X

Vi serve il cloud computing? Iniziate subito

Akamai logo
+1-8774252624
+1-8774252624
Login
Control Center
Accesso alla piattaforma Akamai
Cloud Manager
Gestione delle risorse cloud
Prova Akamai
Siete sotto attacco?
Login
Control Center
Accesso alla piattaforma Akamai
Cloud Manager
Gestione delle risorse cloud

Misure tecniche e organizzative per i servizi di sicurezza delle API di Noname.

Ultimo aggiornamento: Novembre 2024

Misure tecniche e organizzative applicabili ai servizi di sicurezza delle API (definiti come "Servizi”).

Dati personali trattati in relazione ai Servizi: dati personali integrati nel traffico delle API dei clienti, ad es., indirizzo IP, nome, e-mail, numero di carta di credito e codice fiscale (definiti come "Dati personali delle API").         

Queste misure tecniche e organizzative sono applicabili alle versioni ibride e SaaS dei servizi di sicurezza delle API.

Tutti i dati personali elaborati in relazione ai servizi di assistenza per la versione on-premise, ibrida o SaaS dei servizi di sicurezza delle API sono protetti in base alle misure tecniche e organizzative applicate dai subincaricati che forniscono i sistemi di generazione dei ticket di assistenza, come delineato nell'elenco dei subincaricati da parte del responsabile del trattamento dei dati.

Misure di pseudonimizzazione e crittografia dei dati personali

I Servizi applicano l'offuscamento automatico alle categorie delle informazioni più sensibili che rientrano nei Dati personali delle API, come numeri di conti bancari/carte di credito, data di nascita, codice CVV, informazioni sanitarie, dati su religione/salari, codice fiscale e informazioni presenti sul passaporto. Il cliente può scegliere di aggiungere altre categorie di dati a cui applicare l'offuscamento.

I Dati personali delle API vengono crittografati sia quando sono inattivi che in transito tramite i metodi accettati in conformità agli standard di settore, come, ad es., AES-256, TLS 1.2 o versioni successive.

Le misure per garantire un livello costante di riservatezza, integrità, disponibilità e resilienza in servizi e sistemi di elaborazione

Il responsabile del trattamento dei dati deve implementare e adottare il programma di conformità e sicurezza delle informazioni dell'azienda, che è stato concepito allo scopo di garantire un livello costante di riservatezza, integrità, disponibilità e resilienza nei sistemi di elaborazione e informazione, tra cui:

  • Accordi di riservatezza
  • Formazione sulla sicurezza delle informazioni e la privacy dei dati 
  • Policy e procedure relative alla sicurezza delle informazioni
  • Procedure di backup
  • Archiviazione remota nei data center di terze parti
  • Utilizzo di diverse zone di disponibilità tramite vari provider di servizi cloud, come AWS o altri provider (come delineato nell'elenco dei subincaricati da parte del responsabile del trattamento dei dati), scelti dai clienti per garantire il recupero e la disponibilità dei dati in caso di interruzioni fisiche nel data center principale di un provider di servizi cloud 
  • Controlli di sicurezza della rete 24/7, inclusi sistemi aggiornati per il rilevamento e la prevenzione delle intrusioni o l'utilizzo di firewall, per aiutare a proteggere i sistemi dalle intrusioni e limitare la portata o la riuscita di un attacco o il tentativo di eseguire un accesso non autorizzato al sistema, ai dispositivi informatici o alle reti del responsabile del trattamento dei dati.
  • Controlli di accesso remoto per monitorare e controllare gli accessi ai sistemi o alle reti del responsabile del trattamento dei dati, tra cui la richiesta dell'autenticazione multifattore a tutti gli utenti che desiderano accedere alle reti del responsabile del trattamento dei dati da una rete o un sistema esterno
  • Controlli e procedure di gestione delle patch per implementare tempestivamente patch e aggiornamenti di sicurezza a programmi software e firmware
  • Tecnologie e procedure di gestione delle vulnerabilità per identificare, valutare, mitigare e proteggere da minacce e falle nella sicurezza nuove e già esistenti, tra cui virus, bot, altri codici dannosi e sistemi di protezione anti-virus
  • Controlli della disponibilità per proteggere i dati personali da perdita o distruzione accidentale

Le misure per garantire la possibilità di ripristinare tempestivamente la disponibilità e l'accesso ai dati personali in caso di un problema fisico o tecnico

Il responsabile del trattamento dei dati deve adottare quanto segue:

  • Piano di continuità operativa
  • Procedura per il disaster recovery
  • Piano di risposta agli incidenti da adottare e mettere in atto, ad esempio, tramite esercizi per il recupero dell'ambiente completo

Viene eseguito regolarmente il backup dei sistemi di produzione del responsabile del trattamento dei dati come richiesto dalle relative procedure interne.

