policy di sicurezza hosting.polimihosting.polimi.it/.../hostingasict_policysicurezza_v1.1.pdf ·...
TRANSCRIPT
Servizi di hosting offerti dall'Area Servizi ICT
Policy di sicurezza hosting.polimi.it
AREA SERVIZI ICT
2
Indice
1. Finalità del documento ............................................................................................................ 5
1.1. Premessa ................................................................................................................................. 5
1.2. Obiettivo ................................................................................................................................. 5
1.3. Contenuto del documento........................................................................................................ 5
1.4. Ambito di applicazione ............................................................................................................. 6
1.5. Definizioni ............................................................................................................................... 7
2. Statement ................................................................................................................................ 8
2.1. Sicurezza delle risorse informative ........................................................................................... 8
2.1.1. Tipologia delle risorse disponibili e/o ammesse ............................................................................... 8
2.1.2. Proprietà delle risorse ....................................................................................................................... 8
2.1.3. Destinazione d’utilizzo delle risorse .................................................................................................. 8
2.1.4. Modalità d’utilizzo delle risorse ........................................................................................................ 8
2.1.5. Vincoli nell’utilizzo delle risorse ........................................................................................................ 9
2.2. Sicurezza fisica del datacenter .................................................................................................. 9
2.2.1. Sicurezza degli edifici ......................................................................................................................... 9
2.2.2. Monitoraggio delle sale ..................................................................................................................... 9
2.3. Sicurezza di rete ..................................................................................................................... 10
2.3.1. Descrizione architettura e segmentazione degli ambienti .............................................................. 10
2.3.2. Comunicazione con servizi di rete generali ..................................................................................... 10
2.3.2.1. Specificità per l’ambito IaaS ............................................................................................................ 10
2.3.3. Connessioni sicure ........................................................................................................................... 10
2.3.4. Monitoraggio della rete ................................................................................................................... 11
2.4. Sicurezza del software ............................................................................................................ 11
2.4.1. Progettazione del sistema ............................................................................................................... 11
2.4.2. Software supportato ....................................................................................................................... 11
2.4.2.1. Moduli e software installato ........................................................................................................... 12
2.4.3. Hardening dei sistemi ...................................................................................................................... 12
2.4.3.1. Specificità per l’ambito IaaS ............................................................................................................ 12
2.4.4. Aggiornamento e manutenzione dei sistemi................................................................................... 13
2.4.5. Software di sicurezza ....................................................................................................................... 13
2.4.6. Monitoraggio dei sistemi e delle applicazioni ................................................................................. 14
2.4.7. Sicurezza nei processi di configurazione e sviluppo ........................................................................ 14
2.5. Controllo degli accessi ............................................................................................................ 14
2.5.1. Controllo accessi fisici al datacenter ............................................................................................... 15
2.5.2. Controllo accessi alla rete................................................................................................................ 15
2.5.3. Controllo accessi al sistema operativo ............................................................................................ 15
3
2.5.3.1. Specificità per ambito IaaS .............................................................................................................. 15
2.5.4. Controllo accessi agli applicativi ...................................................................................................... 15
2.5.5. Controllo accessi esterni/VPN ......................................................................................................... 16
2.6. Gestione vulnerabilità ............................................................................................................ 16
2.6.1. Vulnerability tracking management ................................................................................................ 16
2.6.2. Patching di sicurezza dei sistemi ..................................................................................................... 17
2.6.3. Gestione continuità operativa e incidenti ....................................................................................... 17
2.6.4. Attuazione dei backup ..................................................................................................................... 17
2.6.5. Modalità di gestione degli incidenti ................................................................................................ 18
2.7. Organizzazione e governance della sicurezza .......................................................................... 18
2.7.1. Indicazioni per la gestione degli accordi con personale esterno ..................................................... 18
2.7.2. Audit di sicurezza ............................................................................................................................. 19
2.7.3. Compliance normativa .................................................................................................................... 21
4
Versioni
Data Titolo Versione Autore Stato doc
22/05/2013 Servizi di hosting offerti dall'Area Servizi ICT: policy di sicurezza
1.1 ASICT - Servizio infrastrutture software e identità digitale
Approvato ASICT
5
1. Finalità del documento
1.1. Premessa
Data l’impossibilità di garantire la totale salvaguardia dell’infrastruttura e dei servizi da minacce inerenti la sicurezza informatica, l’Area Servizi ICT del Politecnico di Milano si dota di un sistema di contromisure atto a contrastare tale rischio, che affronta i seguenti ambiti:
• prevenzione delle minacce e degli attacchi, per minimizzare le vulnerabilità e gli eventuali rischi annessi;
• registrazione e conservazione degli eventi utili per una loro eventuale analisi, atta a prevenire e contrastare i rischi di sicurezza informatica;
• reazione ad eventuali attacchi, onde evitare o limitare le eventuali conseguenze negative; • ripristino della situazione antecedente al verificarsi di un evento malevolo; • investigazione dell’attacco attraverso l’analisi degli eventi registrati per l’identificazione
le responsabilità e per la valutazione dei danni subiti. La realizzazione e la conseguente gestione di tale sistema di contromisure richiede l’indirizzamento di un insieme eterogeneo di interventi, di natura sia tecnologica che organizzativa, atti a garantire il raggiungimento e il mantenimento nel tempo dei livelli di sicurezza ritenuti adeguati.
1.2. Obiettivo
Uno degli obiettivi delle attività di sicurezza svolte da Area Servizi ICT è di contribuire a contenere, entro limiti accettabili, il rischio di compromissioni dell’infrastruttura di hosting che minaccino la sicurezza, intesa come riservatezza, integrità e disponibilità dei servizi applicativi erogati da tale infrastruttura e delle informazioni in essi contenute. Un fondamentale contributo in tal senso, data la natura dei servizi erogati attraverso tale infrastruttura, deve provenire anche dal fruitore del servizio stesso, al quale viene richiesta una collaborazione proattiva allo scopo di garantire e mantenere un adeguato livello di sicurezza. A taI fine, il presente documento ha come obiettivo la definizione della policy di sicurezza informatica alla quale i fruitori dei servizi di hosting offerti dall’Area Servizi ICT del Politecnico di Milano devono conformarsi, in modo da contribuire al raggiungimento dell’obiettivo delle attività già descritte in precedenza. Inoltre, il presente documento ha l’obiettivo di definire le modalità di interfacciamento e di utilizzo da parte di servizi all’anagrafica unica di Ateneo, lo strumento utilizzato per la gestione centralizzate delle informazioni degli utenti del Politecnico di Milano. Tali indicazioni sono discusse in dettaglio in [Servizi di hosting offerti dall'Area Servizi ICT: integrazione con l'Anagrafica Unica di Ateneo] e sono finalizzate a garantire un adeguato livello di sicurezza, sia nell’interconnessione dei sistemi, sia per la protezione di tali informazioni.
