CSA Consensus Assessments Initiative Questionnaire - BLU-IT S.R.L. 23/10/2019
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
CSA Consensus Assessments Initiative Questionnaire BLU-IT S.R.L. 23/10/2019
CSA Consensus Assessments Initiative Questionnaire
Control Domain Question ID Consensus Assessment Questions BLU-IT
Application & AIS-01.1 Do you use industry standards (Build BLU-IT sviluppa il proprio
Interface Security in Maturity Model [BSIMM] software internamente e
Security benchmarks, Open Group ACS attraverso partner ai quali
Application Trusted Technology Provider viene richiesta
Security Framework, NIST, etc.) to build in contrattualmente
security for your Systems/Software l'implementazione delle più
Development Lifecycle (SDLC)? attuali best-practices.
AIS-01.2 Do you use an automated source Vengono periodicamente
code analysis tool to detect security svolti controlli e, dove
defects in code prior to production? possibile, usati strumenti di
verifica automatica del
AIS-01.3 Do you use manual source-code software prima della messa in
analysis to detect security defects in produzione. Il software SaaS
code prior to production? viene verificato con strumenti
per la verifica di vulnerabilità
AIS-01.4 Do you verify that all of your
prima della distribuzione.
software suppliers adhere to
industry standards for
Systems/Software Development
Lifecycle (SDLC) security?
AIS-01.5 (SaaS only) Do you review your
applications for security
vulnerabilities and address any
issues prior to deployment to
production?
Application & AIS-02.1 Are all identified security, I clienti BLU.IT utilizzano il
Interface contractual, and regulatory software secondo le modalità
Security requirements for customer access indicate dalla legge e
Customer contractually addressed and utilizzando le funzionalità
Access remediated prior to granting indicate nei bandi di gara
Requirements customers access to data, assets, pubblici a cui BLU.IT partecipa.
and information systems? BLU.IT compie sempre un
AIS- 02.2 Are all requirements and trust levels periodo di formazione sugli
for customers’ access defined and operatori a cui fornisce in
documented? utilizzo il proprio software e
mette a disposizione la
necessaria documentazione.
Application & AIS-03.1 Are data input and output integrity Le procedure di caricamento
Interface routines (i.e., reconciliation and edit ed elaborazione dei dati
Security checks) implemented for application prevedono, ove possibile,
Data Integrity interfaces and databases to prevent controlli incrociati per
manual or systematic processing minimizzare eventuali errori di
errors or corruption of data? inserimento manuale dei dati.
Le routine di caricamento
massivo di dati evitano
P a g . 1 | 37CSA Consensus Assessments Initiative Questionnaire
l'accesso diretto ai database e
attraversano sempre
procedure collaudate e non
manipolabili da operatori.
Application & AIS-04.1 Is your Data Security Architecture L'infrastruttura è collocata
Interface designed using an industry standard completamente su datacenter
Security (e.g., CDSA, MULITSAFE, CSA Trusted ORACLE e ne sfrutta il più
Data Security / Cloud Architectural Standard, possibile le modalità di
Integrity FedRAMP, CAESARS)? protezione. L'accesso pubblico
agli applicativi non è
consentito e viene sempre
concordata con l'utilizzatore la
modalità di accesso al
datacenter.
Audit AAC-01.1 Do you produce audit assertions BLU.IT monitora l'utilizzo dei
Assurance & using a structured, industry accepted sistemi attraverso strumenti
Compliance format (e.g., CloudAudit/A6 URI disponibili sul mercato e, in
Audit Planning Ontology, CloudTrust, SCAP/CYBEX, accordo con i clienti, può
GRC XML, ISACA's Cloud Computing fornire reportistica
Management Audit/Assurance standardizzata sull'utilizzo dei
Program, etc.)? sistemi.
Audit AAC-02.1 Do you allow tenants to view your BLU.IT sfrutta i sistemi di
Assurance & SOC2/ISO 27001 or similar third- protezione del sistema
ComplianceInde party audit or certification reports? ORACLE per mantenere chiuso
pendent Audits il proprio datacenter rispetto
AAC-02.2 Do you conduct network penetration al mondo Internet. Il sistema
tests of your cloud service svolge autonomamente
infrastructure regularly as prescribed continui controlli di sicurezza
by industry best practices and e la reportistica pubblica viene
guidance? periodicamente verificata.
AAC-02.3 Do you conduct application Sugli indirizzi abilitati a
penetration tests of your cloud ricevere connessioni
infrastructure regularly as prescribed dall'esterno, e comunque
by industry best practices and sempre dai soli clienti,
guidance? vengono regolarmente svolti
AAC-02.4 Do you conduct internal audits test di sicurezza attraverso
regularly as prescribed by industry strumenti standard e di terze
best practices and guidance? parti. Ai clienti che ne fanno
AAC-02.5 Do you conduct external audits richiesta viene fornita la
regularly as prescribed by industry documentazione riguardante i
best practices and guidance? test di sicurezza.
AAC-02.6 Are the results of the penetration
tests available to tenants at their
request?
P a g . 2 | 37CSA Consensus Assessments Initiative Questionnaire
AAC-02.7 Are the results of internal and
external audits available to tenants
at their request?
AAC-02.8 Do you have an internal audit
program that allows for cross-
functional audit of assessments?
Audit AAC-03.1 Do you have the ability to logically I clienti hanno la proprietà dei
Assurance & segment or encrypt customer data dati e l'accesso agli stessi è
Compliance such that data may be produced for rigorosamente isolato. Per i
Information a single tenant only, without clienti che ne fanno richiesta è
System inadvertently accessing another possibile attivare sistemi di
Regulatory tenant's data? crittografia a vari livelli. I file
Mapping AAC-03.2 Do you have the capability to documentali sono mantenuti
recover data for a specific customer in aree separate per ogni
in the case of a failure or data loss? cliente e classificati
opportunamente attraverso il
AAC-03.3 Do you have the capability to restrict supporto di specifici database
the storage of customer data to o sistemi documentali
specific countries or geographic avanzati. Sfruttando le
locations? possibilità fornite dal
AAC-03.4 Do you have a program in place that datacenter è possibile limitare
includes the ability to monitor geograficamente l'accesso alle
changes to the regulatory risorse nelle aree previste dal
requirements in relevant sistema ORACLE. L'ipotesi di
jurisdictions, adjust your security data loss è ridotta al minimo
program for changes to legal appoggiandosi alle politiche di
requirements, and ensure sicurezza del datacenter e
compliance with relevant regulatory creando ulteriori copie di
requirements? backup. I termini di ripristino
in caso di data loss sono
regolati contrattualmente con
i singoli clienti. BLU.IT utilizza
consulenti esterni per
monitorare le variazioni
normative con continuità.
