Sicurezza dei prodotti

Transcript

1 Sicurezza dei prodotti

2 Prefazione La sicurezza dei prodotti presso Swisscom Swisscom (Svizzera) SA vanta una certificazione sulla sicurezza secondo la norma ISO La sicurezza dei prodotti di Swisscom si orienta in modo sistematico alle esigenze dei clienti target che devono avere la possibilità di determinare autonomamente il grado di sicurezza desiderato. Per alcuni clienti la sicurezza dei prodotti di Swisscom è un semplice fattore di qualità, per altri rappresenta uno dei pilastri portanti della fiducia riposta nella nostra azienda. In ogni prodotto di Swisscom e nelle reti sottostanti sono state adottate misure tali da offrire ai nostri clienti il grado di prote - zione necessario. I product manager non seguono un approccio massimalistico, ma soppesano con cura le differenti, effettive esigenze dei clienti per quanto concerne grado di disponibilità, carattere vincolante, riservatezza, integrità e protezione dell accesso garantiti da un prodotto. Per poter valutare qual è il livello adeguato, i product manager si basano sulle segnalazioni delle unità di vendita. Solo con queste informazioni è possibile definire correttamente i requisiti dei prodotti e ponderare il livello di adeguatezza, cioè stabilire quali investimenti sono opportuni e qual è il rischio residuo che i clienti e Swisscom possono assumersi. Il presente opuscolo mostra quali misure di base sono state attuate da Swisscom sul piano della sicurezza e come sono protetti i prodotti principali. Spiega inoltre in che modo i clienti possono pro - teggersi in parte da soli e quali prodotti offrire loro quando necessitano di un livello di sicurezza ancora più elevato. Per garantire la massima efficacia di tutta la catena che va dalla soddisfazione del cliente al prodotto finito e viceversa, per il management del segmento e dei prodotti sono indispensabili i feedback. Cogliamo l occasione per ringraziarvi sentitamente del vostro importante contributo al costante orientamento della sicurezza dei nostri prodotti alle esigenze dei clienti. Cordialmente, Marcel Zumbühl Responsabile Sicurezza (Svizzera) SA

3 La sicurezza dei prodotti presso Swisscom (Svizzera) SA Di che cosa si tratta? La sicurezza a livello di comunicazione (di dati) è un argomento centrale e di grande importanza dal punto di vista sia del cliente sia del gestore di rete. In breve: il rischio di base è potenzialmente elevato, ma i pericoli reali sono attualmente sotto controllo. La presente documentazione contiene factsheet relativi a questioni legate alla sicurezza dei prodotti di rete fissa e mobile e delle soluzioni integrate. Presso Swisscom (Svizzera), questi factsheet vengono costantemente verificati e completati dai product manager in collaborazione con i responsabili della sicurezza, il segmento preposto, la divisione comunicazione e il servizio legale. Che cosa può accadere? Quali sono le probabilità che un evento a rischio si verifichi e quali sono i potenziali danni? La seguente tabella offre una panoramica della stima dei rischi: Un argomento centrale è la sicurezza dei prodotti, strettamente collegata al dialogo tra Swisscom e i suoi clienti. Eventi Probabilità Potenziale di danno Motivazione Ascolto di conversazioni Medio-bassa Alto Attacco complesso, presuppone conoscenze specifiche e un apposito equipaggiamento tecnico. I grandi investimenti effettuati dalla comunità degli hacker in questo ambito aumentano la probabilità di eventuali attacchi. Furto di dati Media Alto Normalmente si tratta di attacchi basati su terminali. Crescente consapevolezza del pericolo a livello di Internet e di telefonia mobile. Attualmente il tema degli attacchi di phishing è affrontato regolarmente dai media, contribuendo a una maggiore sensibilizzazione al riguardo. Manipolazione di dati Media Medio Attacchi basati su terminali. Perdita di dati Bassa Medio Attacchi basati su terminali; la rete e i centri di calcolo sono protetti contro la perdita di dati tramite un sistema ridondante. Abuso d identità Media Basso Consapevolezza del pericolo da parte dei clienti presente a livello di Internet, ma assente a livello di telefonia mobile. Per effetto dei meccanismi di controllo, il potenziale di abuso è minimo. Di seguito vengono trattati nel dettaglio gli eventi a rischio: Ascolto di conversazioni e furto di dati Definizione: tentativo di accedere illegalmente con mezzi tecnici a contenuti di conversazioni e dati trasmessi. Scenari: attacco alla rete, manipolazione del terminale (PC, smartphone e PDA sono soggetti a manipolazione, i vecchi terminali di telefonia mobile no). Attacco e protezione: nell ambito della telefonia mobile, l interfaccia aerea dal terminale all antenna viene codificata. A tale scopo, si utilizzano algoritmi di diversa potenza. In Svizzera si applica la codifica con lo standard algoritmico più potente. Per il vecchio standard di telefonia mobile GSM sono noti gli attacchi mediante i quali un intrusione a elevato potenziale tecnico riesce a superare la seconda codifica più forte, permettendo così di ascoltare

