La sicurezza dei prodotti presso Swisscom (Svizzera) SA

Transcript

1 La sicurezza dei prodotti presso Swisscom (Svizzera) SA

2 Indice La sicurezza dei prodotti presso Swisscom (Svizzera) SA 3 BlackBerry 8 Bluewin 10 Business Internet light / standard 12 COMBOX 14 Prodotti Connectivity 16 Corporate Mobile Network (CMN) / Mobile Business Group (MBG) 18 Corporate Network Access (CNA) 20 Telefonia di rete fissa (analogica e digitale ISDN) 22 Hosted Exchange Professionale 24 Roaming internazionale (voce, dati, SMS) 26 Collegamento internet 28 iphone / ipad 30 MMS 32 Mobile Unlimited 34 Mobile Voice 36 SMS 38 SMS Large Account 40 Webhosting 42

3 La sicurezza dei prodotti presso Swisscom (Svizzera) SA Di che cosa si tratta? La sicurezza a livello di comunicazione (di dati) è un argomento centrale e delicato dal punto di vista sia del cliente sia del gestore di rete. In breve: il rischio di base è potenzialmente elevato, ma i pericoli reali sono attualmente sotto controllo. La presente documentazione contiene factsheet relativi a questioni legate alla sicurezza dei prodotti di rete fissa e mobile e delle soluzioni integrate. Un argomento centrale è la sicurezza dei prodotti, strettamente collegata al dialogo tra Swisscom, i suoi clienti e l opinione pubblica (mass media). Presso Swisscom questi factsheet vengono costantemente verificati e completati dai product manager in collaborazione con i responsabili della sicurezza, il segmento preposto, la divisione comunicazione aziendale e il servizio giuridico. Che cosa può accadere? La situazione di pericolo per Swisscom e i nostri clienti è in costante mutamento. La sua evoluzione viene seguita attentamente da Swisscom, tuttavia ci sono minacce che si manifestano di continuo. Le più frequenti sono riportate di seguito. Furto di dati Definizione: tentativo di accedere illegalmente con mezzi tecnici a contenuti di conversazioni e dati trasmessi. A tale proposito non si opera alcuna distinzione fra il tentativo di accesso da parte di collaboratori, partner esterni o terzi. Scenari: attacco alla rete di telefonia o dati; manipolazione del terminale (PC, smartphone e tablet) oppure «irruzione» nel centro di calcolo. Attacco e protezione: nell'ambito della telefonia mobile, l'interfaccia aerea dal terminale all'antenna viene codificata. A tale scopo, si utilizzano algoritmi di diversa potenza. In Svizzera si applica la codifica con lo standard algoritmico più potente. Teoricamente esiste la possibilità d'ingerenza nel flusso della conversazione / dei dati. Tuttavia, un attacco di questo tipo presuppone un grande dispiego di energia e conoscenze notevoli, nonché particolari mezzi tecnici. Ciò che vale per la telefonia mobile è applicabile anche alla rete fissa e ai prodotti. La principale forma di protezione consiste nel concedere l'accesso ai propri dati solo alle persone che devono disporne, configurando le corrispondenti autorizzazioni di accesso e di ingresso oppure salvando e trasmettendo i dati in forma codificata. Swisscom verifica regolarmente le proprie reti tramite la cosiddetta procedura di «ethical hacking», ovvero simula attacchi sulla propria rete con l aiuto di hacker esperti. In questo modo vengono identificati ed eliminati i possibili punti deboli. Inoltre, Swisscom esegue regolarmente verifiche di sicurezza (Security Audit), identifica i rischi per la sicurezza, li analizza e adotta le necessarie contromisure. Particolare attenzione viene rivolta anche alla sicurezza fisica, ad esempio la protezione degli accessi, affinché soltanto persone autorizzate possano lavorare con i sistemi informatici. Manipolazione di dati Definizione: per manipolazione di dati s'intende la modifica di dati o il loro utilizzo per scopi diversi da quelli previsti, in seguito a un attacco. Ciò riguarda tutti i dati salvati dal o tramite il cliente sui server, fino agli apparecchi terminali, dalle informazioni per la fatturazione ai numeri di chiamata sulla carta SIM dell apparecchio mobile. Scenari: la manipolazione di dati può avvenire in seguito ad attacchi su terminali, sulla rete o sui server di un fornitore si servizi, allo sfruttamento di punti deboli del prodotto e attraverso attacchi con impiego di password o schede di accesso rubate. In questo caso, l attenzione è rivolta ad attacchi tramite vermi, virus e altri software dannosi.