Business BCR-01.1 Do you provide tenants with I datacenter usati da BLU.IT
Continuity geographically resilient hosting sono costruiti in cluster in
Management & options? modo da fornire nativamente
Operational BCR-01.2 Do you provide tenants with sia la certezza della
Resilience infrastructure service failover localizzazione territoriale sia le
Business capability to other providers? capacità di "service failover"
Continuity verso altre aree del cluster.
Planning
P a g . 3 | 37CSA Consensus Assessments Initiative Questionnaire
Business BCR-02.1 Are business continuity plans subject Le procedure previste da
Continuity to testing at planned intervals or ORACLE nelle proprie
Management & upon significant organizational or certificazioni garantiscono la
Operational environmental changes to ensure ragionevole continuità
ResilienceBusin continuing effectiveness? operativa del datacenter. Le
ess Continuity procedure per mantenere in
Testing funzione i programmi sono
garantite attraverso l’utilizzo
del personale interno di
BLU.IT e i contratti di
assistenza fra BLU.IT e i propri
fornitori di software e servizi
sistemici in grado di coprire
tutte le ore di disponibilità del
servizio.
Business BCR-03.1 Do you provide tenants with BLU.IT può fornire ai propri
Continuity documentation showing the clienti documentazione
Management & transport route of their data riguardante la localizzazione
Operational between your systems? geografica dei datacenter e
Resilience BCR-03.2 Can tenants define how their data is dei propri uffici nei quali
Power / transported and through which legal vengano eventualmente
Telecommunica jurisdictions? svolte attività di supporto a
tions richiesta. BLU.IT è sempre in
grado di fornire il percorso dei
dati attraverso i propri sistemi
e determinare con il cliente
eventuali modalità di
interfacciamento con sistemi
esterni.
Business BCR-04.1 Are information system documents I soggetti tecnici interessati
Continuity (e.g., administrator and user guides, all'interno dell'infrastruttura
Management & architecture diagrams, etc.) made BLU.IT hanno a disposizione
Operational available to authorized personnel to tutta la necessaria
Resilience ensure configuration, installation documentazione per la
Documentation and operation of the information manutenzione del datacenter
system? per quanto di competenza.
Business BCR-05.1 Is physical protection against I datacenter utilizzati da
Continuity damage (e.g., natural causes, natural BLU.IT dispongono di
Management & disasters, deliberate attacks) protezioni fisiche verso i rischi
Operational anticipated and designed with ambientali certificate da
Resilience countermeasures applied? auditor esterni.
Environmental
Risks
P a g . 4 | 37CSA Consensus Assessments Initiative Questionnaire
Business BCR-06.1 Are any of your data centers located
Continuity in places that have a high
Management & probability/occurrence of high-
Operational impact environmental risks (floods,
Resilience tornadoes, earthquakes, hurricanes,
Equipment etc.)?
Location
Business BCR-07.1 If using virtual infrastructure, does BLU.IT può sfruttare le
Continuity your cloud solution include possibilità offerte
Management & independent hardware restore and dall'infrastruttura di servizi
Operational recovery capabilities? ORACLE per offrire, a richiesta
Resilience BCR-07.2 If using virtual infrastructure, do you del cliente, punti di ripristino
Equipment provide tenants with a capability to particolari o snapshot delle
Maintenance restore a Virtual Machine to a informazioni. Il cliente deve
previous state in time? sempre concordare
preventivamente con BLU.IT la
BCR-07.3 If using virtual infrastructure, do you
possibilità di disporre di
allow virtual machine images to be
snapshot periodici. In casi
downloaded and ported to a new
particolari, e sotto precisi
cloud provider?
accordi contrattuali, BLU.IT
BCR-07.4 If using virtual infrastructure, are
può consentire di scaricare le
machine images made available to
macchine virtuali sulle quali i
the customer in a way that would
propri sistemi vengono forniti.
allow the customer to replicate
Su richiesta vengono tuttavia
those images in their own off-site
forniti i contenuti delle
storage location?
macchine virtuali sotto forma
BCR-07.5 Does your cloud solution include di file e tabelle.
software/provider independent
restore and recovery capabilities?
Business BCR-08.1 Are security mechanisms and BLU.IT sfrutta tutte le
Continuity redundancies implemented to protezioni del datacenter
Management & protect equipment from utility ORACLE, che rispecchiano i più
Operational service outages (e.g., power failures, alti standard di sicurezza. La
ResilienceEquip network disruptions, etc.)? documentazione relativa è
ment Power disponibile pubblicamente.
Failures
Business BCR-09.1 Do you provide tenants with ongoing BLU.IT può fornire ai propri
Continuity visibility and reporting of your clienti tutte le statistiche di
Management & operational Service Level Agreement utilizzo dei propri sistemi in
Operational (SLA) performance? datacenter e in aggiunta
Resilience BCR-09.2 Do you make standards-based comunica tempestivamente ai
Impact Analysis information security metrics (CSA, propri clienti eventuali
CAMM, etc.) available to your interruzioni nel regolare
tenants? funzionamento dei software o
BCR-09.3 Do you provide customers with interventi programmati. Gli
ongoing visibility and reporting of SLA sono sempre stabiliti
your SLA performance? contrattualmente con il
P a g . 5 | 37CSA Consensus Assessments Initiative Questionnaire
cliente, il quale ne richiede
visibilità secondo quanto
contrattualmente concordato
caso per caso.
Business BCR-10.1 Are policies and procedures BLU.IT dispone di procedure
Continuity established and made available for interne per la
Management & all personnel to adequately support regolamentazione dei ruoli e
Operational services operations’ roles? dei compiti degli incaricati
Resilience interni ed esterni alla
Policy manutenzione dei software.
Attraverso una intranet
aziendale, regolamentata
secondo quanto descritto
nelle proprie certificazioni ISO,
BLU.IT diffonde al personale
incaricato le istruzioni e le
modalità di comportamento.
BLU.IT tiene inoltre
regolarmente corsi specifici al
personale.
Business BCR-11.1 Do you have technical control Le modalità di tenuta dei dati
Continuity capabilities to enforce tenant data e le possibilità di cancellazione
Management & retention policies? sono regolamentate, vista la
Operational BCR-11.2 Do you have a documented specificità della materia
Resilience procedure for responding to trattata, da specifiche norme.
