Misure tecniche e organizzative di DigiCert per garantire la privacy e la sicurezza delle informazioni

Al fine di mantenere la sicurezza e la privacy dei dati in suo possesso, DigiCert (e le sue affiliate del gruppo, di seguito "DigiCert") ha implementato e mantiene una serie di controlli (ad es. policy, pratiche, procedure e meccanismi) che riducono al minimo le vulnerabilità contro minacce di osservazione, divulgazione, uso, modifica, messa in pericolo e distruzione non autorizzate e involontarie. L'adozione di queste misure di controllo e il loro rispetto ci consente di affrontare e contenere adeguatamente i rischi per la sicurezza e la privacy.

I controlli tecnici e organizzativi di DigiCert sono in linea con gli standard di settore e le esigenze operative al fine di raggiungere adeguati livelli di privacy e sicurezza. L'elenco di controlli qui di seguito delinea la linea di base minima di DigiCert per le pratiche standard di salvaguardia dei dati.

1. Gestione di policy e documenti – DigiCert redige, rivede almeno una volta all'anno e sottopone a test una Policy sulla sicurezza delle informazioni, un Piano di business continuity, un Piano di disaster recovery e una Procedura di incident response. DigiCert mantiene e aggiorna, ove necessario, un accordo di condivisione dei dati all'interno del gruppo e adeguati accordi di elaborazione dei dati dei fornitori. Oltre alle informative sulla privacy pubblicate e relative ai prodotti e servizi DigiCert, DigiCert mantiene, rivede e aggiorna su base annuale un'Informativa sulla privacy interna, che disciplina gli standard e le procedure sulla privacy applicabili a DigiCert.
2. Controlli di sicurezza della rete – Gli amministratori di sistema di DigiCert si assicurano che i componenti di sistema con informazioni pubblicamente accessibili (ad es. i web server pubblici) risiedano su reti secondarie separate con interfacce di rete fisiche separate. Gli amministratori di sistema di DigiCert si assicurano inoltre che le interfacce controllate che proteggono il perimetro di rete filtrino determinati tipi di pacchetti per proteggere i dispositivi sulla rete interna DigiCert. I firewall e i dispositivi di controllo boundary sono configurati per permettere l'accesso solo a ciò che è necessario per eseguire le operazioni di DigiCert.
3. Controlli di sicurezza del database – Tutti gli accessi (tramite sistema o direttamente da parte del personale) ai database DigiCert sono registrati e monitorati per impedire modifiche non autorizzate. I dati sensibili vengono crittografati nei database utilizzando una cifratura raccomandata dal settore, mentre l'accesso diretto è limitato ai ruoli specificati nella Policy sulla sicurezza delle informazioni e nella Dichiarazione sulle pratiche di certificazione di DigiCert.
4. Controlli di accesso e autenticazione – Tutte le interazioni tra gli utenti e i sistemi DigiCert sono tracciabili, per cui è sempre possibile risalire alla persona che ha eseguito tali azioni e tutti gli utenti devono essere identificati prima di poter interagire con i sistemi DigiCert. Il personale DigiCert deve autenticarsi nei sistemi DigiCert prima di poter accedere a qualunque componente del sistema necessario per svolgere il proprio ruolo e i ruoli sono definiti dalla Dichiarazione sulle pratiche di certificazione e dalla Policy sulla sicurezza delle informazioni di DigiCert. Gli account utente e altri tipi di accesso ai sistemi informatici DigiCert devono essere approvati in conformità alla Policy di accesso degli utenti. Sia i controlli fisici che logici, indicati nelle relative policy, sulle persone autorizzate vengono riesaminati periodicamente, almeno su base annuale.