4 le conversazioni. Ecco perché questo algoritmo è stato gradualmente rafforzato, ovvero sostituito con uno più efficace. Per le nuove reti di telefonia mobile, quali ad es. UMTS, HSPA, WLAN e LTE, questi attacchi non sono possibili nemmeno nei pressi dei laboratori. Gli attacchi per intercettare conversazioni presuppongono un grande dispiego di energia e sono considerati reati. Ciò che vale per la telefonia mobile è applicabile anche alla rete fissa e ai prodotti, sebbene in questo caso l accesso fisico alle linee costituisca un ostacolo supplementare. In questo ambito, spesso, gli hacker cercano di accedere ai dati critici della vittima mediante phishing. Essi stabiliscono un contatto con la vittima sotto mentite spoglie e, servendosi di vari stratagemmi, cercano di carpire alla vittima le sue password, le informazioni sulle carte di credito, ecc. Swisscom mette in atto mezzi tecnici per l identificazione rapida di attacchi di phishing e dispone di collaboratori istruiti su come neutralizzare questi attacchi. Swisscom verifica regolarmente le proprie reti tramite la cosiddetta procedura di «ethical hacking», ovvero simula attacchi sulla propria rete con l aiuto di hacker esperti. In questo modo vengono identi - ficati ed eliminati i possibili punti deboli. Inoltre, Swisscom esegue regolarmente audit di sicurezza, identifica i rischi per la sicurezza, li analizza e adotta le necessarie contromisure. Manipolazione di dati Definizione: per manipolazione di dati si intende la modifica di dati, o il loro utilizzo per scopi diversi da quelli previsti, in seguito a un attacco. Ciò riguarda tutti i dati salvati dal o tramite il cliente sui sistemi IT, che spaziano da quelli memorizzati sui terminali alle informazioni per la fatturazione e gli indirizzi sulla carta SIM dell apparecchio mobile. Scenari: la manipolazione di dati può avvenire in seguito ad attacchi su terminali o sulla rete, allo sfruttamento di punti deboli del prodotto e attraverso attacchi con impiego di password o schede di accesso rubate. In questo caso, l attenzione è rivolta ad attacchi tramite vermi, virus e altri software dannosi. Attacco e protezione: il principale punto debole è rappresentato dal mancato rispetto o dalla scarsa osservanza delle prescrizioni di sicurezza, (ad es. perdita di password), e dalla mancata adozione di misure di protezione da parte dell utente o del gestore della rete (firewall, antivirus, scanning di rete). Soltanto tramite un opportuna formazione e informazione di collaboratori e utenti / clienti è possibile ridurre notevolmente il rischio. Regole di accesso specifiche per i centri di calcolo, una corretta gestione delle password, l installazione di scanner anti - virus nella rete e sul terminale e la verifica critica di messaggi di posta elettronica con mittente e contenuto sconosciuti costituiscono, ad esempio, strumenti di protezione semplici ed efficaci. Sul fronte della rete, Swisscom è in grado di riconoscere i file sospetti tramite scanning, di isolare tempestivamente i virus e di evitare la diffusione di tali file con misure di protezione. Le app per gli iphone e gli apparecchi Windows Mobile, e in misura crescente anche quelli per gli smartphone Android, vengono verificati dai gestori degli App Store riguardo a eventuali lacune in materia di sicurezza, e non consentono l accesso immediato alle informazioni sul cliente salvate sugli smarphone. Prima dell installazione di app vale la pena di effettuare una verifica critica. Swisscom ha consigliato di dotare gli smartphone di una protezione antivirus. Informazioni relative alla Mobile Security per cellulari con sistema operativo Symbian 3 o Android sono disponibili al sito La protezione anti - virus può essere attivata anche mediante l invio di un SMS con la parola chiave «START» al numero 811. Anche per laptop e PC si consiglia l impiego di software antivirus, di personal firewall e di antispyware. Questa funzione può essere acquistata anche presso Swisscom. Tuttavia, a causa della continua evoluzione dei software dannosi, non è possibile garantire una protezione completa e priva di lacune. Perdita di dati La perdita di dati si verifica, interamente o in parte, nei casi di cui sopra oppure in seguito a danni fisici dei supporti di memoria e / o dei terminali. Abuso d identità Attraverso la sottrazione di password / schede di accesso o la registrazione dell uso della tastiera /

5 del movimento del mouse tramite uno speciale soft - ware (Key Loggen), un aggressore può accedere ad aree protette di un edificio, a server o a terminali. Attacchi simili sono possibili ad esempio anche nei confronti di COMBOX e PIN di carte SIM. Contro l abuso d identità serve soprattutto l informa - zione e la formazione dei clienti e collaboratori, nonché l impiego di programmi di protezione sui terminali.

