start portlet menu bar end portlet menu bar

Le MTO (Misure Tecniche e Organizzative) fornite di seguito si applicano a tutte le offerte di prodotti di HCLSoftware. La prova delle misure implementate e mantenute da HCLSoftware Security può essere presentata sotto forma di attestati di conformità aggiornati, rapporti di audit o estratti di organismi indipendenti su richiesta del cliente.

Criteri di sicurezza

HCLSoftware mantiene un solido sistema di gestione della sicurezza delle informazioni (ISMS). I criteri di sicurezza vengono rivisti annualmente e modificati secondo quanto ritenuto necessario da HCLSoftware per mantenere la conformità in materia di sicurezza.

Ogni 6 mesi viene effettuata una revisione formale da parte della direzione per valutare l'efficacia delle misure tecniche e organizzative. Ciò include il monitoraggio delle metriche relative alla governance, al rischio e alla conformità del nostro sistema di gestione della sicurezza delle informazioni.

I dipendenti di HCLSoftware completano ogni anno una formazione sulla sicurezza e la privacy. HCLSoftware dispone di una struttura organizzativa identificata per la sicurezza delle informazioni che supervisiona tutti i processi e le attività relativi alla sicurezza delle informazioni per HCLSoftware..

  • HCL ha definito e documentato criteri e processi per la privacy dei dati che regolano l'accesso ai dati personali.
  • Vengono erogati corsi di formazione obbligatori sulla sicurezza delle informazioni.
  • HCL esamina continuamente i registri degli eventi per individuare comportamenti dannosi/anomali.
  • Tutti gli incidenti confermati segnalati vengono analizzati al fine di individuarne la causa principale e l'impatto. I responsabili del processo avviano azioni correttive. Gli incidenti principali, insieme alle loro cause primarie e al loro impatto, vengono segnalati alla direzione di HCL.
  • I data center e l'organizzazione di supporto di HCLSoftware sono certificati ISO 27001.

Governance e gestione interna dell'IT e della sicurezza IT

Viene gestito un programma formale di audit interno per misurare la conformità e la governance dei nostri controlli ISMS. Le metriche del nostro programma di audit interno vengono presentate durante le nostre revisioni di gestione.

Certificazione/garanzia di processi e prodotti

Vengono organizzati e gestiti audit esterni e indipendenti per soddisfare le nostre esigenze aziendali in materia di certificazione/garanzia. Ciò include un esame completo e formale dei processi e dei prodotti supportati dal nostro ISMS.

Per ulteriori informazioni, è possibile consultare Richiesta di certificazione.

Gestione del rischio

HCLSoftware ha definito, documentato e implementato un quadro di gestione del rischio basato sulla norma ISO 27005 allo scopo di identificare i rischi relativi alla sicurezza, alla privacy e ad altri requisiti contrattuali. Tutti i rischi vengono valutati per determinarne l'impatto sull'attività, quindi vengono valutati per determinare la corretta azione da intraprendere.

HCLSoftware valuta e affronta i rischi e crea piani d'azione per mitigare i rischi identificati. Tutte le aree di HCLSoftware dispongono di punti focali di rischio per assistere nell'identificazione e nella gestione dei rischi. Tutti i rischi vengono rivisti secondo necessità, almeno una volta all'anno.

Gestione degli incidenti

HCLSoftware mantiene criteri di risposta agli incidenti e segue piani di risposta agli incidenti documentati, comprese tempestive notifiche di violazione, se del caso, alle autorità competenti, ai clienti e ai soggetti interessati quando è a conoscenza di una violazione o si sospetta ragionevolmente che questa possa avere un impatto sui dati dei clienti.

Il programma di risposta agli incidenti di HCLSoftware segue lo standard NIST 800-61 r2 (vedere il diagramma sottostante)

HCLSoftware mantiene flussi separati per i seguenti incidenti:

  • Incidenti relativi alla sicurezza informatica
  • Incidenti relativi ai dati (incluso il team Privacy quando sono coinvolti dati personali)
Le comunicazioni al di fuori di HCL sono gestite dalle risorse appropriate a contatto con i clienti.