Retention Policy requests for tenant data from I clienti, di conseguenza,
governments or third parties? hanno solo limitate possibilità
BCR-11.4 Have you implemented backup or di cancellazione completa dei
redundancy mechanisms to ensure dati e il software garantisce
compliance with regulatory, che eventuali cancellazioni
statutory, contractual or business avvengano secondo la
requirements? normativa. È responsabilità
BCR-11.5 Do you test your backup or del cliente gestire
redundancy mechanisms at least correttamente i propri dati ed
annually? evitare perdite dovute ad un
utilizzo non corretto del
software. In casi specifici in cui
sia richiesto il recupero di
informazioni, BLU.IT è in grado
di ripristinare situazioni
passate secondo periodicità
predefinite. Le procedure di
backup vengono regolarmente
testate e i risultati annotati in
appositi registri.
P a g . 6 | 37CSA Consensus Assessments Initiative Questionnaire
Change Control CCC-01.1 Are policies and procedures Ogni aggiornamento o
& Configuration established for management integrazione ai sistemi deve
Management authorization for development or essere approvato da diversi
New acquisition of new applications, team di sviluppo e supporto
Development / systems, databases, infrastructure, sistemistico, sia interni che
Acquisition services, operations and facilities? esterni e deve essere
CCC-01.2 Is documentation available that compliant con gli standard del
describes the installation, data center ORACLE. BLU.IT
configuration, and use of traccia dettagliatamente gli
products/services/features? aggiornamenti attraverso un
workflow di documentazione
e approvazione interno.
L'approvazione finale delle
modifiche è sempre
demandata a personale con
competenze nelle aree
interessate dalla modifica
stessa (area contabile, area
legale, area organizzativa,
area medica).
Change Control CCC-02.1 Do you have controls in place to Gli standard qualitativi
& Configuration ensure that standards of quality are vengono valutati
Management being met for all software periodicamente, in particolare
Outsourced development? verificando la compliance
Development CCC-02.2 Do you have controls in place to rispetto alle normative e alle
detect source code security defects indicazioni emanate dagli enti
for any outsourced software preposti. Le richieste di
development activities? variazioni finalizzate a
miglioramenti qualitativi sono
documentate e motivate in
apposita documentazione
interna che deve essere
approvata dai settori aziendali
coinvolti. BLU.IT dispone di
consulenti che svolgono
continui controlli sulle
procedure, lavorando anche in
contatto diretto con i clienti.
Ogni problematica individuata
viene tracciata in un apposito
sistema di database e la
risoluzione viene
documentata.
Change Control CCC-03.1 Do you provide your tenants with La documentazione tecnica è
& Configuration documentation that describes your disponibile per i clienti in casi
quality assurance process? particolari, quando questo si
P a g . 7 | 37CSA Consensus Assessments Initiative Questionnaire
ManagementQ CCC-03.2 Is documentation describing known renda necessario. In aggiunta i
uality Testing issues with certain products/services clienti hanno accesso diretto
available? al sistema di assistenza e
hanno la possibilità di
segnalare e monitorare
eventuali difetti.
CCC-03.3 Are there policies and procedures in BLU.IT dispone di personale,
place to triage and remedy reported non dedicato allo sviluppo del
bugs and security vulnerabilities for software, con il compito di
product and service offerings? verificare il software prodotto
prima e dopo il rilascio. Lo
CCC-03.4 Are mechanisms in place to ensure
stesso personale si occupa di
that all debugging and test code
tracciare i bug segnalati su un
elements are removed from released
apposito sistema e di fornire
software versions?
al cliente il tracciamento della
risoluzione. Su richiesta è
possibile fornire al cliente
accesso diretto al tracking
della risoluzione problemi.
Change Control CCC-04.1 Do you have controls in place to I sistemi messi a disposizione
& Configuration restrict and monitor the installation dei clienti sono installati su
Management of unauthorized software onto your macchine virtuali controllate
Unauthorized systems? da politiche di dominio
Software restrittive e sulle quali sono
Installations installati sia sistemi antivirus
che sistemi di audit degli
accessi di terze parti. In
aggiunta l'accesso a queste
macchine in ambiente di
produzione è limitato ad un
numero molto ristretto di
tecnici e sempre attraverso
canali criptati. Ove possibile la
connessione delle macchine è
limitata al minimo e gli
ambienti di datacenter non
sono pubblicati all'esterno.
Change Control CCC-05.1 Do you provide tenants with Tutte le modifiche apportate
& Configuration documentation that describes your ai sistemi devono attraversare
Management production change management un processo di approvazione
Production procedures and their regolamentato da uno
Changes roles/rights/responsibilities within specifico software di
it? tracciamento. Solo le
modifiche che superano l'iter
vengono sviluppate e arrivano
in produzione. L'iter di
approvazione include anche
personale specializzato nelle
P a g . 8 | 37CSA Consensus Assessments Initiative Questionnaire
aree di competenza sulle quali
la modifica impatta (area
contabile, area legale, area
amministrativa, area tecnica,
area medica). La
documentazione di ogni
modifica è disponibile ai
clienti sotto forma di
documentazione d'uso che
descrive le corrette modalità
di utilizzo.
Data Security & DSI-01.1 Do you provide a capability to Le singole virtual machine
Information identify virtual machines via policy sono classificate e assegnate
Lifecycle tags/metadata (e.g., tags can be ai singoli repository in modo
Management used to limit guest operating da poterli identificare e
Classification systems from associare ai clienti. È possibile,
booting/instantiating/transporting se richiesto, limitare l'accesso
data in the wrong country)? geografico ai servizi secondo
DSI-01.2 Do you provide a capability to le possibilità fornite dal
identify hardware via policy datacenter ORACLE. La
tags/metadata/hardware tags (e.g., localizzazione fisica delle
TXT/TPM, VN-Tag, etc.)? risorse è sempre disponibile.
DSI-01.3 Do you have a capability to use
system geographic location as an
authentication factor?
DSI-01.4 Can you provide the physical
location/geography of storage of a
tenant’s data upon request?
DSI-01.5 Can you provide the physical
location/geography of storage of a
tenant's data in advance?
DSI-01.6 Do you follow a structured data-
labeling standard (e.g., ISO 15489,
Oasis XML Catalog Specification, CSA
data type guidance)?
DSI-01.7 Do you allow tenants to define
acceptable geographical locations
for data routing or resource
instantiation?