6 Certificati di sicurezza Nei settori chiave, Swisscom dispone di certificazioni di sicurezza riconosciute a livello internazionale che vengono verificate regolarmente. Vanta anche altri certificati considerati rilevanti in un ottica globale. ISO 9001 Sistema di processo e di management della qualità certificato. Ambito di applicazione: l intera azienda. Tutte le attività legate all offerta di prestazioni di telecomunicazione e di radiodiffusione e ai relativi prodotti e servizi. ISO Sistema di management ambientale certificato. Ambito di applicazione: l intera azienda. Tutte le attività legate all offerta di prestazioni di telecomunicazione e di radiodiffusione e ai relativi prodotti e servizi. ISO Analisi e miglioramenti dei processi nell ambito della costruzione e dell esercizio della rete fisse e della misurazione di radiazioni. ISO Certificato di sicurezza per la pianificazione, la costruzione e l esercizio di reti IT e di telecomunicazione e relativi servizi e prodotti. PCI-DSS Payment Card Industry Data Security Standard. Transazioni mediante carte di credito (affidate a «Datatrans»). Caratteristica: limitazione di frodi in caso di abuso delle carte di credito. ISAE 3402 / SAS70 Typ 2 Report on Controls. Audit in relazione al servizio; a supporto della Compliance SOX / FINMA. ZertES, VZertES Fornitore di servizi di certificazione accreditato per firme elettroniche qualificate.

7 Avvertenze legali Il presente argomento è estremamente complesso dal punto di vista giuridico, soprattutto relativamente alla sicurezza dei dati. In presenza di presupposti chiaramente definiti, le autorità penali possono, ad esempio, ascoltare le conversazioni. I potenziali aggressori sono preseguibili penalmente. Per domande di carattere giuridico o implicazioni di legge occorre contattare la divisione Legal. Alcune importanti disposizioni contrattuali e legali sono riepilogate brevemente qui di seguito: Ordinanza sui servizi di telecomunicazione (OST) Art. 87 OST, Sicurezza dei servizi di telecomunicazione: 1 I fornitori di servizi di telecomunicazione devono avvertire i loro clienti del rischio di ascolto abusivo e di ingerenze legato all utilizzazione dei loro servizi. 2 Devono offrire o indicare loro strumenti in grado di eliminare tali rischi. Codice di diritto processuale penale svizzero (Codice di procedura penale, CPP) Il CPP offre a determinate autorità, in presenza di presupposti qualificati, la possibilità di monitorare le conversazioni risp. di accedere al traffico dati. Legge sulla protezione dei dati (LPD) Art. 7 LPD, Sicurezza dei dati: 1 I dati dei clienti devono essere protetti contro ogni trattamento non autorizzato mediante provvedimenti tecnici e organizzativi appropriati. Codice penale (CP, art. 143 e segg.) Sono punibili in particolare il «furto di dati», il sabotaggio, («accesso indebito a un sistema per l elaborazione dei dati» e «abuso di un impianto per l elaborazione di dati»), e il «danneggiamento di dati». Consultare inoltre le Condizioni generali di contratto.

8 BlackBerry Descrizione del prodotto Il servizio BlackBerry consente alle aziende con infrastruttura Corporate Messaging (ad es. Microsoft Exchange, Lotus Domino o Novell Groupewise) propria o in outsourcing (hosted) di ricevere in modo codificato, elaborare e inviare , nonché di elaborare compiti, dati del calendario e indirizzi da un apparecchio terminale mobile BlackBerry. Disponibilità Riservatezza Integrità La disponibilità di BlackBerry si basa su diversi elementi: i centri di calcolo di RIM (RIM Relay), il BlackBerry Enterprise Server (integrato nell infrastruttura IT del cliente), il collegamento di Swisscom con RIM, le reti di telefonia mobile di Swisscom e l apparecchio terminale. I guasti al servizio sono molto rari. Esso viene considerato estremamente affidabile. BlackBerry Release 4 utilizza l algoritmo di codifica «Advanced Encryption Standard» (AES). Vengono codificati tutti i dati in uscita e in entrata dal server della posta aziendale del cliente e dall apparecchio terminale BlackBerry. Ciò riguarda le , i dati del calendario, le richieste di appuntamento nonché tutti gli altri dati delle applicazioni che vengono trasmessi tra il BlackBerry Enterprise Server e l apparecchio terminale BlackBerry. RIM non memorizza su propri server informazioni ( , richieste di appuntamento ecc.) che vengono trasmessi ai/dai clienti e non può quindi consultare o rendere pubblici dati di questo tipo. Il servizio è stato sottoposto ad audit sia da RIM che da Vodafone /Swisscom. Su richiesta possono essere forniti anche altri rapporti. Il servizio BlackBerry può essere protetto ulteriormente tramite software e hardware aggiuntivi. In caso di eventuali rischi, RIM mette immediatamente a disposizione degli aggiornamenti di sicurezza. Sul BlackBerry Enterprise Server viene memorizzato fondamentalmente solo il collegamento dall apparecchio terminale BlackBerry alla mailbox dell utente che è stata selezionata. Tutte le , le immissioni nel calendario e gli altri dati aziendali rimangono sui server Exchange/Domino e non vengono replicati nel BlackBerry Enterprise Server. Il BlackBerry Enterprise Server deve provvedere esclusivamente all inoltro delle informazioni, non al loro salvataggio. Il canale tra l Enterprise Server e l apparecchio terminale è protetto come tunnel ed è quindi al riparo da attacchi esterni. Allo stato attuale delle conoscenze sono escluse manipolazioni delle comunicazioni. RIM protegge inoltre il proprio centro di calcolo con una combinazione delle seguenti misure: ingresso protetto da password in tutti i punti di accesso, BlackBerry 1/2

