Misure di sicurezza

I seguenti termini descrivono le misure tecniche e organizzative, i controlli interni e le routine di sicurezza delle informazioni (“Misure di sicurezza”) che Accenture mantiene per salvaguardare i dati forniti da o per conto dei nostri clienti in relazione con un contratto di servizio al cliente("Dati del cliente"). Queste misure di sicurezza hanno lo scopo di proteggere i Dati del Cliente quando si trovano negli ambienti Accenture (ad esempio, sistemi, reti, installazioni) da accessi, divulgazione, alterazione, perdita o distruzione accidentali, non autorizzati o illegali. Quando i Dati del cliente includono dati personali, la nostra implementazione e il rispetto di queste misure (e qualsiasi ulteriore misura di sicurezza  stabilita nel contratto applicabile con il cliente) è progettata per fornire un livello di sicurezza adeguato rispetto al trattamento dei dati personali. Accenture può modificare queste misure  quando lo ritenga necessario, senza preavviso, a condizione che tali revisioni non riducano o degradino sostanzialmente la protezione fornita per i Dati del Cliente.

STANDARD MISURE DI SICUREZZA:

1. Organizzazione della Sicurezza delle Informazioni

a. Ownership della sicurezza. Accenture nominerà uno o più referenti di sicurezza, responsabili del coordinamento e del monitoraggio delle norme e procedure sulla sicurezza.

b. Ruoli e responsabilità relativi alla sicurezza. Il personale di Accenture che avrà accesso ai Dati Personali del Cliente sarà soggetto ad obblighi di riservatezza.

c. Programma di Gestione del Rischio. Accenture predisporrà un programma di gestione dei rischi volto a identificare, valutare e adottare le azioni appropriate in relazione ai rischi connessi al trattamento dei Dati del Cliente relative all'Accordo in essere tra le Parti.

2. Asset Management

a. Inventario degli asset.  Accenture manterrà un inventario completo delle risorse della propria infrastruttura, rete, applicazioni e ambienti cloud. Accenture manterrà inoltre un inventario di tutti i propri supporti su cui sono archiviati i Dati del Cliente. L'accesso agli inventari di tali supporti sarà limitato al personale autorizzato per iscritto.

b. Gestione dei dati. Accenture:

1. classificherà i Dati del Cliente per aiutare a identificare tali dati e consentirne un accesso opportunamente limitato (ad es. tramite crittografia).
   
   
2. limiterà la stampa dei Dati del Cliente al minimo necessario per eseguire i servizi e dovrà disporre di procedure per lo smaltimento dei materiali stampati contenenti Dati del Cliente.
   
   
3. richiederà al proprio personale di ottenere l 'autorizzazione necessaria prima di archiviare i Dati del Cliente su dispositivi portatili, accedere da remoto ai Dati del Cliente o elaborare i Dati del Cliente al di fuori delle strutture delle Parti.

3. Sicurezza delle risorse Umane

a. Corso sulla Sicurezza. Accenture:

1. informerà il proprio personale in merito alle relative procedure di sicurezza ed ai rispettivi ruoli.
   
   
2. Accenture inoltre dovrà informare il proprio personale delle possibili conseguenze della violazione delle norme e delle procedure di sicurezza.
   
   
3. Durante i corsi Accenture utilizzerà solo dati in forma anonima.

4. Sicurezza Fisica ed Ambientale

a. Accesso Fisico alle Strutture. Accenture implementerá e rispetterá procedure per limitare l’accesso autorizzato alle sue sttrutture all’interno delle quali si trovano i sistemi di informazione che elaborano i Dati del Cliente.

b. Accesso fisico alle componenti. Accenture conserverà le registrazioni dei file in entrata e in uscita contenenti i Dati del Cliente, incluso il tipo di supporto, il mittente / destinatario autorizzato, la data e laora, il numero di supporti e le tipologie di Dati del Cliente in essi contenuti.

c. Smaltimento delle componenti. Accenture utilizzerà processi standard di settore (ad es. ISO 27001, CIS Sans 20 e / o NIST Cyber-Security Framework, a seconda dei casi) per eliminare i Dati del Cliente quando non sono più necessari.

5. Gestione delle Comunicazioni e delle Operazioni

a. Policy Operative. Accenture conserverà i documenti di sicurezza che descrivono le misure di sicurezza adottate, le procedure e responsabilità del proprio personale che ha accesso ai Dati del Cliente.

b. Gestione dei Dispositivi Mobili (MDM)/Gestione degli applicativi mobili (MAM). Accenture implementeráuna policy per la gestione dei dispositivi mobili che:

1. Imporrá la cifratura del dispositivo
2. Proibirá l’uso di applicativi inseriti nella lista nera ;
3. Vieta l’utilizzo di dispositivi mobili c.d. "jail broken".

c. Procedure di Data Recovery. Accenture

1. Si doterà di procedure specifiche di data recovery progettate per consentire il ripristino dei Dati del Cliente presenti nei propri sistemi.
   
