Modello di responsabilità condivisa

8 nov 2024

2.0

Pubblico

Modello di Responsabilità Condivisa

Storico revisioni

Note

Prima stesura

Aggiornamento dei
sub-fornitori

Autore

A. Illiano

F. Minolfi

A. Bruno

Note

Prima stesura

Aggiornamento dei
sub-fornitori

Il modello di responsabilità condivisa

Al fine di garantire un utilizzo corretto e consapevole della Piattaforma AIO, il presente documento definisce l’allocazione dei ruoli e delle responsabilità nell’ambito della sicurezza delle informazioni con i clienti del servizio cloud.

La sicurezza e la conformità sono una responsabilità condivisa tra il Cliente e TOCTOC. È errato, infatti, pensare che, utilizzando un servizio Cloud, si possano demandare al Fornitore le responsabilità per qualsiasi problematica: sia essa di natura tecnica, giuridica o di sicurezza.

Nel cloud, TocToc mira a garantire la sicurezza, la conformità e l’affidabilità dei propri strumenti, dei sistemi su cui vengono eseguiti e dell’ambiente in cui sono ospitati.

Il cliente del servizio cloud deve, quindi, garantire una adeguata allocazione dei ruoli e delle responsabilità riguardo la sicurezza delle informazioni e confermare che può adempiere alle responsabilità e ai ruoli assegnati.

Per comprendere meglio il concetto e la suddivisione delle responsabilità, si è soliti parlare di sicurezza “del” Cloud e “nel” Cloud.

La sicurezza “del” Cloud comprende tutte le attività che riguardano la protezione dell’infrastruttura e delle applicazioni che erogano i servizi ed è un compito del Fornitore assicurarla. TocToc, infatti, garantisce la sicurezza, la conformità e l’affidabilità dei propri strumenti, dei sistemi e dell’ambiente in cui sono ospitati.

La sicurezza “nel” Cloud: comprende tutte le attività che mirano a far sì che l’utilizzo del servizio sia effettuato in totale sicurezza. La responsabilità “nel” cloud è condivisa tra il Cliente e TocToc. Essendo i servizi Cloud forniti da TocToc Software-as-a-Service (SaaS), i temi di sicurezza di prerogativa del cliente riguarderanno principalmente i contenuti, oltre che le pratiche di security utili a garantire la riservatezza, l’integrità e la disponibilità dei propri dati. Ad esempio, il fornitore non ha alcuna responsabilità relativamente alla gestione e alla classificazione dei dati.

Responsabilità del cliente

Al fine di garantire che l’erogazione del servizio avvenga in totale sicurezza, il Cliente deve prestare la massima attenzione a:

Responsabilità dei dati

Sei responsabile di:

• Stabilire quali dati condividere e ricevere sul cloud. Sei tu a decidere con chi condividerli, il periodo di conservazione e il mezzo di condivisione.
• Garantire la protezione dei dati personali gestiti utilizzando i servizi TocToc, assicurandoti di non rendere accidentalmente o volontariamente disponibili al pubblico contenuti privati.
• Mantenere l’accuratezza e l’integrità dei dati elaborati nel sistema.
• Garantire che il tuo account di servizio non venga utilizzato da te o da altri per tuo conto, per spam o attività illegali, assicurandoti che i servizi di TocToc vengano utilizzati solo per gli scopi previsti e sanciti contrattualmente.

Password

Sei responsabile della creazione di password complesse per l’accesso al cloud, così come suggerito dalla piattaforma TocToc, e della salvaguardia delle password create.

Sicurezza del client e degli endpoint

• La compromissione di uno dei tuoi endpoint (sia esso laptop, desktop o smartphone) renderà inefficaci tutti gli altri controlli.
• Sei responsabile della sicurezza del tuo endpoint e sei tenuto a mantenere i servizi browser, il sistema operativo mobile e le applicazioni mobili aggiornati alla versione più recente e alle ultime vulnerabilità.

Responsabilità condivisa

Di seguito sono elencate le responsabilità che si applicheranno sia al cliente che a TocToc.