4 Attacco e protezione: il principale punto debole è rappresentato dal mancato rispetto o dalla scarsa osservanza delle prescrizioni di sicurezza (ad es. perdita di password) e dalla mancata adozione di misure di protezione da parte dell'utente o del gestore della rete (firewall, antivirus, scanning di rete). Soltanto tramite un'opportuna formazione e informazione di collaboratori e utenti / clienti è possibile ridurre notevolmente il rischio. Regole di accesso specifiche per i centri di calcolo, una corretta gestione delle password, l installazione di scanner antivirus nella rete e sul terminale e la verifica critica di messaggi di posta elettronica con mittente e contenuto sconosciuti costituiscono, ad esempio, strumenti di protezione semplici ed efficaci. Sul fronte della rete, Swisscom è in grado di riconoscere i file sospetti tramite scanning e di isolare tempestivamente i virus. La diffusione di tali file, ad esempio nella rete di telefonia mobile, si può quindi evitare con misure di protezione. Perdita di dati Definizione: la perdita di dati si verifica, interamente o in parte, nei casi di cui sopra oppure in seguito a danni fisici dei supporti di memoria e / o dei terminali. Scenari: oltre a una manipolazione dolosa (come descritto sopra) si può ipotizzare una perdita di dati dovuta a difetti degli apparecchi e dei supporti, nel caso in cui non esista una copia di sicurezza. In mancanza di un backup un ripristino è spesso molto difficoltoso e dispendioso a livello di tempi e costi. Attacco e protezione: la perdita dei dati avviene raramente, ma proprio per questo è ancora più irritante. Si verifica per lo più in relazione ad apparecchi difettosi e perché ci si dimentica di salvare i dati. Per evitare la perdita dei dati si consiglia di creare sempre una copia di sicurezza (backup). Oggigiorno è possibile farlo in vari modi. Ad esempio si può effettuare il backup di un apparecchio mobile sul computer di casa oppure il backup del computer su un disco fisso esterno o nel cloud. Vale comunque la pena di verificare di quali dati viene creata una copia di sicurezza, per decidere ad esempio se è necessario codificarli, affinché non possano essere letti da persone non autorizzate. Abuso d'identità Definizione: per abuso di identità si intende l'acquisizione di caratteristiche identificative di una persona o azienda e l'utilizzo improprio delle stesse. L'abuso è spesso finalizzato all'ottenimento di servizi o denaro. Scenari: attraverso la sottrazione di dati di accesso / schede di accesso o il cosiddetto «Key Logging» (registrazione dell uso della tastiera / del movimento del mouse tramite uno speciale ausilio) un aggressore può accedere ad aree protette di un edificio, a server o a terminali. Attacchi simili sono possibili ad esempio anche nei confronti di COMBOX e PIN di carte SIM. Attacco e protezione: contro l abuso d identità servono soprattutto l informazione e la formazione dei clienti e collaboratori, nonché l impiego di programmi di protezione sui terminali. Anche l'uso di password specifiche per ogni servizio può fungere da protezione contro il furto di identità. A tale proposito la password viene generata e salvata da un software di gestione delle password. È così necessario annotarsi soltanto una password per questo software dal quale si possono facilmente copiare tutte le altre password da utilizzare. In caso di furto della password per un servizio, a essere interessato è solo questo servizio specifico, dal momento che gli altri possiedono una propria password e possono quindi continuare a essere utilizzati senza problemi. Inoltre la possibilità effettiva di furto delle password dipende dalle misure di protezione dei fornitori di servizi.

5 Attacchi mirati Definizione: gli attacchi mirati, come dice il nome stesso, sono attacchi diretti contro un'istituzione o una persona, allo scopo di arrecarle un determinato danno. Scenari: questo danno può essere una combinazione qualsiasi degli scenari summenzionati. A titolo di esempio, spesso si ha un abuso di identità, per ottenere fiducia, quindi accesso a informazioni alle quali non sarebbe altrimenti possibile accedere. Il furto di dati risulta così agevolato. Attacco e protezione: gli attacchi mirati sono attacchi rivolti a una determinata persona o azienda (di qui il nome), per lo più allo scopo di realizzare uno degli scenari di cui sopra. Molto spesso oltre alle grandi aziende di diversi settori sono interessate anche ditte che vendono servizi di qualsiasi genere alle grandi aziende attaccate. Nel mirino degli hacker ci sono quindi anche realtà aziendali piccole e medie. Da questi attacchi è possibile proteggersi solo in misura limitata, ma una combinazione di diverse misure di protezione (tecniche, organizzative e un'adeguata formazione) può essere un buon aiuto per riconoscerli o persino evitarli.

