto alla manutenzione e i visitatori sono registrati e accompagnati per tutto il tempo di permanenza da un referente interno autorizzato.
  4. Amilon ha un piano di sicurezza fisica e, attraverso un adeguato programma informativo, invita i propri dipendenti e collaboratori a mantenere un comportamento adeguato.
  5. Gli accessi agli uffici da parte del personale sono consentiti attraverso l'utilizzo di badge magnetici.