Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Visualizzazione del profilo di sicurezza di un prodotto con Marketplace AWS Vendor Insights
Marketplace AWS Vendor Insights raccoglie dati sulla sicurezza dai venditori. Il profilo di sicurezza di un prodotto mostra informazioni aggiornate sulla sicurezza, la resilienza, la conformità e altri fattori del prodotto necessari per la valutazione. Queste informazioni supportano gli acquirenti come te aiutandoti a procurarsi software affidabile che soddisfi continuamente gli standard del settore. Per ogni prodotto SaaS (Software as a Service) che valuta, Marketplace AWS Vendor Insights raccoglie le informazioni basate sull'evidenza per molteplici controlli di sicurezza.
Argomenti
Marketplace AWS Dashboard in Vendor Insights
La dashboard presenta gli elementi di conformità e le informazioni sul controllo di sicurezza per un prodotto software raccolti da Marketplace AWS Vendor Insights. Vengono fornite informazioni basate su prove per tutte le categorie di controllo della sicurezza, come la modifica della residenza dei dati o la scadenza della certificazione. Il dashboard consolidato fornisce modifiche alle informazioni sulla conformità. Marketplace AWS Vendor Insights elimina la necessità di creare questionari aggiuntivi e utilizzare software di valutazione del rischio. Con una dashboard costantemente aggiornata e convalidata, puoi monitorare continuamente il controllo di sicurezza del software dopo l'approvvigionamento.
Visualizzazione del profilo di sicurezza di un prodotto SaaS
Marketplace AWS Vendor Insights ti aiuta a prendere decisioni sul software di un venditore. Marketplace AWS Vendor Insights estrae i dati dalle informazioni basate su prove del venditore attraverso 10 categorie di controllo e più controlli. Puoi visualizzare il profilo e le informazioni di riepilogo per un prodotto SaaS sulla dashboard o selezionare le categorie di controllo per saperne di più sui dati raccolti. Devi essere abbonato al prodotto e avere accesso per visualizzare le informazioni sulla conformità tramite il profilo.
-
Accedi a AWS Management Console e apri la Marketplace AWS console
. -
Scegli Vendor Insights.
-
Da Vendor Insights, scegli un prodotto.
-
Nella pagina dei dettagli del profilo, scegli la scheda Sicurezza e conformità.
Nota
Un numero in un cerchio rosso indica il numero di controlli non conformi.
-
Per le categorie di controllo, scegli il testo sotto una delle categorie elencate per visualizzare ulteriori informazioni.
-
Scegli il primo nome di controllo (disponi di una politica/procedura per garantire la conformità ai requisiti legislativi, normativi e contrattuali applicabili? ).
-
Leggi le informazioni presentate. È inoltre possibile visualizzare i report tratti da rapporti AWS Artifact di terze parti o visualizzare le eccezioni del revisore.
-
Seleziona il nome del prodotto nella barra di navigazione in alto per tornare alla pagina dei dettagli del prodotto.
-
Comprensione delle categorie di controllo
Marketplace AWS Vendor Insights fornisce informazioni basate su prove provenienti da più controlli all'interno di 10 categorie di controllo. Marketplace AWS Vendor Insights raccoglie le informazioni da tre fonti: conti di produzione dei fornitori, autovalutazione dei fornitori e report dei fornitori 27001 e 2 di tipo II. ISO SOC Per ulteriori informazioni su queste fonti, vedere. Marketplace AWS Informazioni sui fornitori
L'elenco seguente fornisce una descrizione di ciascuna categoria di controllo:
- Gestione degli accessi
-
Identifica, traccia, gestisce e controlla l'accesso a un sistema o un'applicazione.
- Sicurezza delle applicazioni
-
Verifica se la sicurezza è stata incorporata nell'applicazione durante la progettazione, lo sviluppo e il test.
- Politica di controllo, conformità e sicurezza
-
Valuta l'aderenza di un'organizzazione ai requisiti normativi.
- Resilienza e continuità aziendale
-
Valuta la capacità dell'organizzazione di adattarsi rapidamente alle interruzioni mantenendo la continuità aziendale.
- Sicurezza dei dati
-
Protegge dati e risorse.
- Sicurezza dei dispositivi degli utenti finali
-
Protegge i dispositivi portatili degli utenti finali e le reti a cui sono connessi da minacce e vulnerabilità.
- Risorse umane
-
Valuta la divisione relativa ai dipendenti per la gestione dei dati sensibili durante processi quali l'assunzione, il pagamento e il licenziamento dei dipendenti.
- Sicurezza dell'infrastruttura
-
Protegge gli asset critici da minacce e vulnerabilità.
- Gestione del rischio e risposta agli incidenti
-
Valuta il livello di rischio ritenuto accettabile e le misure adottate per rispondere a rischi e attacchi.
- Politica di sicurezza e configurazione
-
Valuta le politiche di sicurezza e le configurazioni di sicurezza che proteggono gli asset di un'organizzazione.
Controlla i set di categorie
Le tabelle seguenti forniscono informazioni dettagliate per ogni categoria con informazioni sui valori raccolti per ciascuna categoria. L'elenco seguente descrive il tipo di informazioni all'interno di ogni colonna della tabella:
-
Set di controlli: i controlli vengono assegnati a un set di controlli e ogni controllo riflette la funzione di sicurezza della relativa categoria. Ogni categoria ha più set di controlli.
-
Nome del controllo: nome della politica o della procedura. «Richiede un'attestazione manuale» significa che è richiesta la conferma o la documentazione scritta della politica o della procedura.
-
Descrizione del controllo: domande, informazioni o documentazione necessarie su questa politica o procedura.
-
Dettagli sull'estrazione delle prove: informazioni e contesto necessari sul controllo per ottenere ulteriormente i dati necessari per questa categoria.
-
Valore del campione: esempio fornito a titolo indicativo su come potrebbe essere un valore di conformità per questa categoria in modo che sia conforme agli standard normativi.
Argomenti
- Controlli di gestione degli accessi
- Controlli di sicurezza delle applicazioni
- Controlli di audit e conformità
- Controlli di resilienza aziendale
- Controlli di sicurezza dei dati
- Controlli di sicurezza dei dispositivi degli utenti finali
- Controlli delle risorse umane
- Controlli di sicurezza dell'infrastruttura
- Gestione del rischio e controlli della risposta agli incidenti
- Controlli delle politiche di sicurezza e configurazione
Controlli di gestione degli accessi
I controlli di gestione degli accessi identificano, tracciano, gestiscono e controllano l'accesso a un sistema o un'applicazione. Questa tabella elenca i valori e le descrizioni per i controlli di gestione degli accessi.
