POLITICA DI CRITTOGRAFIA

POLITICA DI CRITTOGRAFIA

1. Introduzione

La protezione delle informazioni elettroniche e l’accesso ai sistemi di memorizzazione sono di vitale importanza, soprattutto alla luce dell’utilizzo dei sistemi ICT da parte di Cubbit. Proteggere le informazioni aziendali critiche e identificabili da accesso, divulgazione o perdita non autorizzati in caso di furto o incidente è di fondamentale importanza. 

Un’infrastruttura ICT sicura e solida, unitamente a politiche e procedure adeguate, contribuirà a garantire che, ove possibile, siano state adottate tutte le misure necessarie per proteggere tali informazioni. 

Le tecnologie di cifratura offrono un livello di protezione per la memorizzazione, la trasmissione, il recupero e l’accesso a questi dati. La crittografia funziona convertendo i dati in modo da renderli inaccessibili e illeggibili a persone non autorizzate. L’unico modo per leggere i dati crittografati è utilizzare una chiave di decodifica.

Le best practice sulla protezione dei dati richiedono che Cubbit disponga di politiche e procedure adeguate per garantire la conservazione sicura, l’uso, il recupero e l’accesso ai dati. Cubbit ha la responsabilità di garantire l’integrità, la sicurezza e la protezione di tutti i dati personali in suo possesso.

2. Scopo

Lo scopo di questa politica è quello di:

  • Descrivere in dettaglio le specifiche e l’impiego del software di crittografia dei dati per la protezione delle informazioni elettroniche in possesso di Cubbit, sia per i dati dei clienti di Cubbit che per quelli in possesso del personale dipendente e collaboratori dell’azienda stessa.
  • Fornire indicazioni sulle responsabilità nell’uso e nella manipolazione dei supporti portatili.
  • Fare chiarezza sui tipi di dispositivi di memorizzazione portatili e di dispositivi mobili consentiti per l’uso.
  • Descrivere in che modo la crittografia verrà utilizzata e applicata ai dispositivi.
  • Fornire orientamenti sulle responsabilità dell’uso di dispositivi crittografati.
  • Dettagliare il metodo di segnalazione delle violazioni di questa politica, intenzionali o accidentali.

3. Campo di applicazione

Questa politica copre tutti i dati elettronici di Cubbit, e dettaglia i tipi di dispositivi che sono accettabili per la memorizzazione/trasmissione dei dati e come per questi dispositivi si possano utilizzare software di crittografia – indipendentemente dal fatto che i dati in essi contenuti siano considerati sensibili o riservati. Questa politica copre la crittografia per le seguenti periferiche e applicazioni:

  • Desktop, laptop, tablet;
  • Dispositivi portatili come telefoni cellulari/smartphone;
  • Dispositivi di memorizzazione portatili, ad es. memory stick USB, unità esterne;
  • E-mail, applicazioni di messaggistica istantanea.

La “Procedura di utilizzo email e internet” di Cubbit fornisce informazioni più generali sul servizio e sull’utilizzo della posta elettronica.

4. Dichiarazione politica

Gradualmente, tutti i computer in uso presso Cubbit, e tutti i supporti rimovibili utilizzati per scopi di lavoro dovranno essere completamente crittografati, o in alternativa, come nel caso di utilizzo promiscuo, privato e lavorativo, dovrà essere presente una partizione cifrata sufficientemente ampia per consentire la permanenza per il tempo necessario di dati utili allo svolgimento delle attività lavorative di ogni utente.

L’archiviazione in chiaro, ovvero non cifrata, di dati di Cubbit su computer o altri dispositivi informatici e supporti rimovibili non è consentita.

L’accesso alle risorse e servizi remoti dovrà necessariamente richiedere una nuova autenticazione in caso di inattività protrattasi oltre 30 minuti.

Il software di crittografia utilizzato da Cubbit, qualora non sia fornito come tool di base del sistema operativo,  è  VeraCrypt.

4.1    Applicazione

I dati di Cubbit vengono generati, gestiti, condivisi e conservati in forma prevalente “on cloud” e normalmente  non necessitano di  essere scaricati e memorizzati sul disco rigido di un computer o altri dispositivi multimediali portatili.  