Gestione dell’identità e degli accessi

Forniamo l’infrastruttura per la gestione degli account utente tramite il servizio di gestione delle utenze fornendo:

• Funzionalità per la registrazione dell’utente, opzioni di cancellazione e specifiche su come utilizzarle.
• Funzionalità per la gestione dei diritti di accesso dei tuoi utenti cloud.
• Tecniche di autenticazione forti come l’autenticazione a più fattori.
• Funzionalità di autorizzazione/revoca dei dispositivi utilizzati.

Sei responsabile di:

• Implementare efficaci policy di gestione e controllo dell’accesso degli utenti.
• Configurare password complesse in base alla politica dell’organizzazione e del servizio cloud e proteggerle.
• Abilitare l’autenticazione a più fattori per gli utenti della tua organizzazione.
• Amministrare gli account utente e i privilegi: configurazione dei ruoli utente in base al principio del privilegio minimo.
• Definire gli amministratori dell’account dell’organizzazione e disporre di un processo adeguato per i trasferimenti di proprietà. Adottare le misure necessarie per garantire che la tua organizzazione non perda il controllo dei propri account amministratore.
• Revisionare periodicamente l’elenco degli utenti con accesso ai dati e rimuovere l’accesso a chi non dovrebbe averlo.
• Esaminare frequentemente i dispositivi collegati agli account utente dell’organizzazione e rimuovere i dispositivi non utilizzati o non autorizzati.
• Monitorare gli account utente della tua organizzazione per accessi o utilizzi dannosi.
• Notificare a TocToc qualsiasi utilizzo non autorizzato degli account della tua organizzazione.
• Trasmettere ai tuoi utenti consapevolezza sull’importanza di una buona gestione delle password, sui rischi legati al riutilizzo delle credenziali, agli accessi social e agli attacchi di phishing.

Gestione dati

La nostra piattaforma ti consente di gestire i tuoi dati con:

• Funzionalità di condivisione dei dati per controlli a livello di amministratore e utente.
• Funzionalità di conservazione ed eliminazione dei dati secondo le politiche di data retention definite dal cliente e sancite contrattualmente.
• Funzionalità di limitazione per limitare l’accesso dei dipendenti ai dati dei clienti.
• Mantenere un inventario delle risorse aggiornato per identificare esplicitamente i dati dei clienti del servizio cloud e quelli derivanti dal servizio cloud.
• Fornire strumenti al cliente per classificare ed etichettare le proprie informazioni, documentando e divulgando tali funzionalità (dove applicabile).
• In caso di trasferimento delle informazioni su supporti fisici, predisporre un sistema per registrare i supporti fisici in entrata e in uscita contenenti informazioni, incluso il tipo di supporto fisico, il mittente/destinatario autorizzato, la data e l’ora e il numero di supporti fisici.

Sei responsabile di:

• Due diligence durante il trattamento di informazioni appartenenti a categorie particolari (ad esempio, dati personali/sensibili) applicando controlli adeguati per rispettare i requisiti della legislazione applicabile.
• Mantenere aggiornato un inventario degli asset che tenga conto delle informazioni e delle risorse trattate dal servizio cloud e definire policy di archiviazione e data retention, verificandone la corretta applicazione.
• Etichettare le informazioni e le risorse associate mantenute nell’ambiente del cloud computing in conformità alle proprie policy aziendali (dove applicabile).
• Configurare i permessi di condivisione e visualizzazione corretti.
• Esaminare regolarmente le attività effettuate in piattaforma per identificare eventuali attività sospette.
• Mantenere informazioni di contatto aggiornate con TocToc.
• In caso di trasferimento delle informazioni su supporti fisici, mettere in atto misure aggiuntive (come la crittografia) per garantire che sia possibile accedere ai dati solo nel punto di destinazione e non durante il percorso.

Gestione dei dati verso i sub-fornitori

Lavoriamo per avere integrazioni ed estensioni sicure per le nostre applicazioni:

• Valutiamo le pratiche di sicurezza e privacy dei sub-responsabili che desideriamo incaricare per garantire che siano in linea con gli standard di sicurezza e privacy delle informazioni di TocToc.
• Stipuliamo con loro adeguati accordi sulla protezione dei dati e sui termini di servizio e ci assicuriamo che le loro operazioni vi si attengano.