HCL monitora gli incidenti di sicurezza 24 ore su 24, 7 giorni su 7, e li segnala al team di risposta alla gestione degli incidenti appropriato quando viene rilevato un evento. Il processo di gestione degli incidenti include l'isolamento/l'eliminazione/la conservazione, a seconda delle necessità, e l'analisi delle cause alla radice per gli incidenti gravi/critici. Le attività post-incidente includono anche revisioni volte a migliorare i processi/strumenti, secondo necessità.

Sicurezza fisica e ambientale

HCLSoftware garantisce la sicurezza fisica delle proprie strutture e dei propri data center, adottando misure precauzionali contro le minacce ambientali e le interruzioni dell'alimentazione elettrica.

  • L'accesso ai data center è controllato e limitato in base al ruolo lavorativo e soggetto ad approvazione.
  • L'accesso ai data center è consentito solo in base alle necessità e viene rivisto periodicamente.
  • L'accesso fisico agli uffici è verificato da un meccanismo di controllo degli accessi.
  • L'ingresso dei visitatori è monitorato e registrato.
  • Tutte le aree critiche sono coperte da telecamere a circuito chiuso e le registrazioni vengono conservate per almeno 30 giorni.

Privacy dei dati

HCLSoftware ha implementato e manterrà un programma di privacy progettato per conformarsi a tutte le normative sulla privacy applicabili all'azienda e ai dati personali in nostro possesso. Adottiamo inoltre procedure volte a garantire che i dati personali dei nostri clienti siano trattati in conformità ai nostri obblighi legali e ai contratti stipulati con i clienti. Il programma sulla privacy include, tra le altre cose, quanto segue:

  1. Valutazione dell'impatto sulla protezione dei dati
  2. Criteri e procedure
  3. Formazione sulla privacy per i dipendenti
  4. Contratti con i clienti
  5. Valutazioni dell'impatto sul trasferimento dei dati
  6. Valutazioni sulla privacy di fornitori/terze parti
  7. Privacy dei prodotti integrata nella progettazione
  8. Risposta alle richieste dei soggetti interessati
  9. Risposta agli incidenti
  10. Documentazione della conformità alle normative globali sulla privacy

Garanzia di una conservazione limitata dei dati

  • L'assistenza raccoglie solo i dati personali necessari per fornire assistenza e servizi correlati ai clienti. L'assistenza non conserva i dati dei clienti più a lungo del necessario e adotta tutte le misure necessarie per garantire che i dati personali siano protetti e cancellati in conformità alle politiche interne e alle leggi applicabili.
  • I dati diagnostici memorizzati nel Customer Data Repository (CuDaR) vengono eliminati dal repository attivo dopo la chiusura del caso e occorrono fino a 60 giorni per la loro eliminazione definitiva dai backup. I dati relativi ai casi memorizzati nel nostro sistema di gestione dei ticket vengono conservati per un massimo di 5 anni dopo la chiusura del caso.

Accesso e cancellazione dei dati dei clienti

L'assistenza è in grado di elaborare le richieste degli interessati in conformità alle politiche interne e alle leggi applicabili. I clienti hanno accesso ai propri dati nel portale di assistenza clienti e possono esportarli se necessario. Inoltre, l'assistenza HCL può fornire assistenza nell'esportazione dei dati dei clienti su richiesta dei clienti stessi.

Pseudonimizzazione/anonimizzazione

Le misure di pseudonimizzazione o anonimizzazione dei dati personali sono implementate nella misura necessaria negli ambienti di assistenza non di produzione.