1.3. Contenuto del documento
La policy contiene indicazioni di alto livello sulle modalità con cui l’Area Servizi ICT si relaziona con i fruitori dei servizi di hosting per il mantenimento di un accettabile livello di sicurezza informatica
6
nell’erogazione dei servizi stessi, indipendentemente dalle specifiche tecnologie utilizzate. La policy è strutturata traendo ispirazione dai macro-ambiti identificati all’interno dello standard ISO/IEC 27001, il quale fornisce i requisiti di un sistema di gestione della sicurezza delle informazioni. Tali macro-ambiti sono stati riorganizzati e aggregati secondo le specifiche esigenze nell’ambito dei servizi offerti, escludendo alcuni aspetti non attinenti. Inoltre, gli ambiti proposti sono riportati secondo un livello di astrazione crescente, dalla sicurezza fisica ad aspetti maggiormente organizzativi e di governance. Per alcuni degli ambiti inclusi nella policy, il documento offre una contestualizzazione delle indicazioni di alto livello, declinandole su alcune tecnologie in uso nell’infrastruttura gestita dall’Area Servizi ICT, anche attraverso la rielaborazione delle più recenti best practice del settore. In particolare, sono fornite alcune linee guida per la configurazione degli aspetti di sicurezza di alcuni dei blocchi tecnologici che costituiscono l’infrastruttura stessa. Le modalità realizzative adottate per la contestualizzazione tecnologica (tecnologie selezionate sufficientemente diffuse, indicazioni generalizzabili) fanno sì che essa possa rappresentare un possibile riferimento per la configurazione sicura di tecnologie analoghe, o comunque ricadenti nei blocchi tecnologici trattati. La contestualizzazione tecnologica potrà quindi essere utile come riferimento per la configurazione sicura di altri sistemi, anche al di fuori del contesto di applicabilità del presente documento, indipendenti quindi rispetto all’ambito operativo dell’Area Servizi ICT. Tale contestualizzazione è trattata in dettaglio in [Servizi di hosting offerti dall'Area Servizi ICT: contestualizzazione tecnologica] Infine, il documento sviluppa un approfondimento sulle problematiche e le opportunità collegate ai servizi legati all’anagrafica unica di ateneo, definendo da un lato i requisiti e le limitazioni d’utilizzo, dall’altro alcuni elementi tecnologici a tutela della sicurezza di questa componente infrastrutturale critica per il Politecnico di Milano. Tali indicazioni sono discusse in dettaglio in [Servizi di hosting offerti dall'Area Servizi ICT: integrazione con l'Anagrafica Unica di Ateneo]
1.4. Ambito di applicazione
I servizi offerti da Area sistemi ICT, la cui modalità di fruizione è oggetto della presente policy, riguardano principalmente l’hosting applicativo, ossia servizi legati alla gestione dell’infrastruttura utilizzata per ospitare contenuti e applicazioni fruibili tramite web, ma anche a servizi quali lo storage (inteso ad esempio come fornitura di spazio disco, oppure database), oppure la fornitura di macchine virtuali in modalità Infrastructure as a Service (IaaS). I servizi appena descritti sono da considerarsi puramente esemplificativi e per un loro elenco esaustivo, si rimanda al più recente documento disponibile contenente l’offerta di servizi aggiornata [Polimi - Offerta_hosting_ASICT]. Le indicazioni riportate nel presente documento sono da intendersi come prescrittive solo relativamente alle modalità di fruizione e a ruoli/responsabilità del fruitore. Gli aspetti introdotti nella contestualizzazione tecnologica non sono da ritenersi prescrittivi nello specifico, ma si applicano secondo l’accezione di “linea guida” per i blocchi tecnologici a cui si riferiscono. Tali aspetti possono, infatti, costituire una traccia utile per comprendere le problematiche legate alla sicurezza informatica, guidando un attore che desideri provvedere in autonomia alla realizzazione ed erogazione di un servizio web nell’implementazione di soluzioni idonee a garantire un livello di sicurezza in linea con quello fornito dall’Area sistemi ICT. Questo anche qualora un attore desideri procedere alla realizzazione del servizio sviluppando soluzioni
7
proprietarie gestite autonomamente, differenti da quelle effettivamente supportate da Area Servizi ICT. Infine, in funzione della specifica tipologia di servizio e del soggetto che la eroga, la policy stabilisce le tipologie attività di audit applicabili. In particolare, tali attività sono indirizzate ai servizi ospitati all’interno del datacenter gestito da Area Servizi ICT e all’interno della rete del Politecnico di Milano (connessa alla rete GARR), ma sono estese anche a qualunque soggetto realizzi e gestisca autonomamente un servizio che faccia uso in qualsivoglia forma (loghi, nomi, ecc.) del brand “Politecnico di Milano”, oppure utilizzi dati di proprietà o condivisi con strutture del Politecnico di Milano.
1.5. Definizioni
• Area Servizi ICT: la struttura del Politecnico di Milano che gestisce i servizi ICT ed è fornitore dei servizi di hosting oggetto della presente policy.
• Fruitore: il soggetto che utilizza i servizi di hosting erogati dall’Area Servizi ICT per lo sviluppo di applicazioni e servizi.
• Fornitore: il soggetto che fornisce ad Area Servizi ICT gli apparati e le tecnologie necessarie alla realizzazione dell’infrastruttura di hosting.
• Utente: l’utilizzatore finale dell’applicazione/servizio ospitato presso l’infrastruttura di hosting erogata dall’Area Servizi ICT.
• Hosting: l’insieme di tutti i servizi offerti dall’Area servizi ICT, volti a ospitare applicazioni informatiche su tecnologia web.
• IaaS (Infrastructure as a Service): tipologia di servizio di hosting, tipico del paradigma del cloud computing, che consiste sostanzialmente nella fornitura di una macchina virtuale accessibile da remoto da parte del cliente. Nella presente policy ci si riferirà al termine “ambito IaaS” per intendere tali servizi in cui al fruitore viene concesso privilegio di accesso a una macchina virtuale anche a livello di sistema operativo mediante specifiche interfacce di amministrazione, secondo le modalità previste dall’offerta di hosting.