Data Security & DSI-02.1 Do you inventory, document, and I dati sono residenti su
Information maintain data flows for data that is datacenter in specifiche aree
Lifecycle resident (permanent or temporary) geografiche e non vengono
Management within the services' applications and spostati da quelle aree. Nel
infrastructure network and systems? caso in cui, per ragioni di
P a g . 9 | 37CSA Consensus Assessments Initiative Questionnaire
Data Inventory DSI-02.2 Can you ensure that data does not manutenzione o di
/ Flows migrate beyond a defined organizzazione dei datacenter,
geographical residency? dovesse rendersi necessario
spostare i dati, BLU.IT
procederebbe a informare i
propri clienti sulla nuova
collocazione dei datacenter e
sulle procedure eseguite.
Data Security & DSI-03.1 Do you provide open encryption L'accesso ai datacenter è
Information methodologies (3.4ES, AES, etc.) to consentito solamente
Lifecycle tenants in order for them to protect attraverso connessioni
Management their data if it is required to move criptate che utilizzano
E-commerce through public networks (e.g., the standard aperti. I clienti
Transactions Internet)? possono richiedere differenti
DSI-03.2 Do you utilize open encryption modalità di collegamento a
methodologies any time your seconda dei servizi e delle
infrastructure components need to proprie infrastrutture. BLU.IT
communicate with each other via consente e garantisce
public networks (e.g., Internet-based solamente comunicazioni su
replication of data from one reti pubbliche che avvengano
environment to another)? attraverso protocolli
crittografati.
Data Security & DSI-04.1 Are policies and procedures Tutte le macchine virtuali, i
Information established for labeling, handling database e i repository di
Lifecycle and the security of data and objects documenti sono classificati e
Management that contain data? riconducibili ai clienti che li
Handling / DSI-04.2 Are mechanisms for label hanno in utilizzo.
Labeling / inheritance implemented for objects
Security Policy that act as aggregate containers for
data?
Data Security & DSI-05.1 Do you have procedures in place to I contratti di fornitura e
Information ensure production data shall not be manutenzione che BLU.IT
Lifecycle replicated or used in non-production stipula con i propri partner
Management environments? prevedono rigide regole
Nonproduction riguardo la protezione dei
Data dati. Gli ambienti di sviluppo e
test non sono ricavati da
database di produzione e non
contengono i dati relativi a
clienti reali. BLU.IT verifica,
attraverso l'ufficio interno
preposto, che opera
indipendentemente dai gruppi
di sviluppo, che le regole
contrattualizzate riguardanti
la privacy vengano rispettate.
P a g . 10 | 37CSA Consensus Assessments Initiative Questionnaire
Data Security & DSI-06.1 Are the responsibilities regarding BLU.IT comunica ai propri
Information data stewardship defined, assigned, clienti le modalità di
Lifecycle documented, and communicated? trattamento interno dei dati. I
Management clienti che utilizzano sistemi
Ownership / BLU.IT in modalità SaaS sono i
Stewardship proprietari dei dati e
concordano con BLU.IT le
modalità di verifica delle
procedure.
Data Security & DSI-07.1 Do you support secure deletion (e.g., BLU.IT utilizza sistemi
Information degaussing/cryptographic wiping) of hardware acquisiti attraverso
Lifecycle archived and backed-up data as il datacenter ORACLE. Il
Management determined by the tenant? datacenter ORACLE utilizza e
Secure Disposal certifica le tecniche
DSI-07.2 Can you provide a published
dettagliate nella specifica NIST
procedure for exiting the service
800-88. La relativa
arrangement, including assurance to
documentazione è disponibile
sanitize all computing resources of
sul sito del fornitore ORACLE.
tenant data once a customer has
Le macchine virtuali utilizzate
exited your environment or has
sono installate su volumi
vacated a resource?
criptati.
Datacenter DCS-01.1 Do you maintain a complete BLU.IT mantiene elenchi degli
Security inventory of all of your critical assets asset impiegati in tutto il ciclo
Asset that includes ownership of the di fornitura del sistema SaaS,
Management asset? incluse le risorse software.
DCS-01.2 Do you maintain a complete
inventory of all of your critical
supplier relationships?
Datacenter DCS-02.1 Are physical security perimeters L'intero trattamento dei dati
Security (e.g., fences, walls, barriers, guards, utilizzati da BLU.IT avviene
Controlled gates, electronic surveillance, all'interno del datacenter
Access Points physical authentication mechanisms, ORACLE, che implementa le
reception desks, and security necessarie misure di sicurezza
patrols) implemented? fisica.
Datacenter DCS-03.1 Is automated equipment ORACLE gestisce la procedura
Security identification used as a method to in accordo alla propria
Equipment validate connection authentication conformità ISO 27001.
Identification integrity based on known equipment
location?
Datacenter DCS-04.1 Do you provide tenants with Nel caso in cui i dati dovessero
Security documentation that describes essere spostati attraverso
Offsite scenarios in which data may be differenti aree fisiche, BLU.IT
Authorization moved from one physical location to provvede ad informare i clienti
another (e.g., offsite backups, delle modalità e del nuovo
business continuity failovers, posizionamento.
replication)?
P a g . 11 | 37CSA Consensus Assessments Initiative Questionnaire
Datacenter DCS-05.1 Can you provide tenants with BLU.IT utilizza, in remoto,
Security evidence documenting your policies sistemi fisici nel datacenter
Offsite and procedures governing asset ORACLE per lo svolgimento
Equipment management and repurposing of delle attività. Per i terminali
equipment? locali, viene applicata una
politica di classificazione e
dismissione degli apparati
aderente alla politica parte
della certificazione
dell'azienda.
Datacenter DCS-06.1 Can you provide evidence that BLU.IT dispone di un sistema
Security policies, standards, and procedures interno di diffusione delle
Policy have been established for indicazioni comportamentali e
maintaining a safe and secure delle politiche nei confronti
working environment in offices, del personale. BLU.IT svolge
rooms, facilities, and secure areas? periodicamente corsi di
DCS-06.2 Can you provide evidence that your aggiornamento del personale
personnel and involved third parties in accordo alle proprie
have been trained regarding your certificazioni ISO.
documented policies, standards, and
procedures?
Datacenter DCS-07.1 Do you allow tenants to specify BLU.IT mantiene i dati in
Security which of your geographic locations un'unica area geografica,
Secure Area their data is allowed to move rispettando le attuali
Authorization into/out of (to address legal normative riguardanti il
jurisdictional considerations based posizionamento dei dati per la
on where data is stored vs. Pubblica Amministrazione.
accessed)?