Crittografia dei dati personali

  • Quando vengono trasmessi dati personali, viene garantita una crittografia sicura end-to-end della comunicazione. Tutti i trasferimenti di dati personali avvengono tramite HTTPS/SFTP e utilizzano, come minimo, il protocollo TLS 1.2. Il database backend è crittografato at rest utilizzando la crittografia AES-256.
  • Dati in transito: la crittografia TLS (Transport Layer Security) è richiesta per tutte le connessioni Internet durante il login e tutti i dati devono essere crittografati durante la trasmissione.
  • Dati at rest: i dati dei clienti memorizzati sono crittografati. La gestione delle chiavi è conforme alle migliori pratiche del settore. La crittografia sfrutta gli standard AES 256

Misure di crittografia

  • Gestione delle chiavi di crittografia: le procedure di gestione delle chiavi crittografiche sono documentate e automatizzate. Vengono implementati prodotti o soluzioni per mantenere crittografate le chiavi di crittografia dei dati (ad esempio, soluzioni basate su software, moduli di sicurezza hardware (HSM)). Si tratta di crittografia basata su software, la procedura di gestione delle chiavi sarà automatizzata. La crittografia dei dati è configurata sia at rest che in transito.
  • Utilizzo della crittografia: la trasmissione di informazioni riservate su Internet pubblica utilizza sempre un canale crittografato. I dettagli della crittografia sono documentati se la trasmissione è automatizzata. Se è richiesta la crittografia manuale, il personale approvato e dedicato è responsabile della crittografia/decrittografia dei dati. Le informazioni riservate sono crittografate durante il transito su qualsiasi rete utilizzando protocolli sicuri come HTTPS, SSL, SFTP, ecc. Le trasmissioni VPN vengono eseguite su un canale crittografato.

Configurazione del sistema

La configurazione predefinita sarà rafforzata in base alla configurazione di sistema definita da HCLSoftware, che include l'immissione di password prima di connettere il dispositivo alla rete.

Riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di elaborazione

  • L'assistenza garantisce che siano in atto controlli adeguati per salvaguardare la riservatezza, l'integrità e l'accessibilità dei sistemi di supporto e dei dati dei clienti.
  • L'assistenza ha implementato un processo per l'onboarding e l'offboarding degli utenti al fine di impedire l'accesso non autorizzato ai dati. L'assistenza segue le politiche documentate di risposta agli incidenti ISMS e dispone di un processo per segnalare i problemi relativi alla privacy e alla sicurezza dei dati.
  • I ruoli e le responsabilità sono segmentati all'interno dell'organizzazione di assistenza per ridurre le opportunità di modifica non autorizzata o involontaria o di uso improprio dei dati. L'assistenza garantisce che tutto il personale di supporto completi annualmente i corsi di formazione richiesti in materia di sicurezza e privacy.
  • I data center di gestione dei ticket e l'infrastruttura basata su cloud dell'assistenza sono progettati per essere altamente disponibili con componenti ridondanti e percorsi di rete multipli per evitare singoli punti di errore. L'architettura Advanced High Availability (AHA) è il mezzo principale per ripristinare il servizio in caso di interruzioni che potrebbero influire sulla disponibilità. Ogni sette giorni vengono eseguiti backup completi del sistema di gestione dei ticket del Supporto direttamente su disco e conservati per 28 giorni, con backup differenziali effettuati ogni 24 ore.

Capacità di ripristinare la disponibilità e l'accesso ai dati personali

  • L'assistenza dispone di un piano di continuità operativa che garantisce la disponibilità del supporto in caso di incidenti fisici o tecnici. Il BCP dell'assistenza guida il ripristino delle operazioni a un livello predefinito, entro un lasso di tempo prestabilito, a seguito di un'interruzione dell'attività. Il BCP viene testato annualmente.
  • I backup del database vengono effettuati con l'obiettivo di prevenire la perdita di dati personali in caso di malfunzionamento tecnico o errore umano. I backup incrementali vengono eseguiti sul CuDaR (Customer Data Repository) ogni 12 ore, con backup differenziali settimanali e sovrascrittura mensile dei backup. I ripristini dei backup dei dati vengono testati regolarmente, almeno una volta all'anno.