9 diversi firewall, sistemi per il riconoscimento degli accessi non autorizzati e altri sistemi che RIM non specifica per motivi di riservatezza. BlackBerry è considerata la soluzione più sicura nel settore. Accesso/ identificazione Come può assicurarsi un ancora maggiore protezione il cliente? L identificazione del cliente sull apparecchio terminale si basa su password (memorizzata in modo codificato nell apparecchio terminale). Dopo dieci immissioni errate della password, tutti i dati presenti nell apparecchio terminale BlackBerry vengono cancellati automaticamente. L accesso alla rete presuppone inoltre l inserimento di un PIN. Con l uso di S/MIME (codifica End-to-End aggiuntiva) può essere concessa una codifica del traffico oltre i punti terminali del servizio. L apparecchio terminale offre inoltre un ampliamento rispetto all identificazione /alla verifica dell autorizzazione basata su carta chip. Swisscom consiglia di utilizzare sempre una password sull apparecchio terminale BlackBerry e di richiedere il cambio del codice per la codifica End-to-End dei dati da parte dell amministratore. BlackBerry 2/2

10 Bluewin Descrizione del prodotto Bluewin la bucalettere in tutto il mondo. Con Bluewin potete accedere in qualsiasi momento alla vostra posta elettronica e inviare o ricevere tramite web o con un programma di posta elettronica (ad es. Outlook). È garantita assoluta sicurezza: ogni indirizzo dispone di un filtro antispam e antivirus gratuito. Per evitare abusi (ad es. l invio di sotto falso nome), vi offriamo la possibilità di inoltrare messaggi con la cosiddetta autenticazione SMTP. E se durante il trasferimento delle vostre da e verso il server di posta elettronica Bluewin desiderate un supplemento di sicurezza, potete avvalervi della codifica SSL. Disponibilità Bluewin può essere utilizzato con i programmi di posta elettronica oppure, come Bluewin Webmail, con un browser Internet. Il grado di disponibilità di Bluewin è in genere elevato e lato rete dipende da quello del server di posta elettronica di Bluewin nonché dall infrastruttura Internet. Lato cliente, la disponibilità è invece condizionata all accesso Internet ed eventualmente ai server di posta elettronica del cliente. Grazie al costante e automatico salvataggio dei dati si garantisce in sede di rete che nessuna vada persa nell eventualità, peraltro rara, di caduta del sistema. Se uno dei server subisce un guasto, lo scambio di prosegue automaticamente attraverso altri collegamenti, di modo che il servizio sia utilizzabile senza alcuna interruzione. Riservatezza La riservatezza dei messaggi di posta elettronica non è particolarmente elevata ed è spesso paragonata a quella delle cartoline postali inviate. Di norma, le sono trasmesse attraverso Internet senza alcuna forma di codifica e sono memorizzate temporaneamente su appositi server di posta elettronica. Swisscom consiglia di proteggere i messaggi di posta elettronica di natura confidenziale con l ausilio di una speciale tecnica di codifica. In genere, i mittenti e i destinatari devono utilizzare a tal fine il medesimo programma di protezione (ad esempio Pretty Good Privacy, PGP). Per garantire l osservanza delle disposizioni di legge in materia di lotta agli abusi, Swisscom è tenuta a registrare i dati di collegamento relativi alle (mittente, destinatario, ora, oggetto del messaggio) e di archiviarli con protezione di accesso. Integrità Le sono spesso oggetto di abusi le cui forme più comuni sono spam (messaggi di posta indesiderati), virus (software nocivi allegati ai messaggi di posta elettronica) e i dati falsificati dei mittenti. Swisscom offre gratuitamente a tutti gli utenti di indirizzi Bluewin un filtro antivirus e antispam in grado di selezionare messaggi indesiderati e Bluewin 1/2

