Requisiti di controllo dei fornitori esterni

Documenti analoghi
Requisiti di controllo dei fornitori esterni

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

MANDATO DI AUDIT DI GRUPPO

Politica per la Sicurezza

Sicurezza Aziendale: gestione del rischio IT (Penetration Test )

Sicurezza informatica in azienda: solo un problema di costi?

PRIVACY POLICY DEL SITO WEB

Provincia Autonoma di Bolzano Disciplinare organizzativo per l utilizzo dei servizi informatici, in particolare di internet e della posta

PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa

MANUALE DELLA QUALITÀ Pag. 1 di 6

EUROCONSULTANCY-RE. Privacy Policy

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

CNIPA. "Codice privacy" Il Documento Programmatico di Sicurezza. 26 novembre Sicurezza dei dati

PRIVACY POLICY SITO INTERNET

COME VIENE REALIZZATO UN SERVIZIO DI RIORGANIZZAZIONE DEI SISTEMI INFORMATIVI AZIENDALI?

Ente Ospedaliero Specializzato in Gastroenterologia "Saverio de Bellis" Istituto di Ricovero e Cura a Carattere Scientifico

Allegato 2. Scheda classificazione delle minacce e vulnerabilità

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

Esperienze di analisi del rischio in proggeti di Information Security

Policy sulla Gestione delle Informazioni

REGOLAMENTO PER LA SICUREZZA DEI DATI PERSONALI

PRIVACY POLICY DI digitaldictionary.it. Digital Dictionary Servizi s.r.l. Milano via Paleocapa 1, (MI) P.IVA/CF: REA: MI

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.

I dati in cassaforte 1

Politica del WHOIS relativa al nome a dominio.eu

penetration test (ipotesi di sviluppo)

Sicurezza per il mondo IT

Symantec Insight e SONAR

CONDIZIONI SPECIALI DI HOSTING DI UN SERVER DEDICATO

SICUREZZA INFORMATICA

VALUTAZIONE DEL LIVELLO DI SICUREZZA

della manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.

I modelli normativi. I modelli per l eccellenza. I modelli di gestione per la qualità. ! I modelli normativi. ! I modelli per l eccellenza

Si applica a: Windows Server 2008

Assemblea ASSOCOSTIERI. Roma, 4 Luglio 2012

CONDIZIONI GENERALI DI LAVORO PRESSO GLI STABILIMENTI AGUSTAWESTLAND ITALIA

Early Warning. Bollettino VA-IT A

Condizioni di utilizzo per il conto Swisscom Passeport

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

INFORMATIVA SULLA PRIVACY. In questa pagina si descrivono le modalità di gestione del sito in riferimento al

CitySoftware PROTOCOLLO. Info-Mark srl

SINPAWEB corso per Tecnico della programmazione e dello sviluppo di siti internet e pagine web co.reg matricola 2012LU1072

Richiesta di account e/o accesso alle risorse Informatiche della Sezione di Cagliari

Miglioramento continuo

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

Figura Professionale codice FP175 RESPONSABILE QUALITA'

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 3.0 alla 3.

Concessione del servizio di comunicazione elettronica certificata tra pubblica amministrazione e cittadino- PostaCertificat@

Disposizioni per favorire l accesso dei soggetti disabili agli strumenti informatici

DAMA DEMOLIZIONI E SMONTAGGI S.R.L.

CONVENZIONE SUI SERVIZI SANITARI SUL LAVORO 1

Linee guida per il Volontariato Civico del Comune di Monza

Guida di Pro PC Secure

REGOLAMENTO E POLITICHE AZIENDALI ALLEGATO (J) DOCUMENTO SULLE POLITICHE DI SICUREZZA E TUTELA DELLA SALUTE SUL LAVORO EX D.LGS. N.

