/docs beta

Sicurezza

Il Fornitore SaaS, prima della messa in esercizio della soluzione SaaS, deve garantire che il codice applicativo sia stato sviluppato seguendo i principi dello sviluppo sicuro. Il fornitore deve dichiarare se il software viene sottoposto a periodiche verifiche di sicurezza secondo il framework OWASP, in particolare a seguito di operazioni di manutenzione del servizio (aggiornamenti e modifiche).

Il Fornitore SaaS può utilizzare componenti software realizzate da terze parti per implementare la propria applicazione (middleware, librerie o una qualsiasi delle componenti dello stack applicativo). In questi casi egli deve necessariamente rendersi garante anche della sicurezza di queste componenti. Deve essere quindi garantita la sicurezza dell’intera supply chain relativa all’applicazione SaaS (includendo anche il sistema operativo).

Deve essere presente un sistema di Identity & Access Management con una o più figure di amministrazione e diverse figure con privilegi di accesso differenziati e gerarchici. Il trattamento sicuro dei dati è indispensabile per prevenire possibili perdite di dati oppure l’accesso non protetto ai dati da parte di persone non autorizzate. Una gestione accurata delle credenziali di accesso permette di evitare la compromissione dell’applicazione stessa o dell’ambiente in cui è ospitata. Le informazioni in transito tra le varie componenti del sistema devono essere adeguatamente protette e cifrate.

Le risorse IaaS/PaaS e i software ospitati nella piattaforma Cloud (di base, middleware e applicativi) devono essere protetti dal traffico di rete indesiderato e/o dannoso, garantendo la sicurezza dei dati, del software e degli account utente, nonché prestazioni di rete non degradate.

Il Fornitore SaaS deve dotarsi di una adeguata organizzazione e di procedure operative in grado di gestire attività continue e documentabili di aggiornamenti e migliorie in tema di sicurezza. Deve inoltre gestire tempestivamente eventuali situazioni emergenziali.

Il Fornitore SaaS deve garantire che il verificarsi di incidenti di sicurezza oppure gravi disfunzioni del servizio (ad esempio nel caso di denial of service) siano prontamente rilevati e gestiti.

Di seguito è riportato il dettaglio dei requisiti di sicurezza e delle verifiche previste durante la procedura di qualificazione.