| Set di controllo | Titolo del controllo | Descrizione del controllo | Dettagli sull'estrazione delle prove | Valore del campione |
|---|---|---|---|---|
| Autenticazione sicura |
Gestione degli accessi 3.1.1 - Autenticazione sicura - Dati personali inseriti UserId (richiede l'attestazione manuale) |
Sono necessari dati personali (diversi dal nome o dall'indirizzo e-mail) nell'ID utente? |
Specificate se i dati personali, diversi dal nome o dall'indirizzo e-mail, sono richiesti come parte dell'identificatore utente. In caso affermativo, quali dati verranno utilizzati? Per quale caso d'uso viene utilizzato? |
No |
|
Gestione degli accessi 3.1.2 - Autenticazione sicura - L'applicazione supporta l'autenticazione a due fattori (richiede l'attestazione manuale) |
L'applicazione supporta l'autenticazione a due fattori? |
Specificate se l'autenticazione a due fattori può essere utilizzata con l'applicazione. In caso affermativo, quali strumenti possono essere utilizzati? |
Sì |
|
|
Gestione degli accessi 3.1.3 - Autenticazione sicura - Blocco dell'account (richiede l'attestazione manuale) |
L'account del cliente è bloccato se ci sono più accessi non riusciti? |
Specificate se il blocco dell'account è abilitato in caso di più accessi non riusciti. In caso affermativo, specifica il numero di tentativi dopo i quali l'account verrà bloccato. |
Sì. L'account viene bloccato dopo 5 accessi non riusciti. |
|
|
Gestione delle credenziali |
Gestione degli accessi 3.2.1 - Gestione delle credenziali - Politica delle password |
L'applicazione ha una politica solida in materia di password? |
Specificate se è presente una politica di password sicura (ad esempio RequireUppercaseCharactersRequireSymbols,, oPasswordReusePrevention). |
Sì |
|
Gestione degli accessi 3.2.2 - Gestione delle credenziali - Crittografia delle password |
La politica in materia di password richiede che le credenziali di accesso (password e ID utente) vengano crittografate durante il transito e sottoposte a hashing con salt quando vengono archiviate? |
Specificate se le credenziali (password e ID utente) sono crittografate in transito e, una volta archiviate, se la password è sottoposta a hashing con salt. Se sì, puoi fornire maggiori dettagli? |
Sì, utilizziamo il codice per salare correttamente. |
|
|
Gestione degli accessi 3.2.3 - Gestione delle credenziali - Gestione segreta |
Usi un servizio di gestione segreto? |
Specificate se esiste un servizio di gestione segreto. In caso affermativo, potete fornire maggiori dettagli? |
Sì. Tutte le credenziali sono archiviate in un servizio di gestione segreto. Vengono ruotate periodicamente. |
|
|
Gestione degli accessi 3.2.4 - Gestione delle credenziali - Credenziali nel codice (richiede l'attestazione manuale) |
Le credenziali sono incluse nel codice? |
Specificate se le credenziali sono incluse nel codice. Se sì, puoi fornire maggiori dettagli? |
No |
|
|
Accesso all'ambiente di produzione |
Gestione degli accessi 3.3.1 - Accesso all'ambiente di produzione - Single Sign-on (richiede un'attestazione manuale) |
È SSO abilitato ad accedere all'ambiente di produzione? |
Specificare se SSO può essere utilizzato con l'applicazione. In caso affermativo, per quale strumento viene utilizzatoSSO? |
Sì, Duo SSO |
|
Gestione degli accessi 3.3.2 - Accesso all'ambiente di produzione - Autenticazione a due fattori |
È necessaria l'autenticazione a due fattori per accedere all'ambiente di produzione o ospitato? |
Specificate se è richiesta l'autenticazione a due fattori (2FA) per l'accesso all'ambiente di produzione. In caso affermativo, quale strumento viene utilizzato per la 2FA? |
Sì, Yubikey |
|
|
Gestione degli accessi 3.3.3 - Accesso all'ambiente di produzione - Utente root (richiede l'attestazione manuale) |
L'utente root viene utilizzato solo in via eccezionale per accedere all'ambiente di produzione? |
Specificate che l'utente root viene utilizzato solo per eccezioni. In caso affermativo, puoi stabilire per quali casi verrà utilizzato? |
Sì. L'utente root viene utilizzato solo per scopi di gestione dei dispositivi. Tutti questi accessi vengono registrati e monitorati. |
|
|
Gestione degli accessi 3.3.4 - Accesso all'ambiente di produzione - Utente root MFA |
L'utente root richiede l'autenticazione a più fattori ()MFA? |
Specificate se l'accesso come utente root richiede l'autenticazione a più fattori. In caso affermativo, per quale strumento viene utilizzato? MFA |
Sì. Gli utenti root devono utilizzare per effettuare MFA il login. Le loro credenziali root sono diverse dalle normali credenziali aziendali. |
|
|
Gestione degli accessi 3.3.5 - Accesso all'ambiente di produzione - Accesso remoto |
L'accesso remoto all'ambiente di produzione è protetto mediante meccanismi quali canali crittografati o autenticazione basata su chiavi? |
Se l'applicazione consente l'accesso remoto, specificate se l'accesso è sicuro (ad esempio, verrà utilizzata l'autenticazione basata su chiavi e la comunicazione verrà effettuata su canali crittografati?) |
Sì. L'accesso remoto viene utilizzato per scopi di gestione dei dispositivi. Richiediamo l'utilizzo MFA di un canale crittografico approvato per l'accesso remoto all'ambiente di produzione. |
|
| Politica di controllo degli accessi |
Gestione degli accessi 3.4.1 - Politica di controllo degli accessi - Accesso con privilegi minimi |
Seguite la politica di accesso con privilegi minimi per consentire agli utenti di accedere all'ambiente di produzione? |
Specificate se agli utenti vengono assegnati i privilegi minimi. Se no, come si controlla l'accesso? |
Sì |
|
Gestione degli accessi 3.4.2 - Politica di controllo degli accessi - Revisione della politica di accesso |
Tutte le politiche di accesso nell'ambiente di produzione vengono riviste regolarmente? |
Specificate se tutte le politiche di accesso vengono riviste regolarmente. In caso affermativo, fornisci dettagli sulla frequenza con cui le politiche vengono riviste. |
Sì. Tutte le politiche di accesso vengono riviste ogni 3 mesi. |
|
|
Gestione degli accessi 3.4.3 - Politica di controllo degli accessi - Configurazione degli utenti e delle politiche di sicurezza (richiede l'attestazione manuale) |
L'applicazione consente ai clienti di configurare gli utenti e i relativi privilegi? |
Specificate se i clienti possono configurare gli utenti (dal lato del cliente e del fornitore) che avranno accesso al loro ambiente. |
Sì |
|
|
Gestione degli accessi 3.4.4 - Politica di controllo degli accessi - Segmentazione logica (richiede l'attestazione manuale) |
Esiste una segmentazione logica degli utenti delle applicazioni? |
Specificate se esiste una segmentazione logica degli utenti. |
Sì |
|
|
Gestione degli accessi 3.4.5 - Politica di controllo degli accessi - Revisione dell'accesso al momento della cessazione |
Tutte le politiche di accesso pertinenti vengono aggiornate in caso di licenziamento o cambio di ruolo del dipendente? |
Specificate se le politiche di accesso vengono eliminate o aggiornate in caso di licenziamento del dipendente o cambio di ruolo. |
Sì |
|
| Registri di accesso |
Gestione degli accessi 3.5.1 - Registri di accesso |
Vengono registrate le attività eseguite dai singoli utenti nell'ambiente di produzione? |
Specificate se le azioni e le attività di un utente (dipendente o cliente) in un ambiente di produzione vengono registrate. Se sì, per quanto tempo vengono conservati i registri? |
Sì. I registri vengono conservati per un anno. |
Controlli di sicurezza delle applicazioni
I controlli di sicurezza delle applicazioni verificano se la sicurezza è stata incorporata nell'applicazione durante la progettazione, lo sviluppo e il test. Questa tabella elenca i valori e le descrizioni per i controlli delle policy di sicurezza delle applicazioni.
