Responsabilità inerenti la sicurezza nei Servizi IaaS
Premessa
Il presente allegato definisce le responsabilità inerenti la sicurezza di (a) Register.it, e (b) il Cliente nel contesto dei Servizi IaaS.
I termini con iniziale maiuscola utilizzati nel presente documento hanno il medesimo significato definito nelle Condizioni Generali di Servizio (“CGS”), nell’Ordine di Servizio (“OdS”) e nella Nomina a Responsabile.
In generale, Register.it è responsabile del Servizio IaaS che fornisce e non dei sistemi e delle applicazioni installate dal Cliente nell’utilizzo dei Servizi IaaS, che sono a carico del Cliente.
1. Information Security Management
(a) Responsabilità di Register.it
Register.it ha una struttura idonea per la fornitura del Servizio e del relativo supporto. Sono in essere politiche sulla sicurezza approvate a livello manageriale che regolano il Servizio e che prevedono una periodica verifica dei possibili rischi e, per quanto riguarda i rischi la cui responsabilità è sul CISP periodici Vulnerability Assessment e Penetration Test volti a verificare la solidità della piattaforma. Register.it ha altresì adottato al suo interno un sistema di gestione della sicurezza. E’ stato infine nominato del personale qualificato responsabile per la gestione della sicurezza del Servizio.
(b) Responsabilità del Cliente
Il Cliente deve comunicare un punto di contatto al fine di poter riscontrare le questioni inerenti la sicurezza riferibili all’utilizzo da parte del Cliente del Servizio.
E’ responsabilità del Cliente effettuare una valutazione dei rischi per valutare l'idoneità del Servizio a svolgere le attività di trattamento dei dati che il Cliente desidera effettuare sulla base del diritto sulla protezione dei dati europeo applicabile.
2. Sicurezza inerente personale
(a) Responsabilità di Register.it
Register.it ha in essere una struttura organizzativa per gestire l'implementazione delle misure di sicurezza con ruoli e responsabilità chiaramente definiti.
(b) Responsabilità del Cliente
Il Cliente è l'unico responsabile per il proprio personale e per una terza parte che accede o utilizza i servizi di infrastruttura di cloud forniti al Cliente (compresi, senza limitazione appaltatori, agenti o utenti finali).
3. Gestione degli accessi
(a) Responsabilità Register.it
Register.it mette a disposizione del Cliente un sistema di gestione del controllo degli accessi come parte del Servizio. Il sistema di gestione di controllo accessi prevede la possibilità per il Cliente di gestire sistemi di autenticazione al Servizio (es. attraverso account nominativi e password).
Register.it non è responsabile per le soluzioni di accesso al Servizio implementate dal Cliente né per altre le applicazioni installate da quest’ultimo nell’utilizzo del Servizio. Register.it esorta il Cliente, sin dal primo accesso, a procedere tempestivamente alla modifica delle password e alla loro successiva gestione in sicurezza.
(b) Responsabilità del Cliente
Il Cliente è il solo responsabile per l'uso e la configurazione del sistema di gestione di controllo degli accessi forniti da Register.it. Il Cliente è responsabile per l'assegnazione dei diritti di accesso al personale che ritiene appropriato.
Il Cliente è responsabile per le soluzioni di accesso al Servizio implementate dal Cliente e per altre applicazioni installate da quest’ultimo nell’utilizzo del Servizio.
4. Sicurezza fisica e logica
(a) Responsabilità di Register.it
Register.it ha implementato e mantiene misure di sicurezza fisiche e logiche per il Servizio al fine di aiutare il Cliente a proteggere i dati personali contro il trattamento illecito, la perdita accidentale, l’accesso e divulgazione non autorizzati. In particolare nel Data center che ospita i Servizi sono stati implementati sistemi per garantire la ridondanza e sicurezza degli impianti elettrici, di condizionamento e di connettività. Sono, inoltre, in essere sistemi di controllo degli accessi antiintrusione con personale in loco 24/7/365. Per le caratteristiche complessive il Data Center è considerato allineato agli standard Tier 3.
(b) Responsabilità del Cliente
E’ responsabilità del Cliente analizzare (a) le informazioni messe a disposizione da parte di Register.it in materia di sicurezza fisica e logica del Servizio ; (b) l’idoneità della configurazione scelta, dell'utilizzo delle funzioni e dei comandi disponibili in connessione con il Servizio; (c) le misure di sicurezza che il Cliente vorrà mettere in atto per gli aspetti della sicurezza che ricadono sotto la sua responsabilità, facendo un’autonoma valutazione che queste misure, assieme a quelle di Register.it, forniscono un adeguato livello di sicurezza per i trattamenti che il Cliente vuole intraprendere attraverso il Servizio. E’ responsabilità del Cliente verificare e mantenere aggiornati i software.
