POLITICA DI UTILIZZO ACCETTABILE

1. Scopo

La Politica di Utilizzo Accettabile è stata formulata al fine di incoraggiare l'uso responsabile delle informazioni, reti, sistemi, servizi, siti web e prodotti di Colt (collettivamente "Sistemi Informativi Colt") da parte dei nostri fornitori, subappaltatori e altri terzi (collettivamente "Utenti"), e per consentire a Colt di fornire servizi sicuri, affidabili e produttivi.

Questa Politica di Utilizzo Accettabile stabilisce:

1. Gli standard minimi di comportamento richiesti agli utenti quando utilizzano i Sistemi Informativi Colt.

2. Azioni vietate per l'utente.

3. Azioni da intraprendere da Colt nel caso in cui l'utente non soddisfi tali standard minimi.

4. Protezione sia per l'utente che per Colt da eventuali rivendicazioni di terzi che l'uso dei servizi di Colt sia inappropriato o dannoso per tali terzi.

Si noti che le azioni vietate e gli standard minimi indicati nella politica non costituiscono un elenco completo.

Utilizzando i Servizi accetti di essere vincolato dalla nostra politica.

2. Ambito e idoneità

La Politica di Utilizzo Accettabile – documento esterno fornisce le linee guida per gli utenti esterni, inclusi i fornitori, i subappaltatori e altri terzi di Colt, sui livelli accettabili di utilizzo dei sistemi informativi di Colt e sulla salvaguardia di tali asset.

Le politiche di sicurezza definite in questo documento sono state stabilite per coprire le informazioni, i dati, il software, l'hardware e la rete utilizzati da Colt in tutte le sue sedi e siti. Tutto il personale direttamente impiegato e coloro che lavorano con qualsiasi forma di contratto per Colt.

La dichiarazione di politica, dettagliata di seguito, deve essere inclusa in tutti i siti web aziendali esterni di Colt. Deve inoltre essere citata in tutti i contratti con i clienti nuovi o aggiornati.

Qualsiasi persona che sia a conoscenza o sospetti una violazione di questa politica può segnalarla al proprio responsabile o al team di sicurezza di Colt tramite email a [email protected].

3. Dichiarazione di politica

I Sistemi Informativi Colt devono essere utilizzati in modo coerente con le loro finalità previste e possono essere utilizzati solo per scopi leciti. L'utente non deve utilizzare i Sistemi Informativi Colt per trasmettere, distribuire o memorizzare materiale:

1. In violazione di qualsiasi legge o regolamento applicabile;

2. In modo tale da violare il diritto d'autore, il marchio, il segreto commerciale o altri diritti di proprietà intellettuale di terzi o la privacy, il diritto di pubblicità o altri diritti personali di terzi;

3. Che sia fraudolento, osceno, diffamatorio, calunnioso, minaccioso, abusivo o odioso o contenga un virus, worm, cavallo di Troia, ransomware o altro componente dannoso;

4. Contenente offerte fraudolente per beni o servizi o qualsiasi materiale promozionale che contenga dichiarazioni, affermazioni o rappresentazioni false, ingannevoli o fuorvianti; o

5. In modo tale da poter esporre Colt o qualsiasi suo personale a responsabilità penale o civile.

4. Uso accettabile

1. Uso lecito delle risorse

1. Colt richiede ai suoi UTENTI di conformarsi alle istruzioni di Colt e a tutti i requisiti legali e normativi pertinenti al loro sistema, rete e a qualsiasi servizio possano fornire nei paesi in cui operano.

2. Quando un cliente non soddisfa tali requisiti legali e normativi, il cliente accetta di indennizzare Colt per tutte le perdite, spese, costi (inclusi i costi legali) o danni che Colt potrebbe subire o sostenere in relazione a ciò.

3. È politica di Colt assistere la polizia e le autorità di contrasto in qualsiasi modo praticabile quando richiesto dalla legge applicabile.

4. Colt si riserva il diritto di divulgare informazioni a tali organi o evidenziare qualsiasi preoccupazione circa possibili attività illegali svolte tramite le reti o i sistemi di Colt.

2. Uso della messaggistica elettronica

1. Gli utenti devono garantire che le proprie risorse non siano utilizzate per trasmettere posta elettronica massiva non richiesta di alcun tipo né consentire l'uso di posta elettronica massiva non richiesta per pubblicizzare qualsiasi sito ubicato nella rete Colt.

2. Qualsiasi server di posta connesso alla rete Colt deve essere configurato per proteggere da open relay, che potrebbe essere utilizzato per la trasmissione non autorizzata di posta massiva; qualora ciò si verifichi la trasmissione sarà considerata originata dall'utente.

3. Gli utenti devono utilizzare la rete o i sistemi Colt per trasmettere email con informazioni che non siano modificate, false, inaccurate o intenzionalmente errate nelle informazioni dell'intestazione.

4. La registrazione delle riunioni sarà autorizzata solo nelle seguenti circostanze in cui il contenuto della riunione deve essere consultato in una data successiva:

• Se esiste una necessità aziendale di farlo

• Per spiegare procedure/processi.