| Set di controllo | Titolo del controllo | Descrizione del controllo | Dettagli sull'estrazione delle prove | Valore del campione |
|---|---|---|---|---|
|
Ciclo di vita sicuro dello sviluppo del software |
Application Security 4.1.1 - Ciclo di vita di sviluppo del software sicuro - Ambiente separato |
L'ambiente di sviluppo, test e staging è separato dall'ambiente di produzione? |
Specificate se l'ambiente di sviluppo, test e gestione temporanea è separato dall'ambiente di produzione. |
Sì |
|
Sicurezza delle applicazioni 4.1.2 - Ciclo di vita di sviluppo sicuro del software - Pratica di codifica sicura |
I tecnici della sicurezza collaborano con gli sviluppatori sulle pratiche di sicurezza? |
Specificate se gli sviluppatori e i tecnici della sicurezza collaborano su pratiche di codifica sicure. |
Sì |
|
|
Sicurezza delle applicazioni 4.1.3 - Ciclo di vita sicuro dello sviluppo del software - Utilizzo dei dati dei clienti nell'ambiente di test (richiede l'attestazione manuale) |
I dati dei clienti vengono mai utilizzati negli ambienti di test, sviluppo o controllo qualità? |
I dati dei clienti vengono mai utilizzati negli ambienti di test, sviluppo o controllo qualità? In caso affermativo, quali dati vengono utilizzati e a cosa servono? |
No |
|
|
Sicurezza delle applicazioni 4.1.4 - Ciclo di vita di sviluppo del software sicuro - Connessione sicura |
SSL/è TLS abilitato per tutte le pagine Web e le comunicazioni che utilizzano i dati dei clienti? |
Specificate se viene utilizzata una connessione sicura (ad esempioSSL/TLS) per tutte le comunicazioni con i dati dei clienti. |
Sì |
|
|
Sicurezza delle applicazioni 4.1.5 - Ciclo di vita sicuro dello sviluppo del software - Backup delle immagini |
Viene eseguito il backup delle istantanee delle immagini delle applicazioni? |
Specificate se viene eseguito il backup delle istantanee delle immagini (ad esempio i sistemi che supportano l'applicazione e i sistemi che ospitano i dati dei clienti). In caso affermativo, esiste una procedura per garantire che le istantanee di immagini contenenti dati relativi all'ambito siano autorizzate prima di essere scattate? Il controllo degli accessi è implementato per le istantanee delle immagini? |
Sì. Il backup delle immagini viene eseguito con l'approvazione del cliente e della direzione. |
|
| Revisione della sicurezza delle applicazioni |
Sicurezza delle applicazioni 4.2.1 - Revisione della sicurezza delle applicazioni - Revisione del codice sicuro |
La revisione sicura del codice viene effettuata prima di ogni versione? |
Specificate se viene effettuata una revisione del codice di sicurezza prima di ogni versione. |
Sì |
|
Sicurezza delle applicazioni 4.2.2 - Revisione della sicurezza delle applicazioni - Test di penetrazione |
Vengono eseguiti test di penetrazione? Possiamo ricevere segnalazioni sui test di penetrazione? |
Specificate se i test di penetrazione vengono eseguiti sull'applicazione. In caso affermativo, è possibile condividere gli ultimi 3 report come prove manuali? |
Sì |
|
|
Application Security 4.2.3 - Revisione della sicurezza delle applicazioni - Patch di sicurezza |
Tutte le patch di sicurezza ad alto rischio disponibili vengono applicate e verificate regolarmente? |
Specificate se le patch di sicurezza ad alto rischio vengono applicate regolarmente. Se sì, con che frequenza vengono applicate? |
Sì. Le patch di sicurezza vengono applicate mensilmente. |
|
|
Application Security 4.2.4 - Revisione della sicurezza delle applicazioni - Scansioni di vulnerabilità sulle applicazioni |
Le scansioni di vulnerabilità vengono eseguite su tutte le applicazioni con accesso a Internet regolarmente e dopo modifiche significative? |
Specificate se le scansioni di vulnerabilità vengono eseguite su tutte le applicazioni con accesso a Internet. In caso affermativo, con quale frequenza vengono eseguite le scansioni di vulnerabilità? Possiamo avere una copia del rapporto? |
Sì. Le scansioni di vulnerabilità vengono eseguite mensilmente. |
|
|
Application Security 4.2.5 - Revisione della sicurezza delle applicazioni - Gestione delle minacce e delle vulnerabilità |
Esistono processi per gestire gli strumenti di valutazione delle minacce e delle vulnerabilità e i dati che raccolgono? |
Specificate se esistono processi per gestire gli strumenti di valutazione delle minacce e delle vulnerabilità e i relativi risultati. Potresti fornire maggiori dettagli su come vengono gestite le minacce e le vulnerabilità? |
Sì. Tutte le minacce e le vulnerabilità provenienti da fonti diverse sono aggregate in un unico portale. Sono gestite in base alla gravità. |
|
|
Application Security 4.2.6 - Revisione della sicurezza delle applicazioni - Scansioni antimalware |
La scansione antimalware viene eseguita regolarmente sulla rete e sui sistemi che ospitano l'applicazione? |
Specificate se la scansione antimalware viene eseguita sulla rete e sui sistemi che ospitano l'applicazione. Se sì, con che frequenza viene eseguita? Puoi fornire il rapporto? |
Sì. Le scansioni antimalware vengono eseguite mensilmente. |
|
| Registri delle applicazioni |
Sicurezza delle applicazioni 4.3.1 - Registri delle applicazioni - Registri delle applicazioni |
I registri delle applicazioni vengono raccolti e controllati? |
Specificate se i registri delle applicazioni vengono raccolti e controllati. In caso affermativo, per quanto tempo vengono conservati i registri? |
Sì. I registri vengono conservati per un anno. |
|
Application Security 4.3.2 - Registri delle applicazioni - Accesso ai registri |
I registri del sistema operativo e delle applicazioni sono protetti da modifiche, eliminazioni e/o accessi inappropriati? |
Specificate se i registri del sistema operativo e delle applicazioni sono protetti da modifiche, eliminazioni e/o accessi inappropriati. In caso di violazione o incidente, disponete di procedure per rilevare la perdita dei registri delle applicazioni? |
Sì |
|
| Application Security 4.3.3 - Registri delle applicazioni - Dati archiviati nei registri (richiede l'attestazione manuale) |
Le informazioni di identificazione personale del cliente () vengono archiviate nei registri? PII |
Specificate se memorizzate le informazioni di identificazione personale del cliente (PII) nei registri. |
No. Nessun PII dato verrà memorizzato nei registri. |
|
| Modifica la politica di controllo |
Sicurezza delle applicazioni 4.4.1 - Politica di controllo delle modifiche - Test funzionali e di resilienza |
I test funzionali e di resilienza vengono eseguiti prima di rilasciare una modifica? |
Specificate se i test funzionali e di resilienza vengono eseguiti sull'applicazione prima di una nuova versione. |
Sì |
|
Sicurezza delle applicazioni 4.4.2 - Politica di controllo delle modifiche - Procedure di controllo delle modifiche |
Le procedure di controllo delle modifiche sono necessarie per tutte le modifiche all'ambiente di produzione? |
Specificate se le procedure di controllo delle modifiche sono valide per tutte le modifiche apportate nell'ambiente di produzione. |
Sì |
|
|
Application Security 4.4.3 - Change Control Policy - Evita errori e rischi umani nella produzione |
Disponete di un processo per verificare che l'errore umano e i rischi non vengano messi in produzione? |
Specificate che esiste un processo per verificare che l'errore umano e i rischi non vengano trasferiti alla produzione. |
Sì |
|
|
Application Security 4.4.4 - Politica di controllo delle modifiche - Modifiche ai documenti e ai registri |
Documentate e registrate le modifiche che possono influire sui servizi? |
Specificate se le modifiche che influiscono sui servizi sono documentate e registrate. In caso affermativo, per quanto tempo vengono conservati i registri? |
Sì |
|
|
Application Security 4.4.5 - Politica di controllo delle modifiche - Notifica di modifica per gli acquirenti (richiede un'attestazione manuale) |
Esiste una procedura formale per garantire che i clienti vengano informati prima che vengano apportate modifiche che potrebbero influire sul servizio offerto? |
Specificate se i clienti riceveranno una notifica prima di apportare modifiche che potrebbero influire sul loro servizio. In caso affermativo, cosa occorre notificare SLA ai clienti in merito alle modifiche che influiscono? |
Sì. Informiamo i clienti 90 giorni prima che influiscano sulle modifiche. |
Controlli di audit e conformità
I controlli di audit e conformità valutano l'adesione di un'organizzazione ai requisiti normativi. Questa tabella elenca i valori e le descrizioni per i controlli di audit e conformità.
| Set di controllo | Titolo del controllo | Descrizione del controllo | Dettagli sull'estrazione delle prove | Valore del campione |
|---|---|---|---|---|
|
Certificazioni completate |
Audit e conformità 1.1.1 - Certificazioni completate (richiede l'attestazione manuale) |
Elenca le certificazioni che possiedi. |
Specificate quali certificazioni possedete. |
SOC2ISO/, 27001 IEC |
|
Certificazione in corso |
Audit e conformità 1.2.1 - Certificazione in corso (richiede l'attestazione manuale) |
Elenca i certificati aggiuntivi attualmente in corso. |
Elenca tutti i certificati aggiuntivi attualmente in fase di verifica o revisione con una data di completamento stimata. |
Sì. PCIla certificazione è in corso (ETAsecondo trimestre 2022). |
|
Procedure che garantiscono la conformità |
Audit e conformità 1.3.1 - Procedure che garantiscono la conformità - Procedure che garantiscono la conformità |
Disponete di una politica o di una procedura per garantire la conformità ai requisiti legislativi, regolamentari e contrattuali applicabili? |
Specificate se avete una politica o una procedura per garantire la conformità ai requisiti legislativi, regolamentari e contrattuali applicabili. In caso affermativo, elenca i dettagli sulla procedura e carica le prove manuali. |
Sì. Abbiamo caricato documenti come SOC2 ISO IEC /27001. |
|
Audit e conformità 1.3.2 - Procedure che garantiscono la conformità - Audit per tenere traccia dei requisiti in sospeso |
Gli audit sono stati completati per tracciare i requisiti normativi e di conformità in sospeso? |
Specificate se vengono effettuati audit per tenere traccia dei requisiti in sospeso. In caso affermativo, fornisci i dettagli. |
Sì, gli audit vengono effettuati mensilmente per tenere traccia dei requisiti in sospeso. | |
|
Audit e conformità 1.3.3 - Procedure che garantiscono la conformità - Deviazioni ed eccezioni (richiede l'attestazione manuale) |
Disponete di un processo per gestire le deviazioni e le eccezioni dai requisiti di conformità? |
Specificate se esiste un processo per gestire le eccezioni o le deviazioni dai requisiti di conformità. In caso affermativo, fornisci i dettagli. |
Sì. Disponiamo di un registro delle deviazioni e di strumenti di segnalazione. Esaminiamo ogni eccezione o deviazione per prevenire che si verifichino future. |
Controlli di resilienza aziendale
I controlli di resilienza aziendale valutano la capacità dell'organizzazione di adattarsi rapidamente alle interruzioni mantenendo al contempo la continuità aziendale. Questa tabella elenca i valori e le descrizioni per i controlli delle politiche di resilienza aziendale.
