Buonasera vi pongo un quesito;
Recentemente tutte le P.A. sono state chiamate a compilare il modulo, fornito da Agid ed inerente le Misure Minime di Sicurezza per l’ICT.
La mia domanda è la seguente, nel caso in cui una P.A si avvale di un fornitore di servizi informatici esterno, questa è tenuta al rispetto delle misure minime di sicurezza avanzate da Agid?
In caso affermativo, conoscete il riferimento amministrativo.
Grazie
Credo che essendo la responsabilità del titolare del dato, il titolare (ovvero la PA ovvero nei casi di PAL il Sindaco) sia tenuto a chiedere che il fornitore corrisponda alle Misure Minime, oppure al Framework Nazionale sulla CyberSecurity o ancora di più al GDPR.
Non ho nessuno scritto in merito, è solo quello che farei per tutelarmi come titolare del dato, anche in ottica GDPR.
Andrea
per i comuni della Comunità Montana Valle Sabbia si è agito nel seguente modo:
ciascun comune ha attestato le misure di sicurezza per il proprio perimetro.
Nel caso in cui fossero presenti applicazioni dell’ente presso datacenter esterni o in gestione a fornitori esterni è stato richiesto ai fornitori stessi di attestare le misure minime secondo quanto previsto dalla normativa.
Noi abbiamo pensato ad un meccanismo di questo tipo: ogni fornitore di servizi e/o assistenza si collega al ns datacenter attraverso una VPN dedicata, accedendo con un proprio utente e password ad un server che funge da terminal server; da lì accede al server di competenza; in questo modo rimangono registrati tutti gli accessi.
Ci stiamo chiedendo però, se è sufficiente identificare e tracciare l’attività a livello di fornitore/software house, come descritto sopra, demandando al titolare dell’azienda o al responsabile dell’help desk la responsabilità di sapere chi accede di volta in volta, oppure se sia necessario creare un account per ogni operatore … cosa che risulterebbe piuttosto gravosa. Questo anche nell’ottica del GDPR… E una eventuale dichiarazione in tal senso come la trattate ? la mettete nel cotratto di manutenzione ? ve la fate inviare separatamente se il contratto è già stipulato ’
Io pensavo di tenere un registro degli accessi. Se faccio accedere la Software House X nella persone Y, registro che li ho fatti accedere. Creare utenti per tutti gli X*Y è troppo complesso.
Andrea