• Per finalità di formazione/educative.

La registrazione di una sessione per uno qualsiasi degli scopi sopra indicati deve garantire che i partecipanti diano il loro consenso prima dell'inizio della sessione.

3. Uso del materiale

1. Gli utenti devono accettare che Colt non può controllare e non è responsabile per i contenuti su Internet. Eventuali preoccupazioni riguardanti il contenuto di sistemi o reti non ubicati nella rete Colt dovrebbero essere rivolte ai proprietari dei sistemi o delle reti pertinenti e non a Colt.

2. Gli utenti devono conformarsi ai protocolli e agli standard di Internet.

3. Gli utenti non devono utilizzare le reti o i sistemi Colt per distribuire materiale protetto da copyright a meno che non siano autorizzati a farlo dal titolare del copyright. Gli utenti devono aderire al processo di autorizzazione di Colt per ottenere i corretti diritti di accesso e privilegi alle informazioni e ai sistemi informativi di Colt.

4. L'utente deve utilizzare le reti o i sistemi Colt per scopi appropriati e leciti o per ricevere o inviare messaggi che siano, a ragionevole giudizio, non offensivi, decorosi, non osceni, non malevoli o non diffamatori, o che non violino alcun diritto di proprietà intellettuale (inclusi, senza limitazione, marchi, copyright o diritti relativi ai nomi di dominio), né consentire ad altri di farlo.

5. Colt non si assume alcuna responsabilità per qualsiasi materiale creato o accessibile su o attraverso i Sistemi Informativi Colt che non sia pubblicato da o su richiesta di Colt. Colt non monitorerà né eserciterà alcun controllo editoriale su tale materiale ma si riserva il diritto di farlo nella misura consentita dalla legge applicabile. Colt non è responsabile per il contenuto di siti web diversi dai siti web di Colt, incluso il contenuto di siti web collegati a tali siti Colt. I collegamenti sono forniti solo come strumenti di navigazione Internet.

4. Sicurezza del personale

1. Gli utenti devono effettuare controlli di verifica dei precedenti per il personale a cui è fornito l'accesso ai Sistemi Informativi Colt. I contenuti di sensibilizzazione alla sicurezza devono essere rivisti e aggiornati almeno annualmente.

2. Il personale che ha accesso fisico e logico ai Sistemi Informativi Colt deve firmare un accordo di non divulgazione.

3. Al personale deve essere fornita una formazione di sensibilizzazione alla sicurezza prima di accedere ai Sistemi Informativi Colt.

5. Sicurezza dei sistemi

1. Gli utenti devono accedere solo ai dati destinati al loro uso e non devono effettuare il login su un server o account al quale non sono autorizzati ad accedere.

2. L'utente non deve tentare di sondare, scansionare o testare la vulnerabilità dei sistemi Colt senza adeguata autorizzazione.

3. Gli utenti non devono tentare di interferire, interrompere o disabilitare i servizi verso qualsiasi utente, host o rete, incluso, senza limitazione, tramite sovraccarico, "flooding", "mail bombing" o "crashing".

4. Gli utenti non devono falsificare alcuna intestazione di pacchetto TCP/IP o qualsiasi parte delle informazioni dell'intestazione in qualsiasi email o post di newsgroup.

5. Gli utenti non devono intraprendere alcuna azione al fine di ottenere servizi ai quali tale utente non ha diritto.

6. Le violazioni della sicurezza del sistema o della rete di Colt da parte dell'utente comporteranno responsabilità civili o penali. Colt indagherà su eventi che possono comportare tali violazioni e potrà coinvolgere e cooperare con le forze dell'ordine nella persecuzione degli utenti coinvolti in tali violazioni.

7. Gli utenti devono adottare tutte le misure organizzative e tecniche ragionevoli per prevenire la divulgazione non autorizzata di nomi utente, password o certificati di sicurezza.

8. Gli utenti devono implementare e mantenere controlli che rilevino, prevengano, rimuovano e rettifichino qualsiasi attacco malware che possa avere impatto sulle informazioni e sugli asset informativi di Colt.

6. Sicurezza della rete

1. L'utente non deve utilizzare i sistemi informativi di Colt per ottenere o tentare di ottenere accesso non autorizzato a qualsiasi sistema.

2. Le azioni considerate inaccettabili includono, ma non sono limitate a:

• sondaggio della rete

• mappatura della rete

3. È proibita la scansione delle vulnerabilità o lo sfruttamento di vulnerabilità o errate configurazioni in sistemi o reti, senza previa autorizzazione con l'intento di ottenere accesso non autorizzato o per qualsiasi altro scopo.

4. Qualsiasi pacchetto trasmesso sulla rete Colt dall'utente deve contenere l'indirizzo di origine corretto del sistema emittente. Qualsiasi pacchetto per il quale ciò non sia vero potrà essere impedito dal traversare la rete Colt senza ulteriore avviso.

