Modello di responsabilità condivisa

Storico revisioni

IL MODELLO DI RESPONSABILITÀ CONDIVISA

Al fine di garantire un utilizzo corretto e consapevole della Piattaforma AIO, il presente documento definisce l’allocazione dei ruoli e delle responsabilità nell’ambito della sicurezza delle informazioni con i clienti del servizio cloud.

La sicurezza e la conformità sono una responsabilità condivisa tra il Cliente e TOCTOC. E’ errato, infatti, pensare che, utilizzando un servizio Cloud, si possano demandare al Fornitore le responsabilità per qualsiasi problematica: sia essa di natura tecnica, giuridica o di sicurezza.

Nel cloud, TocToc mira a garantire la sicurezza, la conformità e l’affidabilità dei propri strumenti, dei sistemi su cui vengono eseguiti e dell’ambiente in cui sono ospitati.

Il cliente del servizio cloud deve, quindi, garantire una adeguata allocazione sui ruoli e le responsabilità della sicurezza delle informazioni e confermare che può adempiere alle responsabilità e ai ruoli assegnati.

Per comprendere meglio il concetto e la suddivisione delle responsabilità, si è soliti parlare di sicurezza “del” Cloud e “nel” Cloud. Modello responsabilità condivisa

La sicurezza “del” Cloud comprende tutte le attività che riguardano la protezione dell’infrastruttura e delle applicazioni che erogano i servizi ed è un compito del Fornitore assicurarla. TocToc, infatti, garantisce la sicurezza, la conformità e l’affidabilità dei propri strumenti, dei sistemi e dell’ambiente in cui sono ospitati.

La sicurezza “nel” Cloud: comprende tutte le attività che mirano a far si che l’utilizzo del servizio sia effettuato in totale sicurezza. La responsabilità “nel” cloud è condivisa tra il Cliente e TocToc. Essendo i servizi Cloud forniti da TocToc Software-as-a-Service (SaaS), i temi di sicurezza di prerogativa del cliente riguarderanno principalmente i contenuti, oltre che le pratiche di security utili a garantire la riservatezza, l’integrità e la disponibilità dei propri dati. Ad esempio il fornitore non ha alcuna responsabilità relativamente alla gestione e alla classificazione dei dati.

Responsabilità del cliente

• Responsabilità dei dati
• Password
• Sicurezza del cliente e endpoint

Responsabilità condivisa

• Gestione dell’identità e degli accessi
• Gestione dati
• Gestione dei dati verso altri soggetti
• Crittografia
• Backup
• Gestione degli incidenti
• Consapevolezza e formazione
• Politica e conformità
• Change Management
• Capacity Management

Responsabilità di TocToc

• La sicurezza dei dati
• Disponibilità
• Business continuity
• Controlli di rete
• Infrastruttura ospitante
• Sicurezza fisica

Responsabilità del cliente

Al fine di garantire che l’erogazione del servizio avvenga in totale sicurezza, il Cliente deve prestare la massima attenzione a:

Responsabilità dei dati

Sei responsabile di:

• Stabilire quali dati condividere e ricevere sul cloud. Sei tu a decidere con chi condividerli, il periodo di conservazione e il mezzo di condivisione.
• Garantire la protezione dei dati personali gestiti utilizzando i servizi TocToc, assicurandoti di non rendere accidentalmente o volontariamente disponibili al pubblico contenuti privati.
• Mantenere l’accuratezza e l’integrità dei dati elaborati nel sistema.
• Garantire che il tuo account di servizio non venga utilizzato da te o da altri per tuo conto, per spam o attività illegali, assicurandoti che i servizi di TocToc vengano utilizzati solo per gli scopi previsti e sanciti contrattualmente.

Password

Sei responsabile della creazione di password complesse per l’accesso al cloud, così come suggerito dalla piattaforma TocToc, e della sua salvaguardia.

Sicurezza del client e degli endpoint

• La compromissione di uno dei tuoi endpoint (sia esso laptop, desktop o smartphone) renderà inefficaci tutti gli altri controlli.
• Sei responsabile della sicurezza del tuo endpoint e sei tenuto a mantenere i servizi browser, il sistema operativo mobile e le applicazioni mobili aggiornati alla versione più recente e corretti contro le vulnerabilità.

Responsabilità condivisa

Di seguito sono elencate le responsabilità che si applicheranno sia al cliente che a TocToc.