Presidenza della Giunta Ufficio Società dell'informazione. ALLEGATO IV Capitolato tecnico

Accordo sul livello dei servizi per server dedicati

Orientamenti e raccomandazioni

Politica della sicurezza delle informazioni. della EGK-Cassa della salute

Legge accesso disabili agli strumenti informatici

Obiettivi generali del revisore

La norma ISO 9001:08 ha apportato modifiche alla normativa precedente in

L Ente del Turismo del Sultanato dell OMAN, con sede a:

Servizio Premium 899. Carta di Autodisciplina di WIND Telecomunicazioni S.p.A

Audit & Sicurezza Informatica. Linee di servizio

Domande e risposte su Avira ProActiv Community

Sistema di gestione della Responsabilità Sociale

Sicurezza dei Sistemi Informatici Introduzione

Rischi, sicurezza, analisi legale del passaggio al cloud. PARTE 4: Protezione, diritti, e obblighi legali

L INDIPENDENZA DEL REVISORE

SGSL UN SISTEMA PER LA GESTIONE DELLA SICUREZZA SUL LAVORO NELLA SCUOLA

Metodologie per l identificazione e la qualificazione del rischio nell attività del Collegio Sindacale

Servizi ASP. ASP su Centro Servizi TeamSystem Contratto e SLA

AUDIT. 2. Processo di valutazione

Via Convento Aguzzano Orzinuovi (BS) Tel: Fax:

INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data:

Salute e Sicurezza dei Lavoratori nella filiera del riciclo della carta: il punto di vista dell ente di certificazione. Milano 18 novembre 2008

REGOLAMENTO RELATIVO ALL ACCESSO MEDIANTE VPN AI CENTRI SERVIZI DI INNOVAPUGLIA

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA ANNO 2015

Introduzione a Windows XP Professional Installazione di Windows XP Professional Configurazione e gestione di account utente

L IMPLEMENTAZIONE DEL MODELLO: I PROTOCOLLI DI CONTROLLO E I FLUSSI INFORMATIVI

Il Sistema di qualità. delle Unità di raccolta Avis

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.

Gestire il rischio di processo: una possibile leva di rilancio del modello di business

COME SVILUPPARE UN EFFICACE PIANO DI INTERNET MARKETING

Gestire le NC, le Azioni Correttive e Preventive, il Miglioramento

Studio legale Avv. Paolo Savoldi Bergamo, Via Verdi, 14. SEMINARIO C.S.E. s.r.l IL TRASFERIMENTO DEL RISCHIO

Data protection. Cos è

I dati : patrimonio aziendale da proteggere

APPLICAZIONE DEL CODICE ETICO E DEL MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO DI BREVINI POWER TRANSMISSION S.p.A

Guida alla prevenzione della pirateria software SIMATIC

CONVENZIONE CON GLI ATENEI E ISTITUTI DI GRADO UNIVERSITARIO ALLEGATO 3 CRITERI TECNICI PER LE MODALITA DI ACCESSO DESCRIZIONE DEL SERVIZIO DI HOSTING

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

Le Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema

1 - Parti, oggetto del contratto e definizioni: 2 - Modalità di realizzazione e fornitura dei Servizi 3 - Corrispettivo e tempi di pagamento

Semplificazione e Nuovo CAD L area riservata dei siti web scolastici e la sua sicurezza. Si può fare!

REGOLAMENTO INTERNO PER LA GESTIONE E LA COMUNICAZIONE ALL ESTERNO DI INFORMAZIONI RISERVATE E PRIVILEGIATE

Identità e autenticazione

Transcript:

Requisiti di controllo dei fornitori esterni Sicurezza cibernetica Per fornitori classificati a Basso Rischio Cibernetico