Sei responsabile di:

• Valutare le soluzioni proposte e l’idoneità della catena di subfornitura in considerazione della condivisione con ambienti di terze parti.
• Rivedere termini e condizioni e l’informativa sulla privacy dei servizi che eroghi attraverso le nostre soluzioni, in merito alle misure di sicurezza, nonché alla raccolta, all’uso o alla divulgazione dei dati.

Diritti dell’interessato

Siamo responsabili di:

• Fornire funzionalità che consentano ai clienti di soddisfare e proteggere i diritti dei propri clienti.
• Notificarti le richieste dei tuoi clienti in caso di contatto diretto per esercitare i loro diritti.

Sei obbligato a:

• Gestire le richieste dei clienti per l’accesso ai dati, la rettifica, la cancellazione e le restrizioni nel trattamento delle loro informazioni personali. (ove possibile)

Crittografia

Proteggiamo i tuoi dati utilizzando la crittografia in transito e a riposo nei seguenti modi:

• Dati in transito: i dati dei clienti trasmessi ai nostri server su reti pubbliche sono protetti utilizzando protocolli di crittografia avanzati. Imponiamo che tutte le connessioni ai nostri server utilizzino la crittografia Transport Layer Security (TLS 1.2/1.3) con cifrature avanzate per tutte le connessioni, incluso l’accesso Web, l’accesso API e l’accesso IMAP/SMTP.
• Dati inattivi: tutti i dati dei clienti vengono crittografati utilizzando l’algoritmo AES (Advanced Encryption Standard) a 256 bit. I dati crittografati a riposo variano a seconda dei servizi che scegli.
• Manteniamo e gestiamo le chiavi utilizzando il nostro servizio di gestione delle chiavi interno.

Sei responsabile di:

• Valutare le tue esigenze di crittografia. In alcuni casi, durante l’utilizzo dei nostri servizi, potresti essere responsabile di definire quali informazioni non devono essere crittografate.
• Assicurarti che vengano applicate tecniche di crittografia e misure di sicurezza adeguate, quando i dati presenti sul nostro cloud vengono esportati nel tuo ambiente, anche attraverso le integrazioni.

Backup

Siamo dotati di un robusto sistema per:

• Realizzare e archiviare i backup in modo sicuro applicando tecniche di crittografia con l’algoritmo AES a 256 bit. Inoltre, il sistema è in grado di eseguire automaticamente controlli di integrità e convalida dei backup completi.
• Abilitare le richieste di ripristino dei dati e fornire un accesso sicuro agli stessi entro il periodo di conservazione.

Sarà tua responsabilità:

• Assicurarti che vengano applicate logiche di backup con misure di sicurezza adeguate, quando i dati presenti sul nostro cloud vengono esportati nel tuo ambiente, anche attraverso le integrazioni.

Gestione degli incidenti

Da parte nostra, ci assicuriamo di:

• Segnalare tutti gli incidenti di cui siamo a conoscenza e che si applicano a te insieme ai dettagli sull’impatto e alle azioni adeguate.
• Tenere traccia di tali incidenti e gestirli.
• Implementare controlli per prevenire il ripetersi di incidenti simili.
• Se richiesto, forniremo ulteriori prove relative all’incidente che ti riguarda.

Ci aspettiamo che tu:

• Intraprenda le azioni suggerite da TocToc in caso di incidenti.
• Fornisca a TocToc i contatti ed eventuali indicazioni su come ricevere la comunicazione dell’incident.
• Soddisfi i requisiti di divulgazione e notifica della violazione dei dati, come la notifica agli utenti finali e alle autorità di protezione dei dati, quando pertinente.
• Segnali gli incidenti, le violazioni legate alla sicurezza e alla privacy di cui sei a conoscenza a security@toctoc.me.

Consapevolezza e formazione

Ci assumiamo la completa responsabilità per:

• Formare i nostri dipendenti affinché siano attenti alla sicurezza e aderiscano a uno standard di sviluppo sicuro. I dipendenti appena assunti partecipano alla formazione obbligatoria sulla sicurezza e sulla privacy oltre a ricevere regolarmente corsi di sensibilizzazione sulla sicurezza tramite e-mail informative, presentazioni e risorse disponibili sulla nostra intranet.
• Formare i nostri dipendenti sulla gestione adeguata dei dati dei clienti del servizio cloud.