Gestione dell’identità e degli accessi

Forniamo l’infrastruttura per la gestione degli account utente tramite il servizio di gestione delle utenze fornendo:

• Funzionalità per la registrazione dell’utente, opzioni di cancellazione e specifiche su come utilizzarle.
• Funzionalità per la gestione dei diritti di accesso dei tuoi utenti cloud.
• Tecniche di autenticazione forti come l’autenticazione a più fattori.
• Funzionalità di autorizzazione/revoca dei dispositivi utilizzati.

Sei responsabile di:

• Implementare efficaci policy di gestione e controllo dell’accesso degli utenti.
• Configurare password complesse in base alla politica dell’organizzazione e del servizio cloud e proteggerle.
• Abilitare l’autenticazione a più fattori per gli utenti della tua organizzazione.
• Amministrare gli account utente e i privilegi: configurazione dei ruoli utente in base al principio del privilegio minimo.
• Definire gli amministratori dell’account dell’organizzazione e disporre di un processo adeguato per i trasferimenti di proprietà. Adottare le misure necessarie per garantire che la tua organizzazione non perda il controllo dei propri account amministratore.
• Revisionare periodicamente l’elenco degli utenti con accesso ai dati e rimuovere l’accesso a chi non dovrebbe averlo.
• Esaminare frequentemente i dispositivi collegati agli account utente dell’organizzazione e rimuovere i dispositivi non utilizzati o non autorizzati.
• Monitorare gli account utente della tua organizzazione per accessi o utilizzi dannosi.
• Notificare a TocToc qualsiasi utilizzo non autorizzato degli account della tua organizzazione.
• Trasmettere ai tuoi utenti consapevolezza sull’importanza di una buona gestione delle password, sui rischi legati al riutilizzo delle credenziali, agli accessi social e agli attacchi di phishing.

Gestione dati

La nostra piattaforma ti consente di gestire i tuoi dati con:

• Funzionalità di condivisione dei dati per controlli a livello di amministratore e utente.
• Funzionalità di conservazione ed eliminazione dei dati secondo le politiche di data retention definite dal cliente e sancite contrattualmente.
• Funzionalità di limitazione per limitare l’accesso dei dipendenti ai dati dei clienti.
• Mantenere un inventario delle risorse aggiornato per identificare esplicitamente i dati dei clienti del servizio cloud e quelli derivanti dal servizio cloud.
• Fornire strumenti al cliente per classificare ed etichettare le proprie informazioni, documentando e divulgando tali funzionalità. (applicabile solo su WE)
• In caso di trasferimento delle informazioni su supporti fisici, predisporre un sistema per registrare i supporti fisici in entrata e in uscita contenenti informazioni, incluso il tipo di supporto fisico, il mittente/destinatario autorizzato, la data e l’ora e il numero di supporti fisici.

Sei responsabile di:

• Due diligence durante il trattamento di informazioni appartenenti a categorie particolari (ad esempio, dati personali/sensibili) applicando controlli adeguati per rispettare i requisiti della legislazione applicabile.
• Mantenere aggiornato un inventario degli asset che tenga conto delle informazioni e delle risorse trattate dal servizio cloud e definire policy di archiviazione e data retention, verificandone la corretta applicazione.
• Etichettare le informazioni e le risorse associate mantenute nell’ambiente del cloud computing in conformità alle proprie policy aziendali (applicabile solo su WE)
• Configurare i permessi di condivisione e visualizzazione corretti.
• Esaminare regolarmente le attività effettuate in piattaforma per identificare eventuali attività sospette.
• Mantenere informazioni di contatto aggiornate con TocToc.
• In caso di trasferimento delle informazioni su supporti fisici, mettere in atto misure aggiuntive (come la crittografia) per garantire che sia possibile accedere ai dati solo nel punto di destinazione e non durante il percorso.

Gestione dei dati verso i sub-fornitori

Lavoriamo per avere integrazioni ed estensioni sicure per le nostre applicazioni:

• Valutiamo le pratiche di sicurezza e privacy dei sub-responsabili che desideriamo incaricare per garantire che siano in linea con gli standard di sicurezza e privacy delle informazioni di TocToc.
• Stipuliamo con loro adeguati accordi sulla protezione dei dati e sui termini di servizio e ci assicuriamo che le loro operazioni vi si attengano.