8
2. Statement
2.1. Sicurezza delle risorse informative
In questa sezione introduttiva sono descritte le tipologie di risorse (sia fisiche che virtuali) disponibili e/o ammesse all’interno dei datacenter gestiti dall’Area servizi ICT del Politecnico di Milano. Inoltre, sono introdotte alcune prescrizioni a carattere generale sulla proprietà e l’utilizzo delle stesse.
2.1.1. Tipologia delle risorse disponibili e/o ammesse
Le risorse disponibili all’interno del datacenter sono principalmente composte da server virtuali. In via eccezionale è consentita l’ammissione di apparecchiature fisiche appartenenti al fruitore, previa autorizzazione da parte dell’Area Servizi ICT e conformità nei confronti dei vincoli tecnologici. In generale, lo spazio di storage offerto (database, file system, ecc.) è da ritenersi strettamente funzionale all’utilizzo effettuato dagli applicativi utilizzati all’interno dei servizi di hosting.
2.1.2. Proprietà delle risorse
In generale, salvo eccezioni autorizzate dal responsabile di Area Servizi ASICT, il datacenter di Area Servizi ICT ospita risorse di proprietà dell’amministrazione centrale del Politecnico di Milano. L’accesso diretto a tutte le risorse fisiche, incluse quelle non direttamente di proprietà dell’amministrazione centrale del Politecnico di Milano, è comunque ristretto al solo personale di competenza appartenente ad Area Servizi ICT ed eventualmente ai fornitori, in linea con quanto descritto nella sezione 2.5.1 (Controllo accessi fisici al datacenter).
2.1.3. Destinazione d’utilizzo delle risorse
L’utilizzo delle risorse facenti parte del datacenter di Area Servizi ICT è consentito soltanto per l’erogazione di servizi o applicativi le cui finalità sono coerenti con i principi e le attività promossi dal Politecnico di Milano, rispettando le clausole contrattuali incluse nell’offerta di servizio.
2.1.4. Modalità d’utilizzo delle risorse
L’utilizzo delle risorse messe a disposizione dall’Area Servizi ICT da parte del fruitore deve ispirarsi ai principi di correttezza e diligenza alla base di ogni comportamento nell’ambito professionale e comunque sempre rispettando le norme vigenti. L’aggiunta di componenti applicativi o la modifica di configurazione di alcuni sistemi, ove applicabile in funzione della tipologia di servizio fruito, deve essere a priori concordata con l’Area Servizi ICT durante le fasi di progettazione e deve rispettare le normative vigenti in tale materia (es. norma sul diritto di autore, ecc.).
9
L’utilizzo intensivo di risorse condivise, quali la banda o lo storage, o, nel caso di risorse virtuali, il potere computazionale e la quantità di memoria, deve essere evitato o opportunamente pianificato e concordato con i responsabili di Area Servizi ICT, in caso di particolari necessità.
2.1.5. Vincoli nell’utilizzo delle risorse
Ulteriori vincoli potranno essere applicati all’utilizzo delle risorse che per loro natura sono condivise tra differenti fruitori (ad esempio banda, memoria, CPU, storage, ecc.), al fine di garantire un equo e adeguato livello di servizio. Tali vincoli potranno essere imposti anche dinamicamente e, a tal fine, Area Servizi ICT si riserva il diritto di attuare monitoraggio sui sistemi. Area Servizi ICT si riserva inoltre la facoltà di sospendere l’erogazione del servizio, o di modificare le configurazioni del sistema, qualora l’uso intensivo delle risorse pregiudichi o rischi di pregiudicare il funzionamento di altri servizi o quando a seguito di ripetute violazioni dei vincoli di utilizzo intensivo non siano state prese adeguate contromisure da parte del fruitore.
2.2. Sicurezza fisica del datacenter
La sicurezza fisica include gli aspetti legati all’accesso e al monitoraggio dei locali nei quali sono collocate le macchine che realizzano l’infrastruttura del datacenter. Tali aspetti sono di competenza esclusiva del personale predisposto di Area Servizi ICT e introducono alcune limitazioni per i fruitori, in particolare per quanto riguarda l’accesso agli edifici che ospitano il datacenter.
2.2.1. Sicurezza degli edifici
Il perimetro degli edifici che ospitano il datacenter è opportunamente protetto in modo da limitare gli accessi al solo personale autorizzato. In particolare, l’accesso alla sala macchine, nella quale sono ospitati gli apparati che realizzano il datacenter, è ristretto al solo personale di Area Servizi ICT e ai fornitori di tecnologie durante le fasi di installazione o manutenzione degli apparati, previo accompagnamento di un responsabile appartenente ad Area Servizi ICT. In nessun caso ai fruitori dei servizi di hosting è consentito l’accesso alla sala macchine, mentre potrà essere concesso l’accesso all’edificio in funzione delle specifiche esigenze, limitatamente all’area adiacente la sala macchine, in linea con quanto descritto nella sezione 2.5.1 (Controllo accessi fisici al datacenter).
2.2.2. Monitoraggio delle sale
Al fine di tutelare eventuali accessi non autorizzati alle sale nelle quali sono ospitate le macchine fisiche che realizzano l’infrastruttura di erogazione dei servizi di hosting, ogni accesso sarà registrato e conservato per un periodo temporale adeguato, e comunque conforme alla vigente normativa, attraverso un sistema di videosorveglianza . Date le prerogative di accesso concesse solo al personale di Area Servizi ICT e ai fornitori di tecnologie, le registrazioni di tali sale non potranno essere consultate dal fruitore.
10
2.3. Sicurezza di rete
La sicurezza di rete concerne aspetti legati alla comunicazione interna tra le risorse e i servizi attivi all’interno dell’infrastruttura di erogazione dei servizi, oltre che alla comunicazione dei servizi interfacciati con l’esterno. Tipicamente la progettazione degli aspetti di sicurezza in tale ambito è a carico dell’area servizi ICT. La relazione tra fruitore e Area Servizi ICT sarà incentrata sulla definizione delle esigenze applicative dello specifico progetto di hosting.
