You are here

it-it-min-sec-cont-annex

Primary tabs

Clone Agreement Document

Body Content

Allegato relativo ai Controlli Minimi di Sicurezza

Le seguenti misure minime di sicurezza sono destinate a servire da linee guida per mantenere il livello di protezione che Nike si aspetta da qualsiasi Appaltatore che tratta i Dati di Nike mediante l’utilizzo di un sistema informatico. Tali misure minime di sicurezza sono basate su pratiche di sicurezza informatica generalmente accettate e su pratiche di governance in materia di protezione delle informazioni.

Le misure di sicurezza di cui sopra si applicano a (1) tutti i sistemi e led reti degli Appaltatori, ivi inclusi sistemi e reti dei Sub-responsabili, integrati con reti e sistemi di Nike oppure utilizzati al fine di trattare i Dati di Nike; e (2) ai Dati di Nike in qualsiasi formato, per cui l’Appaltatore dichiara e garantisce di aver completato il processo di valutazione del rischio del venditore di Nike e di mantenere tutte le salvaguardie e i controlli individuati dall’Appaltatore nella valutazione e di adottare ogni ulteriore misura richiesta nel presente allegato sui controlli minimi di sicurezza.

1.        Policy e Procedure

1.1.      L’Appaltatore mantiene un consolidato processo di sviluppo per la creazione, manutenzione, revisione, approvazione e comunicazione alle parte interessate delle proprie policies. Queste includeranno gli standard  per lo sviluppo di applicazioni e infrastrutture, politica sulla sicurezza, archiviazione e gestione dei Dati, nonché gestione degli incidenti e delle operazioni di IT.

1.2.      L’Appaltatore attuerà e sosterrà politiche e procedure per definire e manutenere le configurazioni di sicurezza di riferimento che sono documentate, approvate, revisionate su base annuale ed infine comunicate al Personale competente dell’Appaltatore.

1.3.      L’Appaltatore attuerà e manterrà un Sistema di Gestione della Sicurezza Informatica aziendale  (“ISMS”) e politiche di sicurezza volte a definire: (a) funzioni e responsabilità della sicurezza delle informazioni segregate (“IS”), (b) funzione e importanza dell’IS, (c) obiettivi della policy, (d) responsabilità del dipendente e del terzo, nonché (e) obblighi normativi relativi a misure di sicurezza Dati e privacy. L’Appaltatore garantirà che tale policy sia stata approvata dal livello di senior management competente e che sia stata successivamente comunicata al Personale dell’Appaltatore competente.

1.4.      L’Appaltatore attuerà e manterrà procedure per la generazione, distribuzione e conservazione di chiavi di cifratura che includono la generazione di chiavi forti, la distribuzione con metodi sicuri, la conservazione sicura delle chiavi, la rotazione periodica delle chiavi (criptoperiodi), la gestione di fine vita e il ritiro o la sostituzione delle chiavi in caso di sospetto di compromissione.

2.        Gestione delle Attività. L’Appaltatore attuerà e manterrà  politiche e procedure relativamente all’identificazione, alla classificazione e alla gestione dei beni (dall’acquisto alla rottamazione documentate, implementate, e comunicate al Personale dell’Appaltatore.

3.        Business Continuity e Disaster Recovery

3.1.      L’Appaltatore attuerà e manterrà politiche e procedure di business continuity e disaster revovery documentate, approvate, revisionate su base annuale ed infine comunicate al Personale dell’Appaltatore.

3.2.      L’Appaltatore garantirà che i sistemi critici siano identificati e documentati, e che vi siano procedure per salvaguardare le operazioni nel caso in cui si verifichi un evento avverso.

3.3.      L’Appaltatore attuerà e manterrà: (a) procedure di backup automatico che rispettino tempistiche approvate e prestabilite; (b) procedure di allarme generate in caso di errori di backup che si attivino tempestivamente; e (c) procedure di backup periodicamente testate per aver certezza della possibilità di  recupero di Dati in caso di errore di sistema o danneggiamento dei Dati.