Pianificazione della continuità operativa e del ripristino di emergenza

  • Le procedure di backup vengono applicate a tutti i sistemi di sviluppo critici.
  • Il backup viene eseguito a livello di archiviazione e vengono seguiti gli standard del settore. Ogni data center dispone di una propria infrastruttura di backup. Le procedure di archiviazione dei dati sono conformi allo standard ISO 27001.
  • Le interruzioni e i guasti del servizio vengono comunicate ai clienti interessati. La comunicazione include le seguenti informazioni:
    • Natura dell'impatto
    • Sedi/reparti/processi interessati
    • Entità dell'impatto
    • Sede e informazioni di contatto dell'helpdesk IT

Test, valutazione e analisi dell'efficacia delle misure tecniche e organizzative

Le nostre Misure Tecniche e Organizzative vengono valutate attraverso un audit formale e un programma di test interno. Ogni 6 mesi viene effettuata una revisione formale da parte del team dirigenziale senior per valutare l'efficacia dei nostri sistemi di gestione della sicurezza delle informazioni e, di conseguenza, delle nostre Misure Tecniche e Organizzative. Ciò include metriche e misure per la governance, il rischio e la conformità del nostro sistema di gestione della sicurezza delle informazioni.

Gestione dell'accesso degli utenti

HCL mantiene controlli adeguati per la richiesta, l'approvazione, la concessione, la revoca e la riconvalida dell'accesso degli utenti ai sistemi. Solo i dipendenti che hanno necessità per motivi di lavoro possono accedere ai dati. Le richieste di accesso vengono approvate in base al ruolo dei singoli individui e l'accesso degli utenti viene rivisto regolarmente.

Le procedure di accesso logico definiscono i processi di richiesta, approvazione, fornitura e revoca dell'accesso. Le procedure di accesso logico limitano l'accesso degli utenti (in locale o da remoto) in base alla funzione lavorativa dell'utente per applicazioni e database (accesso appropriato basato sul ruolo/profilo) per applicazioni, database e sistemi al fine di garantire la separazione dei compiti. Le procedure vengono riviste, amministrate e documentate in base all'inserimento, alla riassegnazione delle risorse o alla separazione. Le revisioni dell'accesso degli utenti vengono eseguite per garantire che l'accesso sia appropriato durante tutto l'anno.

  • Tutti gli amministratori di sistema HCLSoftware sono autenticati utilizzando l'autenticazione a più fattori, Tacca, VPN, AD per l'accesso al sistema attraverso la gestione degli accessi privilegiati.
  • Inoltre, l'uso della gestione degli accessi privilegiati viene registrato per l'audit e l'analisi forense.

Identificazione e autorizzazione degli utenti

Ogni utente dispone di un controllo di accesso unico (ID utente e password) per accedere al proprio account.

Protezione dei dati durante l'archiviazione

Ogni utente avrà accesso ai propri dati specifici e non a tutta la memoria.

Gestione e controllo delle risorse - Computer portatili, computer desktop, server, apparecchiature di rete e risorse software

  • Tutte le risorse sono formalmente dichiarate, riviste e gestite in un registro delle risorse.
  • Le patch dei sistemi operativi raccomandate dal fornitore vengono testate e applicate regolarmente ai computer desktop, ai computer portatili, ai server e alle apparecchiature di rete.
  • Gli ID predefiniti vengono modificati e disabilitati. Le password vengono modificate dopo l'installazione iniziale. Le password predefinite dei produttori non vengono utilizzate.
  • Se è necessaria la condivisione di file/directory da un server ad altri computer, questa deve essere abilitata in modo tale che solo gli utenti che ne hanno necessità abbiano accesso alla condivisione e che venga seguito il principio del privilegio minimo.
  • Gli orologi di sistema di tutti i server e delle apparecchiature di rete sono sincronizzati e impostati sull'ora del fuso orario della posizione del server/apparecchiatura. Solo il personale autorizzato ha il privilegio di modificare o reimpostare l'ora dell'orologio di sistema.
  • Gli account amministrativi sono impostati con password complesse e i privilegi sono concessi solo a persone identificate. L'accesso amministrativo viene rivisto a cadenza regolare.
  • Il software di rilevamento e risposta degli endpoint (NexGen Antivirus & Malware) è installato ove applicabile.
  • Vengono eseguiti backup e controlli di ripristino per i sistemi identificati sulla base di una richiesta concordata.
  • All'interno della struttura sono ammessi solo laptop di proprietà e gestiti dall'azienda.
  • Ogni dipendente HCL necessita di un "ID utente" e di una password univoci per accedere ai sistemi IT dell'azienda.
  • Ogni ID utente dispone di una password e gli utenti sono tenuti a impostare e modificare le password in base ai criteri sulle password di HCL.
  • Gli ID utente vengono creati secondo un processo definito e con autorizzazioni adeguate.
  • Gli account di servizio condivisi sono gestiti tramite la piattaforma Privileged Access Management.