2.3.1. Descrizione architettura e segmentazione degli ambienti
L’architettura di rete realizzata all’interno del datacenter di Area Servizi ICT è segmentata in zone omogenee, suddivise tra loro da opportuni livelli di firewall. Tale architettura è realizzata anche allo scopo di consentire l’implementazione di applicativi mediante il paradigma 3-tier, il quale è consigliato nel caso di sviluppo di applicazioni dedicate da parte del fruitore. Inoltre, l’architettura di rete è opportunamente configurata in modo da offrire una visibilità ristretta. In ogni caso, al fruitore è proibito tentare di esplorare la topologia della rete, ad esempio attraverso scansioni automatiche. Il fruitore deve collaborare con l’Area Servizi ICT al fine di garantire che le configurazioni impostate su tutte le componente dei server gestiti (per quanto di competenza secondo le modalità di fruizione) evitino la proliferazione di comunicazioni e servizi di rete non necessari, anche in linea con quanto prescritto in sezione 2.4.3 (Hardening dei sistemi).
2.3.2. Comunicazione con servizi di rete generali
Di norma le comunicazioni a livello di rete all’interno dell’infrastruttura gestita da Area Servizi ICT sono abilitabili soltanto verso specifici servizi di rete generali, quali ad esempio mail server, dns, ecc. Per un elenco completo dei servizi di rete generali, si rimanda al relativo catalogo aggiornato. Tali comunicazioni sono configurate in maniera puntuale per i soli servizi richiesti e approvati in fase di progettazione. Area Servizi ICT si riserva il diritto di autorizzare e di disporre le modalità con le quali tali canali possono essere abilitati.
2.3.2.1. Specificità per l’ambito IaaS
In casi specifici, sempre in funzione dell’autorizzazione espressa da parte di Area Servizi ICT e comunque limitatamente per i servizi fruiti in modalità IaaS, sarà possibile concordare un’architettura di rete virtuale che abiliti le specifiche connessioni richieste tra le sole macchine virtuali in oggetto.
2.3.3. Connessioni sicure
Le connessioni sicure con l’esterno dei servizi in hosting, effettuate attraverso l’utilizzo di protocolli cifrati quali ad esempio https, ftps, ssh, sono consentite previa autorizzazione in relazione alle specifiche esigenze emerse in fase di progettazione del servizio.
11
La richiesta di eventuali certificati digitali necessari all’erogazione sicura dei servizi deve essere inoltrata dal fruitore ad Area Servizi ICT che provvederà alla fornitura di un certificato.
2.3.4. Monitoraggio della rete
Area Servizi ICT si riserva di adottare meccanismi per il monitoraggio specifico delle configurazioni e del traffico della rete all’interno della propria infrastruttura, al fine di garantirne la sicurezza e verificarne il corretto utilizzo da parte dei fruitori del servizio. Inoltre, si riserva di introdurre meccanismi di prevenzione e controllo della diffusione di software malevolo, quali ad esempio dispositivi come Intrusion Detection System (IDS), o Unified Threat Managment (UTM), ecc. In conseguenza di ciò alcune tipologie di connessione/servizio potrebbero essere inaspettatamente inibite, qualora ritenute malevole o potenzialmente rischiose. Violazioni o anomalie eventualmente riscontrate saranno gestite secondo le linee generali descritte nella sezione 2.6.3 (Gestione continuità operativa e incidenti).
2.4. Sicurezza del software
Area servizi ICT, secondo la tipologia di offerta, propone alcune categorie di software (di base e applicativo) e framework applicativi supportati, ammettendo eventualmente anche l’installazione di soluzioni alternative, previa condivisione e autorizzazione. Durante la definizione del progetto di hosting, in base alle specifiche esigenze, l’Area servizi ICT guida il fruitore nella scelta della tipologia di servizio e del software necessario. Secondo quanto definito in fase di progettazione, i due attori cooperano nella definizione e nel mantenimento del corretto livello di sicurezza per quanto riguarda le diverse categorie di software.
2.4.1. Progettazione del sistema
Il fruitore, all’atto di richiesta di un servizio di hosting, dovrà fornire le esigenze necessarie alla realizzazione del progetto associato in termini di servizi di rete necessari, software da utilizzare, requisiti tecnici, ecc. Area Servizi ICT si riserva il diritto di valutare la fattibilità del progetto, e comunque partecipa alla progettazione architetturale dei servizi e delle applicazioni e alle loro successive evoluzioni, fornendo supporto per la corretta scelta del modello di hosting maggiormente idoneo, del corretto framework applicativo, ecc. Inoltre, sulla base dei requisiti potrà definire vincoli sull’utilizzo delle risorse (ad esempio rete, banda, hardware, ecc.), secondo quanto definito in 2.1.5 (Vincoli nell’utilizzo delle risorse).
2.4.2. Software supportato
Area Servizi ICT è in grado di fornire supporto alla realizzazione di soluzioni tramite alcune tecnologie specifiche che includono sistemi operativi, software e framework applicativi di diversa
12
natura. Per un catalogo degli ultimi elementi si rimanda all’ultima versione dell’offerta disponibile [Polimi - Offerta_hosting_ASICT] Area Servizi ICT consiglia l’adozione di software direttamente supportato, ma non esclude la possibilità di concedere l’autorizzazione all’utilizzo di software alternativo (che comunque dovrà essere in linea con i prodotti supportati) in funzione di specifiche esigenze di progetto da parte del fruitore. In tal caso saranno concordate anche le modalità di gestione del software. In ogni caso il software utilizzato su tutti i sistemi appartenenti all’infrastruttura gestita da Area Servizi ICT deve essere conforme a eventuali brevetti applicabili e/o ai termini delle licenze specifici.
2.4.2.1. Moduli e software installato
Per quanto riguarda il software supportato, tutti gli applicativi sono forniti secondo configurazioni e a un livello di aggiornamento adeguato per garantire la sicurezza dell’intera infrastruttura. I framework applicativi, inoltre, possono essere forniti con un insieme di moduli aggiuntivi utilizzati per estenderne le funzionalità. Tali moduli sono opportunamente testati e valutati da Area Servizi ICT. In generale, non sono previste e consentite personalizzazioni rispetto alle funzionalità di base offerte per i prodotti supportati. Eventuali richieste in tal senso, saranno valutate singolarmente. In ogni caso, anche dopo la fase di progettazione del sistema, il fruitore è tenuto a richiedere l’autorizzazione per l’installazione di ulteriore software, o moduli aggiuntivi su sistemi da lui direttamente gestiti.