5. Server fisici e attrezzature
(a) Responsabilità di Register.it
Register.it è responsabile per l’installazione, il funzionamento di qualsiasi dispositivo hardware utilizzato per fornire il Servizio, compresa la configurazione necessaria per la fornitura del Servizio.
In particolare, con riguardo al Data Center del gruppo Dada, l’accesso allo stesso è garantito solo a personale che abbia richiesto in precedenza l’accesso a condizione venga fornito valido documento d’identita che viene conservato per e tutta la durata della visita. L’accesso è controllato da un tornello a bussola. Le informazioni di dettaglio sono disponibili al link: http://www.register.it/server/data-center/?abtest=1
La rete e i sistemi sono aggiornati con le patch di sicurezza necessarie ad escludere le intrusioni.
(b) Responsabilità del Cliente
Il Cliente è l'unico responsabile per la corretta configurazione ed aggiornamento di qualsiasi sistema e applicazione installata dal Cliente nell’uso del Servizio.
6. Protezione dai malware
(a) Responsabilità di Register.it
Register.it protegge i propri sistemi facenti parte del Servizio dai più comuni attacchi malware.
(b) Responsabilità del Cliente
Il Cliente è responsabile per la protezione contro i malware per i sistemi e le applicazioni implementate dal Cliente stesso nell’utilizzo del Servizio.
7. Gestione delle vulnerabilità
(a) Responsabilità di Register.it
Register.it ha in essere procedure per la gestione degli aggiornamenti necessari per mitigare le vulnerabilità (distribuzione dei compiti all’interno di Register.it, ritardo tra patch e patching, ecc.) per i propri sistemi utilizzati nella fornitura del Servizio.
(b) Responsabilità del Cliente
Il Cliente è responsabile della gestione delle vulnerabilità dei sistemi e delle applicazioni implementate e gestite dal Cliente nell’utilizzo del Servizio.
8. Registrazione degli accessi e monitoraggio
(a) Responsabilità di Register.it
Register.it fornisce al Cliente una pagina pubblica per il monitoraggio dello stato dei propri servizi disponibile all’indirizzo: http://status.register.it/ . Register.it traccia tutti gli accessi all’infrastruttura effettuati dal personale autorizzato e li rende disponibili all’autorità giudiziaria in caso di indagini. .
(b) Responsabilità del Cliente
Il Cliente è responsabile dell’implementazione degli strumenti di monitoraggio e di registrazione appropriati alle sue necessità.
9. Gestione dell’obsolescenza hardware
(a) Responsabilità di Register.it
Register.it ha implementato un processo di smantellamento del supporto hardware utilizzato per archiviare i dati del Cliente prima del suo smaltimento finale. Il processo di smantellamento è condotto in conformità con le pratiche standard di settore progettate per garantire che i dati del Cliente non possano essere recuperati in alcun modo dal supporto hardware.
(b) Responsabilità del Cliente
I Cliente è responsabile di analizzare (a) le informazioni messe a disposizione da parte di Register.it in materia di smantellamento dei supporti di memorizzazione; (b) l’idoneità della configurazione scelta, dell'utilizzo delle funzioni e dei comandi disponibili in relazione al Servizio; e (c) le misure di sicurezza che il Cliente vorrà mettere in atto per gli aspetti della sicurezza che ricadono sotto la sua responsabilità, facendo un’autonoma valutazione che queste misure, assieme a quelle di Register.it, forniscano un adeguato livello di sicurezza per i trattamenti che il Cliente vuole intraprendere attraverso il Servizio.
Specifiche relative ai singoli servizi aderenti al CISPE:
DEDICATED SERVER
I server dedicati di Register.it possono essere forniti in modalità managed o unamanged a seconda del livello di servizio scelto dal cliente. In caso di gestione unmanaged l’unico amministratore di sistema del server sarà il cliente stesso a cui saranno consegnate alla prima installazione delle credenziali di accesso che dovranno essere modificate dal cliente stesso dopo il primo collegamento. In questo scenario non è prevista alcuna configurazione di rete o apparato di rete per la protezione degli accessi (firewall). Sarà cura di Register.it installare sul server del cliente il sistema operativo scelto dal medesimo in fase di attivazione e lasciando la gestione di eventuali patch di sicurezza alla sola responsabilità del cliente.
La gestione del contenuto del server, la sua messa in sicurezza, la corretta applicazione del licensing del software installato sono sempre demandate al cliente finale. Il riscontro di eventuali problemi sulle configurazioni o guasti hardware dovranno essere notificati tempestivamente dal cliente a Register.it che si impegnerà altresì a farsi carico della risoluzione del problema nel minor tempo possibile. Sarà a carico del cliente la scelta degli strumenti per mettere in essere queste verifiche e monitoraggi.
Register.it effettua un costante monitoraggio dell’utilizzo della rete dei server ospitati nel proprio data center per poter isolare eventuali anomalie che possano pregiudicare il corretto funzionamento del servizio in favore del cliente o di soggetti terzi.