Datacenter DCS-08.1 Are ingress and egress points, such L'accesso agli uffici BLU.IT è
SecurityUnauth as service areas and other points privato e rigorosamente
orized Persons where unauthorized personnel may controllato. Eventuale
Entry enter the premises, monitored, personale esterno può
controlled and isolated from data accedere ai locali solo se
storage and process? accompagnato da un
Datacenter DCS-09.1 Do you restrict physical access to operatore BLU.IT che lo
Security information assets and functions by accompagna per tutta la
User Access users and support personnel? durata dell'intervento.
Encryption & EKM-01.1 Do you have key management Nei casi in cui vengano
Key policies binding keys to identifiable utilizzate chiavi di crittografia
Management owners? specifiche per cliente, le chiavi
Entitlement vengono fornite al cliente
stesso.
Encryption & EKM-02.1 Do you have a capability to allow Per quanto riguarda tutta
Key creation of unique encryption keys l'area documentale, per ogni
per tenant? cliente possono essere create
P a g . 12 | 37CSA Consensus Assessments Initiative Questionnaire
Management EKM-02.2 Do you have a capability to manage su richiesta chiavi di
Key Generation encryption keys on behalf of crittografie distinte. Per
tenants? quanto riguarda i database, su
EKM-02.3 Do you maintain key management richiesta del cliente può
procedures? essere creata una specifica
EKM-02.4 Do you have documented ownership istanza con crittografia
for each stage of the lifecycle of riservata. Le chiavi di
encryption keys? crittografia vengono gestite
EKM-02.5 Do you utilize any third party/open attraverso l'infrastruttura resa
source/proprietary frameworks to disponibile da ORACLE.
manage encryption keys?
Encryption & EKM-03.1 Do you encrypt tenant data at rest Tutte le comunicazioni che
Key (on disk/storage) within your trasportino dati dei clienti
Management environment? avvengono su canali criptati.
Encryption EKM-03.2 Do you leverage encryption to Vengono utilizzate tecnologie
protect data and virtual machine che implementano protocolli
images during transport across and IPSec oppure comunicazioni
between networks and hypervisor su canali in VPN verso i clienti.
instances? Il cliente può richiedere
EKM-03.3 Do you support tenant-generated l'accesso ai sistemi indicando il
encryption keys or permit tenants to proprio IP pubblico e
encrypt data to an identity without utilizzando protocolli HTTPS o
access to a public key certificate RDP protetto con SSL/TLS.
(e.g., identity-based encryption)? BLU.IT classifica i propri clienti
secondo le modalità di
EKM-03.4 Do you have documentation
accesso e conserva
establishing and defining your
documentazione riguardanti le
encryption management policies,
specifiche di connettività per
procedures, and guidelines?
ognuno. BLU.IT non consente
l'accesso ai sistemi da reti
pubbliche senza i requisiti di
crittografia necessari.
Encryption & EKM-04.1 Do you have platform and data I canali crittografati stabiliti
Key appropriate encryption that uses con i clienti si basano su
Management open/validated formats and tecnologie rese disponibili sul
Storage and standard algorithms? datacenter ORACLE. A
Access EKM-04.2 Are your encryption keys maintained seconda dei casi, le chiavi di
by the cloud consumer or a trusted crittografia sono disponibili sui
key management provider? gestori di chiavi predisposti da
ORACLE, oppure nelle
EKM-04.3 Do you store encryption keys in the macchine virtuali che
cloud? gestiscono gli accessi in VPN.
EKM-04.4 Do you have separate key Queste non sono accessibili
management and key usage duties? dai clienti e sono a loro volta
residenti su filesystem
crittografati. BLU.IT non può
ricostruire le chiavi di
P a g . 13 | 37CSA Consensus Assessments Initiative Questionnaire
crittografia eventualmente
consegnate ai clienti.
Governance GRM-01.1 Do you have documented L'infrastruttura è
and Risk information security baselines for documentata e monitorata sia
ManagementBa every component of your attraverso strumenti resi
seline infrastructure (e.g., hypervisors, disponibili da ORACLE, sia
Requirements operating systems, routers, DNS attraverso strumenti interni,
servers, etc.)? sia proprietari che
GRM-01.2 Do you have the capability to commerciali. Ai clienti non è
continuously monitor and report the consentita l'installazione di
compliance of your infrastructure nulla sul datacenter.
against your information security
baselines?
GRM-01.3 Do you allow your clients to provide
their own trusted virtual machine
image to ensure conformance to
their own internal standards?
Governance GRM-02.1 Do you provide security control Ai clienti può essere reso
and Risk health data in order to allow tenants disponibile un pannello di
Management to implement industry standard monitoraggio indicante lo
Risk Continuous Monitoring (which stato di funzionamento dei
Assessments allows continual tenant validation of servizi. Il pannello riporta
your physical and logical control informazioni riguardanti
status)? l'efficienza complessiva del
sistema, noni dettagli delle
cause di eventuali interruzioni.
GRM-02.2 Do you conduct risk assessments I controlli di vulnerabilità
associated with data governance vengono condotti con
requirements at least once a year? frequenza mensile da
strutture interne e
annualmente da strutture
esterne all'azienda.
Governance GRM-03.1 Are your technical, business, and L'azienda provvede alla
and Risk executive managers responsible for formazione del proprio
Management maintaining awareness of and personale e mantiene una
Management compliance with security policies, struttura interna dedicata alla
Oversight procedures, and standards for both verifica della compliance alle
themselves and their employees as politiche di sicurezza.
they pertain to the manager and L'azienda si avvale inoltre di
employees' area of responsibility? aziende esterne per la verifica
delle aree di responsabilità.
Governance GRM-04.1 Do you provide tenants with L'azienda provvede alla
and Risk documentation describing your revisione periodica delle
Management Information Security Management proprie politiche di sicurezza.
Program (ISMP)? Su richiesta dei clienti, questi
P a g . 14 | 37CSA Consensus Assessments Initiative Questionnaire
Management GRM-04.2 Do you review your Information possono essere messi a
Program Security Management Program conoscenza delle politiche in
(ISMP) at least once a year? vigore e richiedere specifiche
verifiche.
Governance GRM-05.1 Do you ensure your providers I contratti con i fornitori
and Risk adhere to your information security prevedono specifiche clausole
Management and privacy policies? riguardanti il rispetto delle
Management normative sulla privacy. BLU.IT
Support / compie direttamente controlli,
Involvement attraverso uno specifico
ufficio interno, sulle attività
dei fornitori.