2.4.3. Hardening dei sistemi
Il software installato sui sistemi al momento della definizione di un servizio di hosting è di norma aggiornato all’ultima versione disponibile, salvo particolari esigenze da concordare in fase di progettazione. Le istanze dei sistemi sono soggette ad hardening in modo da garantire l’esposizione dei soli servizi strettamente necessari alla realizzazione del progetto e approvati da Area Servizi ICT, secondo quanto definito nella sezione 2.3 (Sicurezza di rete). Per i sistemi direttamente gestiti, il fruitore è tenuto a adottare le medesime accortezze, installando le ultime versioni disponibili dei software e verificando la corretta configurazione dei servizi, in modo da esporre soltanto quelli effettivamente necessari agli scopi del progetto.
2.4.3.1. Specificità per l’ambito IaaS
L’hardening delle macchine virtuali fruite secondo il paradigma IaaS dovrà essere eseguito allo stesso modo, garantendo l’esposizione dei soli servizi approvati da Area Servizi ICT durante la fase di progettazione. Inoltre, nel caso di utilizzo di servizi specifici, la raggiungibilità sarà limitata all’interno di un layout di rete virtuale, in linea con quanto riportato in sezione 2.3.2.1 (Comunicazione con servizi di rete generali). Il fruitore, per i sistemi nei quali detiene privilegi di accesso a livello di sistema operativo, ha il compito di mantenere la configurazione conforme a quanto stabilito dalla presente policy.
13
2.4.4. Aggiornamento e manutenzione dei sistemi
Area Servizi ICT ha in carico l’aggiornamento di tutto il software supportato, inclusi i sistemi operativi, i framework applicativi e i relativi moduli aggiuntivi. Gli aggiornamenti sono classificati in due differenti categorie, secondo il possibile impatto che può avere sull’ambiente in produzione:
• gli aggiornamenti major sono quelli che una volta eseguiti possono influire sul funzionamento del sistema a cui sono applicati, ad esempio modificandone le API o rendendo incompatibili alcuni moduli software aggiuntivi;
• gli aggiornamenti minor, invece, sono quelli che non comportano modifiche significative funzionali importanti, ma consentono ad esempio la correzione di bug o l’applicazione di patch di sicurezza.
Gli aggiornamenti major sono soggetti a una fase di pre-analisi da parte di Area Servizi ICT, atta a valutare il potenziale impatto al sistema in essere. Area Servizi ICT si riserva il diritto di decidere qualora sia necessario o meno procedere con un aggiornamento di tale categoria. In ogni caso, tali aggiornamenti verranno sempre eseguiti entro un tempo congruo rispetto alla data di scadenza del supporto professionale associato allo specifico software. Una volta valutata positivamente l’applicazione di un aggiornamento, Area Servizi ICT notificherà il fruitore dell’imminente aggiornamento dei sistemi e provvederà alla verifica della compatibilità in ambiente di test, applicando in seguito gli aggiornamenti all’ambiente in produzione. Nel caso in cui tale installazione dovesse richiedere modifiche applicative, il fruitore si impegna ad assumersene l’onere, concordando le modalità con Area Servizi ICT. Al fine di facilitare eventuali modiche, Area Servizi ICT fornirà il supporto sistemistico necessario. Gli aggiornamenti minor sono invece sempre applicati il più presto possibile dal momento del rilascio da parte del produttore. Anche in questo caso Area Servizi ICT provvederà alla notifica verso il fruitore dell’aggiornamento, e alla verifica della compatibilità con i propri sistemi nell’ambiente di test, prima di applicare gli aggiornamenti anche all’ambiente in produzione. In ogni caso, il fruitore è tenuto alla verifica di compatibilità di eventuali software o moduli aggiuntivi da lui gestito. Inoltre, qualora utilizzi software non direttamente supportati da Area Servizi ICT, ma comunque autorizzato secondo le modalità descritte in 2.4.2 (Software supportato), il fruitore è responsabile del mantenimento dei sistemi aggiornati, in maniera analoga a quanto descritto in precedenza.
2.4.5. Software di sicurezza
In funzione della tipologia di servizio erogato, dei sistemi, o degli applicativi utilizzati, Area Servizi ICT potrà installare o richiedere l’installazione di uno specifico software di sicurezza quale, ad esempio, antivirus, anti-malware, personal firewall, ecc. Nel caso in cui vengano giudicati potenzialmente pericolosi da tali software, alcuni contenuti potrebbero risultare non disponibili al fruitore. In tal caso Area Servizi ICT provvederà comunque a notificare tale condizione al fruitore e, qualora fosse necessario, verificherà l’effettivo rischio legato a tali contenuti.
14
2.4.6. Monitoraggio dei sistemi e delle applicazioni
Al fine di consentire la protezione da eventi malevoli, quali abusi sul sistema o diffusione di contenuti malevoli, Area Servizi ICT si riserva il diritto introdurre processi di monitoraggio anche attraverso la collezione e l’analisi di registrazioni delle operazioni effettuate, quali log di sicurezza, statistiche e performance dei sistemi. Tali memorizzazioni saranno conservate per un periodo di tempo conforme alle normative vigenti in materia. In ogni caso tali registrazioni saranno utilizzate soltanto ai fini di monitoraggio e non saranno resi disponibili per alcun motivo al fruitore o a terzi. In particolare, per i sistemi gestiti direttamente dal fruitore, Area Servizi ICT si riserva il diritto di richiedere l’attivazione di software o funzionalità specifici al fine di garantire un adeguato livello di monitoraggio. Violazioni o anomalie eventualmente riscontrate saranno gestite secondo le linee generali descritte nella sezione 2.6.3 (Gestione continuità operativa e incidenti).
2.4.7. Sicurezza nei processi di configurazione e sviluppo
Area Servizi ICT segue le più recenti best practice e linee guida per la configurazione dei sistemi e lo sviluppo sicuro delle applicazioni. Il fruitore è tenuto ad allinearsi a tali pratiche in modo che i sistemi gestiti e il software sviluppato siano adeguatamente protetti, così da limitare errori, perdite, modifiche non autorizzate delle informazioni o costituire potenziali vulnerabilità del sistema, per quanto applicabile alle tecnologie di riferimento supportate. Area Servizi ICT si riserva di introdurre procedure formali atte a controllare le modifiche applicative al fine di verificarne la sicurezza. Pertanto il fruitore è tenuto a comunicare qualsiasi modifica alle configurazioni di sistemi già in essere, o pianificazione di sviluppi applicativi, in modo da supportare tale processo di controllo. Nel capitolo che riporta la contestualizzazione delle indicazioni incluse nella presente policy [Servizi di hosting offerti dall'Area Servizi ICT: contestualizzazione tecnologica] sono riportati esempi di configurazioni e di best practice di riferimento, i quali possono essere utilizzati come riferimento in tal senso.