Requisito di cibernetica 1 Protezione delle attività e configurazione del sistema I Dati Barclays e le attività o i sistemi che li memorizzano o li elaborano devono essere protetti contro l'alterazione fisica, la perdita, i danni o la confisca, oltre che contro la configurazione o le modifiche non appropriate. compromettere i Dati Barclays protetti in modo non idoneo; tale condizione può dare luogo a provvedimenti normativi o generare danni alla reputazione. Anche i servizi possono risultare vulnerabili ai problemi di che potrebbero compromettere i Dati Barclays, causare perdite di servizio o consentire altre attività dannose. 2 Gestione delle modifiche e degli aggiornamenti I Dati Barclays e tutti i sistemi utilizzati per memorizzarli o elaborarli devono essere protetti contro le modifiche non appropriate che possono comprometterne la disponibilità o l'integrità. La mancata implementazione di questo principio può dare luogo alla vulnerabilità dei servizi rispetto ai problemi di che potrebbero compromettere i dati dei clienti, causare perdite di servizio o consentire altre attività dannose. 3 Clouding / Internet Computing I Dati Barclays memorizzati in server privati o piattaforme Internet ad accesso pubblico devono essere protetti in modo adeguato tramite controlli appropriati per prevenire la perdita di dati. compromettere i Dati Barclays protetti in modo non idoneo; tale condizione può dare luogo a provvedimenti normativi o generare danni alla reputazione. 4 Gestione dei rischi di cibernetica I Dati Barclays e le infrastrutture fondamentali devono essere adeguatamente protetti tramite appropriati controlli eseguiti da persone, procedure e tecnologie al fine di prevenire l'interruzione del servizio o la perdita di dati in conseguenza di attacchi cibernetici. Valutazione dei rischi cibernetici: Il profilo di rischio per la cibernetica riferito alle operazioni organizzative, alle attività e alle singole persone deve essere compreso attraverso comportare la divulgazione dei dati sensibili e/o potrebbe verificarsi una perdita del servizio che può dare luogo a provvedimenti legali o normativi o generare danni alla reputazione. La vulnerabilità delle attività di valutazione L'identificazione delle minacce interne ed esterne; e

La valutazione dei possibili impatti sull'azienda I rischi e le minacce devono essere individuati, deve essere assegnata loro una priorità e si deve agire di conseguenza per ridurne l'impatto. Requisito di cibernetica 4 Gestione dei rischi di cibernetica (continua) Governance della cibernetica: È necessario mettere in atto un'adeguata governance della cibernetica accertandosi che: Sia attiva una specifica funzione per la informatica / cibernetica il cui compito sia quello di integrare regolarmente la delle informazioni nelle attività dei Fornitori Le politiche, le procedure e i processi finalizzati alla gestione e al monitoraggio dei requisiti normativi, legali, per il rischio cibernetico e operativi siano compresi, documentati, attivi e approvati dalla Direzione su base annuale. Risposta agli incidenti: Gli incidenti di e le violazioni dei dati devono ottenere risposta e devono essere segnalati a Barclays. Deve essere istituita una procedura di risposta agli incidenti per la tempestiva gestione e la segnalazioni di intrusioni che coinvolgono i Dati Barclays e/o i servizi utilizzati da Barclays. La procedura deve prevedere anche un approccio adeguato alle indagini di natura legale. 5 Protezione contro i malware È necessario attivare controlli e strumenti anti-malware per ottenere un'adeguata protezione contro i software maligni come virus e altri tipi di malware. comportare la divulgazione dei dati sensibili che può dare luogo a provvedimenti legali o normativi o generare danni alla reputazione.

6 Sicurezza della rete Tutte le reti esterne e interne che costituiscono parte del servizio devono essere identificate e devono essere protette adeguatamente contro gli attacchi informatici. comportare l'attacco delle reti esterne o interne da parte di hacker al fine di ottenere l'accesso ai servizi o ai dati contenuti. Collegamenti esterni: Tutti i collegamenti esterni alla rete devono essere documentati, devono passare attraverso un firewall e devono essere verificati e approvati prima di stabilire la connessione al fine di prevenire violazioni della dei dati. Requisito di cibernetica 6 Sicurezza della rete (continua) Accesso wireless: Tutti gli accessi wireless alla rete devono essere soggetti a protocolli di autorizzazione, autenticazione, segregazione e criptazione per prevenire le violazioni della e devono essere concordati con Barclays. Individuazione/prevenzione delle intrusioni: Sulla rete devono essere impiegati strumenti e sistemi di individuazione e prevenzione delle intrusioni a tutti i livelli e i dati in uscita devono essere monitorati di conseguenza per rilevare eventuali violazioni della cibernetica, tra cui le Minacce Avanzate Permanenti (Advanced Persistent Threats - APT). Rifiuto di servizio diffuso (Distributed Denial of Service - DDoS): È necessario implementare nella rete e nei principali sistemi un metodo di difesa per l'accesso avanzato al fine di proteggere in qualsiasi momento dall'interruzione dei servizi a causa di Attacchi Cibernetici. Sono compresi gli attacchi Rifiuto di servizio (Denial of Service - DoS) e Rifiuto di servizio diffuso(distributed Denial of Services - DDoS). 7 Sviluppo sicuro I servizi e i sistemi che comprendono applicazioni mobili devono essere progettati e sviluppati al fine di ridurre e offrire protezione contro le vulnerabilità e le minacce alla rispettiva. La mancata implementazione di questo principio può dare luogo alla vulnerabilità dei servizi rispetto ai problemi di che potrebbero compromettere i dati dei clienti, causare perdite di