4.        Gestione delle Modifiche

4.1.      L’Appaltatore attuerà e manterrà una policy globale di gestione delle modifiche, documentata, approvata, revisionata su base annuale ed infine comunicata al Personale dell’Appaltatore. Per ogni livello di sistema (applicazione, database, sistema operativo, tecnologie di virtualizzazione, e micro-servizi), la policy in esame definirà le tipologie di cambiamento, i requisiti per l’approvazione, e le frequenze di rispetto.

4.2.      L’Appaltatore procederà alle modifiche di sistema e/o applicazione nel rispetto di una prestabilita procedura di controllo, approvazione e testing prima che le modifiche siano applicati al sistema di produzione.

4.3.      L’Appaltatore applicherà le modifiche d’urgenza richieste, approvate ed implementate, di cui viene dato evidenza in adeguamento alla policy di gestione delle modifiche.

5.        Sicurezza delle Risorse Umane

5.1.      L’Appaltatore, prima di consentire al Personale dell’Appaltatore di trattare i Dati di Nike, o di accedere ai sistemi di rete informatica, ai database, alle applicazioni web sicure o aree ad accesso ristretto di una struttura di Nike, dovrà eseguire appropriati controlli sul passato degli stessi, ivi inclusi i controlli dei precedenti penali, su tutto il Personale dell'Appaltatore (nella misura in cui la normativa lo permette). L'Appaltatore dovrà garantire che il Personale dell'Appaltatore che è stato condannato per un reato o per alcuni reati minori ripetuti che comportano violenza o molestie fornisca servizi in aree non pubbliche di una struttura Nike.

5.2.      L'Appaltatore garantirà che tutto il Personale dell'Appaltatore svolga con esito positivo una formazione adeguata e appropriata in materia di privacy e sicurezza informatica prima del Trattamento dei Dati Nike e i Sub-Responsabili sono tenuti a offrire regolarmente al proprio personale una formazione adeguata e appropriata in materia di privacy e sicurezza informatica.

5.3.      Tutto il Personale dell’Appaltatore sarà tenuto a mantenere la riservatezza dei Dati Nike e dovrà aderire alle politiche ed alle procedure di sicurezza informatica predisposte dall’Appaltatore. L’Appaltatore dovrà prevedere (a) un controllo gestionale richiedendo di aderire alle politiche ed alle procedure di sicurezza predisposte dal medesimo, e (b) procedure disciplinari (cheincludano il licenziamento) in caso di violazioni delle politiche e procedure di sicurezza dell’Appaltatore.

6.        Sicurezza delle Informazioni

6.1.      L'Appaltatore garantirà la sicurezza della sua rete, delle sue applicazioni (comprese le banche dati), dell' infrastruttura e della piattaforma.

6.2.      L’Appaltatore garantirà che a livello applicativo, le attività in conflitto saranno segregate e periodicamente revisionate, e tra queste:

6.2.1.  che l’Appaltatore svolga lo sviluppo  in un ambiente di sviluppo separato rispetto a quello di produzione,

6.2.2.  che la gestione dell’applicazione sia distinta rispetto alla gestione dei diritti di accesso,

6.2.3.  che la gestione del database (e di qualsivoglia altra tipologia di privilegio per l’aggiornamento dei dati) sia  separata dalla gestione dell’applicazione, da quella della sicurezza e dal Personale dell’Appaltatore che fornisce servizi di sviluppo, e

6.2.4.  che il Personale dell’Appaltatore che approva i diritti di accesso sia separata rispetto al soggetto responsabile dei diritti di accesso all’interno del sistema dell’Appaltatore.

6.3.      L’Appaltatore eseguirà su base annuale un’approfondita analisi di rischio dei sistemi e delle reti informatiche critici, ivi incluse applicazioni, database, sistema di gestione del database, sistema operativo, sistemi di supporto e relative reti. L’Appaltatore adeguerà le procedure e le configurazioni allineandosi ai risultati e riverificherà periodicamente tali risultati.

6.4.      L’Appaltatore attuerà e manterrà politiche e procedure che garantiscano la sicurezza dei dati in modo appropriato al relativo grado di sensibilità.