2.5. Controllo degli accessi
L’accesso alle risorse deve essere opportunamente controllato a tutti i livelli, partendo dagli accessi fisici al datacenter, fino ad arrivare agli accessi logici agli applicativi erogati tramite i servizi offerti da Area Servizi ICT. Gli aspetti di sicurezza in tale ambito sono a carico dell’attore che effettivamente gestisce lo specifico sottosistema (ad esempio sistema operativo, storage, framework applicativo, modulo, ecc.). La suddivisione delle competenze tra il fruitore e l’Area Servizi ICT varia a seconda del livello e della tipologia di implementazione prevista dal modello di servizio fruito. Gli accessi logici saranno, quando possibile, con credenziali personali.
15
2.5.1. Controllo accessi fisici al datacenter
Gli accessi fisici al datacenter di norma sono consentiti al solo personale addetto di Area Servizi ICT e, in particolare per quanto riguarda la sala macchine, sono limitati al solo personale precedentemente identificato e selezionato. I fornitori di tecnologie potranno accedere al datacenter e alla sala macchine durante le fasi di installazione, configurazione e manutenzione degli apparati accompagnato dal personale addetto di Area Servizi ICT. L’accesso in particolare alla sala macchine è proibito ai fruitori del servizio, per i quali è consentito soltanto l’accesso alle sale adiacenti, in seguito a richieste motivate e comunque previa presenza di personale addetto di Area Servizi ICT.
2.5.2. Controllo accessi alla rete
L’accesso alla rete interna mediante connessione diretta agli apparati è di norma prerogativa soltanto del personale di Area Servizi ICT. Tale accesso può essere consentito anche al fruitore, in seguito a richieste motivate, durante le fasi di installazione e configurazione dei servizi richiesti, soltanto dalle sale adiacenti alla sala macchine, e comunque sempre in presenza di personale di Area Servizi ICT.
2.5.3. Controllo accessi al sistema operativo
Area Servizi ICT dispone di utenze di tipo amministrativo per ogni sistema operativo direttamente gestito. Di norma le utenze di accesso al sistema operativo concesse al fruitore non hanno privilegi amministrativi. Tuttavia, nell’eventualità in cui alcune applicazioni specifiche lo richiedano, l’assegnazione di utenze di tal tipo al fruitore del servizio sarà valutata da Area Servizi ICT. In tal caso, l’esatto livello di privilegio delle utenze sarà definito da Area Servizi ICT sulla base delle effettive esigenze specifiche. A seconda di tale livello di privilegio, potranno essere richiesti al fruitore gli estremi di persone fisiche alle quali associare la responsabilità di tali utenze.
2.5.3.1. Specificità per ambito IaaS
Al fruitore, nel caso utilizzi direttamente una macchina virtuale, potrebbero essere concesse delle utenze amministrative per accedere alla console di gestione della macchina medesima. Il livello di privilegio di tale utenza sarà comunque definito da Area Servizi ICT sulla base delle esigenze specifiche. Area Servizi ICT si riserva il diritto di mantenere comunque un accesso privilegiato ai sistemi operativi di tali macchine, allo scopo di garantire un adeguato livello di servizio e sicurezza dell’intera infrastruttura.
2.5.4. Controllo accessi agli applicativi
Area Servizi ICT dispone di accessi amministrativi per tutti i server e gli applicativi supportati e direttamente gestiti dalla struttura stessa. Di norma utenze di tale livello sono possedute soltanto
16
da Area Servizi ICT. Tuttavia, nel caso in cui alcune applicazioni specifiche lo richiedano, l’assegnazione di utenze amministrative al fruitore del servizio sarà valutata in via eccezionale da Area Servizi ICT. ln alcuni casi al fruitore potrà essere consentito di avere accesso diretto ad alcuni database. Tale accesso sarà permesso solo con utenze personali e tramite VPN.
2.5.5. Controllo accessi esterni/VPN
Gli accessi esterni all’infrastruttura gestita da Area Servizi ICT sono garantiti soltanto attraverso l’utilizzo di connessioni sicure a utenze personali riconducibili a utenti riconosciuti, la cui identità è stata cioè validata dal Politecnico di Milano. Il fruitore potrà accedere al proprio spazio di hosting attraverso connessione sicura basata su credenziali. Tale connessione consentirà l’accesso al file system per il caricamento dei contenuti, e l’accesso ai file di configurazione e di log. Per quanto riguarda i sistemi forniti in ambito IaaS, o per particolari esigenze concordate in fase progettuale, il fruitore potrà accedere alla console di amministrazione delle macchine virtuali attraverso un’apposita interfaccia attraverso una connessione sicura. Di norma, non sono consentiti accessi alla rete interna da parte del fruitore dei servizi di hosting attraverso connessioni dedicate VPN. Accessi di tale tipologia potranno essere concessi in via eccezionale, in funzione di specifiche esigenze e comunque limitatamente ad alcune reti ed al solo scopo di raggiungere gli effettivi servizi necessari.
2.6. Gestione vulnerabilità
La gestione di vulnerabilità include il processo di tracking management e di patching di sicurezza dei sistemi, e rappresenta un elemento essenziale per il mantenimento di un livello di sicurezza adeguato durante l’esercizio di un servizio. Tipicamente tale processo è in carico ai responsabili dell’Area servizi ICT, ma richiede una cooperazione proattiva da parte dei fruitori del servizio, in particolare per quanto riguarda i software non direttamente supportati da Area Servizi ICT e per le macchine virtuali interamente gestite dai fruitori stessi.
2.6.1. Vulnerability tracking management
Area Servizi ICT svolge attività per l’identificazione di possibili vulnerabilità, valutandone l’entità di un eventuale impatto, e individuando le relative azioni di rientro, eventualmente stimandone l’effort previsto. Il fruitore è tenuto a collaborare nelle modalità richieste da Area Servizi ICT, collaborando ad esempio con i tecnici ASICT alle attività di monitoraggio dei sistemi da lui direttamente gestiti, e con la segnalazione di rilevamento di vulnerabilità, ecc. Inoltre, in particolare per i servizi gestiti direttamente, il fruitore è tenuto a garantire una modalità di gestione delle vulnerabilità analoga, fornendo comunque tempestivamente le informazioni necessarie ad Area Servizi ICT per la valutazione dell’impatto e l’individuazione delle azioni di rientro.