11 a rischio, impedendone la memorizzazione nella casella di posta elettronica d entrata del cliente. Il filtro elimina i virus nascosti nei messaggi di posta elettronica e devia le mail spazzatura (spam) in un apposita cartella separata, la quale può essere gestita attraverso il servizio di Webmail ed è svuotata automaticamente una volta la settimana. Swisscom consiglia ai clienti che fanno uso di programmi di posta elettronica di attivare la cosiddetta «autenticazione SMTP». Questo metodo consente di prevenire che terzi non autorizzati abusino dell identità del cliente e inviino messaggi con nomi falsi. Accesso/ identificazione Servendosi di un programma di posta elettronica, il cliente può richiamare le proprie dal server Bluewin e scaricarle sul proprio PC. A tale scopo è necessaria la registrazione (login) mediante nome utente e password, che viene effettuata automaticamente dal programma di posta elettronica utilizzato. La trasmissione dei dati di registrazione (login) e del contenuto delle mail ha luogo in forma non criptata. Con la cosiddetta «autentificazione SMTP» anche l invio dei messaggi di posta elettronica è possibile esclusivamente attraverso la registrazione mediante nome utente e password, effettuata automaticamente dal programma di posta elettronica. Dati di registrazione (login) e contenuto delle mail vengono trasmessi in chiaro. Con Bluewin Webmail l accesso è possibile soltanto mediante login di Swisscom, che garantisce la trasmissione dei dati di registrazione sempre in forma codificata. Come può assicurarsi un ancora maggiore protezione il cliente? Swisscom consiglia di utilizzare il filtro antivirus e antispam messo gratuitamente a disposizione. Questo tipo di servizio può essere attivato e disattivato a proprio piacimento direttamente attraverso l «Area clienti di Swisscom» o nel Webmail di Bluewin. Si consiglia anche ai clienti che usano indirizzi di posta elettronica di altri provider di attivare presso i medesimi detti filtri. Swisscom raccomanda vivamente anche l installazione di software antivirus sui PC e l utilizzo della cosiddetta «autenticazione SMTP» prevista dal programma . Le istruzioni corrispondenti sono fornite nell «Area clienti di Swisscom». Oltre che mediante misure tecniche di protezione, il grado di sicurezza può essere ottimizzato in modo duraturo prestando attenzione alle seguenti semplici regole di comportamento: non aprire gli allegati delle di mittenti sconosciuti e non cliccare in corrispondenza dei link; aprire soltanto gli allegati che provengano da fonti fidate ed effettuare sempre un controllo con un software antivirus aggiornato prima di procedere all apertura; comunicare gli indirizzi di posta elettronica personali esclusivamente a poche persone fidate; utilizzare un secondo indirizzo di posta elettronica per i concorsi, i moduli, le newsletter, ecc.; non rispondere a messaggi spam; non inoltrare messaggi di avvertenza e lettere a catena. Bluewin 2/2

12 Business Connect Professionale Descrizione del prodotto Business Connect Professionale è un vasto pacchetto di servizi che permette di affidare a Swisscom l approntamento e la gestione virtuale in rete tramite VoIP della soluzione di telefonia. Questo pacchetto di servizi viene integrato in maniera ottimale nella rete di dati esistente e nelle applicazioni informatiche; viene utilizzata un unica infrastruttura per la comunicazione vocale e il traffico di dati. I clienti possono così fare a meno di impianti di commutazione per utenti e di cablaggi telefonici separati. Business Connect Professionale offre altresì la possibilità di integrare i cellulari aziendali. In questo modo si ha la garanzia di essere raggiungibili sempre e ovunque grazie alla deviazione delle chiamate o al Parallel Ringing e di essere integrati con il cellulare aziendale nel piano di numerazione interno Business Connect Professionale. Disponibilità La disponibilità di Business Connect Professionale dipende dal grado di copertura di DSL in Svizzera, che è determinato a sua volta dall estensione della centrale telefonica. La distanza della sede del cliente da quest ultima incide sulla velocità disponibile del servizio. Prima di stipulare il contratto si verifica se può essere garantita la necessaria larghezza di banda. I sistemi di Business Connect Professionale sono sottoposti a sorveglianza continua, audit regolari e verifiche tecniche al fine di garantirne il funzionamento, la disponibilità e la sicurezza. Per l eventualità di un interruzione del sistema, Business Connect Professionale offre soluzioni di ripiego che garantiscono la reperibilità. È prevista una deviazione sulla rete mobile, sul collegamento analogico oppure ISDN e, in casi eccezionali, su un messaggio di testo. Riservatezza La riservatezza è garantita dall applicazione di misure organizzative e tecniche. Quando si deve ricorrere ai servizi di partner, essi vengono selezionati con attenzione. La fornitura delle prestazioni è garantita da contratti con Swisscom. I partner sono tenuti all attuazione delle misure di sicurezza, nonché vincolati in generale all obbligo di segretezza in merito ai dati dei clienti. Swisscom e i partner garantiscono che non è possibile alcun accesso da parte di persone non autorizzate. Se Business Connect Professionale è utilizzato da un collegamento Internet esterno alla rete di Swisscom, non può essere garantita la riservatezza da punto a punto applicabile alla trasmissione di dati mediante Internet. Business Connect Professionale 1/2

