Sicurezza fisica. I servizi di sicurezza fisica sono associati ai controlli degli accessi fisici implementati per garantire la sicurezza degli apparati, impianti e sistemi di gestione del Titolare e del Responsabile. Di seguito vengono riportate le attività garantite dal Responsabile: • definire e mantenere aggiornate practices, policy e procedure per garantire la sicurezza fisica nei locali sotto il proprio controllo rimanendo aggiornati su norme, regole o vulnerabilità segnalate e fornendo servizi in conformità con quanto definito nel Contratto; • rivedere e approvare i cambiamenti alle practices, policy e procedure congiuntamente al Titolare per l'approvazione; • collaborare con il Titolare nella modifica delle practices, delle policy e delle procedure per colmare le lacune e contestualmente garantire la sicurezza fisica in modo efficiente ed efficace; • proteggere le apparecchiature della data center e i servizi di gestione utilizzati per il Titolare dagli accessi non autorizzati e da eventuali rischi ambientali e avarie infrastrutturali (meccanico, elettrico, HVAC, cablaggi). In particolare, il Responsabile garantisce che le infrastrutture di supporto IT (il sistema informativo) che contengono applicazioni e dati dei processi eseguiti per il Titolare saranno collocati all’interno di locali (il Data Center o assimilati) aventi le seguenti caratteristiche: • monitoraggio degli ingressi/uscite tramite controllo degli ingressi fisici per il personale autorizzato (con tessera magnetica abilitata e tracciata sul sistema di controllo); • controllo degli ingressi fisici tramite rilascio di badge di identificazione a fronte della fornitura delle credenziali di identità; • presenza di adeguati sistemi di difesa passiva e, quanto meno, di inferriate o blindatura alle finestre e porte antisfondamento; • presenza di controlli antintrusione fisica realizzati con telecamere interne o, in alternativa, anche sistemi volumetrici; • presenza di adeguate misure di prevenzione ambientale e, quanto meno, di un sistema di rilevamento fumi e sistema antincendio allarmato, sistema di rilevamento allagamento allarmato, sistema di rilevamento temperatura allarmato; • presenza di un sistema di continuità elettrica costituito da UPS di zona e gruppi elettrogeni; • utilizzo di opportuno sistema di condizionamento. Il Responsabile si impegna inoltre a: • proteggere fisicamente e conservare i supporti portatili che contengono dati del Titolare assicurandosi che l’accesso agli stessi sia permesso solo...
Sicurezza fisica. Le misure adottate forniscono adeguate garanzie di sicurezza in merito a: • Caratteristiche dell’edificio e della costruzione; • Sistemi antintrusione attivi e passivi; • Controllo degli accessi fisici; • Alimentazione elettrica e condizionamento dell’aria; • Protezione contro gli incendi; • Protezione contro gli allagamenti; • Modalità di archiviazione dei supporti magnetici; • Siti di archiviazione dei supporti magnetici.
Sicurezza fisica. 9.6 - L’attività di produzione dei supporti (quali, a fini esemplificativi, stampa e fotocopiatura di documenti) contenenti informazioni market sensitive deve essere presidiata da personale iscritto nel Registro. Le successive operazioni di conservazione, distribuzione e, in genere, gestione di detti supporti sono responsabilità di quanti ne dispongano, e nei limiti in cui ne dispongano, in base al titolo risultante dall’iscrizione nel Registro. A ciascuno spetta assicurare la tracciabilità delle operazioni di gestione dei supporti che a esso sono stati affidati.
Sicurezza fisica. L’accesso fisico ai locali di Arsial è regolato dall’apposito Regolamento di Arsial. La scelta dei locali in cui installare, conservare o utilizzare sistemi informatici deve essere fatta tenendo in considerazione i potenziali rischi di sicurezza sui dati causati tanto da eventi accidentali quanto da dolo. In funzione dell’analisi dei rischi devono essere valutate e adottate idonee misure diprotezione, quali sistemi di antintrusione, sistemi antincendio, sistemi di rilevazione fumi, sistemi antiallagamento. La scelta delle misure di sicurezza dei locali deve, in ogni caso, tenere conto dei vincoli imposti dalla normativa in materia di tutela della salute e di sicurezza dei lavoratori. La protezione dei server e degli apparati di rete considerati critici per il funzionamento e ladisponibilità dei sistemi informativi deve prevedere sistemi di protezione elettrica quali stabilizzatori di corrente ed apparecchiature UPS e sistemi di condizionamento dell’aria nei locali per garantire il mantenimento di una costante ed adeguata temperatura di esercizio. La scelta dei locali per gli armadi deve essere fatta individuando ambienti idonei, possibilmente dedicati e ad accesso limitato (solo agli amministratori di sistema e ad un eventuale custode autorizzato). Gli armadi medesimi devono essere chiusi a chiave e le relative chiavi devono essere in possesso dei soli amministratori di sistema (e di un eventuale custode specificatamente autorizzato). Le chiavi di accesso a locali o armadi possono essere conservate presso le portinerie di Arsial.