Governance GRM-06.1 Do your information security and I contratti con i fornitori
and Risk privacy policies align with industry prevedono specifiche clausole
Management standards (ISO-27001, ISO-22307, riguardanti il rispetto delle
Policy CoBIT, etc.)? normative sulla privacy. BLU.IT
GRM-06.2 Do you have agreements to ensure compie direttamente controlli,
your providers adhere to your attraverso uno specifico
information security and privacy ufficio interno, sulle attività
policies? dei fornitori. Su richiesta dei
GRM-06.3 Can you provide evidence of due clienti BLU.IT può rendere
diligence mapping of your controls, disponibili le proprie modalità
architecture, and processes to di verifica di aderenza agli
regulations and/or standards? standard.
GRM-06.4 Do you disclose which controls,
standards, certifications, and/or
regulations you comply with?
Governance GRM-07.1 Is a formal disciplinary or sanction Ai dipendenti ed ai fornitori
and Risk policy established for employees vengono comunicate le
Management who have violated security policies politiche di sicurezza e i
Policy and procedures? contratti prevedono specifiche
Enforcement clausole. I dipendenti e i
GRM-07.2 Are employees made aware of what
fornitori sono soggetti a
actions could be taken in the event
sanzioni secondo quanto
of a violation via their policies and
regolamentato dalle
procedures?
normative vigenti e dagli
accordi contrattuali.
Governance GRM-08.1 Do risk assessment results include Il documento di valutazione
and Risk updates to security policies, dei rischi viene rinnovato
Management procedures, standards, and controls annualmente e rivalutato al
Business / to ensure they remain relevant and fine di rimanere valido.
Policy Change effective?
Impacts
Governance GRM-09.1 Do you notify your tenants when you Le politiche vengono
and Risk make material changes to your revisionate ogni anno al fine di
Management information security and/or privacy garantire standard di sicurezza
Policy Reviews policies? sempre maggiori. I clienti
P a g . 15 | 37CSA Consensus Assessments Initiative Questionnaire
GRM-09.2 Do you perform, at minimum, annual vengono informati nel caso in
reviews to your privacy and security cui vengano apportate
policies? modifiche che coinvolgano la
loro specifica operatività sui
sistemi oppure che
comportino lo spostamento di
dati su differenti sistemi al di
fuori del datacenter.
Governance GRM-10.1 Are formal risk assessments aligned Il piano di gestione dei rischi è
and Risk with the enterprise-wide framework sviluppato da un'azienda
Management and performed at least annually, or esterna, la quale individua le
Assessments at planned intervals, determining the minacce residue dopo il piano
likelihood and impact of all identified di mitigazione annuale. Il
risks, using qualitative and rischio residuo è determinato
quantitative methods? internamente valutando le
GRM-10.2 Is the likelihood and impact probabilità di accadimento e
associated with inherent and la gravità della minaccia.
residual risk determined
independently, considering all risk
categories (e.g., audit results, threat
and vulnerability analysis, and
regulatory compliance)?
Governance GRM-11.1 Do you have a documented, Il programma per la gestione
and Risk organization-wide program in place dei rischi prevede l'utilizzo di
Management to manage risk? documentazione interna, resa
Program GRM-11.2 Do you make available disponibile ai soggetti
documentation of your organization- interessati dai piani di
wide risk management program? contromisure.
Human HRS-01.1 Are systems in place to monitor for BLU.IT utilizza strumenti sul
Resources privacy breaches and notify tenants mercato per l'identificazione
Asset Returns expeditiously if a privacy event may di comportamenti anomali,
have impacted their data? per loggare l'accesso ai dati e
ai file e per tracciare anomalie
HRS-01.2 Is your Privacy Policy aligned with
nei comportamenti degli
industry standards?
operatori.
Human HRS-02.1 Pursuant to local laws, regulations, BLU.IT svolge, nei limiti
ResourcesBackg ethics, and contractual constraints, consentiti dalle normative,
round are all employment candidates, controlli sui propri fornitori e
Screening contractors, and involved third dipendenti.
parties subject to background
verification?
Human HRS-03.1 Do you specifically train your BLU.IT svolge corsi interni
Resources employees regarding their specific documentati riguardanti le
Employment role and the information security politiche di sicurezza adottate.
Agreements controls they must fulfill? L'esito dei corsi è tracciato
P a g . 16 | 37CSA Consensus Assessments Initiative Questionnaire
HRS-03.2 Do you document employee attraverso sistemi automatici.
acknowledgment of training they I dipendenti ed i fornitori sono
have completed? tenuti a firmare specifici
HRS-03.3 Are all personnel required to sign accordi di riservatezza.
NDA or Confidentiality Agreements
as a condition of employment to
protect customer/tenant
information?
HRS-03.4 Is successful and timed completion
of the training program considered a
prerequisite for acquiring and
maintaining access to sensitive
systems?
HRS-03.5 Are personnel trained and provided
with awareness programs at least
once a year?
Human HRS-04.1 Are documented policies, BLU.IT implementa procedure
Resources procedures, and guidelines in place per il cambio di mansione,
Employment to govern change in employment l'interruzione della
Termination and/or termination? collaborazione e per eventuali
HRS-04.2 Do the above procedures and sospensioni degli incarichi. Le
guidelines account for timely procedure prevedono l'utilizzo
revocation of access and return of di software di workflow e
assets? documentazione interna per
l'approvazione, il
tracciamento e la verifica delle
corrette riassegnazioni dei
privilegi sui sistemi.
Human HRS-05.1 Are policies and procedures I dati specifici dei clienti non
Resources established and measures sono disponibili localmente su
Portable / implemented to strictly limit access sistemi mobili. I sistemi mobili
Mobile Devices to your sensitive data and tenant possono accedere al
data from portable and mobile datacenter solamente tramite
devices (e.g., laptops, cell phones, VPN le cui credenziali sono
and personal digital assistants specifiche per utente. Sui
(PDAs)), which are generally higher- dispositivi portatili, dove
risk than non-portable devices (e.g., possibile, sono implementati
desktop computers at the provider meccanismi di crittografia dei
organization’s facilities)? dischi rigidi.
Human HRS-06.1 Are requirements for non-disclosure BLU.IT dispone di un ufficio
Resources or confidentiality agreements legale interno e di consulenti
Non-Disclosure reflecting the organization's needs esterni che rivedono
Agreements for the protection of data and periodicamente la conformità
operational details identified, delle politiche implementate
documented, and reviewed at con le normative.
planned intervals?
P a g . 17 | 37CSA Consensus Assessments Initiative Questionnaire
Human HRS-07.1 Do you provide tenants with a role In fase di contrattualizzazione
Resources definition document clarifying your con il cliente possono essere
Roles / administrative responsibilities versus forniti documenti riguardanti
Responsibilities those of the tenant? la struttura interna e le
responsabilità delle varie
funzioni.