17
2.6.2. Patching di sicurezza dei sistemi
Il patching di sicurezza per i sistemi e i componenti software supportati è gestito direttamente da Area Servizi ICT. Al fine di garantire la sicurezza generale, gli aggiornamenti legati alla sicurezza informatica saranno sempre eseguiti nel minor tempo possibile, di norma secondo le modalità di aggiornamenti come descritto in 2.4.4 (Aggiornamento e manutenzione dei sistemi). Qualora fosse identificato un aggiornamento di sicurezza particolarmente critico, ad esempio in seguito a specifico annuncio da parte del produttore del software, oppure in seguito a valutazioni interne, Area Servizi ICT si riserva il diritto a procedere a tale aggiornamento eludendo la fase di verifica della compatibilità dei sistemi nell’ambiente di test, comunque notificando il fruitore del fatto. Per quanto riguarda i sistemi e i moduli software direttamente gestiti, il fruitore è tenuto ad adottare modalità analoghe per l’applicazione delle patch di sicurezza ai propri sistemi, sempre fornendo opportuna notifica ad Area Servizi ICT.
2.6.3. Gestione continuità operativa e incidenti
La gestione della continuità operativa e di recupero in seguito a incidenti rilevanti al fine della sicurezza informatica è a carico principalmente dell’Area Servizi ICT. Anche in questo caso, in particolare per i sistemi o i sottosistemi direttamente gestiti dai fruitori del servizio, è richiesta una collaborazione tra gli attori in modo da garantire una gestione uniforme delle problematiche da parte di Area Servizi ICT che consenta anche di migliorare le attività di prevenzione e reazione agli incidenti e, di conseguenza, la sicurezza dell’intera infrastruttura.
2.6.4. Attuazione dei backup
Area Servizi ICT ha in carico la definizione e l’attuazione di procedure di backup, attraverso strumenti da essa selezionati. Tali procedure sono svolte sull’intera infrastruttura di hosting principalmente per scopi di continuità operativa e disaster recovery. Area Servizi ICT verifica la corretta esecuzione dei back-up e garantisce che l’archiviazione delle informazioni sia sicura ed effettuata su supporti idonei, secondo criteri e i tempi di conservazione conformi alla normativa vigente in materia. Eventuali differenze nelle procedure di backup tra differenti tipologie di servizi sono specificate all’interno dell’offerta dei servizi stessi. Le attività di ripristino dei backup sono effettuate principalmente in seguito di incidenti o guasti alla piattaforma. Per supplire a eventuali errori di gestione, manutenzione, o pubblicazione contenuti riconducibili al fruitore del servizio tali procedure potrebbero non rivelarsi adatte o sufficientemente snelle. ASICT quindi potrà predisporre, ove possibile ed in base alle richieste, dei sistemi di backup e restore più orientati a tali utilizzi. Il fruitore del servizio non deve effettuare alcun tipo di configurazione che ostacoli il funzionamento delle attività di backup predisposte da ASICT. Inoltre, qualsiasi attività batch definita dal fruitore sui propri sistemi e non preventivamente concordata con Area Servizi ICT, sarà eseguita con priorità inferiore rispetto alle attività di backup.
18
Necessità di backup diverse da quelle proposte andranno richieste all’Area Servizi ICT e, se non soddisfatte, svolte in proprio dal fruitore. In ogni caso Area Servizi ICT dovrà essere informata dell’esistenza di tali attività e della loro natura.
2.6.5. Modalità di gestione degli incidenti
La gestione degli incidenti rilevanti ai fini della sicurezza informatica è a carico di Area Servizi ICT, definite in conformità alle vigenti normative in materia e ai Service Level Agreement (SLA) concordati con il fruitore sulla base di quanto descritto nel documento [Polimi - Offerta_hosting_ASICT]. La gestione degli incidenti include attività quali: la rilevazione di attività potenzialmente malevole attraverso i processi di monitoraggio dei sistemi, la valutazione della gravità dell’incidente, e la relativa pianificazione delle attività di rientro. Nell’eventualità in cui accada un incidente di sicurezza di norma Area Servizi ICT provvederà ad avvisare il fruitore o il responsabile del sistema, il quale è tenuto a collaborare proattivamente a tutte le fasi della gestione dell’intervento. Tuttavia, in funzione del livello di urgenza di tale intervento, Area Servizi ICT potrebbe procedere alla risoluzione dell’intervento in autonomia. In particolare per quanto riguarda i sistemi direttamente gestiti, il fruitore è tenuto a segnalare le versioni dei software utilizzati sui sistemi direttamente gestiti, secondo quanto indicato nella sezione 2.4.2.1 (Moduli e software installato), e a monitorare l’eventuale insorgenza di vulnerabilità o compromissioni specifiche (in particolare quelli che impattano sui contenuti), segnalandole proattivamente al personale di Area Servizi ICT predisposto a tale attività. Nel caso di attacco manifesto, il fruitore è tenuto in ogni caso a segnalare il fatto e, di norma, a concordare le azioni di rientro con Area Servizi ICT. Tuttavia, in base alla gravità dell’accaduto, qualora si trovi costretto a intervenire, il fruitore è tenuto a farlo senza eliminare informazioni (log, files, configurazioni, etc.). Tali informazioni possono infatti essere utili ad Area Servizi ICT al fine di estendere meccanismi di previsione degli attacchi o per assolvere a obblighi di legge. Area Servizi ICT si riserva la possibilità di sospendere l’erogazione del servizio in caso di ripetuta violazione da parte del fruitore del servizio dei vincoli di collaborazione per la sicurezza espressi.
2.7. Organizzazione e governance della sicurezza
La gestione organizzativa e la governance della sicurezza informatica si estendono alle relazioni tra fruitore e Area Servizi ICT, allo svolgimento di audit di sicurezza e alla conformità alla compliance normativa. Tali aspetti sono regolamentati da Area Servizi ICT.