   
2. reviserá le proprie procedure di data recovery almeno una volta all'anno.
   
   
3. registrerà le attività di data recovery, inclusa la persona responsabile, la descrizione dei dati ripristinati e, ove applicabile, la persona responsabile e  i dati (se presenti) inseriti manualmente nel processo di data recovery.

d. Software dannosi. Accenture si doterà di controlli anti-malware per evitare che software dannosi ottengano l'accesso non autorizzato ai Dati del Cliente, inclusi i software dannosi proveniente da reti pubbliche.

e. Dati scambiati al di fuori delle strutture aziendali. Accenture dovrà:

1. crittografare i dati del client trasmessi attraverso reti pubbliche.
   
   
2. proteggere i dati dei clienti salvati su supporti che escano dalle  strutture (ad es. Tramite crittografia).
   
   
3. implementare strumenti automatizzati, ove possibile, per ridurre i rischi di e-mail, lettere e / o fax errati.

f. Registrazione degli Eventi

1. Nel caso di sistemi contenenti i Dati del Cliente, Accenture registrerà gli eventi  secondo le proprie politiche o standard dichiarati.

6. Controllo degli accessi

a. Policy di accesso.  Accenture conserverà un registro dei privilegi di sicurezza delle persone che hanno accesso ai Dati del cliente tramite i propri sistemi.

b. Accessi autorizzati.  Accenture:

1. Manterrà e aggiornerà un registro del personale autorizzato ad accedere ai Dati del cliente tramite i suoi sistemi.
   
   
2. Quando è responsabile della concessione  degli accessi, fornirà tempestivamente le credenziali di autenticazione.
   
   
3. Disattiverà le credenziali di autenticazione se tali credenziali non sono state utilizzate per un periodo di tempo (tale periodo di non utilizzo non deve superare i 90 giorni).
   
   
4. Disattiverà le credenziali di autenticazione una volta ricevuta la notifica che l'accesso non è più necessario (ad es. Licenziamento del dipendente, riassegnazione del progetto, ecc.) entro due giorni lavorativi.
   
   
5. Identificherà il personale che può concedere, modificare o annullare l'accesso autorizzato a dati e risorse.
   
   
6. Garantirà che laddove più di una persona abbia accesso ai propri sistemi contenenti i Dati del cliente, le persone abbiano identificatori / log-in univoci (cioè, nessun ID condiviso).

c. Privilegi minimi. Accenture

1. Consentirà al proprio personale di supporto tecnico l'accesso ai Dati del cliente solo quando necessario
   
   
2. Manterrà controlli che consentono l'accesso di emergenza ai sistemi di produzione tramite ID firefighter, ID temporanei o ID gestiti da una soluzione PAM (Privileged Access Management).
   
   
3. Limiterà l'accesso ai Dati del cliente nei suoi sistemi solo a quelle persone che richiedano tale accesso per svolgere la loro funzione lavorativa.
   
   
4. Limiterà l'accesso ai Dati del cliente nei suoi sistemi solo a quelli minimamente necessari per eseguire i servizi.
   
   
5. Supporterà la separazione dei ruoli tra i suoi ambienti in modo che nessuna persona abbia accesso per eseguire attività che creano un conflitto di interessi di sicurezza (ad esempio, sviluppatore / revisore, sviluppatore / tester).

d. Integrità e riservatezza. Accenture imporrà al proprio personale di disabilitare le sessioni di amministratore all’uscita daiilocali o nel caso in cui i computer vengano lasciati incustoditi.

e. Autenticazione. Accenture

1. utilizzerà le prassi standard di settore (ad es. ISO 27001, CIS Sans 20 e / o NIST Cyber-Security Framework, a seconda dei casi) per identificare e autenticare gli utenti che tentano di accedere ai sistemi informatici.
   
   
2. Richiederà il rinnovo, con cadenza regolare, delle password laddove i meccanismi di autenticazione siano basati su password.
   
   
3. Garantirà che la password contenga almeno otto caratteri e tre dei seguenti quattro tipi di caratteri: numerico (0-9), minuscolo (a-z), maiuscolo (A-Z), speciale (ad esempio. !, *, &, eccetera.), laddove i meccanismi di autenticazione sono basati su password.
   
   
4. assicurerà che gli identificativi disattivati o scaduti non siano assegnati ad altre persone.
   
   
5. monitorerà eventuali ripetuti tentativi di accedere ai sistemi informatici utilizzando password non valide.
   