6 Certificati di sicurezza Nei settori chiave, Swisscom dispone di certificazioni di sicurezza riconosciute a livello internazionale che vengono verificate regolarmente. Inoltre Swisscom vanta altri certificati considerati rilevanti in un ottica globale. ISO 9001 Management della qualità certificato ISO Management ambientale certificato ISO Analisi e miglioramenti dei processi nell'ambito della costruzione e dell'esercizio della rete mobile e della misurazione di radiazioni ISO Certificato di sicurezza per la pianificazione, la costruzione e l'esercizio di reti IT e di telecomunicazione e relativi servizi per i prodotti ZertES, VZertES Fornitore di servizi di certificazione accreditato per firme elettroniche qualificate

7 Avvertenze legali Il presente argomento è estremamente complesso dal punto di vista giuridico, soprattutto relativamente alla sicurezza dei dati. In presenza di presupposti chiaramente definiti, le autorità penali possono, ad esempio, ascoltare le conversazioni. I potenziali aggressori sono perseguibili penalmente. Per domande di carattere giuridico o implicazioni di legge occorre contattare la divisione giuridica (Legal). Alcune importanti disposizioni contrattuali e legali sono riepilogate brevemente di seguito. Ordinanza sui servizi di telecomunicazione (OST) Art. 87 OST, Sicurezza dei servizi di telecomunicazione: 1 I fornitori di servizi di telecomunicazione devono avvertire i loro clienti del rischio di ascolto abusivo e di ingerenze legato all'utilizzazione dei loro servizi. 2 Devono offrire o indicare loro strumenti in grado di eliminare tali rischi. Legge federale sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (LSCPT) La LSCPT offre a determinate autorità, in presenza di presupposti qualificati, la possibilità di monitorare le conversazioni risp. di accedere al traffico dati. Legge sulla protezione dei dati (LPD) Art. 7 LPD, Sicurezza dei dati: 1 I dati personali devono essere protetti contro ogni trattamento non autorizzato mediante provvedimenti tecnici e organizzativi appropriati. Codice penale (CP, art. 143 e segg.) Sono punibili in particolare il «furto di dati», «il sabotaggio, («accesso indebito a un sistema per l elaborazione dei dati» e «abuso di un impianto per l elaborazione di dati») e il «danneggiamento di dati». Consultare inoltre le Condizioni generali di contratto applicabili, in particolare le disposizioni sulla protezione dei dati.

8 BlackBerry Descrizione del prodotto Disponibilità Riservatezza Integrità Il servizio BlackBerry consente alle aziende con infrastruttura Corporate Messaging (come Microsoft Exchange, IBM Domino o Novell GroupeWise) propria o esternalizzata (hosted) di ricevere in modo codificato, elaborare e inviare e mail, nonché di elaborare compiti, dati del calendario e indirizzi da un apparecchio terminale mobile BlackBerry. La disponibilità del servizio BlackBerry si basa su diversi elementi: i centri di calcolo di BlackBerry, il BlackBerry Enterprise Server (integrato nell infrastruttura IT del cliente), il collegamento di Swisscom con BlackBerry, le reti di telefonia mobile di Swisscom e l apparecchio terminale. I guasti al servizio sono molto rari. Esso viene considerato estremamente affidabile. BlackBerry Enterprise Service 10 utilizza l algoritmo di codifica «Advanced Encryption Standard» (AES). Vengono codificati tutti dati in uscita e in entrata dal server della posta aziendale del cliente e dall apparecchio terminale BlackBerry. Ciò riguarda le e mail, i dati del calendario, le richieste di appuntamento, nonché tutti gli altri dati delle applicazioni che vengono trasmessi tra il BlackBerry Enterprise Server e l apparecchio terminale BlackBerry. BlackBerry non memorizza su propri server informazioni (e mail, richieste di appuntamento ecc.) che vengono trasmesse ai / dai clienti e non può quindi consultare o rendere pubblici dati di questo tipo. In caso di eventuali rischi, BlackBerry mette immediatamente a disposizione degli aggiornamenti di sicurezza, che possono essere distribuiti in modo automatizzato. Sul BlackBerry Enterprise Server viene memorizzato fondamentalmente solo il collegamento dall apparecchio terminale BlackBerry alla mailbox scelta dall utente. Tutte le e mail, le immissioni nel calendario e gli altri dati aziendali rimangono sul mail server e non vengono replicati nel BlackBerry Enterprise Server. Il BlackBerry Enterprise Server deve provvedere esclusivamente all inoltro delle informazioni, non al loro salvataggio. Il canale tra Enterprise Server e apparecchio terminale è protetto ed è quindi al riparo da attacchi esterni. Allo stato attuale delle conoscenze sono escluse manipolazioni delle comunicazioni. BlackBerry protegge inoltre il proprio centro di calcolo con una combinazione delle seguenti misure: ingresso protetto da password in tutti i punti di accesso, diversi firewall, sistemi per il riconoscimento degli accessi non autorizzati e altri sistemi che BlackBerry non specifica per motivi di riservatezza. BlackBerry è considerata la soluzione più sicura nel settore. BlackBerry 1/2