Nel caso di server di tipo “Managed” sarà Register.it (o una società del gruppo) l’unico amministratore di sistema ad aver accesso al server e sarà sotto la propria responsabilità effettuare gli aggiornamenti di sistema sia in fase di installazione che successivamente. Eventuali configurazioni di rete o di firewall saranno stabilite al momento dell’installazione fra il cliente ed i tecnici di Register.it. La gestione dei contenuti ed eventuali responsabilità connesse al contenuto stesso sono demandate sempre al cliente.
Misure di sicurezza del servizio
I server dedicati sono realizzati con componenti di alta qualità dai principali produttori mondiali in una vasta gamme di configurazioni per andare incontro alle esigenze dei clienti e sono ospitati nel datacenter situato nel Berkshire in UK. I server sono forniti con una o più connessioni verso la rete Simply che comprende router e switch e che garantisce la connettività verso Internet dei server stessi. Sia in caso di server “Managed” che di server “Unamanged” viene fornito al cliente un SLA sull’erogazione del servizio stesso a sua tutela.
Misure di sicurezza aggiuntive
I client possono acquistare un firewall dedicato disponibile sullo store di Register.it che verrà collocato davanti al server.
VIRTUAL SERVER
Definizione architettura ad alto livello
I server virtuali di Register.it possono essere forniti in modalità managed o unamanged a seconda del livello di servizio scelto dal cliente. In caso di gestione unmanaged l’unico amministratore di sistema del server sarà il cliente stesso a cui saranno consegnate alla prima installazione delle credenziali di accesso che dovranno essere modificate dal cliente stesso dopo il primo collegamento. In questo scenario non è prevista alcuna configurazione di rete o apparato di rete per la protezione degli accessi (firewall). Sarà cura di Register.it installare sul server del cliente il sistema operativo scelto dal medesimo in fase di attivazione e lasciando la gestione di eventuali patch di sicurezza alla sola responsabilità del cliente.
La gestione del contenuto del server, la sua messa in sicurezza, la corretta applicazione del licensing del software installato sono sempre demandate al cliente finale. Register.it effettua un costante monitoraggio dell’utilizzo della rete dei server virtuali ospitati nel proprio data center per poter isolare eventuali anomalie che possano pregiudicare il corretto funzionamento del servizio in favore del cliente o di soggetti terzi.
Nel caso di server di tipo “Managed” sarà Register.it (o una società del gruppo) l’unico amministratore di sistema ad aver accesso al server e sarà sotto la propria responsabilità effettuare gli aggiornamenti di sistema sia in fase di installazione che successivamente. Eventuali configurazioni di rete o di firewall software saranno stabilite al momento dell’installazione fra il cliente ed i tecnici di Register.it. La gestione dei contenuti ed eventuali responsabilità connesse al contenuto stesso sono demandate sempre al cliente.
Misure di sicurezza del servizio
I server virtuali sono implementati su hardware con componenti di alta qualità dai principali produttori mondiali in una vasta gamme di configurazioni per andare incontro alle esigenze dei clienti e sono ospitati nel nostro datacenter situato nel Berkshire in UK.
Le piattaforme che ospitano i server virtuali sono fornite con una o più connessioni verso la rete Simply che comprende router e switch e che garantisce la connettività verso Internet dei server stessi. Sia in caso di server “Managed” che di server “Unamanged” viene fornito al cliente un SLA sull’erogazione del servizio stesso a sua tutela.
Misure di sicurezza aggiuntive
I client possono configurare un firewall software all’interno del loro server virtuale.
HOSTING CPANEL
Definizione architettura ad alto livello
Il servizio di hosting cPanel è un servizio di shared hosting, ovvero le risorse hardware utilizzate dal cliente non sono ad uso esclusivo del cliente stesso, ma condivise con altri utenti.
Tutto l’hardware utilizzato è di fascia enterprise con componenti di alta qualità dai principali produttori mondiali.
Il servizio è fornito su sistemi Cloudlinux con webserver Apache su piattaforma cPanel. Ogni utente è segregato attraverso l’utilizzo di cageFS e le risorse sono limitate su base individuale.
Misure di sicurezza del servizio
Tutti I software inclusi quelli menzionati sono aggiornati ogni volta che viene rilasciata una patch di sicurezza o, al massimo ogni 3 mesi. Su ogni server gira un software di individuazione di malware che blocca i file sospetti e impedisce che vengano richiesti. Tutti i siti (e la loro interfaccia di amministrazione di cPanel) possono essere acceduti via HTTPS e FTPS. IPSET blocca gli indirizzi IP malevoli.
E’ compito del cliente mantenere aggiornati i software che utilizza, e assicurarsi di aver implementato tutte le misure di sicurezza possibili nella loro configurazione e utilizzo.
Misure di sicurezza aggiuntive
I client possono acquistare software addizionale come ad esempio Sitelock, che può agire sia da Web Application Firewall che come analizzatore dei file presenti nello spazio disco assegnato al cliente.