   
6. adotterà le procedure standard di settore (ad es. ISO 27001, CIS Sans 20 e / o NIST Cyber-Security Framework, a seconda dei casi) per disattivare le password che sono state danneggiate o divulgate inavvertitamente.
   
   
7. Utilizzerà  le procedure standard di settore per la protezione della passwrd (ad es., ISO 27001, CIS Sans 20 e / o NIST Cyber-Security Framework, a seconda dei casi, incluse quelle volte a mantenere la riservatezza e l'integrità delle password quando vengono assegnate e distribuite, nonché durante la loro archiviazione.

f. Multi Factor Authentication.  Accenture implementerà l'autenticazione a più fattori per l'accesso interno e l'accesso remoto tramite rete privata virtuale (VPN) ai propri sistemi.

7. Penetration Test e scansione delle vulnerabilità dei sistemi Accenture.

a. Almeno una volta l'anno, Accenture eseguirà penetration test e vulnerabilità negli ambienti IT di Accenture in conformità con le politiche di sicurezza interne e le pratiche standard di Accenture.

b. Accenture accetta di condividere con il Cliente un riassunto  delle informazioni relative a tali test condotti da Accenture nella misura applicabile ai Servizi.

c. In relazione a tale test di penetrazione e vulnerabilità, il Cliente non avrà diritto a (i) visionare dati o informazioni di altri clienti o clienti di Accenture; (ii) testare ambienti IT di terze parti, salvo nella misura in cui Accenture abbia il diritto di consentire tali test; (iii) qualsiasi accesso o test su infrastrutture o ambienti di servizi condivisi, o (iv) qualsiasi altra Informazione Riservata di Accenture che non sia direttamente rilevante per tali test e i Servizi.

d. Per qualsiasi sistema IT Accenture fisicamente dedicato al Cliente, le Parti possono concordare piani di test scritti separati e tali test non supereranno due test all'anno

8. Progettazione e gestione di reti e applicazioni. Accenture

a. implementerà controlli per evitare che le persone ottengano accesso non autorizzato ai Dati del cliente nei suoi sistemi.

b. Utilizzerà un sistema di prevenzione della perdita di dati basata su posta elettronica per monitorare o limitare il movimento di dati sensibili.

c. Utilizzerà un webfiltering basato sulla rete per impedire l'accesso a siti non autorizzati.

d. Utilizzerà ID firefighter o ID utente temporanei per l'accesso alla produzione.

e. Accenture dovrà utilizzare il rilevamento e / o la prevenzione delle intrusioni di rete nei propri sistemi.

f. Utilizzerà standard di codifica sicuri.

g. Procederà a scansione e correzione delle vulnerabilità OWASP nei suoi sistemi.

h. Collaborerà, per quanto tecnicamente possibile, per limitare la capacità del personale Accenture di accedere ad ambienti non Cliente e non Accenture dai sistemi Cliente.

i. manterrà aggiornati gli standard di configurazione di server, rete, infrastruttura, applicazioni e sicurezza cloud.

j. eseguirà la scansione dei rispettivi ambienti per garantire che le vulnerabilità di configurazione identificate siano state risolte.

9. Gestione delle patch

a. Adotterà una procedura di gestione delle patch che distribuisca patch di sicurezza per i sistemi utilizzati per elaborare i Dati del Client che include:

1. Un tempo definito consentito per implementare le patch (non superiore a 90 giorni per le patch high o medium come definito per lo stadard di Accenture); e
   
   
2. Un Processo stabilito per gestire le patch di emergenza o critiche non appena possibile.

10. Workstations

a. Accenture implementerà i controlli per tutte le postazioni di lavoro fornite che vengano utilizzate in relazione all'erogazione / ricezione del servizio implementando quanto segue:

1. software che gestisce la conformità complessiva della workstation e segnala almeno settimanalmente a un server centrale
   
   
2. Disco rigido criptato
   
   
3. Processo di patching in modo che sulle workstation vengano installate le patch individuate in conformità con il programma di patch documentato
   
   
4. Possibilità di impedire l'installazione di software non approvato
   
   
5. Antivirus con scansione minima settimanale
   
   
6. Firewalls installati

11. Gestione delle violazioni della sicurezza delle informazioni

a. Processi di risposta alla violazione della sicurezza. Accenture manterrà un registro delle proprie violazioni della sicurezza con una descrizione della violazione, il periodo di tempo, le conseguenze della violazione, il nome di chi riferisce e a chi è stata segnalata la violazione, nonché il processo per il recupero dei dati.

b. Monitoraggio del servizio. Il personale addetto alla sicurezza di Accenture dovrà esaminare i log come parte del processo di risposta alla violazione della sicurezza per proporre eventuali interventi di ripristino, se necessari.