5. Controlli del personale – Tutti i dipendenti DigiCert e gli altri lavoratori che hanno accesso ai dati e/o ai sistemi DigiCert sono soggetti ad accordi di riservatezza e sono tenuti a superare i controlli dei precedenti personali ("background check") e a seguire corsi di formazione specifici, dipendenti dai loro ruoli. DigiCert mantiene e applica policy e procedure per ruoli di fiducia, identificazione e autenticazione per ogni ruolo, sanzioni per azioni non autorizzate, separazione dei compiti, assegnazione di badge ai dipendenti e rimozione immediata dell'accesso al sistema per dipendenti/lavoratori licenziati.
6. Controlli per la sicurezza fisica – L'accesso a ogni ufficio, sala computer e area di lavoro contenente informazioni sensibili è soggetto a restrizioni fisiche. Tutte le porte degli uffici sono dotate di serrature, e tutte le porte di ingresso alle strutture DigiCert sono sempre chiuse a chiave. Tali porte sono accessibili tramite una card di accesso o altro dispositivo di controllo degli accessi, rilasciato solo dopo conferma del controllo dei precedenti. I data center, le cage e gli uffici DigiCert sono sorvegliati con telecamere a circuito chiuso. Per accedere alla cage protetta è richiesto il riconoscimento biometrico e la presenza di due custodi. Tutti gli accessi sono registrati.
7. Gestione delle vulnerabilità/Patch – Vengono eseguite scansioni mensili su tutte le risorse DigiCert utilizzando strumenti di rilevamento delle vulnerabilità. I sistemi che richiedono una riparazione devono essere sottoposti a patch entro le scadenze definite da Global Security Operations. I tempi si basano sul punteggio CVSS (Common Vulnerability Scoring System) assegnato. Le vulnerabilità critiche ed elevate vengono riparate entro 72 ore o viene creato un piano d'azione, le vulnerabilità medie vengono riparate o viene creato un piano d'azione entro 30 giorni e le vulnerabilità basse/informative vengono riparate a discrezione di DigiCert.
8. Valutazione interna completa – DigiCert esegue ogni anno una valutazione completa dei rischi che identifica tutte le minacce interne ed esterne ragionevolmente prevedibili alla sicurezza, alla privacy, alla riservatezza e all'integrità.
9. Valutazione della penetrazione/valutazione esterna – Ogni anno, viene condotta almeno una valutazione di terze parti delle penetrazioni. In genere, DigiCert esegue vari test di penetrazione all'anno su codici, infrastrutture e sistemi, oltre a completare valutazioni Red Team.
10. Formazione e consapevolezza – Tutti i dipendenti e gli altri lavoratori sono tenuti a seguire corsi di formazione annuali su privacy, sicurezza e conformità. I dipendenti o altre persone che gestiscono informazioni di identificazione personale e informazioni sensibili ricevono ulteriore formazione. Tutti i lavoratori che hanno accesso ai sistemi e/o ai dati DigiCert sono tenuti ad aderire alle policy e alle procedure per la corretta gestione dei dati, come la Policy sulla sicurezza delle informazioni, il Codice di condotta e la Policy sull'uso di DigiCert.
11. Controlli dell'accesso di terze parti – I contratti di DigiCert con terze parti che possono accedere ai suoi sistemi o dati rispondono adeguatamente ai requisiti di sicurezza e privacy. Queste terze parti sono inoltre soggette a una valutazione dell'impatto su privacy e sicurezza e all'attenuazione dei rischi prima che effettuino l'accesso.
12. Protezione dei dati per archiviazione e trasmissione – Tutti i dati archiviati nei sistemi DigiCert vengono crittografati con una cifratura raccomandata dal settore. Allo stesso modo, tutti i dati trasmessi all'interno dei sistemi DigiCert in tutto il mondo vengono crittografati in transito utilizzando una cifratura raccomandata dal settore.
13. Archiviazione, conservazione ed eliminazione – Le informazioni archiviate fisicamente o elettronicamente sono sottoposte ai controlli tecnici appropriati in base al livello di classificazione dei dati. Le informazioni vengono cancellate in conformità al nostro CP/CPS e alle informative sulla privacy applicabili.