9 Accesso / Identificazione In che modo il cliente può assicurarsi una protezione supplementare? L identificazione del cliente sull apparecchio terminale si basa su password (memorizzata in modo codificato nell apparecchio terminale). Dopo dieci immissioni errate della password, tutti i dati presenti nell apparecchio terminale BlackBerry vengono cancellati automaticamente. L accesso alla rete presuppone inoltre l inserimento di un PIN. Con l uso di S / MIME (codifica end to end aggiuntiva) è garantita una crittazione del traffico e mail oltre i punti terminali del servizio. L apparecchio terminale offre inoltre un ampliamento rispetto all identificazione / alla verifica dell autorizzazione basata su scheda con chip. Swisscom consiglia di utilizzare sempre una password sull apparecchio terminale BlackBerry e di richiedere il cambio del codice per la codifica end to end dei dati da parte dell amministratore. BlackBerry 2/2

10 Bluewin e mail Descrizione del prodotto Disponibilità Riservatezza Integrità Bluewin e mail la bucalettere in tutto il mondo. Con Bluewin e mail potete accedere in qualsiasi momento alla vostra posta elettronica e inviare o ricevere e mail tramite web, con un programma di posta elettronica o con un app e mail. È garantita assoluta sicurezza: ogni indirizzo e mail dispone di un filtro antispam e antivirus gratuito. Per evitare abusi (ad es. l invio di e mail sotto falso nome), vi offriamo la possibilità di inoltrare messaggi con la cosiddetta autenticazione SMTP. E se durante il trasferimento delle vostre e mail da e verso il server di posta elettronica Bluewin desiderate un supplemento di sicurezza, potete avvalervi della codifica SSL. Bluewin e mail può essere utilizzato con i programmi di posta elettronica oppure, come Bluewin Webmail, con un browser Internet. Il grado di disponibilità di Bluewin e mail è in genere elevato e lato rete dipende dalla disponibilità del server di posta elettronica di Bluewin, nonché dall infrastruttura Internet. Lato cliente, la disponibilità è invece condizionata all accesso Internet ed eventualmente ai server di posta elettronica del cliente. Grazie al salvataggio automatico e regolare dei dati si garantisce, in sede di rete, che nessuna e mail vada persa nell eventualità, peraltro rara, di un interruzione del sistema. Se uno dei server subisce un guasto, lo scambio di e mail prosegue automaticamente sull altro sistema, in modo tale che il servizio sia utilizzabile senza alcuna interruzione. La riservatezza dei messaggi di posta elettronica non è particolarmente elevata ed è spesso paragonata a quella delle cartoline postali inviate. Di norma, le e mail sono trasmesse attraverso Internet senza alcuna forma di codifica e sono memorizzate temporaneamente su appositi server di posta elettronica. Swisscom consiglia di proteggere i messaggi di posta elettronica di natura confidenziale con l ausilio di una speciale tecnica di codifica. In genere, i mittenti e i destinatari devono utilizzare a tal fine il medesimo programma di protezione. Per garantire l osservanza delle disposizioni di legge in materia di lotta agli abusi, Swisscom è tenuta a registrare i dati di collegamento relativi alle e mail (mittente, destinatario, ora, oggetto del messaggio) e di archiviarli con protezione di accesso. Le e mail sono spesso oggetto di abusi, le cui forme più comuni sono spam (messaggi di posta indesiderati), phishing (furto di dati sensibili), virus (software nocivi allegati ai messaggi di posta elettronica) e i dati falsificati dei mittenti. Bluewin 1/2