Human HRS-08.1 Do you provide documentation Le modalità di accesso ai dati
ResourcesAccep regarding how you may access del cliente da parte di BLU.IT
table Use tenant data and metadata? sono esplicate nei documenti
HRS-08.2 Do you collect or create metadata allegati al contratto e
about tenant data usage through concordate con il cliente.
inspection technologies (e.g., search BLU.IT accede ai dati del
engines, etc.)? cliente solamente per svolgere
funzioni necessarie a svolgere
HRS-08.3 Do you allow tenants to opt out of
la propria attività e nel
having their data/metadata accessed
rispetto degli accordi di
via inspection technologies?
riservatezza stipulati con il
cliente.
Human HRS-09.1 Do you provide a formal, role-based, Durante la fase di attivazione
Resources security awareness training program dei servizi, BLU.IT svolge
Training / for cloud-related access and data specifiche sessioni di
Awareness management issues (e.g., multi- istruzione riguardanti le
tenancy, nationality, cloud delivery modalità di accesso ai dati ed
model, segregation of duties ai sistemi. Gli utenti, che
implications, and conflicts of tuttavia rimangono i
interest) for all persons with access proprietari d i dati, vengono
to tenant data? istruiti riguardo le proprie
HRS-09.2 Are administrators and data responsabilità dovute ad un
stewards properly educated on their utilizzo non corretto dei
legal responsibilities with regard to sistemi.
security and data integrity?
Human HRS-10.1 Are users made aware of their Durante la fase di attivazione
Resources responsibilities for maintaining dei servizi, BLU.IT svolge
User awareness and compliance with specifiche sessioni di istruzioni
Responsibility published security policies, riguardanti le modalità di
procedures, standards, and accesso ai dati ed ai sistemi.
applicable regulatory requirements? Gli utenti, che tuttavia
HRS-10.2 Are users made aware of their rimangono i proprietari d i
responsibilities for maintaining a dati, vengono istruiti riguardo
safe and secure working le proprie responsabilità
environment? dovute ad un utilizzo non
HRS-10.3 Are users made aware of their corretto dei sistemi. BLU.IT
responsibilities for leaving fornisce al cliente ogni
unattended equipment in a secure informazione di cui viene in
manner? possesso riguardo utilizzi
impropri degli strumenti messi
a disposizione.
P a g . 18 | 37CSA Consensus Assessments Initiative Questionnaire
Human HRS-11.1 Do your data management policies BLU.IT utilizza sistemi di audit
Resources and procedures address tenant and di terze parti per individuare
Workspace service level conflicts of interests? tentativi di accessi non
consentiti ai dati al di fuori
HRS-11.2 Do your data management policies delle procedure standard. I
and procedures include a tamper sistemi BLU.IT sono protetti da
audit or software integrity function componenti software di terze
for unauthorized access to tenant parti che verificano eventuali
data? compromissioni degli
HRS-11.3 Does the virtual machine applicativi.
management infrastructure include
a tamper audit or software integrity
function to detect changes to the
build/configuration of the virtual
machine?
Identity & IAM-01.1 Do you restrict, log, and monitor Gli accessi al sistema sono
Access access to your information security loggati e mantenuti riservati.
ManagementAu management systems (e.g., Vengono eseguiti controlli a
dit Tools Access hypervisors, firewalls, vulnerability campione su specifici eventi.
scanners, network sniffers, APIs, Sono definite specifiche
etc.)? categorie di eventi che
IAM-01.2 Do you monitor and log privileged producono allarmi automatici.
access (e.g., administrator level) to Gli accessi amministrativi sono
information security management suddivisi per specifiche aree e
systems? funzioni in modo da limitare
compromissioni solamente ad
aree ridotte del sistema
Identity & IAM-02.1 Do you have controls in place La gestione degli accessi al
Access ensuring timely removal of systems sistema è automaticamente
Management access that is no longer required for legata alla durata dei contratti
User Access business purposes? cliente per quanto riguarda i
Policy IAM-02.2 Do you provide metrics to track the loro accessi, ed è legata alla
speed with which you are able to durata degli incarichi interni
remove systems access that is no per quanto riguarda gli accessi
longer required for business operatore. BLU.IT implementa
purposes? una procedura che segue uno
specifico workflow legato al
cambio di mansione/ruolo
interno. La gestione delle
credenziali di accesso è parte
integrante di gestione del
workflow. Periodicamente
viene effettuata una verifica
su tutti gli account attivi sui
sistemi al fine di verificare la
corrispondenza fra i ruoli e le
mansioni assegnate.
P a g . 19 | 37CSA Consensus Assessments Initiative Questionnaire
Identity & IAM-03.1 Do you use dedicated secure Gli accessi all'infrastruttura
Access networks to provide management cloud avvengono attraverso
Management access to your cloud service canali criptati verso il
Diagnostic / infrastructure? datacenter attestati su reti
Configuration separate rispetto agli accessi
Ports Access cliente.
Identity & IAM-04.1 Do you manage and store the Tutto il personale che ha la
Access identity of all personnel who have possibilità di accedere
Management access to the IT infrastructure, all'infrastruttura IT è
Policies and including their level of access? individuato e le credenziali di
Procedures IAM-04.2 Do you manage and store the user accesso sono personali e
identity of all personnel who have legate al livello specifico di
network access, including their level accesso.
of access?
Identity & IAM-05.1 Do you provide tenants with Su richiesta dei clienti, è
Access documentation on how you maintain possibile comunicare
Management segregation of duties within your documentazione riguardo la
Segregation of cloud service offering? struttura dei dati gestiti nel
Duties datacenter e sulla separazione
dei ruoli. Il datacenter è
progettato per separare gli
accessi amministrativi alle
varie aree funzionali. I
responsabili delle differenti
aree operano, dove
necessario, come
amministratori di sistema
limitatamente alle aree
necessarie per i propri scopi.
Identity & IAM-06.1 Are controls in place to prevent Il codice sorgente degli
Access unauthorized access to your applicativi è mantenuto su
Management application, program, or object server dedicati allo sviluppo
Source Code source code, and assure it is accessibili solamente dal
Access restricted to authorized personnel personale autorizzato. Il
Restriction only? codice sorgente, anche
IAM-06.2 Are controls in place to prevent quando sviluppato da fornitori
unauthorized access to tenant esterni, non viene replicato
application, program, or object all'esterno dei server
source code, and assure it is aziendali. Il personale dell’IT
restricted to authorized personnel interno sovrintende sempre al
only? controllo dei server di
sviluppo e alle corrette
modalità operative dei
fornitori.