Ti consigliamo di:

• Valutare la soluzione ed eventuali integrazioni di terze parti, tenendo in considerazione l’eventuale condivisione con gli stessi dopo aver preso in considerazione i dati che vengono condivisi con ambienti di terze parti e riveda i tuoi termini e l’informativa sulla privacy del servizio in merito alla raccolta, all’uso o alla divulgazione dei dati in tal senso.

Diritti dell’interessato

Siamo responsabili di:

• Fornire funzionalità che consentano ai clienti di soddisfare e proteggere i diritti dei propri clienti.
• Notificarti le richieste dei tuoi clienti in caso di contatto diretto per esercitare i loro diritti.

Sei obbligato a:

• Gestire le richieste dei clienti per l’accesso ai dati, la rettifica, la cancellazione e le restrizioni nel trattamento delle loro informazioni personali. (ove possibile)

Crittografia

Proteggiamo i tuoi dati utilizzando la crittografia in transito e a riposo nei seguenti modi:

• Dati in transito: i dati dei clienti trasmessi ai nostri server su reti pubbliche sono protetti utilizzando protocolli di crittografia avanzati. Imponiamo che tutte le connessioni ai nostri server utilizzino la crittografia Transport Layer Security (TLS 1.2/1.3) con cifrature avanzate per tutte le connessioni, incluso l’accesso Web, l’accesso API e l’accesso IMAP/SMTP.
• Dati inattivi: tutti i dati dei clienti vengono crittografati inattivi utilizzando l’algoritmo AES (Advanced Encryption Standard) a 256 bit. I dati crittografati a riposo variano a seconda dei servizi che scegli.
• Manteniamo e gestiamo le chiavi utilizzando il nostro servizio di gestione delle chiavi interno.

Ti suggeriamo di:

• Valutare le tue esigenze di crittografia. Per i dati inattivi, in alcuni casi durante l’utilizzo dei nostri servizi, potresti essere responsabile di definire quali campi non devono essere crittografati.
• Quando i dati dal nostro cloud vengono scaricati o esportati nel tuo ambiente o sincronizzati all’interno delle integrazioni in TocToc o con qualsiasi altra integrazione di terze parti, devi assicurarti che vengano applicati i controlli di crittografia pertinenti. Ad esempio, abilita la crittografia del disco sui tuoi dispositivi e utilizza la funzione di esportazione con la protezione tramite password abilitata, ecc.

Backup

Siamo dotati di un robusto sistema per:

• Mantenere i backup a livello di sistema crittografati con l’algoritmo AES a 256 bit e archiviati in modo sicuro. Eseguire automaticamente controlli di integrità e convalida dei backup completi.
• Abilitare le richieste di ripristino dei dati e fornire un accesso sicuro agli stessi entro il periodo di conservazione.

Sarà tua responsabilità:

• Quando i dati dal nostro cloud vengono scaricati o esportati nel tuo ambiente o sincronizzati all’interno delle integrazioni in TocToc o con qualsiasi altra integrazione di terze parti, devi assicurarti che siano conservati in modo sicuro e prevedere eventuali sistemi di backup.

Gestione degli incidenti

Da parte nostra, ci assicuriamo di:

• Segnalare tutti gli incidenti di cui siamo a conoscenza e che si applicano a te insieme ai dettagli sull’impatto e alle azioni adeguate.
• Tenere traccia di tali incidenti e gestirli.
• Implementare controlli per prevenire il ripetersi di incidenti simili.
• Se richiesto, forniremo ulteriori prove relative all’incidente che ti riguarda.

Ci aspettiamo che tu:

• Intraprenda le azioni suggerite da TocToc in caso di incidenti.
• Fornisca a TocToc i contatti ed eventuali indicazioni su come ricevere la comunicazione dell’incident.
• Soddisfi i requisiti di divulgazione e notifica della violazione dei dati, come la notifica agli utenti finali e alle autorità di protezione dei dati, quando pertinente.
• Segnali gli incidenti, le violazioni legate alla sicurezza e alla privacy di cui sei a conoscenza a security@toctoc.me.