6.5.      L’Appaltatore archivierà i file di sistema e i codici sorgente in un luogo sicuro con accesso limitato.

6.6.      L’Appaltatore garantirà che le richieste di accesso a livello di applicazione, di database, di sistema siano revisionate e approvate dal competente management dell’Appaltatore.

6.7.      L’Appaltatore garantirà che in caso di modifica dello status di uno specifico membro del Personale dell’Appaltatore o Sub-responsabile (che sia stata interrotta o trasferita) il sistema lo segnalerà al management dello stesso affinché siano adottate le misure appropriate.

6.8.      L’Appaltatore garantirà che qualora le mansioni affidate a un membro del proprio Personale o Sub-responsabile non richiedano più l’accesso al sistema, (all’applicazione, al database nonché ai sistemi) il rispettivo accesso sarà temporaneamente sospeso.

6.9.      L’Appaltatore procederà regolarmente  alla revisione delle prerogative utilizzando una completa e accurata popolazione di account sia per gli utenti degli accounts, sia di quelli aventi account di sistema.

6.10.  L’Appaltatore attuerà ed manterrà controlli di sicurezza del perimetro. e ove applicabili controlli di sicurezza federati, in conformità con gli standard di settore per una configurazione di sicurezza coerente con l’architettura di sistema fornito e/o utilizzato dall’Appaltatore (ivi inclusi archivi su cloud e infrastrutture).

6.11.  L’Appaltatore attuerà e manterrà le best practices per la sicurezza delle risorse cloud, Software as a Service  nonché per le applicazioni web, in conformità con gli standard di settore e le raccomandazioni dei fornitori cloud. Senza limitare la generalità degli obblighi di sicurezza cui è soggetto l’Appaltatore, qualora Nike fornisca i requisiti minimi di gestione della configurazione di tali funzioni, l’Appaltatore dovrà conformarsi a tali requisiti.

6.12.  L’Appaltatore effettua o affida a terzi  regolari analisi del controllo dei perimetri (ivi inclusi, a titolo esemplificativo, in tema di social engineering e di hackeraggio etico) coerenti con l’architettura di sistema fornita e/o utilizzata dall’Appaltatore comprendendo prove di infiltrazione del sistema interne ed esterne effettuate su base annuale nonché verifiche di vulnerabilità trimestrali.

6.13.  L’Appaltatore effettua regolari verifiche e monitoraggio delle configurazioni di sistema ivi inclusi sistemi operativi, database, dispositivi di rete e sistemi di controllo  perimetrale (compresi  i firewalls).

6.14.  L’Appaltatore assicurerà l’installazione e l’aggiornamento di antivirus e/o programmi anti-malware.

6.15.  L’amministratore della sicurezza del sistema informatico dell’appaltatore monitora e registra l’attività di sicurezza a livello di sistema operativo, dell’applicazione, e del database. Le violazioni di sicurezza identificate sono riportate al senior management dell’Appaltatore.

6.16.  L’Appaltatore (o il/i Sub-responsabile/i) attuerà e manterrà controlli sulla sicurezza ambientale e fisica negli edifici e che trattano i Dati di Nike, inclusi sistemi elettronici appropriati di controllo accessi, monitoraggi di  sicurezza, e rilevazione di fumo e di calore.

6.17.  L'Appaltatore garantirà la sicurezza fisica delle proprie strutture in cui sono conservati file cartacei, server, apparecchiature informatiche e sistemi di backup.

6.18.  L'Appaltatore dovrà assicurare la protezione contro la perdita o il furto di un personal computer, laptop, desktop o qualsiasi altro dispositivo di archiviazione, compresi i dispositivi mobili.

6.19.  L’Appaltatore salvaguarderà il Trattamento dei Dati Personali in conformità con la Normativa Applicabile.

6.20.  L’Appaltatore, ove ciò sia tecnicamente fattibile nonché stabilito da requisiti di natura commerciale, attuerà e manterrà un sistema di accessi basato sul ruolo che assegni privilegi al Personale dell’Appaltatore sulla base della qualifica e del ruolo professionale, e che limiti l’accesso in base al principio “need to know” della persona in questione.