Identity & IAM-07.1 Do you provide multi-failure disaster L'accesso ai sistemi avviene
Access recovery capability? attraverso i meccanismi messi
P a g . 20 | 37CSA Consensus Assessments Initiative Questionnaire
Management IAM-07.2 Do you monitor service continuity a disposizione dai datacenter
Third Party with upstream providers in the event ORACLE. ORACLE può mettere
Access of provider failure? a disposizione
IAM-07.3 Do you have more than one provider automaticamente meccanismi
for each service you depend on? di disaster recovery
relativamente alle istanze di
IAM-07.4 Do you provide access to operational database, su specifica richiesta
redundancy and continuity dei clienti. Nel caso di guasti
summaries, including the services alla componente software
you depend on? proprietaria, BLU.IT interviene
IAM-07.5 Do you provide the tenant the ability seguendo il proprio piano di
to declare a disaster? recovery che può arrivare a
IAM-07.6 Do you provide a tenant-triggered comportare il ripristino di una
failover option? condizione precedente del
IAM-07.7 Do you share your business sistema.
continuity and redundancy plans
with your tenants?
Identity & IAM-08.1 Do you document how you grant and Il cliente gestisce
Access approve access to tenant data? autonomamente le proprie
Management politiche di accesso ai dati e
User Access IAM-08.2 Do you have a method of aligning configura autonomamente i
Restriction / provider and tenant data ruoli dei propri operatori.
Authorization classification methodologies for L'eventuale assegnazione di
access control purposes? ruoli non corretti agli
operatori abilitati sul sistema
è responsabilità del cliente.
BLU.IT può supportare nella
definizione dei ruoli per gli
operatori in fase di attivazione
del sistema oppure in caso di
variazioni da apportare su
richiesta dei clienti.
Identity & IAM-09.1 Does your management provision Le credenziali di accesso e i
Access the authorization and restrictions for ruoli vengono forniti su
Management user access (e.g., employees, richiesta del cliente e secondo
User Access contractors, customers (tenants), i ruoli richiesti e per i limiti di
Authorization business partners, and/or suppliers) tempo richiesti. Su richiesta
prior to their access to data and any del cliente e se
owned or managed (physical and preventivamente concordato,
virtual) applications, infrastructure BLU.IT può fornire accesso
systems, and network components? controllato a specifici utenti e
P a g . 21 | 37CSA Consensus Assessments Initiative Questionnaire
IAM-09.2 Do you provide upon request user a risorse riguardanti specifici
access (e.g., employees, contractors, clienti.
customers (tenants), business
partners and/or suppliers) to data
and any owned or managed (physical
and virtual) applications,
infrastructure systems and network
components?
Identity & IAM-10.1 Do you require at least annual Tutti gli accessi interni hanno
Access certification of entitlements for all durata massima preimpostata
Management system users and administrators e vengono riattivati durante la
User Access (exclusive of users maintained by fase di revisione prevista dalla
Reviews your tenants)? procedura interna. Tutti gli
IAM-10.2 If users are found to have accessi vengono
inappropriate entitlements, are all automaticamente disabilitati
remediation and certification actions in caso di interruzione del
recorded? rapporto di lavoro. La gestione
degli accessi da parte di
IAM-10.3 Will you share user entitlement
fornitori esterni è legata alla
remediation and certification reports
durata dei contratti e in fase
with your tenants, if inappropriate
di abilitazione dell'utente la
access may have been allowed to
scadenza viene preimpostata
tenant data?
Identity & IAM-11.1 Is timely deprovisioning, revocation, Tutti gli accessi interni hanno
Access or modification of user access to the durata massima preimpostata
Management organizations systems, information e vengono riattivati durante la
User Access assets, and data implemented upon fase di revisione prevista dalla
Revocation any change in status of employees, procedura interna. Tutti gli
contractors, customers, business accessi vengono
partners, or involved third parties? automaticamente disabilitati
in caso di interruzione del
IAM-11.2 Is any change in user access status rapporto di lavoro. La gestione
intended to include termination of degli accessi da parte di
employment, contract or agreement, fornitori esterni è legata alla
change of employment or transfer durata dei contratti e in fase
within the organization? di abilitazione dell'utente la
scadenza viene preimpostata.
Identity & IAM-12.1 Do you support use of, or integration I sistemi BLU.IT non
Access with, existing customer-based Single consentono l'integrazione con
Management Sign On (SSO) solutions to your sistemi SSO del cliente. Le
User ID service? politiche di gestione della
Credentials IAM-12.2 Do you use open standards to password sono specificate nei
delegate authentication capabilities documenti del GDPR BLU.IT e
to your tenants? possono variare nel tempo per
P a g . 22 | 37CSA Consensus Assessments Initiative Questionnaire
IAM-12.3 Do you support identity federation adeguarsi alle normative. In
standards (e.g., SAML, SPML, WS- particolare, i requisiti minimi
Federation, etc.) as a means of di complessità, durata e
authenticating/authorizing users? ripetibilità delle password
sono documentati
IAM-12.4 Do you have a Policy Enforcement internamente e comunicati ai
Point capability (e.g., XACML) to clienti. I clienti possono
enforce regional legal and policy disporre di account di livello
constraints on user access? superiore che consentono la
disabilitazione o la
IAM-12.5 Do you have an identity sospensione dei propri
management system (enabling account nel sistema.
classification of data for a tenant) in
place to enable both role-based and
context-based entitlement to data?
IAM-12.6 Do you provide tenants with strong
(multifactor) authentication options
(e.g., digital certs, tokens,
biometrics, etc.) for user access?
IAM-12.7 Do you allow tenants to use third-
party identity assurance services?
IAM-12.8 Do you support password (e.g.,
minimum length, age, history,
complexity) and account lockout
(e.g., lockout threshold, lockout
duration) policy enforcement?
IAM-12.9 Do you allow tenants/customers to
define password and account
lockout policies for their accounts?
IAM-12.10 Do you support the ability to force
password changes upon first logon?
IAM-12.11 Do you have mechanisms in place for
unlocking accounts that have been
locked out (e.g., self-service via
email, defined challenge questions,
manual unlock)?
Identity & IAM-13.1 Are utilities that can significantly L'accesso all'infrastruttura
Access manage virtualized partitions (e.g., virtualizzata è gestito da
Management shutdown, clone, etc.) appropriately ORACLE e non è accessibile
Utility restricted and monitored? direttamente a BLU.IT.
P a g . 23 | 37Puoi anche leggere