Sicurezza fisica. Sistemi per il controllo accessi: presenti in tutti gli ambienti e strutture critiche con adeguato livello di sicurezza. Il RTI fornisce sia tecniche di Anti pass- back, che prevengono potenziali abusi nell’utilizzo dei badge personali, sia di Anti piggy-backing, che evitano l’accesso fraudolento mediante accodamento al passaggio di un utente autorizzato. Oltre al sistema di riconoscimento tradizionale, mediante un badge personale, il RTI prevede l’inserimento di un badge biometrico, attraverso un Badge MIFARE® contenente l’impronta digitale dell’assegnatario. Inoltre, il RTI garantisce l’antintrusione mediante un muro di cinta sormontato da barre di acciaio, con accessi carrai controllati da un servizio di guardiania armata del Comprensorio che opera h24, 7 giorni su 7 e da un sistema antintrusione perimetrale a microonde e raggi infrarossi. In aggiunta, il RTI prevede un sistema di videosorveglianza evoluto controllato dal servizio di guardiania operante H24 7/7. In particolare, il DC di Acilia, certificato Tier IV, è dotato di un sistema di sicurezza perimetrale con rilevamento automatico delle intrusioni, geolocalizzazione e tracking degli intrusi con Radar Navtech e telecamere termiche intelligenti Sightlogix integrate con la piattaforma di Video Management. Tale piattaforma è in grado di garantire la sicurezza su aree molto ampie, in qualsiasi condizione ambientale, e di rilevare una persona fino a 1000m di raggio, un veicolo fino a 2000m di raggio e di fornirne la posizione GPS seguendone i movimenti su una mappa con tracking automatico.
Sicurezza fisica. Per garantire la sicurezza fisica tutti i sistemi usati per le attività QTSP sono fisicamente separati dagli altri sistemi di Intesi Group in modo da garantire l’accesso al solo personale autorizzato. Le chiavi private utilizzate per l'emissione dei certificati qualificati e per la firma delle risposte OCSP sono conservate su dispositivi non vulnerabili all'accesso fisico, a prova di manomissione e che soddisfano i requisiti del regolamento (UE) eIDAS e delle corrispondenti norme ETSI. Tutti i dispositivi sono protetti da accessi non autorizzati sia durante l'installazione che durante il periodo di attivazione. I controlli sono applicati in modo tale da ridurre il rischio di manomissione anche quando i dispositivi non sono installati o non sono attivi. Intesi Group effettua con regolarità dei test di sicurezza per garantire che tutti questi controlli funzionino correttamente. L'accesso a qualsiasi area fisica in cui si trovano informazioni o apparecchiature sensibili e per le operazioni di CA è limitato e monitorato dal sistema di allarme interno. Tutti i sistemi informatici utilizzati per la prestazione di servizi fiduciari qualificati descritti nel presente documento sono ospitati nel datacenter di Intesi Group, che è protetto da: • un sistema di controllo all’accesso fisico, in modo tale che l’accesso all’edificio sia permesso esclusivamente a personale autorizzato che l’accesso ai servizi TSP sia permesso esclusivamente a personale autorizzato in possesso di un pass personale e del PIN corrispondente; Tutti i log di accesso vengono conservati nel giornale di controllo della CA. • da un sistema di video sorveglianza. • da un sistema di protezione antincendio che include antifumo (VEWASD) e impianto di estinzione apposito; • da un sistema di alimentazione completamente ridondante a tutti i livelli (trasformatori, centri di energia, generatori, UPS, pannelli di distribuzione, etc.) • da un sistema di aria condizionata (HVAC) che garantisce condizioni di lavoro ottimali; • da una connettività Internet ridondante, con una capacità di almeno doppia rispetto al necessario.
Sicurezza fisica. Il Data Center dovrà prevedere adeguati sistemi e procedure per garantire la sicurezza fisica. A titolo indicativo e non esaustivo, il Data Center dovrà prevedere: - controllo fisico degli accessi - accesso controllato tramite autenticazione, registrazione e strumenti di accesso; - presenza di impianto anti intrusione; - presenza di un impianto di telesorveglianza per il monitoraggio dei locali; - impianti automatici di rilevazione fumi per tutte le aree e sistema antincendio relativi; - impianto di rilevazione liquidi e sistema anti allagamento.
Sicurezza fisica. Il perimetro fisico dell'infrastruttura del sistema IT non è accessibile da personale non autorizzato.
Sicurezza fisica. Lo stabile che ospita i locali e i macchinari utilizzati per l'erogazione del servizio è sorvegliato da personale specializzato 24 ore al giorno; la sala CED, dove si trovano i dispositivi hardware e software dei diversi sistemi, la sala di controllo dell’alimentazione elettrica, del sistema idraulico, del condizionamento e la sala di monitoraggio dei sistemi di sicurezza installati, è accessibile solo mediante utilizzo di badge autorizzato ed è controllato da un sistema TVCC; le porte sono dotate d’allarmi a contatti magnetici; le stanze dell’area sono controllate mediante rivelatori combinati microonde e infrarossi. Le aree del CED sono dotate d’impianto di rilevazione fumi e antincendio.
Sicurezza fisica. L’Infrastruttura su cui è appoggiata l’erogazione del servizio applicativo e i relativi dati è alloggiata presso data center di proprietà di primarie società di telecomunicazione e/o provider Internet. I locali dove sono fisicamente alloggiati i server sono chiusi, controllati 24 su 24 e dispongono di varie misure di sicurezza per prevenire intrusioni, scassi, furti e allagamenti. L’accesso a questi locali è consentito esclusivamente ai titolari dei contratti di fornitura dei servizi, o ai loro tecnici, solo dopo aver eseguito una procedura di accesso. I locali sono inoltre dotati di sistemi anti incendio, continuità elettrica mediante generatori autonomi, raffreddamento e monitoraggio dei sistemi di rete. I server fisici e i sistemi di storage su cui sono fisicamente presenti i dati dei Clienti sono chiusi in armadi rack e gestiti dal provider del Fornitore.