Processi per i test, il controllo e la valutazione dell'efficacia delle misure tecniche e organizzative allo scopo di garantire la sicurezza del trattamento dei dati

Il responsabile del trattamento dei dati deve implementare i seguenti processi:

  • Programmi di audit interni ed esterni, rapporti di audit e relativa documentazione
  • Esecuzione dei test dei processi di backup e delle procedure di continuità operativa
  • Valutazione dei rischi e monitoraggio dei sistemi su base regolare
  • Esecuzione dei test di penetrazione e delle vulnerabilità su base regolare

Il responsabile del trattamento dei dati viene sottoposto a regolari controlli di sicurezza e deve disporre delle certificazioni elencate all'indirizzo https://www.akamai.com/legal/compliance

Misure per l'identificazione e l'autorizzazione degli utenti

Il responsabile del trattamento dei dati deve adottare quanto segue:

  • Procedure e policy interne, ad esempio, per stabilire, gestire e controllare i requisiti di password e autenticazione
  • Controlli di autenticazione degli utenti, inclusi metodi sicuri di assegnazione, selezione e archiviazione delle credenziali di accesso, nonché blocco degli accessi dopo un certo numero di tentativi di accesso tramite autenticazione non riusciti
  • Restrizione degli accessi ad alcuni utenti
  • Accesso consentito sulla base delle esigenze con il supporto di protocolli per l'autorizzazione degli accessi, la definizione, la modifica e la cessazione dei diritti di accesso
  • Sistemi di registrazione e generazione di rapporti
  • Schemi di autorizzazione dei controlli
  • Diritti di accessi differenziati (profili, ruoli, transazioni e oggetti)
  • Monitoraggio e registrazione degli accessi
  • Rapporti sugli accessi
  • Policy e procedure relative agli accessi
  • Policy e procedure relative alla gestione dei cambiamenti

Misure per la protezione dei dati durante la trasmissione

I Dati personali delle API sono protetti durante la trasmissione nei modi seguenti:

  • Crittografia dei dati in transito sulla base degli standard di settore, come TLS 1.2 o versioni successive
  • Offuscamento dei dati sensibili in conformità alle preferenze dei singoli clienti e alla loro gestione
  • Isolamento dei dati della rete e dei clienti
  • Registrazione e monitoraggio degli eventi relativi alla sicurezza

Misure per la protezione dei dati durante l'archiviazione

I Dati personali delle API sono protetti durante l'archiviazione nei modi seguenti:

  • Crittografia dei dati inattivi sulla base degli standard di settore, come AES -256 
  • Controlli degli accessi
  • Separazione dei database e segmentazione logica dei dati dei clienti dalle informazioni sugli altri clienti
  • Isolamento di funzioni e ambienti (produzione/esecuzione di test/sviluppo)
  • Procedure per l'archiviazione, la modifica, l'eliminazione e la trasmissione dei dati per vari scopi

Misure per la sicurezza fisica delle sedi in cui viene eseguito il trattamento dei dati personali

Le misure riportate di seguito vengono gestite dai subincaricati, come AWS o altri provider di servizi cloud (come delineato nell'elenco dei subincaricati da parte del responsabile del trattamento dei dati), scelti dai clienti poiché il responsabile del trattamento dei dati non è tenuto ad archiviare i Dati personali delle API sui propri server:

  • Stabilire aree di sicurezza con restrizione dei percorsi di accesso
  • Stabilire autorizzazioni di accesso per dipendenti e terze parti in base alle esigenze
  • Sistema di controllo degli accessi (lettore ID, carte magnetiche, chip card)
  • Gestione delle chiavi, procedure tramite carte e chiavi
  • Chiusura a chiave di porte (sistemi elettrici per l'apertura di porte, ecc.)
  • Personale addetto alla sicurezza
  • Sorveglianza di edifici, videosorveglianza/telecamere a circuito chiuso, sistema di allarme
  • Protezione decentralizzata di apparecchiature e PC per il trattamento dei dati

È possibile verificare le specifiche misure applicate da ciascun provider di servizi cloud in base alle esigenze dal cliente sui relativi siti web. 

Misure per la registrazione di eventi

Il responsabile del trattamento dei dati deve adottare policy e procedure tali da garantire la registrazione di eventi, come, ad es.:

  • Procedure di identificazione e autenticazione degli utenti
  • Procedure di sicurezza di ID/password 
  • Operazioni automatiche di blocco/chiusura degli account dopo un certo numero di tentativi di accesso non riusciti
  • Interruzione automatica delle sessioni per inattività
  • Tecnologie e procedure di gestione dei registri per creare e conservare un audit trail completo allo scopo di consentire efficaci indagini legali, tra cui il monitoraggio dei tentativi di intrusione e la disattivazione automatica degli ID dell'utente dopo vari tentativi di immissione delle password non riusciti
  • Creazione di un unico record principale per ogni utente

Misure per la configurazione dei sistemi, incluse le impostazioni predefinite

Il responsabile del trattamento dei dati deve adottare procedure e policy tali da garantire la configurazione e la gestione dei suoi sistemi in conformità con gli standard di settore, come, ad es.:

  • Impostazioni e documentazione di configurazione di base aggiornate
  • Procedure e controlli operativi per garantire lo sviluppo, la configurazione e la gestione di programmi software, dispositivi informatici e reti in conformità con gli standard interni previsti e coerentemente con gli standard di settore
  • Modifiche apportate alla configurazione dei sistemi che richiedono privilegi specifici

Misure per la gestione e la governance della sicurezza IT e del reparto IT interno

Il responsabile del trattamento dei dati deve gestire la governance dell'IT in conformità con gli standard di settore, come SOC 2 Tipo 2, CSA STAR 2, PCI DSS e HIPAA, e deve applicare le seguenti misure, ad es.: 

  • Policy e procedure relative alla sicurezza delle informazioni 
  • Piano di risposta agli incidenti
  • Audit interni ed esterni su base regolare
  • Revisione e supervisione del programma per la sicurezza delle informazioni
  • Formazione sulla privacy e sulla sicurezza delle informazioni su base regolare per i dipendenti
  • Accesso ai dati in base al principio del privilegio minimo                    

Misure per la certificazione/controllo qualità di processi e prodotti

Il responsabile del trattamento dei dati deve disporre delle seguenti certificazioni:

  • SOC 2 Tipo 2
  • Cloud Security Alliance (CSA) STAR 2
  • HIPAA
  • PCI DSS (Payment Card Industry Data Security Standard)

Per ulteriori dettagli, visitare il sito https://www.akamai.com/it/legal/compliance

Misure per la minimizzazione dei dati

Il responsabile del trattamento dei dati deve garantire, mediante l'applicazione di principi di privacy intrinseca, che i suoi servizi e sistemi siano sviluppati e progettati in conformità con i requisiti relativi alla privacy e che siano trattati solo i dati richiesti nell'ambito previsto, ad es.:

  • Garantire che venga trattata la minima quantità di dati necessaria per gli scopi previsti
  • Acquisire i dati solo quando vengono rilevati problemi di sicurezza delle API e raccogliere solo i pacchetti necessari per ogni API per stabilire i relativi standard di riferimento
  • Alcune categorie sensibili di dati personali acquisiti dai Servizi vengono automaticamente offuscate e il cliente può scegliere di offuscare altre categorie di dati personali in base alle sue specifiche preferenze, che può gestire direttamente

Misure per la qualità dei dati

Il responsabile del trattamento dei dati riceve i pacchetti relativi al traffico delle API così come sono e non può aggiornare né correggere i Dati personali delle API contenuti nei pacchetti dopo averli ricevuti. 

Misure per la conservazione limitata dei dati

I Dati personali delle API vengono conservati per la durata prevista nell'accordo stipulato e possono essere eliminati prima di tale scadenza su richiesta del cliente. 

Misure per l'affidabilità delle operazioni

Il responsabile del trattamento dei dati deve garantire l'affidabilità delle operazioni tramite l'implementazione di varie misure, ad es.:

  • Policy e procedure interne per la protezione dei dati
  • Privacy intrinseca e predefinita
  • Registrazione delle operazioni del trattamento dei dati
  • Valutazione dell'impatto sulla privacy, ove richiesto
  • Valutazione del processo di onboarding e due diligence del vendor 
  • Controlli dei subincaricati, inclusi appropriati criteri per la scelta dei subincaricati e accordi adeguati 
  • Programma di formazione sulla sicurezza delle informazioni e la privacy dei dati

Misure per la portabilità e la cancellazione dei dati

Il responsabile del trattamento dei dati deve garantire la portabilità e la cancellazione dei dati applicando le seguenti misure:

  • I clienti possono usare i workflow necessari per integrare i Servizi con i propri sistemi e ricevere automaticamente i Dati personali delle API nei propri sistemi
  • I Dati personali delle API possono essere esportati su richiesta del cliente
  • I Dati personali delle API possono essere eliminati su richiesta del cliente
  • Eliminazione dei Dati personali delle API in conformità con le best practice del NIST e la gestione di AWS o altri provider di servizi cloud (come delineato nell'elenco dei subincaricati da parte del responsabile del trattamento dei dati) scelti dai clienti

Per il trasferimento ai subincaricati/responsabili del trattamento dei dati, descrivere anche le specifiche misure tecniche e organizzative da adottare da parte dei subincaricati/responsabili del trattamento dei dati per fornire assistenza al titolare del trattamento

Se è presente un subincaricato da parte del responsabile del trattamento dei dati, quest'ultimo e il subincaricato stipulano un accordo che prevede obblighi per la protezione dei dati sostanzialmente simili a quelli contenuti nell'accordo stipulato tra il responsabile del trattamento dei dati e il titolare del trattamento. 

Descrizione delle specifiche misure tecniche e organizzative da adottare da parte del responsabile del trattamento dei dati per fornire assistenza al titolare del trattamento.

Per ulteriori dettagli sull'assistenza fornita dal responsabile del trattamento dei dati al titolare del trattamento, consultare gli accordi sul trattamento dei dati e sui servizi correlati.