11 Swisscom offre gratuitamente a tutti gli utenti di indirizzi e mail Bluewin un filtro antivirus, antispam e antiphishing, in grado di selezionare messaggi indesiderati e a rischio, impedendone la memorizzazione nella casella di posta elettronica d entrata del cliente. Il filtro elimina le mail di phishing e i virus e devia le mail spazzatura (spam) in un apposita cartella separata, la quale può essere gestita attraverso il servizio di Webmail ed è svuotata automaticamente una volta la settimana. Swisscom utilizza la cosiddetta «autenticazione SMTP». Questo metodo consente di evitare che terzi non autorizzati abusino dell identità del cliente e inviino messaggi con nomi falsi. Accesso / Identificazione Servendosi di un programma di posta elettronica, il cliente può richiamare le proprie e mail dal server Bluewin e scaricarle sul proprio PC. A tale scopo è necessaria la registrazione (login) mediante nome utente e password, che viene effettuata automaticamente dal programma di posta elettronica utilizzato. Se non è stata selezionata alcuna codifica, la trasmissione dei dati di registrazione (login) e del contenuto delle mail avviene in chiaro. Con Bluewin Webmail l accesso è possibile soltanto mediante login di Swisscom, che garantisce la trasmissione di tutti i dati fino al server Swisscom sempre in forma codificata. In che modo il cliente può assicurarsi una protezione supplementare? Swisscom consiglia di utilizzare il filtro antivirus, antiphishing e antispam messo gratuitamente a disposizione. Questo tipo di servizio può essere attivato e disattivato a proprio piacimento direttamente attraverso l «Area clienti di Swisscom». Ai clienti che usano anche indirizzi di posta elettronica di altri provider si consiglia di attivare presso i medesimi detti filtri. Swisscom raccomanda inoltre vivamente di installare un software antivirus sui PC utilizzati. Oltre che mediante misure tecniche di protezione, il grado di sicurezza può essere aumentato in modo duraturo attraverso l adozione delle seguenti semplici regole di comportamento: non aprire gli allegati delle e mail di mittenti sconosciuti e non cliccare sui link; non comunicare dati sensibili tramite e mail o su pagine web non affidabili (ad es. coordinate bancarie, Swisscom Login); comunicare gli indirizzi di posta elettronica personali esclusivamente a persone fidate; utilizzare un secondo indirizzo di posta elettronica per i concorsi, i moduli, le newsletter, ecc; non rispondere a messaggi spam; non inoltrare messaggi di avvertenza e lettere a catena. Bluewin 2/2

12 Business Internet light / standard Descrizione del prodotto Business Internet light (senza router, unmanaged) offre un collegamento a banda larga conveniente, sicuro e affidabile. È ideale come prodotto iniziale per le PMI poiché, con l assistenza professionale di un partner IT di Swisscom, può essere adeguato o esteso in qualsiasi momento e in modo flessibile in funzione delle esigenze. Business Internet standard (con router, managed) offre un prodotto di dati di qualità con prestazioni uniche: è sicuro, affidabile e conveniente. Inoltre è strutturato in modo modulare e scalabile e si adatta in qualsiasi momento alle mutevoli esigenze e condizioni dell azienda. Il prodotto permette di integrare nella propria rete di dati più sedi e collaboratori esterni in maniera semplice e flessibile. Business Internet standard può essere combinato e integrato con altri servizi di Swisscom ideati su misura per le PMI. Disponibilità Riservatezza Business Internet è messo a disposizione attraverso sistemi ridondanti ed è ampiamente protetto contro eventuali interruzioni totali. I sistemi sono sottoposti a sorveglianza continua, controlli e verifiche tecniche regolari da parte di organi esterni, al fine di garantirne il funzionamento, la disponibilità e la sicurezza. I clienti che necessitano di tempi di interruzione il più ridotti possibile in caso di guasto hanno la possibilità, grazie a una sicurezza supplementare, di usufruire di una riduzione dei tempi di intervento di Swisscom in caso di guasto (< 24 h). Con Business Internet i dati vengono trasmessi attraverso la dorsale di Swisscom e possono godere di una protezione end to end grazie a VPN. I fornitori e i clienti di servizi web possono aumentare il grado di riservatezza dei propri dati mediante l impiego di tecniche di codifica. Alcuni servizi web, quali l online banking, proteggono i collegamenti con sistemi di sicurezza garantendo in tal modo la segretezza dei dati trasmessi. Integrità La codifica facoltativa end to end con VPN offre una protezione professionale dei collegamenti. Inoltre, nel caso di Business Internet il trasferimento dei dati non dispone di protezione contro le manipolazioni. Business Internet light/standard 1/2