6.21.  Gli accounts utente, privilegiati e di servizio gestiti dall’Appaltatore garantiranno che solo il Personale dell’Appaltatore abbia accesso ai Dati di Nike e alle componenti di Trattamento dell’Appaltatore che gestiscono i Dati di Nike e che siano protetti dalle best practices in tema di protezione della password, ivi inclusi: (i) caratteri minimi di password, (ii) blocco a seguito di tentativi di log invalidi nonché in caso di sessione inattiva, (iii) periodo minimo di lockout, (iv) riutilizzo della password, e (v) complessità della password.

6.22.  L’Appaltatore, non utilizzerà ID condivisi, generici oppure generati dal sistema per fornire accessi privilegiati o amministrare qualsivoglia componente del sistema.

6.23.  L’Appaltatore non condividerà password con soggetti al di fuori del “process owner” designato di un determinato ID o account di sistema.

6.24.  L’Appaltatore richiederà al proprio servizio di supporto IT di adottare idonee misure di sicurezza per evitare che social engineering ottenga l’accesso ad un account del Personale dell’Appaltatore, ivi inclusa la verifica preventiva dell’identità in caso di reimpostazione della password o accesso per risoluzione dei problemi.

6.25.  L’Appaltatore proteggerà le connessioni da remoto documentando metodi autorizzati di accesso remoto ai Dati di Nike definendo le restrizioni d’uso, monitorando gli accessi da remoto non autorizzati e utilizzando sistemi di crittografia al fine di proteggere la riservatezza e l’integrità delle sessioni di accesso remoto, e disconnettendo automaticamente le sessioni di accesso da remoto una volta trascorso un determinato periodo di inattività.

6.26.  L’Appaltatore, nel ricorrere all’utilizzo della crittografia, utilizzerà protocolli di sicurezza e crittografia forti, basati sugli standard del National Institute of Standards and Technology (“NIST”) in materia di crittografia. L’accesso mediante chiavi crittografiche sarà ristretto ad un limitato numero di custodi necessari e queste saranno conservate in sicurezza riducendo al minimo luoghi e modalità di archiviazione. Le chiavi crittografiche saranno criptate mediante apposita chiave di cifratura archiviata separatamente rispetto alla chiave di crittografia dati ed entrambe saranno soggette a rotazione in conformità con le best practices del NIST relativamente ai periodi crittografici.

6.27.  L'Appaltatore dovrà garantire che tutti i Dati Nike siano protetti da una crittografia standard del settore o superiore a riposo e in transito. A meno che non sia necessario al fine di fornire i Servizi, l'Appaltatore non sbloccherà, decodificherà mediante reverse engineering o esporrà in altro modo i Dati Nike criptati, cifrati o anonimizzati.

6.28.  L’Appaltatore attuerà e manterrà  best practices in relazione alle procedure di accesso in sicurezza su sistemi, dispositivi  e processi, incluso il monitoraggio in caso di attività sospette o non autorizzate, la protezione e separazione dei logs, e collegamenti basati sulle tempistiche. L’Appaltatore attuerà e manterrà un processo per la tempestiva revisione e installazione di patches  per i software di sicurezza e di aggiornamenti per sistemi, dispositivi e applicazioni.

6.29.  L’Appaltatore attuerà e manterrà un processo per risanare tempestivamente i punti di vulnerabilità identificati nel corso dell’attività e per le attività di gestione dei punti di vulnerabilità.

6.30.  L’Appaltatore dovrà proteggere i Dati di Nike durante la trasmissione attraverso reti aperte, utilizzando protocolli di sicurezza e crittografia forti al fine di salvaguardare i Dati di Nike durante trasmissioni aperte, reti pubbliche, e best practices di settore al fine di implementare  crittografia forte per l’autenticazione e la trasmissione su reti wireless dei Dati di Nike o connesse a reti sensibili.

6.31.  L’Appaltatore attuerà e manterrà politiche e salvaguardie in tema di sicurezza di ogni dispositivo su cui i Dati di Nike sono trattati o archiviati, inclusi computer portatili, smartphones e supporti di memorizzazione. L'Appaltatore non dovrà memorizzare i Dati Nike su laptop, tablet, flash drive, telefoni cellulari o altri dispositivi mobili di questo tipo a meno che l'Appaltatore non abbia ottenuto il consenso scritto da parte di Nike e il dispositivo sia protetto da una crittografia standard del settore.