Codice Requisito Requisito Elementi di riscontro
Sicurezza del codice e delle interfacce    
RS1 Il Fornitore SaaS deve indicare se la soluzione SaaS è stata sottoposta e ha superato i test OWASP. Dichiarazione Fornitore SaaS
RS2 Il codice binario ed eventualmente il codice sorgente (se disponibile) devono essere sottoposti a verifiche che tendono ad identificare eventuali vulnerabilità o la presenza di codice malevolo (worm, trojans, ecc.) prima della messa in esercizio della soluzione SaaS. Le medesime verifiche vanno ripetute in occasione di operazioni di manutenzione del servizio (aggiornamenti e modifiche). Dichiarazione Fornitore SaaS Verifica tecnica (se prevista)
RS3 Il Fornitore SaaS può utilizzare componenti software realizzate da terze parti per implementare la propria applicazione (middleware, librerie, componenti da cui l’applicazione dipende). In questi casi egli deve necessariamente rendersi garante anche della sicurezza di queste componenti. Deve essere in sostanza garantita la sicurezza dell’intera supply chain relativa alla soluzione SaaS (includendo anche il sistema operativo). Dichiarazione Fornitore SaaS Verifica tecnica (se prevista)
RS4 Occorre scegliere accuratamente le componenti di terze parti da utilizzare, assicurarsi di aver utilizzato la fonte originale del software e che non ci siano stati passaggi intermedi capaci di alterare il contenuto originale. Accertarsi che non siano presenti vulnerabilità note nel software utilizzato o che queste siano state opportunamente gestite e neutralizzate. Ripetere periodicamente i controlli e le verifiche sulle componenti software di terze parti e apportare prontamente i fix necessari e/o rimuovere le dipendenze da componenti con accertate vulnerabilità. Dichiarazione Fornitore SaaS
RS5 È necessario prevedere per gli endpoint del servizio SaaS (ad esempio di tipo REST oppure di tipo SOAP) le stesse misure di autenticazione e autorizzazione previste per gli eventuali client Web o Mobile. Inoltre è necessario garantire la sicurezza delle comunicazioni con tali interfacce tramite l’adozione del protocollo HTTPS. Dichiarazione Fornitore SaaS Verifica tecnica (se prevista)
Sicurezza del traffico di rete    
RS6 Le risorse IaaS/PaaS e i software ospitati nella piattaforma Cloud (di base, middleware e applicativi) devono essere protetti dal traffico di rete indesiderato e/o dannoso, garantendo la sicurezza dei dati, del software e degli account utente, nonché prestazioni di rete non degradate. Dichiarazione Fornitore SaaS Verifica tecnica (se prevista)
RS7 Il Fornitore SaaS deve mettere in atto misure di network e domain isolation (firewall, ACL, controller di dominio) per mantenere l’isolamento tra i diversi domini applicativi. Dichiarazione Fornitore SaaS Verifica tecnica (se prevista)
RS8 Devono essere attuate da parte del Fornitore SaaS misure per prevenire e contrastare le intrusioni nella rete e la congestione della stessa (intrusion detection, monitoraggio e filtering del traffico di rete anomalo), evitando che possano avere successo eventuali attacchi di denial of service (DoS) o distributed denial of service (DDoS). Dichiarazione Fornitore SaaS Verifica tecnica (se prevista)
RS9 Nella gestione e monitoraggio del traffico di rete di cui al requisito RS8 devono essere inclusi meccanismi per bloccare il traffico di rete da e verso URL presenti in una blacklist. Il Fornitore SaaS deve curare l’aggiornamento periodico della blacklist. Dichiarazione Fornitore SaaS Verifica tecnica (se prevista)
Trattamento sicuro dei dati e delle credenziali    
RS10 Il Fornitore SaaS deve assicurare una attenta gestione delle chiavi e dei codici di accesso usati per la soluzione SaaS e le sue componenti costitutive (database, sistemi di code e messaggi, servizi accessori, ecc.). Dichiarazione Fornitore SaaS
RS11 Qualora la soluzione SaaS, oppure alcune delle sue componenti, effettuino degli accessi amministrativi alle risorse IaaS/PaaS sottostanti per motivi di monitoraggio o di gestione elastica delle stesse deve essere garantita una gestione accurata sia delle credenziali di amministratore dell’applicazione SaaS che delle credenziali amministrative della piattaforma IaaS/PaaS sottostante, evitando in tal modo la compromissione delle risorse Cloud utilizzate. Dichiarazione Fornitore SaaS
RS12 Nel caso di applicazione che accorpa più acquirenti sullo stesso sistema, separati logicamente gli uni dagli altri (multi-tenant), occorre impedire che un acquirente possa accedere ai dati degli altri accidentalmente oppure aggirando i controlli (data isolation). Dichiarazione Fornitore SaaS Verifica tecnica (se prevista)
RS13 Le informazioni in transito tra le varie componenti del sistema devono essere adeguatamente protette e cifrate. Lo stesso principio vale per le informazioni in transito tra il front-end e il back-end dell’applicazione (ad esempio tra il browser dell’utente e il back-end applicativo, oppure tra il client Mobile e il back-end applicativo). Quando la natura della soluzione SaaS o i dati trattati lo richiedono deve essere implementata anche la cifratura lato client (client-side encryption). Dichiarazione Fornitore SaaS Verifica tecnica (se prevista)
Gestione sicura delle identità e degli accessi    
RS14 Il Fornitore SaaS deve garantire che non si possano verificare abusi nell’uso delle funzionalità dell’applicazione e nell’accesso ai dati (eventualmente in grado di compromettere la sicurezza), inoltre la soluzione SaaS deve essere associata ad un sistema di gestione delle identità e degli accessi. Dichiarazione Fornitore SaaS Verifica tecnica (se prevista)
RS15 Il sistema di Identity & Access Management deve prevedere una o più figure di amministrazione e diverse figure con privilegi di accesso differenziati e gerarchici. Dichiarazione Fornitore SaaS Verifica tecnica (se prevista)
RS16 Deve essere implementato il tracciamento degli accessi al servizio e dell’accesso ai dati (transaction audit) con monitoraggio continuo delle informazioni per rilevare in tempo reale eventuali attività sospette. Dichiarazione Fornitore SaaS Verifica tecnica (se prevista)
Gestione degli incidenti e degli aggiornamenti di sicurezza    
RS17

Il Fornitore SaaS deve definire le modalità e i tempi di risposta e gestione di ad eventuali incidenti che hanno impatto sul servizio offerto.

SLI previsti: SLI13, SLI14, SLI15, SLI16

Dichiarazione Fornitore SaaS Verifica tecnica (se prevista)
RS18 Deve essere sempre attivo un sistema di monitoraggio e di alerting relativo a possibili incidenti di sicurezza e/o di violazioni delle policy. Questo sistema deve prevedere la pronta applicazione delle necessarie contromisure in maniera automatica e/o tramite l’intervento di un operatore. Dichiarazione Fornitore SaaS Verifica tecnica (se prevista)
RS19 Le informazioni relative alle problematiche occorse devono essere registrate, insieme alle attività poste in essere per rimediarvi, e devono essere messe a disposizione degli acquirenti dei servizi. Dichiarazione Fornitore SaaS Verifica tecnica (se prevista)
RS20 Qualora le risorse IaaS/PasS, i dati e/o i software ospitati, oppure le loro configurazioni dovessero risultare alterati o utilizzati impropriamente a seguito di un incidente di sicurezza occorre mettere in atto le opportune attività di security assessment and audit prima di porre il servizio nuovamente in esercizio, al fine di valutare lo stato complessivo della sicurezza e la possibilità di procedere con l’utilizzo del servizio in modo protetto e sicuro. Dichiarazione Fornitore SaaS
RS21 Il Fornitore SaaS deve documentare le attività sulle patch di sicurezza applicate, relative a aggiornamenti del software, alle procedure e politiche di sicurezza, rendendo disponibile tale documentazione agli acquirenti dei servizi per la consultazione. Dichiarazione Fornitore SaaS Verifica documentale
Downloads
pdf
htmlzip
epub
torna all'inizio dei contenuti