12. Business Continuity Management

a. Accenture avrà processi e programmi allineati alla ISO 22301 per consentire il ripristino da eventi che influiscano sulla sua capacità di funzionare in conformità con l'Accordo.

MISURE SUPPLEMENTARI. Inoltre, in conformità con gli orientamenti normativi a seguito della decisione della Corte di Giustizia Europea "Schrems II", Accenture si impegna a mantenere le seguenti misure supplementari di carattere tecnico, organizzativo e legale/contrattuale in relazione ai Dati del Cliente, compresi i dati personali.

Misure Tecniche Supplementari:

1. I Dati del Cliente in transito tra le entità Accenture saranno fortemente criptati con una crittografia che:

a. sia state of the art,

b. garantisca la riservatezza per il periodo di tempo richiesto,

c. sia implementata da un software adeguatamente mantenuto,

d. sia adeguata e fornisca protezione contro attacchi attivi e passivi da parte di autorità pubbliche, inclusa l'analisi crittografica, e

e. non contenga backdoor nell'hardware o nel software, a meno che non sia stato concordato diversamente con il Cliente.

2. I Dati del Cliente a riposo e archiviati da qualsiasi entità Accenture saranno fortemente criptati con una crittografia che:

a. sia state of the art,

b. garantisca la riservatezza per il periodo di tempo richiesto,

c. sia implementata da un software adeguatamente mantenuto

d. sia robusta e fornisca protezione contro gli attacchi attivi e passivi delle autorità pubbliche, compresa l'analisi crittografica, e

e. non contenga backdoor nell'hardware o nel software, a meno che non sia stato concordato diversamente con il Cliente.

Misure Supplementari Legali / Contrattuali:

1. Accenture manterrà report di valutazione regolarmente aggiornati in merito alle leggi di sorveglianza e alle pratiche di privacy dei paesi in cui Accenture tratta i Dati del cliente, qualora tali paesi non siano formalmente riconosciuti come fornitori di una leva di protezione sostanzialmente simile a quella dei paesi dell'UE, e fornirà copie dei rapporti applicabili ai clienti su richiesta.
   
   
2. La/e entità Accenture che elaborano i Dati del Cliente certificano che, se non diversamente concordato con il Cliente, (a) non hanno intenzionalmente creato backdoor o programmi simili che potrebbero essere utilizzati per accedere al sistema e/o ai dati personali (b) non hanno intenzionalmente creato o modificato i propri processi aziendali in modo da facilitare l'accesso ai dati personali o ai sistemi, (c) per quanto a conoscenza di Accenture, la legge nazionale o la politica governativa applicabile non richiede che l'entità Accenture crei o mantenga backdoor o faciliti l'accesso a dati o sistemi personali o che l'entità Accenture sia in possesso o consegni la chiave di crittografia senza un ordine legalmente valido e a seguito di un'adeguata verifica legale.
   
   
3. Nella misura consentita dalla legge applicabile, l'entità o le entità Accenture che elaborano i Dati del cliente informeranno il cliente delle richieste governative relative ai Dati personali che Accenture sta elaborando per conto del cliente. Se, in base alla legge applicabile, Accenture non è autorizzata a informare il cliente di una richiesta governativa, Accenture adotterà misure ragionevoli per (i) ottenere un permesso amministrativo o giudiziario per informare il cliente il prima possibile o (ii) richiedere che la rispettiva autorità governativa informi direttamente il cliente. In ogni caso, Accenture adotterà misure ragionevoli in sede giudiziaria o amministrativa per contestare le richieste governative che ritiene illegittime.
   
   
4. Accenture informerà il cliente di qualsiasi modifica della legge applicabile che possa influire sulla capacità di Accenture di rispettare il meccanismo di trasferimento dei dati su cui si basa.
   
   
5. L'entità o le entità Accenture che elaborano i Dati del cliente consentiranno al cliente in questione di verificare se i suoi dati personali sono stati divulgati alle autorità pubbliche mediante procedure di verifica concordate, come stabilito nel contratto con il cliente in questione.
   
   
6. L'entità o le entità Accenture che elaborano i Dati del cliente non effettueranno alcun trasferimento successivo dei Dati del cliente, né sospenderanno i trasferimenti in corso, senza l'approvazione del cliente come previsto dal contratto con il cliente o come altrimenti richiesto dalla legge.
   
   
7. Nulla di quanto qui previsto pregiudica il diritto dell'interessato di ottenere il risarcimento dei danni da Accenture, nella misura consentita dalla legge applicabile, nel caso in cui Accenture divulghi i Dati del cliente trasferiti in violazione degli impegni assunti con lo strumento di trasferimento prescelto.