2.7.1. Indicazioni per la gestione degli accordi con personale esterno
Al fine di garantire un adeguato servizio, il fruitore di un servizio di hosting offerto da Area Servizi ICT deve fornire i recapiti di un referente tecnico e di un responsabile del sito/servizio, i quali devono essere riconosciuti attraverso la verifica dei loro dati da parte di un addetto del Politecnico di Milano. Per ognuna delle figure, il fruitore è tenuto a fornire chiara indicazione dei contatti e degli orari di reperibilità ad essi associati. Il referente tecnico è la figura responsabile per la gestione e la sicurezza degli applicativi o dei sistemi utilizzati dal fruitore. Tale figura deve quindi essere in grado di interagire con i tecnici di
19
Area Servizi ICT durante la fase di progettazione del sistema e di far fronde a eventuali incidenti di sicurezza, o problematiche dovute a problemi accidentali o nate in fase di aggiornamento dei sistemi. Il responsabile del sito/servizio è il principale riferimento associato all’applicativo o al sistema installato nello spazio hosting offerto da Area Servizi ICT ed è responsabile dei contenuti pubblicati ed erogati tramite tali sistemi. Ogni modifica ai ruoli o ai nominativi delle persone indicate all’Area Servizi ICT dovrà essere comunicata tempestivamente dal referente amministrativo. Sarà cura del fruitore assicurare un corretto passaggio di consegne tra vecchi e nuovi gestori, siano essi referenti tecnici o amministrativi.
2.7.2. Audit di sicurezza
È prevista la definizione di attività di audit di sicurezza al fine di garantire conformità rispetto a quanto prescritto nella presente policy, e di prevenire violazioni quali la diffusione di virus, l’accesso malevolo/abusivo alle macchine e alle infrastrutture, o la diffusione/sottrazione di contenuti protetti da copyright. In generale, Area Servizi ICT si riserva il diritto di attuare attività di audit, con modalità differenti descritte in seguito alle seguenti macro-categorie di servizi:
• servizi in carico a fruitori, erogati all’interno del datacenter direttamente gestito da Area Servizi ICT;
• servizi erogati da sistemi attestati sulla rete del Politecnico di Milano. Tale infrastruttura di rete è direttamente connessa alla rete GARR, per la quale Area Servizi ICT è tenuta a far rispettare le policy specifiche;
• servizi erogati da soggetti esterni, ma correlati con il Politecnico di Milano. In tal categoria ricadono principalmente i servizi non ricadenti nei casi precedenti, che fanno uso in qualsivoglia forma del brand “Politecnico di Milano”, oppure di dati di proprietà o potenzialmente utili al Politecnico di Milano.
Le modalità con cui le attività di audit saranno attuate, sono descritte nella seguente tabella:
20
SERVIZI E RELATIVI SISTEMI COINVOLTI Servizi erogati all’interno del
datacenter gestito da Area Servizi ICT
Servizi erogati da sistemi attestati sulla rete del Politecnico
di Milano
Servizi correlati con il Politecnico di Milano, ma erogati da sistemi
esterni
ATTIVITA’ SVOLTE
Controllo dei contenuti pubblicati, al fine di verificarne l’idoneità rispetto le finalità del Politecnico di Milano,
e/o con non violini diritti di copyright
Assessment di sicurezza dei meccanismi di accesso Previo accordo con il
soggetto terzo
Monitoraggio delle comunicazioni di rete al fine di prevenire la
propagazione di malware e connessioni potenzialmente
malevole
In caso di anomalie riscontrate durante le attività di assessment
di sicurezza dei meccanismi di accesso, previo accordo con il soggetto terzo
Assessment sulla sicurezza e sull’hardening della macchina che
eroga il servizio, nonché sulle configurazioni dei servizi attivi
In caso di anomalie riscontrate durante
le attività di monitoraggio delle
comunicazioni
Assessment di sicurezza sulle modalità di implementazione dei servizi e sulle logiche applicative
adottate
A fronte di reiterate violazioni evidenziate in successive attività di audit, o in conseguenza di situazioni giudicate particolarmente gravi a discrezione di Area Servizi ICT, saranno intrapresi i seguenti provvedimenti, distinti in base alle macro-categorie di servizio descritte in precedenza:
• per i servizi erogati all’interno del datacenter gestito da Area Servizi ICT: sospensione dell’erogazione del servizio, o isolamento dei sistemi e della connettività;
• per altri servizi erogati da sistemi attestati sulla rete del Politecnico di Milano: sospensione della connettività di rete ed eventuale valutazione di spostamento di tali servizi all’interno del datacenter direttamente gestito, in modo da consentire ad Area Servizi ICT di mantenere un maggiore livello di controllo;
• per servizi esterni correlati con il Politecnico di Milano: inoltro della segnalazione di possibile violazione all’autorità di competenza.
Al fine di migliorare l’efficacia dei controlli e ridurre quanto possibile l’identificazione di falsi positivi, Area Servizi ICT effettua un censimento dell’intero parco servizi che sono attestati all’interno della rete del Politecnico di Milano connessa alla rete scientifica GARR. Il fruitore, o qualunque altro soggetto facente parte di strutture del Politecnico di Milano, è tenuto a notificare l’attivazione di un servizio sulla rete, indicando la tipologia del servizio, il nome e l’indirizzo della macchina su cui è erogato, e le finalità. Le modalità secondo le quali verrà effettuato tale censimento sono in linea con quanto descritto nella delibera di Ateneo n° 234 del 31/05/2005 per quanto concerne Censimento dei server e filtraggio del traffico di rete.
21
2.7.3. Compliance normativa
Le informazioni raccolte da servizi erogati attraverso l’infrastruttura gestita da Area Servizi ICT devono sempre essere trattate in conformità con quanto definito nel Decreto Legislativo n° 196/2003, “Codice in materia di protezione dei dati personali”. In particolare, per i servizi che interagiscono con l’anagrafica unica di Ateneo, si rimanda a quanto descritto per tale ambito in http://www.polimi.it/privacy. Nell’eventualità in cui il fruitore abbia accesso amministrativo a sistemi in cui vengono memorizzati dati personali, si impegna ad attenersi alle indicazioni del Politecnico di Milano per quanto concerne gli amministratori di sistema esterni e comunque ad operare in conformità con quanto indicato nel provvedimento del garante per la protezione dei dati personali del 27 novembre 2008, “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”. L’accesso fisico a fornitori del servizio, qualora concesso nelle modalità descritte in sezione 2.5.1 (Controllo accessi fisici al datacenter), deve avvenire secondo modalità conformi al decreto legislativo 9 aprile 2008, n 81. In particolare il fornitore è tenuto a munire il proprio personale, occupato presso i locali tecnici di Area Servizi ICT, di un’apposita tessera di riconoscimento, contenente le generalità del soggetto medesimo, e della società di appartenenza. Qualora si avvalga di un fornitore esterno per l’installazione di apparati presso il datacenter di Area Servizi ICT, il fruitore è tenuto a informarlo dell’obbligo di esporre suddetta tessera.