La crittografia viene applicata a tutti i dispositivi di memorizzazione dei dati autorizzati collegati a computer desktop, portatili o tablet. I dispositivi informatici che non offrono la possibilità di procedere alla crittografia dei dati, rappresentano un’eccezione alla quale sarà data piena e attenta considerazione per quanto riguarda la possibilità di utilizzo e qualsiasi decisione presa al riguardo sarà basata sulle migliori pratiche e le esigenze di business. Per ciò che attiene gli smartphone aziendali gli stessi vengono crittografati ed in caso di utilizzo di smartphone personale per scopi lavorativi occorre attenersi alla Politica BYOD relativa.

Quando si utilizza un dispositivo di archiviazione dati portatile autorizzato da Cubbit, è necessario seguire le istruzioni per l’uso corretto per garantire che i dati siano crittografati.

I supporti e le apparecchiature di archiviazione personali non devono essere utilizzati quando si accede ai servizi aziendali di Cubbit. Nessun dispositivo esterno deve essere collegato, se non esplicitamente autorizzato ad un dispositivo portatile autorizzato ed assegnato ad un dipendente o collaboratore.

Qualora per l’interazione con terze parti fosse indispensabile l’utilizzo di dispositivi periferici esterni (come ad esempio hard disk o chiavi USB) questi ultimi dovranno essere autorizzati.

4.2    Metodo

Per la crittografia di un dispositivo di archiviazione portatile autorizzato (ad es. chiavetta USB), l’utente deve impostare una password per accedere al dispositivo. La password per i dispositivi portatili crittografati sarà in linea con la politica di password di Cubbit. L’utilizzo del dispositivo portatile su qualsiasi altro computer dopo la crittografia richiede una password per accedervi. È importante che in nessun caso il dato sia esclusivamente archiviato su un dispositivo esterno, questo  per garantire che, nel caso in cui una persona cessi la propria collaborazione con Cubbit, l’azienda non perda l’accesso a nessuna informazione.

5. Responsabilità

Cubbit ha la responsabilità di fornire ai propri dipendenti, collaboratori e consulenti i meccanismi, le procedure e i software adeguati per la gestione, la memorizzazione e il recupero sicuri di tutti i dati elettronici in suo possesso. L’uso di dispositivi portatili può essere soggetto a revisione periodica casuale da parte di Cubbit  per garantire la conformità con la politica di crittografia. 

Tutti i dipendenti di Cubbit, le agenzie partner, i contraenti e i fornitori hanno il dovere di rispettare tutte le politiche e le procedure di Cubbit per garantire la gestione sicura di tutti i dati elettronici.

5.1 Utilizzo di supporti e dispositivi di memorizzazione portatili  

Nei casi di interazioni con terzi che lo rendano indispensabile e solo quando esplicitamente autorizzati, i dipendenti di Cubbit, le agenzie partner, gli appaltatori e i fornitori che lavorano per Cubbit, ai quali vengono forniti dispositivi di archiviazione portatili, scrittura su supporti di archiviazione portatili, visualizzazione/trasmissione di dati crittografati o accesso, hanno la responsabilità di garantire che:

  • solo le persone autorizzate siano a conoscenza della crittografia e della password di decodifica per l’apparecchio, il supporto o il sistema;
  • i dispositivi o i supporti portatili non siano messi a disposizione di persone non autorizzate per la loro conservazione in condizioni di sicurezza;
  • i dispositivi o i supporti portatili non siano lasciati incustoditi in luoghi pubblici;
  • si adottino tutte le misure ragionevoli per garantire che durante il trasporto qualsiasi dispositivo/media portatile sia bloccato tramite una chiave o una serratura a combinazione e sia posizionato in modo sicuro. I dispositivi/media portatili non devono essere lasciati incustoditi in nessun veicolo in nessun momento a causa di requisiti assicurativi;
  • qualsiasi dispositivo o supporto portatile sia adeguatamente protetto da danni fisici;
  • nessun dispositivo o supporto portatile venga noleggiato, prestato o concesso senza autorizzazione da parte del Dipartimento IT;
  • qualsiasi dispositivo o supporto portatile che non sia più necessario o che abbia raggiunto la sua durata di vita sia consegnato al Servizio IT. Tutti i dati devono essere cancellati, distrutti e smaltiti secondo la procedura di smaltimento ICT di Cubbit;
  • Ogni device o supporto consegnato per uso personale sia restituito al Dipartimento IT al momento della cessazione del rapporto di lavoro con Cubbit, oppure quando cessino le condizioni per l’utilizzo;
  • La perdita di qualsiasi dispositivo portatile viene immediatamente notificata tramite la procedura di segnalazione e gestione degli incidenti di Cubbit.