Codice di Condotta in materia di Controllo della Sicurezza Informatica ISO/IEC 27017

Il Codice di Condotta in materia di Controllo della Sicurezza Informatica ISO/IEC 27017 fornisce linee guida per l'implementazione e il mantenimento di controlli di sicurezza informatica nei servizi cloud. Questo standard internazionale è stato sviluppato per aiutare le organizzazioni a proteggere i propri dati e le proprie informazioni quando utilizzano servizi cloud e fornisce indicazioni aggiuntive sull'implementazione specifiche del cloud basate su ISO/IEC 27002 e controlli aggiuntivi per attenuare i rischi per la sicurezza delle informazioni facendo riferimento alle clausole presenti nella ISO/IEC 27002 per controlli, indicazioni sull'implementazione e altre informazioni.

In modo specifico, questo standard fornisce indicazioni sui controlli della ISO/IEC 27002 e include i nuovi controlli che non sono duplicati in ISO/IEC 27002. 

Questi nuovi controlli riguardano le aree elencate di seguito:

• responsabilità e ruoli condivisi nell'ambiente di cloud computing;
• rimozione e restituzione degli asset dei clienti dei servizi cloud alla rescissione del contratto;
• protezione e separazione dell'ambiente virtuale di un cliente dagli ambienti di altri clienti;
• requisiti di hardening delle macchine virtuali per soddisfare esigenze di business;
• procedure per operazioni amministrative di un ambiente di cloud computing;
• monitoraggio di attività rilevanti da parte dei clienti in un ambiente di cloud computing;
• allineamento della gestione della sicurezza per reti virtuali e fisiche.

La conformità di Avvale alle linee guida contenute nella norma ISO/IEC 27017 non solo attesta il suo impegno costante ad allinearsi alle best practice riconosciute a livello internazionale, ma dimostra che l’Organizzazione dispone di un sistema di controlli specifici per i servizi cloud.

I servizi Avvale coperti che rientrano già nel campo di applicazione della norma ISO/IEC 27017 sono:

“Progettazione, pianificazione ed erogazione di servizi e soluzioni IT”

Controlli e certificati

I servizi erogati da Avvale vengono controllati una volta all'anno per verificare l'adeguamento al Codice di comportamento ISO/IEC 27017 come parte del processo di certificazione per ISO/IEC 27001.

Termini contrattuali con i clienti

Avvale riconosce l'importanza di stabilire termini e condizioni contrattuali chiari e trasparenti con i suoi Clienti per garantire la protezione dei loro dati in cloud. I nostri contratti delineano le responsabilità e gli obblighi di entrambe le parti in relazione alla gestione dei dati. I termini contrattuali includono:

Le misure di sicurezza: descriviamo le misure di sicurezza tecniche e organizzative che adottiamo per proteggere le informazioni dei clienti da accessi non autorizzati, perdite o divulgazioni di dati.

Periodo di conservazione: Specifichiamo il periodo per cui conserviamo le informazioni dei clienti e le modalità di distruzione o anonimizzazione delle informazioni una volta scaduto il periodo di conservazione. Vengono stabilite le modalità attraverso le quali gli asset devono essere riconsegnati o rimossi dal cloud al termine del contratto.

Responsabilità: vengono definiti e comunicati gli accordi sulla assegnazione delle responsabilità in carico al cliente ed ai fornitori, riguardo ai diversi ruoli di sicurezza per l’accesso alle informazioni associati ai servizi cloud. Avvale ha, inoltre, individuato un DPO ed un RSGSI come responsabili della protezione dei dati personali nel contesto del trattamento cloud.

Caratteristiche dei Fornitori di infrastrutture: Avvale acquisisce servizi cloud da fornitori come IAAS (Infrastructure-as-a-Service) certificati ISO IEC 27001, ISO 27017, ISO 27018.

Protezione dei dati: Avvale protegge e separa l'ambiente virtuale del cliente da quello di altri Clienti e soggetti esterni provvedendo ad effettuare le adeguate attività di configurazione ed aggiornamenti di sicurezza.