13 Accesso / Identificazione In che modo il cliente può assicurarsi una protezione supplementare? I clienti Business Internet vengono identificati sulla base del loro nome d utente e della loro password. Per la trasmissione di dati importanti, Swisscom raccomanda l utilizzo di un collegamento dotato di una protezione supplementare. A tale scopo sono consigliabili la procedura SSL (Secure Socket Layer) oppure le cosiddette Virtual Private Network (VPN). I collegamenti protetti sono riconoscibili dal simbolo della chiave visualizzato nella barra inferiore dello schermo quando si utilizza ad esempio Microsoft Internet Explorer. Swisscom offre da un unica fonte svariate soluzioni VPN, compresa l integrazione sicura di terminali mobili nella rete aziendale. Nel caso in cui Business Internet venga utilizzato in combinazione con una rete LAN wireless, Swisscom consiglia l impiego di WPA / WPA2 per la codifica dell interfaccia. Business Internet light/standard 2/2

14 COMBOX Descrizione del prodotto Il COMBOX è una segreteria telefonica per il telefono di rete fissa e il cellulare. COMBOX Basic dispone della funzione di segreteria telefonica, COMBOX Pro anche di una funzione di inoltro fax ed e mail. Il COMBOX riceve i messaggi fax o vocali se non è possibile farlo di persona. Il chiamante sente un messaggio di benvenuto. Non appena il chiamante lascia un messaggio sul COMBOX viene generata una notifica sul terminale. Disponibilità Riservatezza I sistemi che fanno parte del COMBOX vengono gestiti in centri di calcolo Swisscom a prova di guasto, protetti conformemente allo stato attuale della tecnica e costantemente sorvegliati. I messaggi del COMBOX vengono salvati su sistemi Swisscom in Svizzera. Per accedere ai messaggi è necessaria una autorizzazione. È possibile interrogare il COMBOX dal proprio apparecchio senza digitare il PIN. Le interrogazioni dalle reti di altri operatori (ad es. dall estero) sono possibili solo con l immissione del PIN. Le impostazioni di sicurezza e il PIN del COMBOX possono essere modificati dal cliente. I nuovi PIN vengono generati automaticamente senza che gli agenti della hotline ne possano venire a conoscenza. Gli agenti della hotline non hanno accesso ai dati personali relativi al COMBOX, come i messaggi o il PIN del COMBOX. Swisscom elabora sempre i dati del COMBOX in base alle disposizioni della Legge sulla protezione dei dati. Integrità Dalla rete telefonica di Swisscom si può accedere al COMBOX senza dover immettere il PIN, poiché è garantita un identificazione sicura e univoca. Dalle reti di altri operatori occorre necessariamente digitare il codice PIN per garantire l integrità. L accesso tramite l Area clienti è possibile solo tramite l immissione di nome utente e password. COMBOX 1/2

15 Accesso / Identificazione Per l accesso al COMBOX è necessaria una autorizzazione. È possibile interrogare il COMBOX dal proprio apparecchio senza digitare il PIN. Le interrogazioni dalle reti di altri operatori (ad es. dall estero) sono consentite solo con l immissione del PIN. Alla terza immissione errata l accesso viene bloccato e deve essere riabilitato dalla hotline. Gli accessi al COMBOX vengono registrati e possono essere resi noti qualora il cliente sospetti un abuso. In che modo il cliente può assicurarsi una protezione supplementare? Swisscom consiglia di lasciare sempre attivata la protezione con codice PIN. In questo modo si esclude l accesso di terzi ai messaggi del COMBOX nella rete di Swisscom anche se si lascia il terminale incustodito o lo si smarrisce. Le funzioni COMBOX Pro quali inoltro di fax e e mail dovrebbero essere attivate solo per numeri e indirizzi noti e affidabili. Se la funzione d inoltro non viene utilizzata, si consiglia di disattivarla. COMBOX 2/2