| Set di controllo | Titolo del controllo | Descrizione del controllo | Dettagli sull'estrazione delle prove | Valore del campione |
|---|---|---|---|---|
| Resilienza aziendale |
Resilienza e continuità aziendale 6.1.1 - Resilienza aziendale - Test di failover (richiede un'attestazione manuale) |
I test di failover del sito vengono eseguiti almeno una volta all'anno? |
Specificate se i test di failover vengono eseguiti ogni anno. In caso negativo, con che frequenza vengono eseguiti? |
Sì |
|
Resilienza e continuità aziendale 6.1.2 - Resilienza aziendale - Analisi dell'impatto aziendale (richiede l'attestazione manuale) |
È stata condotta un'analisi dell'impatto aziendale? |
Specificare se è stata eseguita un'analisi dell'impatto aziendale. In caso affermativo, quando è stata completata l'ultima volta? Fornire dettagli sull'analisi condotta. |
Sì. Un'analisi dell'impatto aziendale è stata completata 6 mesi fa. |
|
|
Resilienza e continuità aziendale 6.1.3 - Resilienza aziendale - Dipendenze da fornitori terzi (richiede l'attestazione manuale) |
Esistono dipendenze da fornitori di servizi terzi essenziali (oltre a un fornitore di servizi cloud)? |
Specificate se esiste una dipendenza da fornitori di terze parti (oltre a un fornitore di servizi cloud). In caso affermativo, puoi fornire dettagli sui fornitori? |
No |
|
|
Resilienza e continuità aziendale 6.1.4 - Resilienza aziendale - Test di continuità e ripristino di terze parti (richiede l'attestazione manuale) |
È necessario che i fornitori di terze parti adottino i propri processi ed esercizi di disaster recovery? |
Specificate se i fornitori di terze parti devono avere i propri processi ed esercizi di disaster recovery. |
Non applicabile in questo esempio. |
|
|
Resilienza e continuità aziendale 6.1.5 - Resilienza aziendale - Violazione del contratto da parte di fornitori terzi (richiede un'attestazione manuale) |
I contratti con fornitori di servizi essenziali includono una clausola penale o riparativa per la violazione della disponibilità e della continuità Sold and Shipped by Amazon ()? SSA |
Le clausole penali o riparative per la violazione della disponibilità e della continuità sono incluse nei contratti con fornitori terzi? |
Non applicabile in questo esempio. |
|
|
Resilienza e continuità aziendale 6.1.6 - Resilienza aziendale - Health of the System |
Disponete di monitor o avvisi per comprendere lo stato del sistema? |
Specificate se sono presenti monitor o avvisi per comprendere lo stato del sistema. |
Sì |
|
|
Continuità aziendale |
Resilienza e continuità aziendale 6.2.1 - Continuità operativa - Politiche/procedure di continuità operativa |
Le procedure formali di continuità aziendale sono sviluppate e documentate? |
Specificate se le procedure formali sono sviluppate e mantenute per la continuità aziendale. In caso affermativo, fornire maggiori dettagli sulle procedure. |
Sì |
|
Resilienza e continuità aziendale 6.2.2 - Continuità operativa - Strategie di risposta e ripristino |
Sono state definite strategie di risposta e ripristino specifiche per le attività prioritarie? |
Specificate se sono state sviluppate strategie di ripristino e risposta per le attività e i servizi dei clienti. |
Sì |
|
|
Resilienza e continuità aziendale 6.2.3 - Continuità aziendale - Test di continuità operativa |
Eseguite test di ripristino per garantire la continuità aziendale? |
Specificate se eseguite test di ripristino per garantire la continuità aziendale in caso di guasto. |
Sì. In caso di guasto, i sistemi per la continuità operativa verranno attivati entro 2 ore. |
|
|
Resilienza e continuità aziendale 6.2.4 - Continuità operativa - Impatto sulla disponibilità in ambienti multi-tenancy (richiede l'attestazione manuale) |
Limitate la capacità dell'acquirente di imporre un carico che potrebbe influire sulla disponibilità per gli altri utenti del sistema? |
Specificate se il carico di un acquirente può influire sulla disponibilità per un altro acquirente. In caso affermativo, qual è la soglia fino alla quale non vi sarà alcun impatto? In caso negativo, potete fornire maggiori dettagli su come garantire che i servizi non subiscano ripercussioni durante i picchi di utilizzo e oltre? |
Sì. Soglia non disponibile per questo esempio. |
|
| Disponibilità dell'applicazione |
Resilienza e continuità aziendale 6.3.1 - Disponibilità delle applicazioni - Record di disponibilità (richiede l'attestazione manuale) |
Ci sono stati problemi significativi legati all'affidabilità o alla disponibilità nell'ultimo anno? |
Specificare se si sono verificati problemi significativi relativi all'affidabilità o alla disponibilità nell'ultimo anno. |
No |
|
Resilienza e continuità aziendale 6.3.2 - Disponibilità delle applicazioni - Finestra di manutenzione programmata (richiede l'attestazione manuale) |
Sono previsti tempi di inattività durante la manutenzione programmata? |
Specificate se è prevista una finestra di manutenzione programmata durante la quale i servizi potrebbero essere inattivi. In caso affermativo, quanto dura il periodo di inattività? |
No |
|
|
Resilienza e continuità aziendale 6.3.3 - Disponibilità delle applicazioni - Portale online per gli incidenti (richiede l'attestazione manuale) |
Esiste un portale online sullo stato della risposta agli incidenti che descrive le interruzioni pianificate e non pianificate? |
Specificate se esiste un portale sullo stato degli incidenti che descriva le interruzioni pianificate e non pianificate. In caso affermativo, fornisci dettagli su come un cliente può accedervi. Quanto tempo dopo l'interruzione verrà aggiornato il portale? |
Sì. Il cliente può accedere ai dettagli tramite example.com. |
|
|
Resilienza e continuità aziendale 6.3.4 - Disponibilità delle applicazioni - Obiettivo del tempo di ripristino (richiede un'attestazione manuale) |
Esiste un obiettivo specifico per il tempo di ripristino ()? RTO |
Specificare se esiste un obiettivo per il tempo di ripristino (RTO). Se sì, puoi fornire ilRTO? |
Sì, 2 oreRTO. |
|
|
Resilienza e continuità aziendale 6.3.5 - Disponibilità delle applicazioni - Obiettivo Recovery Point (richiede l'attestazione manuale) |
Esiste un obiettivo specifico per il punto di ripristino ()? RPO |
Specificare se esiste un obiettivo del punto di ripristino (RPO). Se sì, puoi fornire ilRPO? |
Sì, una settimanaRPO. |
Controlli di sicurezza dei dati
I controlli di sicurezza dei dati proteggono dati e risorse. Questa tabella elenca i valori e le descrizioni per i controlli di sicurezza dei dati.