6.32.  L'Appaltatore attuerà e manterrà meccanismi di autenticazione e di controllo degli accessi all'interno dei media, delle applicazioni, dei sistemi operativi e delle apparecchiature, compresa la registrazione di tutti gli accessi e le esfiltrazioni, e la conservazione di tali registri di controllo degli accessi per un periodo non inferiore a dodici mesi.

6.33.  L'Appaltatore attuerà e manterrà sistemi di prevenzione e rilevamento delle intrusioni utilizzando meccanismi di prevenzione e rilevamento delle intrusioni basati su rete.

6.34.  L'Appaltatore garantirà una rigorosa segregazione fisica o logica dei Dati Nike dai non Dati Nike, in modo tale che entrambi i tipi di informazioni non siano mischiati in un unico sistema.

7.        Project Management

7.1.      L’Appaltatore attuerà e manterrà una procedura di sviluppo dei sistemi che includa la programmazione di software sicuri, approvata dal management e comunicata al Personale dell’Appaltatore.

7.2.      L’Appaltatore dovrà utilizzare procedure di sviluppo in sicurezza con riguardo al design, allo sviluppo, alla manutenzione, al miglioramento ed alla disattivazione di (a) propri prodotti e servizi propri, nonché di (b) servizi e prodotti da eseguire per Nike. Tali procedure di sviluppo in sicurezza dovranno essere conformi agli standard di settore quali l’OWASP Top Ten, la normativa ISO 27002 e la guida di programmazione di sicurezza fornita da organizzazioni quali la Divisione di Ingegneria Informatica del CERT. Senza limitare la generalità di quanto precede, tali pratiche di sviluppo sicuro includono: (1) segregazione dei ruoli e delle responsabilità in materia di sicurezza; (2) segregazione degli ambienti di sviluppo, test e produzione; (3) test di sicurezza in ambienti di test prima dell'introduzione negli ambienti di produzione; (4) divieti sull'uso di dati sensibili e Dati Nike in ambienti di test; (5) sviluppo di una politica di sviluppo sicuro; (6) sviluppo di una metodologia di sviluppo sicuro e di linee guida specifiche per le lingue per la codifica sicura; (7) attuazione di processi di controllo formale delle modifiche che includono test e verifiche di sicurezza; (8) formazione mirata allo sviluppo sicuro per sviluppatori e (9) valutazione della sensibilità di dati o sistemi.

7.3.      L’Appaltatore attuerà e manterrà appropriate garanzie di qualità, prove di accettazione utente, e revisioni del codice di sicurezza.

8.        Incident Response

8.1.      L’Appaltatore attuerà e sosterrà politiche e procedure di intervento in caso di incidenti, inclusive di processi di rilevamento, isolamento, recupero, escalation e notificazione.

8.2.      L’Appaltatore verifica periodicamente attività, di incident response con gli opportuni Su-Responsabili (a titolo di esempio, cloud providers).

9.        Gestione dei Subappaltatori 

9.1.      L’Appaltatore opererà una ragionevole diligenza sulle pratiche di sicurezza dei suoi Sub-Responsabili prima dell'assunzione e manterrà con i Sub-Responsabili contratti contenenti norme che contengano a carico dei Sub-Responsabili obblighi e di protezione e salvaguardia dei Dati di Nike secondo quanto previsto dal presente Contratto e dalle Leggi Applicabili.

9.2.      Nel caso in cui l'Appaltatore utilizzi un fornitore di cloud di terze parti per fornire i Servizi, tale fornitore di cloud di terze parti sarà considerato un Sub-Responsabile. L'Appaltatore riconosce e accetta che l'utilizzo di fornitori di cloud di terze parti implica una responsabilità condivisa in materia di sicurezza tra l'Appaltatore e il fornitore di cloud di terze parti. L'Appaltatore dovrà soddisfare o superare tutte le migliori pratiche di sicurezza raccomandate dal fornitore di cloud e applicare i requisiti minimi di cui sopra ai Dati Nike memorizzati in tale sistema cloud.

 

Locales *

User login