16 Prodotti Connectivity Descrizione del prodotto Disponibilità La categoria Connectivity comprende i seguenti prodotti: IP Plus (collegamento base a internet per clienti aziendali), LAN Interconnect (servizi che collegano più sedi e trasferiscono dati su linee in rame, in fibra ottica e radio), RAS over LAN Interconnect (accesso remoto tramite collegamenti protetti) e servizi ethernet (servizio di interconnessione delle sedi con il protocollo ethernet tramite la fibra ottica o il rame). Opticallink e Private Line (collegamenti punto punto tramite la fibra ottica o il rame) consentono un interconnessione dedicata e trasparente delle sedi. I cablaggi per i servizi summenzionati possono essere concepiti in modo ridondante, per ottenere un elevata disponibilità. Su richiesta è possibile predisporre un alimentazione ridondante per gli edifici e realizzare collegamenti tramite mezzi separati (fibra ottica e rame) per garantire una sicurezza supplementare contro i guasti. Affinché anche le reti interne agli edifici (LAN, Local Area Network) presentino una disponibilità elevata, i nodi di rete nell edificio devono essere concepiti in modo ridondante. Inoltre, per il prodotto LAN Interconnect, Swisscom offre l opzione di una seconda rete completamente diversificata che, in caso di un guasto nella rete principale, continui a garantire la piena disponibilità al cliente. La disponibilità RAS è un servizio cloud di Swisscom concepito in modo georidondante. Riservatezza La riservatezza è garantita dall adozione di misure organizzative e tecniche. Quando si deve ricorrere ai servizi di partner, essi vengono selezionati con attenzione. La fornitura delle prestazioni è garantita da contratti, NDA e Dataflow Agreement con Swisscom. I partner sono tenuti all attuazione delle misure di sicurezza, nonché vincolati in generale all obbligo di segretezza in merito ai dati dei clienti. Swisscom e i partner garantiscono che non è possibile alcun accesso da parte di persone non autorizzate. Nelle reti interne agli edifici (LAN) i dati vengono in parte trasmessi non codificati. I dati confidenziali dovrebbero essere ulteriormente protetti prima del trasferimento. La rete LAN I (LAN Interconnect) offre una riservatezza adeguata. Misure organizzative e tecniche impediscono che i dati di un cliente possano essere visualizzati e modificati da terzi. La riservatezza può essere incrementata ulteriormente con l impiego di un software di codifica. Prodotti Connectivity 1/2

17 Integrità I meccanismi di protezione standard di LAN e LAN I impediscono la manipolazione dei dati durante il trasferimento. Una protezione aggiuntiva è offerta dalla separazione dei diversi settori delle reti tramite firewall e dall impiego di software antivirus. Tra le misure di protezione base consigliate nei punti di passaggio alle aree internet non sicure rientrano firewall e software antivirus. Per garantire l integrità dei dati durante i trasferimenti attraverso internet, Swisscom consiglia l impiego di un software di sicurezza VPN (Virtual Private Network), offerto tra gli altri da Remote Access Service (RAS). Accesso / Identificazione I prodotti Connectivity di Swisscom consentono l impiego di diversi meccanismi d identificazione. In funzione del grado di riservatezza dei dati trasferiti, Swisscom consiglia l utilizzo di meccanismi d identificazione con tre caratteristiche di sicurezza (identificativo d utente, password e certificato digitale, SecureID Token o password monouso, ad es. su base SMS o app). Con Secure RAS (Remote Access Software) è possibile garantire l accesso ad applicazioni e reti attraverso reti non sicure. Secure RAS supporta fino a 3 fattori di identificazione. In che modo il cliente può assicurarsi una protezione supplementare? La sicurezza di una rete dipende prevalentemente dal grado di protezione degli apparecchi allacciati. Swisscom consiglia pertanto di dotare tutti i computer collegati di software antivirus e firewall personalizzati per terminali. Per i terminali mobili si consiglia l impiego di un software Device Management. Se vengono scambiati dati confidenziali tra le sedi, Swisscom raccomanda di gestire questi collegamenti come Virtual Private Network. A questo proposito è possibile avvalersi del servizio LAN Interconnect con l opzione SecureCER. Nei punti d intersezione fra due reti con differente livello di protezione, soprattutto nell interfaccia internet, si consiglia l impiego di firewall con regole restrittive. In questo caso si può ricorrere al prodotto di Swisscom Managed Firewall / Secure POP (Point of Presence). I server web sui quali terminano i collegamenti SSL codificati dovrebbero essere dotati esclusivamente di certificazioni SSL di enti fidati. I relativi certificati possono essere acquistati presso Swisscom. I dati confidenziali dovrebbero essere ulteriormente protetti prima del trasferimento. I calcolatori nevralgici della LAN dovrebbero essere utilizzati solo in ambienti risp. armadi climatizzati e con controllo dell accesso. Prodotti Connectivity 2/2