| Set di controllo | Titolo del controllo | Descrizione del controllo | Dettagli sull'estrazione delle prove | Valore del campione |
|---|---|---|---|---|
|
Dati dei clienti acquisiti |
Data Security 2.1.1 - Dati dei clienti inseriti (richiede l'attestazione manuale) |
Crea un elenco di dati necessari ai clienti per la funzionalità del prodotto. |
Descrivi tutti i dati utilizzati dai clienti. Specificate se vengono utilizzati dati sensibili o riservati. |
Non viene utilizzato alcun dato sensibile e riservato. Questo prodotto utilizza solo informazioni non sensibili come i log delle applicazioni, dell'infrastruttura e. Servizi AWS(AWS CloudTrail,, Registri di AWS Config flussoVPC) |
|
Luogo di archiviazione dei dati |
Sicurezza dei dati 2.2.1 - Posizione di archiviazione dei dati (richiede l'attestazione manuale) |
Dove vengono archiviati i dati dei clienti? Elenca i paesi e le regioni in cui sono archiviati i dati. |
Specificare l'elenco dei paesi e delle regioni in cui vengono archiviati i dati. |
Ohio (Stati Uniti), Oregon (Stati Uniti), Irlanda (UE) |
| Controllo degli accessi |
Data Security 2.3.1 - Controllo degli accessi - Accesso dei dipendenti (richiede l'attestazione manuale) |
I dipendenti hanno accesso ai dati non crittografati dei clienti? |
Specificate se i dipendenti hanno accesso ai dati non crittografati dei clienti. In caso affermativo, spiega brevemente perché hanno bisogno dell'accesso. In caso negativo, spiegate brevemente come controllate l'accesso. |
No, tutti i dati vengono crittografati quando vengono archiviati. I dipendenti non avranno accesso ai dati dei clienti ma solo ai dati relativi al loro utilizzo. |
|
Data Security 2.3.2 - Controllo degli accessi - Applicazione mobile (richiede l'attestazione manuale) |
I clienti possono accedere ai propri dati tramite un'applicazione mobile? |
Specificate se i clienti possono accedere ai propri dati utilizzando un'applicazione mobile. In caso affermativo, fornisci maggiori dettagli. Come fanno i clienti ad accedere? Le credenziali vengono memorizzate nella cache dell'applicazione? Con che frequenza vengono aggiornati i token? |
No, non è possibile accedere al servizio utilizzando un'applicazione mobile. |
|
|
Sicurezza dei dati 2.3.3 - Controllo degli accessi - Paesi a cui vengono trasmessi i dati (richiede un'attestazione manuale) |
I dati dei clienti vengono trasmessi a paesi diversi da quelli di origine? |
I dati dei clienti vengono trasmessi in paesi al di fuori dell'origine? In caso affermativo, specifica l'elenco dei paesi in cui i dati dei clienti vengono trasmessi o ricevuti. |
No |
|
|
Sicurezza dei dati 2.3.4 - Controllo degli accessi - I dati vengono condivisi con fornitori terzi (richiede l'attestazione manuale) |
I dati dei clienti vengono condivisi con fornitori di terze parti (diversi dai fornitori di servizi cloud)? |
I dati dei clienti vengono condivisi con fornitori terzi? In caso affermativo, specifica l'elenco dei fornitori di terze parti e i relativi paesi o regioni in cui fornisci i dati dei clienti. |
No |
|
|
Sicurezza dei dati 2.3.5 - Controllo degli accessi - Politica di sicurezza relativa ai fornitori di terze parti |
Disponete di politiche o procedure per garantire che i fornitori terzi mantengano la riservatezza, la disponibilità e l'integrità dei dati dei clienti? |
Specificate se disponete di politiche o procedure per garantire che i fornitori terzi mantengano la riservatezza, la disponibilità e l'integrità dei dati dei clienti. In caso affermativo, carica un manuale o un documento delle politiche o delle procedure. |
Non applicabile in questo esempio. |
|
|
Crittografia dei dati |
Sicurezza dei dati 2.4.1 - Crittografia dei dati - Crittografia dei dati a riposo |
Tutti i dati sono criptati quando sono inattivi? |
Specificate se tutti i dati sono criptati quando sono inattivi. |
Sì |
|
Data Security 2.4.2 - Crittografia dei dati - Crittografia dei dati in transito |
Tutti i dati sono crittografati in transito? |
Specificate se tutti i dati sono crittografati in transito. |
Sì |
|
|
Data Security 2.4.3 - Crittografia dei dati - Algoritmi avanzati (richiede l'attestazione manuale) |
Utilizzate algoritmi di crittografia avanzati? |
Utilizzate algoritmi di crittografia avanzati? In caso affermativo, specifica quali algoritmi di crittografia (ad esempio RSA AES 256) vengono utilizzati. |
Sì. AES256 viene utilizzato per crittografare i dati. |
|
|
Data Security 2.4.4 - Crittografia dei dati - Chiave di crittografia unica (richiede l'attestazione manuale) |
I clienti hanno la possibilità di generare una chiave di crittografia unica? |
I clienti possono fornire o generare le proprie chiavi di crittografia uniche? In caso affermativo, fornisci maggiori dettagli e carica le prove. |
Sì |
|
|
Data Security 2.4.5 - Crittografia dei dati - Accesso alle chiavi di crittografia (richiede l'attestazione manuale) |
Ai dipendenti viene impedito l'accesso alle chiavi di crittografia di un cliente? |
Specificate se ai vostri dipendenti viene impedito l'accesso alle chiavi di crittografia di un cliente. In caso negativo, spiega perché hanno accesso alle chiavi del cliente. In caso affermativo, spiega come viene controllato l'accesso. |
Sì. Le chiavi crittografiche vengono archiviate in modo sicuro e ruotate periodicamente. I dipendenti non hanno accesso a queste chiavi. |
|
|
Archiviazione e classificazione dei dati |
Sicurezza dei dati 2.5.1 - Archiviazione e classificazione dei dati - Backup dei dati |
Eseguite il backup dei dati dei clienti? |
Specificare se si esegue il backup dei dati dei clienti. In caso affermativo, descrivi la tua politica di backup (compresi i dettagli sulla frequenza con cui viene eseguito il backup, dove viene archiviato il backup, sulla crittografia e sulla ridondanza dei backup). |
Sì, il backup viene eseguito ogni tre mesi. Il backup è crittografato e archiviato nella stessa area dei dati del cliente. Il tecnico dell'assistenza del cliente ha accesso al ripristino del backup ma non ai dati in esso contenuti. |
|
Sicurezza dei dati 2.5.2 - Archiviazione e classificazione dei dati - Politica di controllo dell'accesso ai dati |
Implementate controlli di accesso appropriati per i dati archiviati dei clienti? Fornisci le tue politiche di controllo degli accessi. |
Specificate se sono implementati controlli di accesso appropriati (ad esempioRBAC) per i dati archiviati dei clienti. Fornisci maggiori dettagli e prove manuali su come controlli l'accesso ai dati. |
Sì. I controlli di accesso con privilegi minimi vengono implementati per limitare l'accesso ai dati dei clienti. |
|
|
Sicurezza dei dati 2.5.3 - Archiviazione e classificazione dei dati - Dati delle transazioni (richiede l'attestazione manuale) |
I dettagli delle transazioni del cliente (come i dati della carta di pagamento e le informazioni sui gruppi che effettuano le transazioni) sono archiviati in una zona perimetrale? |
Specificate se i dettagli delle transazioni del cliente (come i dati della carta di pagamento e le informazioni sui gruppi che effettuano le transazioni) verranno archiviati in una zona perimetrale. In caso affermativo, spiega perché deve essere archiviato nella zona perimetrale. |
No |
|
|
Sicurezza dei dati 2.5.4 - Archiviazione e classificazione dei dati - Classificazione delle informazioni |
I dati dei clienti sono classificati in base ai requisiti legali o normativi, al valore aziendale e alla sensibilità alla divulgazione o alla modifica non autorizzata? |
Specificate se i dati dei clienti sono classificati in base alla sensibilità. In caso affermativo, carica le prove manuali di questa classificazione. |
Sì |
|
|
Data Security 2.5.5 - Archiviazione e classificazione dei dati - Segmentazione dei dati (richiede un'attestazione manuale) |
Viene fornita la funzionalità di segmentazione e separazione dei dati tra i clienti? |
Specificate se i dati per diversi clienti sono segmentati. In caso negativo, spiegate i meccanismi a vostra disposizione per proteggere i dati dalla contaminazione incrociata. |
Sì |
|
| Conservazione dei dati |
Data Security 2.6.1 - Conservazione dei dati (richiede l'attestazione manuale) |
Per quanto tempo conservate i dati? |
Specificare la durata della conservazione dei dati. Se il periodo di conservazione differisce in base alla classificazione e alla sensibilità dei dati, è possibile fornire dettagli su ciascun periodo di conservazione? |
6 mesi |
|
Conservazione dei dati dopo l'annullamento dell'iscrizione degli acquirenti |
Sicurezza dei dati 2.6.2 - Conservazione dei dati dopo l'annullamento dell'iscrizione del cliente (richiede un'attestazione manuale) |
Per quanto tempo conservate i dati dopo l'annullamento dell'iscrizione degli acquirenti? |
Specificate la durata della conservazione dei dati dopo l'annullamento dell'iscrizione dei clienti. |
3 mesi |
Controlli di sicurezza dei dispositivi degli utenti finali
I controlli di sicurezza dei dispositivi degli utenti finali proteggono i dispositivi portatili degli utenti finali e le reti a cui sono collegati da minacce e vulnerabilità. Questa tabella elenca i valori e le descrizioni per i controlli delle policy di sicurezza dei dispositivi degli utenti finali.