Consapevolezza e formazione

Ci assumiamo la completa responsabilità per:

• Formare i nostri dipendenti affinché siano attenti alla sicurezza e aderiscano a uno standard di sviluppo sicuro. I dipendenti appena assunti partecipano alla formazione obbligatoria sulla sicurezza e sulla privacy oltre a ricevere regolarmente corsi di sensibilizzazione sulla sicurezza tramite e-mail informative, presentazioni e risorse disponibili sulla nostra intranet.
• Formare i nostri dipendenti sulla gestione adeguata dei dati dei clienti del servizio cloud.

Sei responsabile di aggiungere ai programmi di sensibilizzazione, istruzione e formazione per tutti i responsabili, amministratori di servizi cloud e utenti utilizzatori dei servizi cloud, compresi i dipendenti e i fornitori interessanti:

• Standard e procedure per l’utilizzo dei nostri servizi.
• Come vengono gestiti i rischi legati ai nostri servizi.
• Rischi sul sistema generale e sull’ambiente di rete.
• Considerazioni legali e normative applicabili.

Politica e conformità

Aderiamo a una serie di linee guida, come ad esempio:

• Disponiamo di un programma completo di gestione del rischio e implementiamo efficacemente i controlli.
• Operiamo nel rispetto della legge delle varie giurisdizioni da cui operiamo.
• Forniamo prova della conformità alle legislazioni applicabili e in base ai nostri requisiti contrattuali.

Diritti Proprietà Intellettuale

• Assisteremo nelle valutazioni DPIA dei nostri clienti nella misura consentita dalle leggi applicabili.

Ci aspettiamo che tu:

• Valutare le normative e le leggi applicabili alla tua attività e verificare la nostra conformità alle normative e agli standard necessari per la tua attività. È possibile richiedere ulteriori informazioni come prova della nostra conformità.
• Comprendere le nostre politiche, i nostri metodi di valutazione delle politiche e il modo in cui trattiamo i dati.
• Condurre la DPIA come richiesto dalle leggi sulla protezione dei dati applicabili alla propria organizzazione prima/durante il trattamento dei dati
• Prima di trattare qualsiasi dato personale/sensibile, valuta la tua base giuridica. Se la tua base legale è il consenso, assicurati di ottenere il consenso dai tuoi clienti.
• Valuta l’idoneità dei nostri servizi basati su cloud in base alle informazioni che forniamo e assicurati che siano sufficienti a soddisfare le tue esigenze di conformità.
• Comprendere il profilo di rischio e la sensibilità dei dati ospitati nei servizi TocToc e applicare controlli adeguati.

Change Management

• Ti forniamo tutte le informazioni utili sulle modifiche al servizio che potrebbero influire sull’erogazione del servizio stesso. Le comunicazioni conterranno tutte le informazioni utili per il cliente, nonché qual è la categoria della modifica, la data e l’ora prevista, una descrizione tecnica e la notifica di inizio e completamento delle attività.
• Qualora comportassero un’interruzione del tuo servizio, ti comunicheremo le modifiche programmate dai nostri subfornitori.

Sei responsabile di:

• Valutare e tener conto dell’impatto di qualsiasi modifica apportata dai noi o da eventuali Fornitori.

Capacity Management

Per l’erogazione del servizio cloud TocToc:

• Mette a disposizione del cliente risorse (software, hardware, archiviazione dati e connettività di rete, ecc) che sono, però, sotto il nostro controllo.
• Al fine di evitare incidenti di sicurezza delle informazioni causati dalla carenza di risorse, TocToc effettua un monitoraggio frequente sulle capacità totali delle proprie risorse.
• Per consentire al cliente del servizio cloud di eseguire la gestione della capacità dei servizi cloud, TocToc concede l’accesso a statistiche rilevanti sull’utilizzo delle risorse, quali statistiche per particolari periodi di tempo e livelli massimi di utilizzo delle risorse.

Il cliente del servizio cloud deve:

• assicurarsi che la capacità concordata fornita dal servizio cloud soddisfi i propri requisiti e deve monitorare l’uso dei servizi cloud per prevedere le esigenze di capacità e garantire le prestazioni dei servizi cloud nel tempo.

Responsabilità di TocToc

Siamo responsabili della protezione del cloud e dei relativi controlli che eseguono tutti i servizi .