Sei responsabile di aggiungere, ai programmi di sensibilizzazione, istruzione e formazione, per tutti gli interessati (responsabili, amministratori di servizi cloud e utenti utilizzatori dei servizi cloud, compresi i dipendenti e i fornitori, etc etc), i seguenti temi:

• Standard e procedure per l’utilizzo dei nostri servizi.
• Come vengono gestiti i rischi legati ai nostri servizi.
• Rischi sul sistema generale e sull’ambiente di rete.
• Considerazioni legali e normative applicabili.

Politica e conformità

TocToc si impegna a rispettare le linee guida internazionali e le normative vigenti pertinenti alla gestione del rischio e all’implementazione dei controlli di sicurezza:

• Implementiamo processi strutturati per identificare, valutare e gestire i rischi legati alla sicurezza delle informazioni, in linea con le migliori pratiche;
• Rispettiamo le leggi vigenti, comprese quelle in materia di protezione dei dati e privacy;
• Forniamo prova della conformità alle legislazioni applicabili e in base ai nostri requisiti contrattuali;
• Proteggiamo i diritti di proprietà intellettuale;
• Promuoviamo un ambiente sicuro per il trattamento dei dati sensibili;
• Assistiamo, ove richiesto, i nostri clienti nelle valutazioni DPIA nella misura consentita dalle leggi applicabili.

È tua responsabilità:

• Valutare le normative e le leggi applicabili alla tua attività e verificare la nostra conformità alle normative e agli standard necessari per la tua attività. È possibile richiedere ulteriori informazioni come prova della nostra conformità;
• Comprendere le nostre politiche, i nostri metodi di valutazione delle politiche e il modo in cui trattiamo i dati. Devi assicurarti che le nostre politiche siano allineate con le tue esigenze operative;
• Condurre la DPIA come richiesto dalle leggi sulla protezione dei dati applicabili alla propria organizzazione e attività prima e durante il trattamento dei dati attraverso la nostra piattaforma;
• Assicurarti di ottenere il consenso/autorizzazione dai tuoi clienti, prima di trattare qualsiasi dato personale/sensibile;
• Valutare l’idoneità dei nostri servizi basati su cloud in base alle informazioni che forniamo e assicurarti che siano sufficienti a soddisfare le tue esigenze di conformità;
• Assicurarti di possedere le autorizzazioni e le licenze appropriate per qualsiasi contenuto, dati o materiali caricati e trattati sui nostri servizi cloud;
• Garantire che l’uso dei nostri servizi non violi i diritti di proprietà intellettuali di terze parti.

Change Management

• Ti forniamo tutte le informazioni utili sulle modifiche al servizio che potrebbero influire sull’erogazione del servizio stesso. Le comunicazioni conterranno tutte le informazioni utili per il cliente, nonché qual è la categoria della modifica, la data e l’ora prevista, una descrizione tecnica e la notifica di inizio e completamento delle attività.
• Qualora comportassero un’interruzione del tuo servizio, ti comunicheremo le modifiche programmate dai nostri subfornitori.

Sei responsabile di:

• Valutare e tener conto dell’impatto di qualsiasi modifica apportata dai noi o da eventuali Fornitori.

Capacity Management

Per l’erogazione del servizio cloud, TocToc:

• Mette a disposizione del cliente risorse (software, hardware, archiviazione dati e connettività di rete, ecc) che sono sotto il proprio controllo.
• Effettua un monitoraggio frequente sulle capacità totali delle proprie risorse al fine di evitare incidenti di sicurezza delle informazioni causati dalla carenza di risorse.
• Concede l’accesso a statistiche rilevanti sull’utilizzo delle risorse, quali statistiche per particolari periodi di tempo e livelli massimi di utilizzo delle risorse, per consentire al cliente del servizio cloud di eseguire la gestione della capacità dei propri servizi.

Il cliente del servizio cloud deve:

• Assicurarsi che la capacità concordata, fornita dal servizio cloud, soddisfi i propri requisiti.
• Monitorare l’uso dei servizi cloud per prevedere le esigenze di capacità per garantire le prestazioni dei propri servizi nel tempo.