| Set di controllo | Titolo del controllo | Descrizione del controllo | Dettagli sull'estrazione delle prove | Valore del campione |
|---|---|---|---|---|
| Inventario di asset/software |
End User Device Security 7.1.1 - Inventario di asset/software - Inventario degli asset |
L'elenco dell'inventario delle risorse viene aggiornato periodicamente? |
Specificate se viene mantenuto un inventario degli asset. Se sì, con che frequenza viene aggiornato? |
Sì. L'inventario viene aggiornato settimanalmente. |
|
End User Device Security 7.1.2 - Inventario di risorse/software - Inventario di software e applicazioni |
Tutte le piattaforme e le applicazioni software installate sui sistemi con ambito sono inventariate? |
Specificate se viene mantenuto l'inventario di tutti i software e le applicazioni installati. In caso affermativo, con quale frequenza viene aggiornato? |
Sì. L'inventario viene aggiornato settimanalmente. |
|
| Sicurezza delle risorse |
Sicurezza dei dispositivi degli utenti finali 7.2.1 - Sicurezza degli asset - Patch di sicurezza |
Tutte le patch di sicurezza ad alto rischio disponibili vengono applicate e verificate almeno una volta al mese su tutti i dispositivi degli utenti finali? |
Specificate se tutte le patch di sicurezza ad alto rischio vengono applicate almeno una volta al mese. In caso negativo, con che frequenza viene applicato? Potete fornire maggiori dettagli su come gestite le patch? |
Sì. Abbiamo un team di sicurezza che esegue questo processo ogni due settimane. |
|
Sicurezza dei dispositivi degli utenti finali 7.2.2 - Asset Security - Endpoint Security |
Disponete della sicurezza degli endpoint? |
Specificate se la sicurezza degli endpoint è installata su tutti i dispositivi. In caso affermativo, potete fornire maggiori dettagli sullo strumento e su come viene gestito? |
Sì. Il nostro team di sicurezza lo gestisce ogni due settimane utilizzando strumenti interni. |
|
|
End User Device Security 7.2.3 - Sicurezza degli asset - Manutenzione e riparazione degli asset (richiede un'attestazione manuale) |
La manutenzione e la riparazione delle risorse organizzative vengono eseguite e registrate con strumenti approvati e controllati? |
Specificate se la manutenzione e la riparazione delle risorse vengono eseguite e registrate con strumenti controllati. In caso affermativo, potreste fornire maggiori dettagli su come viene gestita? |
Sì. Tutte le operazioni di manutenzione dei dispositivi vengono registrate. Questa manutenzione non comporta tempi di inattività. |
|
|
End User Device Security 7.2.4 - Asset Security - Controllo degli accessi per i dispositivi |
I dispositivi hanno il controllo degli accessi abilitato? |
Specificate se i dispositivi hanno i controlli di accesso (ad esempioRBAC) abilitati. |
Sì. L'accesso con privilegi minimi è implementato per tutti i dispositivi. |
|
| Registri dei dispositivi |
End User Device Security 7.3.1 - Registri dei dispositivi - Dettagli sufficienti nei registri (richiede un'attestazione manuale) |
I dati registrati nei registri del sistema operativo e del dispositivo sono sufficienti a supportare le indagini sugli incidenti? |
Specificate se nei registri sono inclusi dettagli sufficienti (come i tentativi di accesso riusciti e falliti e le modifiche a impostazioni e file di configurazione sensibili) per supportare le indagini sugli incidenti. In caso negativo, fornisci maggiori dettagli su come gestisci le indagini sugli incidenti. |
Sì |
|
End User Device Security 7.3.2 - Registri dei dispositivi - Accesso ai registri dei dispositivi |
I registri dei dispositivi sono protetti da modifiche, eliminazioni e/o accessi inappropriati? |
Specificate se i registri del dispositivo sono protetti da modifiche, cancellazioni e/o accessi inappropriati. In caso affermativo, puoi fornire dettagli su come applicarlo? |
Sì. Le modifiche ai registri vengono applicate tramite il controllo degli accessi. Tutte le modifiche ai registri generano un avviso. |
|
|
End User Device Security 7.3.3 - Registri dei dispositivi - Conservazione dei log (richiede un'attestazione manuale) |
I log vengono conservati per un periodo di tempo sufficiente a indagare su un attacco? |
Per quanto tempo verranno conservati i log? |
Sì, 1 anno. |
|
| Gestione dei dispositivi mobili |
End User Device Security 7.4.1 - Gestione dei dispositivi mobili - Programma di gestione dei dispositivi mobili |
Esiste un programma di gestione dei dispositivi mobili? |
Specificare se esiste un programma di gestione dei dispositivi mobili. In caso affermativo, specifica quale strumento viene utilizzato per la gestione dei dispositivi mobili. |
Sì. Utilizziamo strumenti interni. |
|
End User Device Security 7.4.2 - Gestione dei dispositivi mobili - Accesso all'ambiente di produzione da dispositivi mobili privati (richiede l'attestazione manuale) |
Al personale viene impedito l'accesso all'ambiente di produzione utilizzando dispositivi mobili privati non gestiti? |
Specificate se ai dipendenti viene impedito l'accesso all'ambiente di produzione utilizzando dispositivi mobili privati non gestiti. Se no, come si fa a far rispettare questo controllo? |
Sì |
|
|
End User Device Security 7.4.3 - Gestione dei dispositivi mobili - Accesso ai dati dei clienti dai dispositivi mobili (richiede l'attestazione manuale) |
Ai dipendenti viene impedito di utilizzare dispositivi mobili privati non gestiti per visualizzare o elaborare i dati dei clienti? |
Specificate se ai dipendenti viene impedito l'accesso ai dati dei clienti utilizzando dispositivi mobili non gestiti. In caso negativo, qual è il caso d'uso per consentire l'accesso? Come si monitora l'accesso? |
Sì |
Controlli delle risorse umane
I controlli delle risorse umane valutano la divisione relativa ai dipendenti per la gestione dei dati sensibili durante processi quali l'assunzione, il pagamento e il licenziamento dei dipendenti. Questa tabella elenca i valori e le descrizioni per i controlli delle politiche relative alle risorse umane.
| Set di controllo | Titolo del controllo | Descrizione del controllo | Dettagli sull'estrazione delle prove | Valore del campione |
|---|---|---|---|---|
| Politica delle risorse umane |
Risorse umane 9.1.1 - Politica delle risorse umane - Analisi dei precedenti per i dipendenti |
Lo screening dei precedenti viene effettuato prima dell'assunzione? |
Specificate se lo screening dei precedenti viene effettuato per tutti i dipendenti prima dell'assunzione. |
Sì |
|
Risorse umane 9.1.2 - Politica delle risorse umane - Contratto per i dipendenti |
Un contratto di lavoro è firmato prima dell'assunzione? |
Specificare se un contratto di lavoro viene firmato prima dell'assunzione. |
Sì |
|
|
Risorse umane 9.1.3 - Politica delle risorse umane - Formazione sulla sicurezza per i dipendenti |
Tutti i dipendenti si sottopongono regolarmente a corsi di sensibilizzazione alla sicurezza? |
Specificate se i dipendenti seguono regolarmente corsi di formazione sulla sicurezza. In caso affermativo, con che frequenza si sottopongono a corsi di formazione sulla sicurezza? |
Sì. Si sottopongono a corsi di formazione sulla sicurezza ogni anno. |
|
|
Risorse umane 9.1.4 - Politica delle risorse umane - Processo disciplinare per la non conformità delle politiche |
Esiste un processo disciplinare per la non conformità delle politiche in materia di risorse umane? |
Specificare se esiste un processo disciplinare per la non conformità delle politiche in materia di risorse umane. |
Sì |
|
|
Risorse umane 9.1.5 - Politica delle risorse umane - Controlli dei precedenti per appaltatori/subappaltatori (richiede l'attestazione manuale) |
I controlli dei precedenti vengono eseguiti per fornitori, appaltatori e subappaltatori di terze parti? |
Specificate se vengono effettuati controlli sui precedenti per fornitori, appaltatori e subappaltatori di terze parti. In caso affermativo, il controllo dei precedenti viene eseguito regolarmente? |
Sì. Il controllo dei precedenti viene effettuato ogni anno. |
|
|
Risorse umane 9.1.6 - Politica delle risorse umane - Restituzione dei beni in caso di risoluzione |
Esiste una procedura per verificare la restituzione dei beni costitutivi al momento della cessazione? |
Specificare se esiste una procedura per verificare la restituzione dei beni costitutivi in caso di licenziamento del dipendente. |
Sì |
Controlli di sicurezza dell'infrastruttura
I controlli di sicurezza dell'infrastruttura proteggono le risorse critiche da minacce e vulnerabilità. Questa tabella elenca i valori e le descrizioni per i controlli delle politiche di sicurezza dell'infrastruttura.
