La sicurezza digitale nella PA: 7 F.A.Q. su Strategic PA®

La sicurezza digitale nella PA richiede il rispetto delle misure normative e delle procedure per proteggere dati, servizi e infrastrutture IT dalle minacce informatiche come attacchi hacker, malware, furti di dati e altre vulnerabilità.

Abbiamo raccolto 7 F.A.Q. per raccontare in che modo garantiamo altissimi standard di sicurezza digitale in Strategic PA^®.

1. Il software rispetta gli standard per la sicurezza digitale nella PA?

Strategic PA^® rispetta gli standard di qualità, di sicurezza, di performance e scalabilità, interoperabilità e portabilità previsti da:

determinazione AgID 628/2021;
determinazione ACN 307/2022 e successive e modifiche apportate dalla determinazione ACN n. 20610 in data 28 luglio 2023;
Normative europee vigenti, incluso il

Inoltre, è conforme agli standard di sicurezza dati e privacy stabilita dalle norme ISO:

ISO/IEC 27001;
ISO/IEC 27017;
ISO/IEC 27018.

2. Dove finiscono i dati del mio Ente?

Strategic PA^® risiede su piattaforma IaaS certificata ACN, AWS – Amazon Web Service, nei data center di Francoforte, che garantisce un livello di servizio (SLA) sull’infrastruttura del 99,5 %.

Dispone inoltre di un Virtual Private Cloud (VPC) segmentato in subnet per i front-end e il back-end per proteggere i database dagli attacchi informatici.

Un secondo Data Center si trova nella Availability Zone di Francoforte, entro i 100km da quello principale: l’uso di due data center separati ci permette di garantire il disaster ricovery anche in caso di eventi che potrebbero distruggere fisicamente uno dei due data center (per esempio alluvioni, terremoti, incendi ecc).

L’applicativo si basa sulla piattaforma Oracle APEX che comunica tramite VPC con il relativo database la cui tecnologia è Oracle DB, continuamente aggiornata con patch di sicurezza e correzioni, per far fronte anche alle minacce più nuove e recenti.

3. Strategic PA^® monitora eventuali attacchi o anomalie?

La sicurezza digitale di Strategic PA^® è sempre sotto controllo grazie a:

AWS WAF (Web Application Firewall) che garantisce la sicurezza perimetrale e previene attacchi DDoS, SQL injection e cross-site scripting e traffico da indirizzi IP associati ad attività fraudolente;
Vulnerability Assessment con strumenti Open Web Application Security Project (OWASP), eseguiti dopo ogni aggiornamento. Ci impegniamo a correggere eventuali vulnerabilità rilevate entro 30 giorni;
CrowdStrike, piattaforma di endpoint detection and response (EDR), che utilizza intelligenza artificiale e machine learning per identificare e neutralizzare anche le minacce avanzate e nuove;
AlienVault di AT&T Cybersecurity con una suite per intrusion detection, gestione delle vulnerabilità e monitoraggio continuo;
Controllo dei Log di Accesso e dei Log di Navigazione per verificare comportamenti sospetti.

Consegniamo e produciamo l’applicazione solo dopo aver eseguito gli opportuni test di sicurezza, per verificare che corrisponda ai requisiti previsti in fase di analisi.

4. Come mi assicuro che nessuno acceda a Strategic PA^® con le mie credenziali?

Ti puoi connettere a Strategic PA^® solo ed esclusivamente con identità certificate e con accessi basati sui ruoli.

Proteggiamo la tua identità grazie alle seguenti tecnologie di sicurezza:

Credenziali nominali e password sicura di almeno 12 caratteri alfanumerici e simboli speciali, con scadenza periodica, crittografia con algoritmo SHA512 e accesso ritardato in caso di tentativi errati. Questo è in conformità con la Circolare Agid n.2/2017;
Autenticazione forte a due fattori, ossia credenziali personali + codice OTP generato da App di sicurezza come Google Authenticathor, Microsoft Authenticator o Cisco Duo Mobile;
Possibilità di integrare il tuo sistema di Single Sign On SSO con OpenID Connect.

5. Ci sono procedure di backup e disaster ricovery?

In caso di guasti, furti o eventi che possono compromettere l’integrità dei dati del tuo Ente, sei tutelato da:

backup giornaliero AWS con mantenimento delle copie per 15 giorni;
dump giornaliero di tutto il database con mantenimento delle copie per 15 giorni;
programma di gestione del backup dei database Oracle con mantenimento delle copie per 15 giorni;
disaster Recovery a freddo per ricostruire l’intero ambiente applicativo e i relativi dati attingendo dalle copie di backup, in caso di eventi catastrofici.

Abbiamo fissato il tempo massimo per il ripristino dei servizi in caso di guasto o disastro (RTO) da 6 a 20 ore. La quantità massima di dati che potresti perdere in caso di disastro (RPO) è di 12 ore (e cioè i dati delle ultime 12 ore prima dell’evento).

6. Il software viene aggiornato per mitigare i rischi informatici?

Effettuiamo operazioni di manutenzione sul sistema informativo per garantire la sicurezza dei dati, inclusa la gestione degli aggiornamenti e la loro installazione per mitigare le vulnerabilità note. Dopo ogni aggiornamento eseguiamo un Vulnerability Assessment.

Se le operazioni di manutenzione richiedono una sospensione temporanea del servizio, te lo notifichiamo preventivamente per non interrompere il tuo lavoro senza preavviso.

7. Chi mi garantisce il rispetto degli standard di sicurezza digitale per la PA?

Tutti i sistemi operativi e i relativi database di Strategic PA^® sono amministrati e aggiornati dal team di sistemisti esperti SOC di Ecoh Media. Il team può identificare anomalie e tentativi di manomissione provenienti dall’esterno e dall’interno del tuo Ente, ma anche dall’interno della nostra stessa organizzazione, per tutelarti da qualsiasi tentativo di furto di dati da parte di utenti malintenzionati.