Controlli wireless

  • Come applichiamo i controlli wireless:
    • l'AP wireless è accessibile solo dal server jump del team di rete con accesso autorizzato per la gestione wireless.
  • Come applichiamo i controlli wireless:
    • Autenticazione SSID PNP-CORP: l'autenticazione wireless è consentita tramite il server radius/AD, quindi solo gli utenti HCLSW validi potranno connettersi all'SSID
    • Autenticazione ospiti HCL-Software: l'autenticazione wireless è consentita tramite l'autenticazione interna del captive portal. Creeremo il nome utente e la password in base alla richiesta del server (il ticket Wireless Guest genera due attività, una per la creazione delle credenziali e la seconda per la disabilitazione delle credenziali. La seconda attività sarà assegnata dopo la data di scadenza della richiesta WiFi.
    • Autenticazione HCL-TECH-SSID: l'autenticazione wireless utilizza una chiave pre-condivisa che sarà condivisa con gli utenti HCL Tech. La password sarà cambiata ogni tre settimane.
  • Come sostituire le impostazioni predefinite del fornitore:
    • vengono utilizzati i modelli standard HCLSW.

Sicurezza delle e-mail

  • Tutte le e-mail vengono scansionate al fine di individuare virus o codici dannosi a livello di gateway.
  • I sistemi di posta elettronica sono configurati per limitare lo spoofing dell'identità, lo spamming e il relaying al fine di proteggersi da tali minacce.

Sicurezza cloud

Le risorse e i servizi cloud sono rafforzati con i benchmark del Center for Internet Security (CIS).

  • Gli standard e le configurazioni di gestione della sicurezza del cloud sono monitorati in tempo reale dal nostro team di rilevamento, analisi e risposta attivo 24 ore su 24, 7 giorni su 7, 365 giorni all'anno.
  • Il software di protezione del carico di lavoro cloud e di rilevamento e risposta degli endpoint (NexGen Antivirus & Malware) è installato ove applicabile.
  • HCLSoftware sfrutta i firewall delle applicazioni web (WAF) dei fornitori di servizi cloud per la protezione contro DDoS e altri vettori di attacco esterni.

Operazioni di sicurezza

HCLSoftware dispone di un team di rilevamento, analisi e risposta (DART) attivo 24 ore su 24, 7 giorni su 7, 365 giorni all'anno, che fornisce servizi di monitoraggio e risposta per deviazioni dagli standard definiti, attività dannose e/o anomale e modellizzazione delle minacce.

  • Team di risposta CSIRT definito.
  • Servizi di analisi forense della sicurezza informatica.

Altri controlli di sicurezza

  • I firewall sono configurati in modo tale da consentire solo il traffico delle applicazioni di livello 7 autorizzate.
  • Tutte le comunicazioni protette presso HCL seguono l'attuale standard di crittografia.
  • EDR e DLP sono installati su tutti i computer degli utenti finali.

Impiego di sub-responsabili del trattamento

  • HCL si avvale di alcune terze parti per la fornitura dei propri servizi. Queste includono terze parti utilizzate per l'hosting cloud e per la fornitura di assistenza e servizi correlati. I sub-responsabili del trattamento che possono accedere ai dati personali dei clienti sono elencati sul sito Web del Trust Center qui: https://www.hcltechsw.com/resources/data-processing-and-transfers , I clienti possono registrarsi per ricevere aggiornamenti sull'elenco dei sub-responsabili del trattamento.
  • HCLSoftware ha stipulato accordi sul trattamento dei dati, ove opportuno, con tutti i sub-responsabili del trattamento che possono accedere ai dati personali dei clienti, al fine di garantire l'adozione di misure di sicurezza adeguate per la protezione dei dati e il trasferimento sicuro degli stessi.