| Set di controllo | Titolo del controllo | Descrizione del controllo | Dettagli sull'estrazione delle prove | Valore del campione |
|---|---|---|---|---|
| Sicurezza fisica |
Sicurezza dell'infrastruttura 8.1.1 - Sicurezza fisica - Accesso fisico alle strutture |
Le persone che richiedono l'accesso di persona alle risorse (come edifici, veicoli o hardware) sono tenute a fornire un documento d'identità e tutte le credenziali necessarie? |
Specificate se le persone che richiedono l'accesso alle risorse di persona (come edifici, veicoli, hardware) sono tenute a fornire un documento d'identità e le eventuali credenziali necessarie. |
Sì |
|
Sicurezza dell'infrastruttura 8.1.2 - Sicurezza fisica - Sicurezza fisica e controlli ambientali in atto |
La sicurezza fisica e i controlli ambientali sono in atto nei data center e negli edifici adibiti a uffici? |
Specificate se i controlli di sicurezza fisica e ambientale sono in atto per tutte le strutture. |
Sì |
|
|
Sicurezza dell'infrastruttura 8.1.3 - Sicurezza fisica - Accesso dei visitatori (richiede un'attestazione manuale) |
Registrate l'accesso dei visitatori? |
Se i visitatori sono ammessi nella struttura, vengono conservati i registri di accesso dei visitatori? Se sì, per quanto tempo vengono conservati i registri? |
Sì. I registri verranno conservati per un anno. |
|
| Sicurezza della rete |
Sicurezza dell'infrastruttura 8.2.1 - Sicurezza della rete: disabilita porte e servizi non utilizzati (richiede l'attestazione manuale) |
Tutte le porte e i servizi non utilizzati sono disabilitati dall'ambiente e dai sistemi di produzione? |
Specificare se tutte le porte e i servizi non utilizzati sono disabilitati dall'ambiente e dai sistemi di produzione. |
Sì |
|
Sicurezza dell'infrastruttura 8.2.2 - Sicurezza della rete - Uso dei firewall |
I firewall vengono utilizzati per isolare i sistemi critici e sensibili in segmenti di rete separati dai segmenti di rete con sistemi meno sensibili? |
Specificate se i firewall vengono utilizzati per isolare i segmenti critici e sensibili dai segmenti con sistemi meno sensibili. |
Sì |
|
|
Sicurezza dell'infrastruttura 8.2.3 - Sicurezza della rete - Revisione delle regole del firewall |
Tutte le regole relative ai firewall vengono riviste e aggiornate regolarmente? |
Con che frequenza vengono riviste e aggiornate le regole del firewall? |
Sì. Le regole del firewall vengono aggiornate ogni 3 mesi. |
|
|
Sicurezza dell'infrastruttura 8.2.4 - Sicurezza della rete - Sistemi di rilevamento/prevenzione delle intrusioni |
I sistemi di rilevamento e prevenzione delle intrusioni sono implementati in tutte le zone di rete sensibili e ovunque siano abilitati i firewall? |
Specificate se i sistemi di rilevamento e prevenzione delle intrusioni sono abilitati in tutte le zone di rete sensibili. |
Sì |
|
|
Sicurezza dell'infrastruttura 8.2.5 - Sicurezza della rete - Standard di sicurezza e rafforzamento |
Disponete di standard di sicurezza e rafforzamento per i dispositivi di rete? |
Specificate se disponete di standard di sicurezza e rafforzamento per i dispositivi di rete. In caso affermativo, potete fornire maggiori dettagli (compresi i dettagli sulla frequenza con cui questi standard vengono implementati e aggiornati)? |
Sì. Gli standard di sicurezza e rafforzamento vengono implementati mensilmente sui dispositivi di rete. |
|
| Servizi cloud |
Sicurezza dell'infrastruttura 8.3.1 - Servizi cloud - Piattaforme utilizzate per ospitare l'applicazione (richiede l'attestazione manuale) |
Elenca le piattaforme cloud che utilizzi per ospitare la tua applicazione. |
Specificate quali piattaforme cloud utilizzate per ospitare la vostra applicazione. |
AWS |
Gestione del rischio e controlli della risposta agli incidenti
I controlli sulla gestione del rischio e sulla risposta agli incidenti valutano il livello di rischio ritenuto accettabile e le misure adottate per rispondere a rischi e attacchi. Questa tabella elenca i valori e le descrizioni per i controlli delle politiche di gestione del rischio e di risposta agli incidenti.
| Set di controllo | Titolo del controllo | Descrizione del controllo | Dettagli sull'estrazione delle prove | Valore del campione |
|---|---|---|---|---|
| Valutazione del rischio |
Gestione del rischio/risposta agli incidenti 5.1.1 - Valutazione del rischio: affrontare e identificare i rischi |
Esiste un processo formale incentrato sull'identificazione e la risoluzione dei rischi di incidenti dirompenti per l'organizzazione? |
Specificate se esiste un processo per identificare e affrontare i rischi che causano incidenti dirompenti per l'organizzazione. |
Sì |
|
Gestione del rischio/risposta agli incidenti 5.1.2 - Valutazione del rischio - Processo di gestione del rischio |
Esiste un programma o un processo per gestire il trattamento dei rischi identificati durante le valutazioni? |
Specificate se esiste un programma o un processo per gestire i rischi e le relative mitigazioni. In caso affermativo, potete fornire maggiori dettagli sul processo di gestione del rischio? |
Sì. Esaminiamo e risolviamo regolarmente i problemi per risolvere le non conformità. Le seguenti informazioni vengono identificate per qualsiasi problema che influisce sul nostro ambiente: • Dettagli del problema identificato • Causa principale • Controlli di compensazione • Severità • Proprietario • Percorso da seguire a breve termine • Percorso a lungo termine |
|
|
Gestione del rischio/risposta agli incidenti 5.1.3 - Valutazione del rischio - Valutazioni del rischio |
Le valutazioni del rischio vengono eseguite frequentemente? |
Le valutazioni del rischio vengono effettuate frequentemente? In caso affermativo, specificare la frequenza delle valutazioni del rischio. |
Sì. Le valutazioni del rischio vengono completate ogni 6 mesi. |
|
|
Gestione del rischio/risposta agli incidenti 5.1.4 - Valutazione del rischio - Valutazione del rischio dei fornitori terzi |
Le valutazioni del rischio vengono eseguite per tutti i fornitori di terze parti? |
Specificate se le valutazioni del rischio vengono eseguite per tutti i fornitori di terze parti. In caso affermativo, con quale frequenza? |
Non applicabile in questo esempio. |
|
|
Gestione del rischio/risposta agli incidenti 5.1.5 - Valutazione del rischio - Rivalutazione del rischio in caso di modifiche contrattuali |
Le valutazioni del rischio vengono eseguite quando si verificano la fornitura del servizio o le modifiche contrattuali? |
Specificate se le valutazioni del rischio verranno eseguite ogni volta che una fornitura di servizi o un contratto cambia. |
Non applicabile in questo esempio. |
|
|
Gestione del rischio/risposta agli incidenti 5.1.6 - Valutazione del rischio - Accettazione dei rischi (richiede un'attestazione manuale) |
Esiste un processo che consente alla direzione di accettare i rischi in modo consapevole e obiettivo e approvare i piani d'azione? |
Specificate se esiste un processo che consente alla direzione di comprendere e accettare i rischi e di approvare i piani d'azione e una tempistica per risolvere un problema relativo al rischio. Il processo include la fornitura di dettagli sulle metriche alla base di ogni rischio alla direzione? |
Sì. I dettagli sulla gravità del rischio e sui potenziali problemi, se non mitigati, vengono forniti alla direzione prima dell'approvazione del rischio. |
|
|
Gestione del rischio/risposta agli incidenti 5.1.7 - Valutazione del rischio - Metriche del rischio (richiede l'attestazione manuale) |