La Responsabilità di TocToc

Sicurezza dei dati

• Siamo responsabili dell’isolamento dei tuoi dati archiviati presso di noi. I dati di servizio di ciascun cliente sono logicamente separati dai dati di altri clienti utilizzando una serie di tecniche sicure nel framework.
• Siamo responsabili della riservatezza dei tuoi dati archiviati presso di noi a riposo, in transito e durante l’elaborazione.
• Siamo responsabili dell’integrità sia dei tuoi dati che dei dati di sistema come registri e dati di configurazione.
• Siamo responsabili della tracciabilità e del controllo dei tuoi dati, in modo tale che in qualsiasi momento sia possibile conoscere l’ubicazione fisica e il trattamento dei dati.

Disponibilità

• Siamo responsabili di garantire che i nostri servizi siano disponibili secondo gli SLA concordati contrattualmente.

Business continuity

• Siamo responsabili di disporre di un piano di continuità aziendale per le nostre operazioni principali come il supporto e la gestione delle infrastrutture.
• Garantiremo che i dati delle applicazioni archiviati sullo storage resiliente vengano replicati nei data center. I dati nel nodo primario vengono replicati nel nodo secondario quasi in tempo reale e possiamo passare al nodo secondario in caso di disastro.

Controlli di rete

Siamo responsabili della gestione di una rete di produzione sicura e controllata. Utilizziamo firewall per impedire accessi non autorizzati e traffico indesiderato.

Infrastruttura ospitante

Siamo responsabili della protezione e della messa in sicurezza dell’infrastruttura host. Tutti i server forniti nella rete di produzione sono rinforzati secondo le nostre policy. Per mantenere un’infrastruttura sicura vengono adottate tecnologie di gestione delle patch del sistema operativo, configurazione di base e rilevamento delle intrusioni dell’host.

Sicurezza fisica

Abbiamo la responsabilità di garantire che la nostra infrastruttura sia protetta da accessi fisici non autorizzati, intrusioni e disastri.

CATENA DI SUBFORNITURA

Per l’erogazione dei propri servizi, TocToc si avvale di servizi cloud di altri Fornitori. Al fine di tutelare la riservatezza, l’integrità e la disponibilità delle informazioni, oltre che la compliance a standard e normative di settore, la scelta di TocToc è quella di avvalersi di sub-fornitori che garantiscano un grado di affidabilità elevato.

Per verificare il livello di affidabilità e sicurezza dei propri subfornitori, TocToc effettua un’attenta e scrupolosa valutazione della soluzione in fase di scouting e, annualmente, verifica il mantenimento dei requisiti di sicurezza della propria catena di subfornitura tramite azioni di monitoraggio e assessment di sicurezza.

TocToc impone ai propri sub-responsabili l’obbligo di implementare misure tecniche e organizzative adeguate per garantire che il sub-trattamento delle informazioni e dei dati personali sia protetto secondo gli standard richiesti dalle leggi applicabili. Le misure di sicurezza necessarie e gli impegni che il subfornitore deve assumere per consentire a TocToc di erogare i propri servizi in sicurezza sono sanciti contrattualmente.

Inoltre, i subfornitori di cui si avvale sono società solide, certificate ISO 9001, ISO/IEC 27001, ISO 27017, ISO 27018 (in alternativa CSTAR) e altre certificazioni inerenti al settore di attività.

Anche in materia di conformità al GDPR, tutti i subfornitori TocToc sottoscrivono accordi (Nomine, DPA) per il trattamento dei dati.

In ogni caso, TocToc è pienamente responsabile nei confronti del cliente nell’erogazione del servizio SaaS.

Di seguito è riportato l’elenco dei sub-responsabili del trattamento dei servizi generalmente disponibili di TocToc. Per ciascun sub-responsabile riportato di seguito, il trattamento dei dati personali avverrà per la durata di utilizzo dei servizi applicabili da parte del cliente e per i periodi di conservazione stabiliti nel contratto del cliente con TocToc e in qualsiasi documentazione a supporto dello stesso.

Conclusione

Il modello di responsabilità condivisa per la sicurezza del cloud chiarisce le aspettative di sicurezza per gli utenti e i fornitori di servizi cloud. Tuttavia, la comprensione è solo il primo passo. Gli utenti devono agire in merito a queste responsabilità creando policy e procedure per la loro parte di sicurezza nel cloud.
TocToc, tramite il suo sistema di gestione, continuerà a migliorarsi per mantenere i dati al sicuro, fornendo servizi in SaaS sicuri e competitivi.