13 Integrità Nell ambito della rete di Swisscom si applicano gli stessi parametri di sicurezza che contraddistinguono la telefonia tradizionale analogica e ISDN. Per la telefonia con tecnologia IP da un collegamento Internet qualsiasi al di fuori della sua rete, Swisscom non può garantire la comunicazione vocale completa e inalterata. Accesso/ identificazione Come può assicurarsi un ancora maggiore protezione il cliente? I clienti di Business Connect Professionale vengono identificati conformemente al protocollo Internet sulla base del loro nome d utente (SIP User ID) e della loro password. Questi dati vengono assegnati personalmente a ogni singolo cliente dall amministratore di Business Connect Professionale e all occorrenza possono essere modificati. Le telefonate possono essere codificate da punto a punto mediante cosiddette Virtual Private Network. Questa soluzione è raccomandata soprattutto se i collaboratori del cliente utilizzano spesso il servizio da collegamenti Internet esterni alla rete di Swisscom. Business Connect Professionale 2/2

14 Business Internet light/standard Descrizione del prodotto Business Internet light (senza router, unmanaged) offre un collegamento a banda larga conveniente, sicuro e affidabile. È ideale come prodotto iniziale per le PMI poiché, con l assistenza professionale di un partner IT di Swisscom, può essere adeguato o esteso in qualsiasi momento e in modo flessibile in funzione delle esigenze. Business Internet standard (con router, managed) offre un prodotto di dati di qualità con prestazioni uniche: è sicuro, affidabile e conveniente. Inoltre è strutturato in modo modulare e scalabile e si adatta in qualsiasi momento alle mutevoli esigenze e condizioni dell azienda. Il prodotto permette di integrare nella propria rete di dati più sedi e collaboratori esterni in maniera semplice e flessibile. Business Internet standard può essere combinato e integrato con altri servizi di Swisscom ideati su misura per le PMI. Disponibilità Business Internet può essere utilizzato da circa il 98 % della popolazione svizzera. I fattori determinanti per il grado di disponibilità sono l estensione della centrale telefonica e la distanza da quest ultima. La velocità DSL diminuisce in modo proporzionale alla distanza rispetto alla centrale. Business Internet è messo a disposizione attraverso sistemi ridondanti ed è pertanto protetto contro eventuali interruzioni totali. I sistemi sono sottoposti a sorveglianza continua, audit regolari e verifiche tecniche al fine di garantirne il funzionamento, la disponibilità e la sicurezza. Riservatezza Con Business Internet i dati vengono trasmessi attraverso il backbone di Swisscom e possono essere protetti da punto a punto grazie a VPN. Senza questa protezione non può essere garantita la riservatezza. I fornitori e i clienti di servizi web possono aumentare il grado di riservatezza dei propri dati mediante l impiego di tecniche di codifica. Alcuni servizi web, quali la posta elettronica e l online banking, proteggono i collegamenti con sistemi di sicurezza garantendo in tal modo la segretezza dei dati trasmessi. Integrità La codifica facoltativa end-to-end con VPN offre una protezione rudimentale contro le manipolazioni. Inoltre, nel caso di Business Internet il trasferimento dei dati non dispone di un ulteriore protezione esplicita contro le manipolazioni. Swisscom non è quindi in grado di garantire la trasmissione completa e inalterata dei dati da punto a punto. Business Internet light/standard 1/2

15 Accesso/ identificazione Come può assicurarsi un ancora maggiore protezione il cliente? I clienti Business Internet vengono identificati sulla base del loro nome d utente e della loro password. Questi dati vengono memorizzati direttamente nei computer nevralgici DSL al momento della registrazione. Per la trasmissione di dati importanti, Swisscom raccomanda l utilizzo di un collegamento dotato di una protezione supplementare. A tale scopo sono consigliabili la procedura SSL (Secure Socket Layer) oppure le cosiddette Virtual Private Network (VPN). I collegamenti protetti sono riconoscibili dal simbolo della chiave visualizzato nella barra inferiore dello schermo quando si utilizza ad esempio Microsoft Internet Explorer. Swisscom offre da un unica fonte svariate soluzioni VPN, compresa l integrazione sicura di terminali mobili nella rete aziendale. Nel caso in cui Business Internet venga utilizzato in combinazione con una rete LAN wireless, Swisscom consiglia l impiego di WPA/WPA2 per la codifica dell interfaccia. Business Internet light/standard 2/2