Disponete di misure per definire, monitorare e segnalare le metriche di rischio? |
Specificate se esiste un processo per definire, monitorare e segnalare le metriche di rischio. |
Sì |
|
| Gestione degli incidenti |
Gestione del rischio/Risposta agli incidenti 5.2.1 - Gestione degli incidenti - Piano di risposta agli incidenti |
Esiste un piano di risposta agli incidenti formale? |
Specificare se esiste un piano di risposta agli incidenti formale. |
Sì |
|
Gestione del rischio/risposta agli incidenti 5.2.2 - Gestione degli incidenti - Contatto per segnalare incidenti di sicurezza (richiede l'attestazione manuale) |
Esiste una procedura che consente ai clienti di segnalare un incidente di sicurezza? |
Specificate se esiste una procedura che consente ai clienti di segnalare un incidente di sicurezza. In caso affermativo, come può un cliente segnalare un incidente di sicurezza? |
Sì. I clienti possono segnalare gli incidenti a example.com. |
|
|
Gestione del rischio/risposta agli incidenti 5.2.3 - Gestione degli incidenti - Segnala incidenti/attività chiave |
Segnalate le attività chiave? |
Segnalate le attività chiave? Cosa si intende SLA per segnalare le attività chiave? |
Sì. Tutte le attività chiave verranno segnalate entro una settimana. |
|
|
Gestione del rischio/Risposta agli incidenti 5.2.4 - Gestione degli incidenti - Ripristino degli incidenti |
Disponete di piani di disaster recovery? |
Specificate se avete piani per il ripristino dopo che si è verificato un incidente. In caso affermativo, è possibile condividere i dettagli sui piani di ripristino? |
Sì. Dopo un incidente, il ripristino verrà effettuato entro 24 ore. |
|
|
Gestione del rischio/risposta agli incidenti 5.2.5 - Gestione degli incidenti - Registri disponibili per gli acquirenti in caso di attacco (richiede un'attestazione manuale) |
In caso di attacco, le risorse pertinenti (come registri, rapporti sugli incidenti o dati) saranno disponibili per i clienti? |
Le risorse pertinenti (come registri, rapporti sugli incidenti o dati) relative al loro utilizzo saranno disponibili per i clienti in caso di attacco o incidente? |
Sì |
|
|
Gestione del rischio/risposta agli incidenti 5.2.6 - Gestione degli incidenti - Bollettino sulla sicurezza (richiede l'attestazione manuale) |
Disponete di un bollettino sulla sicurezza che descrive gli attacchi e le vulnerabilità più recenti che interessano le vostre applicazioni? |
Specificate se disponete di un bollettino sulla sicurezza che descrive gli attacchi e le vulnerabilità più recenti che interessano le vostre applicazioni. Se sì, potete fornire i dettagli? |
Sì. I clienti possono segnalare gli incidenti a example.com. |
|
| Rilevamento degli incidenti |
Gestione del rischio/risposta agli incidenti 5.3.1 - Rilevamento degli incidenti - Registrazione completa |
Esiste una registrazione completa per supportare l'identificazione e la mitigazione degli incidenti? |
Specificate se è abilitata la registrazione completa. Identifica i tipi di eventi che il sistema è in grado di registrare. Per quanto tempo vengono conservati i registri? |
Sì. Vengono registrati i seguenti eventi: applicazioni, dispositivi e Servizi AWS simili e Flow AWS CloudTrail AWS Config Logs. VPC I log vengono conservati per 1 anno. |
|
Gestione del rischio/risposta agli incidenti 5.3.2 - Rilevamento degli incidenti - Monitoraggio dei registri |
Monitorate e avvisate in caso di attività insolite o sospette utilizzando meccanismi di rilevamento come il monitoraggio dei log? |
Specificate se vengono eseguiti regolarmente il monitoraggio e l'invio di avvisi di sicurezza. In caso affermativo, include il monitoraggio dei log per rilevare comportamenti insoliti o sospetti? |
Sì. Tutti i log vengono monitorati per rilevare comportamenti insoliti, ad esempio più accessi non riusciti, accessi da una geolocalizzazione insolita o altri avvisi sospetti. |
|
|
Gestione del rischio/Risposta agli incidenti 5.3.3 - Rilevamento degli incidenti - Violazione dei dati di terze parti |
Esiste un processo per identificare, rilevare e registrare i problemi di sicurezza, privacy o violazione dei dati dei subappaltatori? |
Specificate se è in atto un processo per identificare e rilevare fornitori o subappaltatori di terze parti per violazioni dei dati, problemi di sicurezza o problemi di privacy. |
Sì |
|
|
SLAper la notifica degli incidenti |
Gestione del rischio/risposta agli incidenti 5.4.1 - SLA per la notifica degli incidenti (richiede l'attestazione manuale) |
Cosa serve SLA per inviare notifiche su incidenti o violazioni? |
A cosa serve l'invio SLA di notifiche su incidenti o violazioni? |
7 giorni |
Controlli delle politiche di sicurezza e configurazione
I controlli delle politiche di sicurezza e configurazione valutano le politiche di sicurezza e le configurazioni di sicurezza che proteggono gli asset di un'organizzazione. Questa tabella elenca i valori e le descrizioni per i controlli delle politiche di sicurezza e configurazione.
| Set di controllo | Titolo del controllo | Descrizione del controllo | Dettagli sull'estrazione delle prove | Valore del campione |
|---|---|---|---|---|
|
Politiche per la sicurezza delle informazioni |
Politica di sicurezza e configurazione 10.1.1 - Politiche per la sicurezza delle informazioni - Politica di sicurezza delle informazioni |
Disponete di una politica di sicurezza delle informazioni di proprietà e gestita da un team addetto alla sicurezza? |
Specificate se disponete di una politica di sicurezza delle informazioni. In caso affermativo, condividi o carica una prova manuale. |
Sì. Costruiamo la nostra politica di sicurezza sulla base di NIST un framework. |
|
Politica di sicurezza e configurazione 10.1.2 - Politiche per la sicurezza delle informazioni - Revisione delle politiche |
Tutte le politiche di sicurezza vengono riviste annualmente? |
Specificate se le politiche di sicurezza vengono riviste annualmente. In caso negativo, con quale frequenza vengono riviste le politiche? |
Sì. Revisionato ogni anno. |
|
|
Politiche per le configurazioni di sicurezza |
Politica di sicurezza e configurazione 10.2.1 - Criteri per le configurazioni di sicurezza - Configurazioni di sicurezza (richiede l'attestazione manuale) |
Gli standard di configurazione della sicurezza sono mantenuti e documentati? |
Specificate se tutti gli standard di configurazione di sicurezza sono mantenuti e documentati. In caso affermativo, condividi o carica una prova manuale. |
Sì |
|
Politica di sicurezza e configurazione 10.2.2 - Criteri per le configurazioni di sicurezza - Revisione delle configurazioni di sicurezza (richiede l'attestazione manuale) |
Le configurazioni di sicurezza vengono riviste almeno una volta all'anno? |
Specificate se le configurazioni di sicurezza vengono riviste almeno una volta all'anno. In caso negativo, specificare la frequenza di revisione. |
Sì. Revisionato ogni 3 mesi. |
|
|
Politica di sicurezza e configurazione 10.2.3 - Politiche per le configurazioni di sicurezza - Modifiche alle configurazioni |
Le modifiche alle configurazioni vengono registrate? |
Specificate se le modifiche alla configurazione vengono registrate. In caso affermativo, per quanto tempo vengono conservati i registri? |
Sì. Tutte le modifiche alle configurazioni vengono monitorate e registrate. Gli avvisi vengono generati quando le configurazioni vengono modificate. I registri vengono conservati per 6 mesi. |