18 Corporate Mobile Network (CMN) / Mobile Business Group (MBG) Descrizione del prodotto Disponibilità CMN è l abbonamento di telefonia mobile per i clienti commerciali. Comprende l allestimento di un Closed User Group (la totalità dei numeri di telefonia mobile e di rete fissa di un azienda), all interno del quale è possibile telefonare a tariffe preferenziali. A questi numeri possono inoltre essere assegnati numeri brevi con l ausilio di un piano di numerazione. Analogamente a CMN, MBG comprende l allestimento di un Closed User Group, ma non prevede alcun piano per numeri brevi. Le piattaforme tecniche che fanno parte di Corporate Mobile Network / Mobile Business Group offrono una disponibilità elevata. Per rispondere alle richieste dei clienti, si ampliano costantemente le capacità delle piattaforme e quindi anche la disponibilità dei servizi. Se la domanda è molto elevata, le piattaforme vengono sottoposte a potenziamenti ordinari. Riservatezza Integrità CMN e MBG si basano sulla sicurezza della rete di telefonia mobile. Dal punto di vista tecnico questi servizi sono considerati sicuri. Come per altri operatori e servizi, la riservatezza può essere limitata dalle autorità penali per legge. In questi casi viene consentito loro l accesso selettivo alle chiamate e ai dati delle chiamate, a condizione che siano in relazione con un procedimento penale. Un accesso permanente e illimitato alle telefonate di utenti e ai relativi dati non è però consentito neppure alle autorità penali. Le piattaforme integrate in CMN / MBG vengono controllate a intervalli regolari per individuare potenziali lacune nella sicurezza. Tramite i processi di sicurezza di Swisscom, l integrità dei sistemi è garantita in maniera continuativa e duratura. Corporate Mobile Network (CMN) / Mobile Business Group (MBG) 1/2

19 Accesso / Identificazione L infrastruttura di rete di Swisscom è suddivisa in zone di sicurezza costantemente sorvegliate. Gli accessi dei tecnici di Swisscom sono regolati da norme severe, vengono verbalizzati e controllati. L identificazione del cliente avviene tramite i codici segreti memorizzati nella carta SIM e nella rete. Sia la carta SIM, sia gli elementi di autenticazione della rete sono protetti a più livelli. L accesso alla carta SIM avviene tramite il codice PIN. La successiva autenticazione da parte della rete di telefonia mobile è automatica e si basa su codici segreti memorizzati sia nella carta SIM che nella rete. In che modo il cliente può assicurarsi una protezione supplementare? Swisscom consiglia di non disattivare il codice PIN. Alcuni collaboratori della hotline sono autorizzati ad accedere sia al PIN che al PUK per assistere il cliente in caso di smarrimento del PIN. Corporate Mobile Network (CMN) / Mobile Business Group (MBG) 2/2

20 Corporate Network Access (CNA) Descrizione del prodotto Disponibilità Riservatezza Corporate Network Access collega in maniera sicura e diretta la rete mobile di Swisscom alla rete aziendale dei clienti e consente a questi ultimi di raggiungere i propri terminali mobili dalla rete aziendale (e viceversa). Il cliente decide come devono essere collegate le due reti. È possibile farlo o mediante VPN (Virtual Private Network) con IPsec attraverso Internet o tramite una rete privata di Swisscom (LAN Interconnect). La disponibilità è assicurata su tutto il territorio tramite la rete GSM (GPRS / EDGE) e la rete UMTS e LTE. In rari casi, nella copertura di rete mobile possono verificarsi a livello locale limitazioni della disponibilità legate alla capacità. Il controllo della rete riconosce gli eventuali guasti, che vengono immediatamente affrontati ed eliminati. Rispetto alla trasmissione attraverso internet pubblico, il collegamento della rete aziendale tramite la rete Swisscom privata (LAN I) garantisce (SLA) in linea di principio tutti i vantaggi in termini di disponibilità, sicurezza e gestione operativa. La trasmissione dei dati tramite l interfaccia aerea viene codificata in base allo standard internazionale GSM / UMTS. I meccanismi di codifica vengono costantemente aggiornati e adeguati alle crescenti esigenze di sicurezza. Sulle tratte di trasmissione all interno della rete principale i dati attraversano le aree di sicurezza di Swisscom che ne garantisce la massima protezione. Per quanto concerne il percorso dalla rete di telefonia mobile alla rete aziendale, la trasmissione avviene tramite un canale VPN con IPsec protetto o tramite collegamenti LAN I dedicati. Per il roaming vengono utilizzate reti mobili di operatori esteri, per le quali Swisscom non può garantire alcuna sicurezza. Corporate Network Access può essere considerato sicuro, poiché il traffico dati viene sempre indirizzato presso Swisscom in Svizzera e quindi è possibile garantire una trasmissione dei dati protetta in base al principio del Closed User Group. Corporate Network Access (CNA) 1/2