Sicurezza dei dati

• Siamo responsabili dell’isolamento dei tuoi dati archiviati presso di noi. I dati di servizio di ciascun cliente sono logicamente separati dai dati di altri clienti utilizzando una serie di tecniche sicure nel framework.
• Siamo responsabili della riservatezza dei tuoi dati archiviati presso di noi a riposo, in transito e durante l’elaborazione.
• Siamo responsabili dell’integrità sia dei tuoi dati che dei dati di sistema come registri e dati di configurazione.
• Siamo responsabili della tracciabilità e del controllo dei tuoi dati, in modo tale che in qualsiasi momento sia possibile conoscere l’ubicazione fisica e il trattamento dei dati.

Disponibilità

• Siamo responsabili di garantire che i nostri servizi siano disponibili secondo il nostro SLA di uptime mensile del 99,9%.

Business continuity

• Siamo responsabili di disporre di un piano di continuità aziendale per le nostre operazioni principali come il supporto e la gestione delle infrastrutture.
• Garantiremo che i dati delle applicazioni archiviati sullo storage resiliente vengano replicati nei data center. I dati nel nodo primario vengono replicati nel nodo secondario quasi in tempo reale e possiamo passare al nodo secondario in caso di disastro.

Controlli di rete

Siamo responsabili della gestione di una rete di produzione sicura. Utilizziamo firewall per impedire alla nostra rete accessi non autorizzati e traffico indesiderato. L’accesso alle reti di produzione è strettamente controllato.

Infrastruttura ospitante

Siamo responsabili della protezione e della messa in sicurezza dell’infrastruttura host. Tutti i server forniti nella rete di produzione sono rinforzati secondo le nostre policy. Per mantenere un’infrastruttura sicura vengono adottate tecnologie di gestione delle patch del sistema operativo, configurazione di base e rilevamento delle intrusioni dell’host.

Sicurezza fisica

Abbiamo la responsabilità di garantire che la nostra infrastruttura sia protetta da accessi fisici non autorizzati, intrusioni e disastri.

CATENA DI SUBFORNITURA

Per l’erogare dei propri servizi, TocToc si avvale di servizi cloud di altri Fornitori. Al fine di tutelare la riservatezza, l’integrità e la disponibilità delle informazioni, oltre che la compliance a standard e normative di settore, la scelta di TocToc è quella di avvalersi di sub-fornitori che garantiscano un grado di affidabilità elevato.

Per verificare il livello di affidabilità e sicurezza dei propri subfornitori, TocToc effettua un’attenta e scrupolosa valutazione della soluzione in fase di scouting e, annualmente, sottopone la propria catena di subfornitura a security assessment.

TocToc impone ai propri sub-responsabili l’obbligo di implementare misure tecniche e organizzative adeguate per garantire che il sub-trattamento dei dati personali sia protetto secondo gli standard richiesti dalle leggi applicabili sulla protezione dei dati. Le misure di sicurezza necessarie e gli impegni che il subfornitore deve assumere per consentire a TocToc di erogare i propri servizi in sicurezza sono sanciti contrattualmente.

Inoltre, i subfornitori di cui si avvale sono società solide, certificate ISO 9001, ISO/IEC 27001, ISO 27017, ISO 27018 (in alternativa CSTAR) e altre certificazioni inerenti al settore di attività.

Anche in materia di conformità al GDPR, tutti i subfornitori TocToc sono stati nominati Sub-Responsabili del Trattamento e hanno sottoscritto un Data Protection Agreement (DPA).

In ogni caso, TocToc è pienamente responsabile nei confronti del cliente nell’erogazione del servizio SaaS.

Di seguito è riportato l’elenco dei sub-responsabili del trattamento dei servizi generalmente disponibili di TocToc. Per ciascun sub-responsabile riportato di seguito, il trattamento dei dati personali avverrà per la durata di utilizzo dei servizi applicabili da parte del cliente e per i periodi di conservazione stabiliti nel contratto del cliente con TocToc e in qualsiasi documentazione a supporto dello stesso.

Conclusione

Il modello di responsabilità condivisa per la sicurezza del cloud chiarisce le aspettative di sicurezza per gli utenti e i fornitori di servizi cloud. Tuttavia, la comprensione è solo il primo passo. Gli utenti devono agire in merito a queste responsabilità creando policy e procedure per la loro parte di sicurezza nel cloud. TocToc, tramite il suo sistema di gestione, continuerà a migliorarsi per mantenere i dati al sicuro, fornendo servizi in SaaS sicuri e competitivi.