16 Corporate Mobile Network (CMN) / Mobile Business Group (MBG) Descrizione del prodotto CMN è l abbonamento di telefonia mobile per i clienti commerciali. Comprende l allestimento di un Closed User Group (la totalità dei numeri di telefonia mobile e di rete fissa di un azienda), all interno del quale è possibile telefonare a tariffe preferenziali. Questi numeri possono inoltre essere assegnati a numeri brevi con l ausilio di un piano di numerazione. Anche MBG comprende l allestimento di un Closed User Group, ma non prevede nessun piano di numerazione breve. Disponibilità Le piattaforme tecniche che fanno parte di Corporate Mobile Network/ Mobile Business Group offrono una disponibilità elevata. Per rispondere alle richieste dei clienti, si ampliano costantemente le capacità delle piattaforme e quindi anche la disponibilità dei servizi. Se la domanda è molto grande, le piattaforme vengono sottoposte a potenziamenti straordinari. Riservatezza Integrità Accesso/ identificazione CMN/MBG si basano sulla sicurezza della rete di telefonia mobile. I servizi resi tramite la rete di telefonia mobile sono considerati molto sicuri. Con i servizi di telefonia mobile GSM la probabilità che le conversazioni di una persona target mobile vengano spiate è ridotta al minimo anche se, in determinate circostanze, non è da escludere (per i dettagli consultare «Telefonia mobile nella rete GSM»). Come per altri operatori e servizi, la riservatezza può essere limitata dalle autorità preposte al perseguimento penale in virtù di un autorizzazione di legge. In questi casi viene consentito loro l accesso selettivo alle chiamate e ai dati delle chiamate, a condizione che siano in relazione a un procedimento penale. Ma un accesso permanente e illimitato alle telefonate di utenti e ai relativi dati non è consentito neppure alle autorità penali. Le piattaforme che fanno parte di CMN/MBG vengono controllate a intervalli regolari per individuare potenziali lacune nella sicurezza. Tramite i processi di sicurezza di Swisscom l integrità dei sistemi viene garantita in maniera continuativa e duratura. L infrastruttura di rete di Swisscom è suddivisa in aree di sicurezza costantemente sorvegliate. Gli accessi dei tecnici di Swisscom sono regolati da norme severe, vengono verbalizzati e controllati. Swisscom SA 06/2011 Corporate Mobile Network (CMN) / Mobile Business Group (MBG) 1/2

17 L identificazione dei clienti avviene tramite i codici segreti memorizzati nella carta SIM e nella rete. Sia la carta SIM, sia gli elementi di autenticazione della rete sono protetti a più livelli. Per accedere alla carta SIM occorre un codice PIN noto soltanto al cliente. In che modo il cliente può assicurarsi una protezione supplementare? Swisscom consiglia di lasciare sempre attivato il codice PIN, non lasciare incustodito il cellulare e darlo in prestito soltanto a persone fidate. Alcuni collaboratori della hotline sono autorizzati ad accedere sia al PIN che al PUK, per assistere il cliente in caso di smarrimento del PIN. Per quanto concerne i clienti sensibili, si consiglia di effettuare le conversazioni di natura riservata tramite UMTS. Swisscom SA 06/2011 Corporate Mobile Network (CMN) / Mobile Business Group (MBG) 2/2

18 COMBOX Descrizione del prodotto Il COMBOX è una segreteria telefonica per la rete fissa e per il cellulare. Il COMBOX risponde alle chiamate se non è possibile farlo di persona. Il chiamante sente un messaggio di benvenuto. Non appena il chiamante lascia il suo messaggio sul COMBOX del cellulare viene generato un SMS di notifica. Sulla rete fissa, l arrivo di un nuovo messaggio viene segnalato sul terminale fisso. Il numero del COMBOX è preconfigurato sul tasto 1 del cellulare e memorizzato nella rubrica del cellulare alla voce COMBOX. Disponibilità Il COMBOX è un servizio di segreteria telefonica che dispone però anche di utili funzioni supplementari, come ad es. il fax (COMBOX pro). I sistemi che fanno parte del COMBOX vengono gestiti in centri di calcolo protetti conformemente allo stato attuale della tecnica e costantemente sorvegliati. Per poter garantire sempre la riservatezza dei messaggi vocali registrati, i dati vengono memorizzati in un solo sistema senza copie di sicurezza. Per questo motivo, nonostante la più moderna manutenzione dei sistemi, non può essere sempre garantita una disponibilità assoluta. Le perdite di dati sono però estremamente rare. Riservatezza All interno della rete Swisscom si può interrogare il COMBOX con il proprio cellulare senza dover digitare anche il PIN. Le interrogazioni dalle reti di altri operatori (ad es. dall estero) sono possibili solo con l immissione del PIN. Le funzioni del COMBOX pro per l inoltro di fax e di sono disattivate di default e vengono impostate dal cliente attraverso l area clienti di Swisscom; naturalmente possono anche essere nuovamente disattivate. Sono pertanto esclusi nel modo più assoluto inoltri errati tranne nel caso in cui il cliente si sbagli. Gli agenti della hotline non hanno accesso ai dati personali dei clienti relativi al COMBOX come i messaggi o il PIN del COMBOX, tranne nel caso in cui il cliente richieda esplicitamente, indicando il proprio PIN, che l agente acceda ai messaggi. I nuovi PIN vengono generati automaticamente senza che gli agenti della hotline ne possano venire a conoscenza. Presso la hotline, un piccolo gruppo di specialisti qualificati ha accesso al codice PIN dei clienti COMBOX per poterli aiutare in caso di eventuali domande (ad es. se i clienti desiderano una sequenza specifica di cifre come codice PIN). COMBOX 1/2