Metodologia per lo Sviluppo sicuro: servizio o consentire altre attività dannose. In qualsiasi momento tutti gli sviluppi devono essere eseguiti in linea con la Metodologia per lo Sviluppo dei Sistemi approvata e documentata al fine di prevenire e porre rimedio alle vulnerabilità della. Segregazione ambientale: In qualsiasi momento tutti gli sviluppi / le costruzioni di sistemi devono essere eseguiti in un ambiente non destinato alla produzione e deve essere applicata la segregazione delle mansioni al fine di prevenire la perdita di dati e la modifica / cancellazione accidentale dei dati. Non devono essere eseguiti test sui dati attivi senza il consenso preventivo di Barclays. Requisito di cibernetica 7 Sviluppo sicuro (continua) Garanzia di qualità: La funzione Garanzia di qualità deve verificare che tutte le principali attività di siano state inserite nelle procedure di sviluppo dei sistemi per prevenire interruzioni di servizio e vulnerabilità della. 8 Valutazione della I software, i Sistemi IT e i servizi devono essere controllati rigorosamente e in modo indipendente rispetto alle vulnerabilità. comportare la divulgazione dei dati sensibili e/o potrebbe verificarsi una perdita del servizio che può dare luogo a provvedimenti legali o normativi o generare danni alla reputazione. 8 Valutazione della Test di penetrazione Il Fornitore deve eseguire una valutazione della IT indipendente / test di penetrazione dell'infrastruttura IT compresi

(continua) i siti di disaster recovery. Questa procedura deve essere ripetuta almeno una volta all'anno per individuare le vulnerabilità che potrebbero essere sfruttate per violare la privacy dei Dati Barclays tramite attacchi cibernetici. Tutte le vulnerabilità devono ottenere la massima priorità e devono essere tracciate fino alla risoluzione. Il test deve essere svolto in linea con la Buona Prassi del settore e da un Rivenditore di sistemi di Valutazione della autorizzato.

Con Valutazione della si intendono i test svolti sui Sistemi del Fornitore al fine di: a) individuare i problemi di progettazione e/o funzionalità nelle applicazioni o nelle infrastrutture; b) sondare i punti deboli delle applicazioni, dei perimetri delle reti o di altri elementi delle infrastrutture nonché i punti deboli delle procedure o delle contromisure tecniche; c) individuare le potenziali vulnerabilità che possono derivare da una scarsa o inadeguata configurazione del sistema e i difetti noti e/o sconosciuti di hardware o software tra cui, a titolo esemplificativo ma non esaustivo, i seguenti esempi di verifica di infrastrutture e applicazioni che possono esporre il Fornitore e Barclays ai rischi derivanti da attività dannose; i. input invalidati o non depurati; ii. controllo degli accessi interrotto; iii. autenticazione e gestione della sessione interrotta; iv. carenze dovute a cross-site scripting (XSS); v. eccesso di caricamento; vi. carenza di contributi; vii. gestione impropria degli errori; viii. memorizzazione non sicura; ix. rifiuto di servizio; x. gestione della configurazione non sicura; xi. uso corretto di SSL/TLS; xii. uso corretto della criptazione; e xiii. affidabilità e controllo dell'antivirus. Questa valutazione di solito comprende attività che sono comunemente definite anche test di penetrazione. Con Rivenditore di sistemi di Valutazione della si intende un soggetto terzo adeguatamente qualificato a svolgere la Valutazione della Sicurezza.

Requisito di IT 9 Monitoraggio dei sistemi È necessario eseguire il monitoraggio, la verifica e la registrazione dei sistemi per rilevare eventuali attività improprie o dannose. comportare l'impossibilità da parte dei fornitori di rilevare e rispondere all'uso improprio o dannoso dei loro servizi o dei dati forniti entro periodi di tempo ragionevoli.

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back