19 Integrità Le impostazioni del COMBOX possono essere modificate solo previa immissione di una password, tramite terminale attraverso la rete telefonica con il PIN (rete di telefonia mobile e rete fissa), via Internet o mediante l area clienti di Swisscom. Dalla rete telefonica di Swisscom si può accedere al COMBOX senza dover immettere il PIN del COMBOX, poiché è garantita un identificazione sicura e inequivocabile. Dalle reti di altri operatori occorre necessariamente digitare il codice PIN per garantire l integrità. Accesso/ identificazione Mediante la notifica SMS (standard per i terminali mobili; facoltativa per i terminali di rete fissa) e una segnalazione sul terminale (solo nella rete fissa), il cliente viene informato dell arrivo di nuovi messaggi. L accesso al COMBOX richiede l immissione di un PIN del COMBOX (tranne che all interno della rete telefonica di Swisscom). Alla terza immissione errata l accesso viene bloccato e deve essere riabilitato dalla hotline. Gli accessi al COMBOX per interventi tecnici vengono registrati e possono essere presentati a titolo di documentazione. Come può assicurarsi un ancora maggiore protezione il cliente? Swisscom consiglia di lasciare sempre attivata la protezione con codice PIN. In questo modo, terzi non possono interrogare i messaggi del COMBOX nella rete di Swisscom nemmeno se si lascia il terminale incustodito o lo si smarrisce. Le funzioni del COMBOX pro, quali ad es. l inoltro di fax e di , dovrebbero essere attivate solo per numeri e indirizzi noti e affidabili. Se la funzione d inoltro non viene utilizzata, si consiglia di disattivarla. COMBOX 2/2

20 Prodotti Connectivity Descrizione del prodotto La categoria Connectivity comprende i seguenti prodotti: IP-Plus (collegamento base a Internet per clienti aziendali), LAN-Interconnect (servizi che collegano più sedi e trasferiscono dati su linee in rame, in fibra ottica e radio), RAS over IPSS (accesso remoto tramite collegamenti protetti) e servizi Ethernet (servizio di interconnessione delle sedi con il protocollo Ethernet tramite la fibra ottica o il rame). Opticallink e Private Line (collegamenti punto-punto tramite la fibra ottica o il rame) consentono un interconnessione dedicata e trasparente delle sedi. Disponibilità I cablaggi per i servizi summenzionati sono concepiti in modo ridondante in maniera tale da ottenere un elevata disponibilità. Su richiesta è possibile predisporre un alimentazione ridondante per gli edifici e realizzare collegamenti tramite mezzi separati (fibra ottica e rame) per garantire una sicurezza supplementare contro i guasti. Affinché anche le reti interne agli edifici (LAN, Local Area Network) presentino una disponibilità elevata, i nodi di rete nell edificio devono essere concepiti in modo ridondante. Inoltre, per il prodotto LAN-Interconnect, Swisscom offre l opzione di una seconda rete completamente diversificata che, in caso di un guasto nella rete principale, continui a garantire la piena disponibilità al cliente. Riservatezza La riservatezza è garantita dall applicazione di misure organizzative e tecniche. Quando si deve ricorrere ai servizi di partner, essi vengono selezionati con attenzione. La fornitura delle prestazioni è garantita da contratti con Swisscom. I partner sono tenuti all attuazione delle misure di sicurezza, nonché vincolati in generale all obbligo di segretezza in merito ai dati dei clienti. Swisscom e i partner garantiscono che non è possibile alcun accesso da parte di persone non autorizzate. Nelle reti interne agli edifici (LAN) i dati vengono trasmessi perlopiù non codificati. I dati confidenziali dovrebbero essere ulteriormente protetti prima del trasferimento. La rete LAN-I (LAN-Interconnect) offre una riservatezza adeguata. Misure organizzative e tecniche impediscono che i dati di un cliente possano essere visualizzati e modificati da terzi. La riservatezza può essere incrementata ulteriormente con l impiego di un software di codifica. Prodotti Connectivity 1/2