5. Le reti degli utenti devono essere configurate in modo da non accettare traffico broadcast esterno.

6. Gli utenti non devono utilizzare alcun protocollo o servizio con l'intento di interrompere o impedire l'uso legittimo di qualsiasi servizio da parte di altri.

7. Gli utenti non devono usare le reti o i sistemi Colt per trasmettere virus.

8. Gli utenti non devono usare le reti o i sistemi Colt per installare, direttamente o indirettamente, alcun software non autorizzato o altre modifiche di sistema su qualsiasi sistema senza la previa autorizzazione del proprietario del sistema.

9. Gli utenti non devono intercettare o tentare di intercettare o modificare qualsiasi traffico che attraversa la rete Colt.

10. Gli utenti non devono raccogliere informazioni personali degli utenti Colt senza una necessità aziendale e il consenso di tali utenti.

11. Colt non garantisce la sicurezza dei dati che viaggiano sulle sue reti. Pur adottando tutte le misure praticabili per proteggere tali dati, rimane responsabilità delle parti comunicanti garantire la sicurezza e l'integrità dei propri dati.

12. Colt non si assume alcuna responsabilità per la sicurezza dei sistemi degli utenti collegati alla rete Colt. Tale sicurezza rimane responsabilità dell'utente, a meno che non esista un contratto per la fornitura di tali servizi.

7. Sicurezza delle informazioni / dei dati

1. Gli utenti sono responsabili della protezione delle informazioni di Colt gestite da loro.

2. Gli utenti devono garantire che i dati personali di Colt siano protetti contro l'accesso illegale o non autorizzato, la perdita o distruzione accidentale, il danneggiamento, l'uso o la divulgazione illegali o non autorizzati.

3. Gli utenti devono seguire tutti i requisiti normativi e di conformità applicabili relativi alla protezione dei dati personali di Colt.

4. Gli utenti devono seguire una politica di conservazione dei dati personali di Colt in linea con i requisiti legali e normativi.

5. L'utente deve accettare contrattualmente di proteggere le informazioni allo stesso livello richiesto da Colt.

6. Gli utenti devono familiarizzare con le seguenti Classificazioni delle Informazioni di Colt

1. Altamente Riservato: Informazioni destinate solo a utenti interni Colt ristretti il cui accesso, uso e gestione devono basarsi su rilevanti esigenze aziendali e pertanto richiederebbero rigorosi meccanismi di controllo degli accessi.

2. Riservato: Informazioni destinate a un ampio gruppo di utenti interni Colt il cui accesso, uso e gestione devono basarsi su rilevanti esigenze aziendali e pertanto richiederebbero rigorosi meccanismi di controllo degli accessi.

3. Interno: Informazioni che richiedono restrizioni basse all'accesso e gestite da utenti interni ed esterni.

4. Pubblico: Informazioni che sono disponibili pubblicamente e non richiedono alcuna restrizione al loro accesso e gestione.

7. Le informazioni classificate come Altamente Riservate e Riservate devono essere condivise o comunicate all'utente quando esiste una chiara necessità aziendale e con l'approvazione necessaria del proprietario dell'informazione.

8. Gli utenti devono firmare un NDA con Colt per l'accesso e la gestione delle informazioni Altamente Riservate e Riservate.

9. Gli utenti che hanno accesso a informazioni Altamente Riservate e Riservate devono assicurarsi che le informazioni siano crittografate durante la memorizzazione e durante il transito.

10. Gli utenti sono responsabili di adottare tutte le misure necessarie per prevenire che parti non autorizzate accedano alle informazioni personali e classificate di Colt in qualsiasi modo o per scopi non autorizzati da Colt.

8. Controllo degli accessi

1. Gli utenti devono garantire che le informazioni di Colt siano separate utilizzando un server fisico individuale o, in alternativa, utilizzando controlli di accesso logici separate dalle informazioni di altri clienti.

2. Gli utenti devono garantire che venga seguito un processo di autenticazione sicuro con ID unici e chiavi di autenticazione segrete per gli utenti che richiedono accesso ai sistemi che contengono informazioni di Colt.

3. Gli utenti devono garantire che vi sia un numero limitato di utenti privilegiati con accesso ai sistemi che contengono informazioni di Colt.

4. Gli utenti devono identificare e richiedere ai proprietari appropriati di rivedere e approvare l'accesso ai sistemi utilizzati per accedere, processare e gestire le informazioni di Colt almeno trimestralmente per rimuovere accessi non autorizzati.

5. Gli utenti devono applicare la regola del minimo privilegio agli utenti che richiedono accesso ai sistemi che gestiscono le informazioni di Colt.

6. Gli utenti devono garantire che siano in atto le misure tecniche e di processo necessarie per impedire che le informazioni personali di Colt vengano copiate, spostate o memorizzate su dischi rigidi locali.

7. L'accesso ai Sistemi Informativi Colt deve essere concesso in base alle esigenze aziendali.

8. Gli utenti devono garantire che i requisiti di controllo degli accessi di Colt siano rispettati quando accedono ai Sistemi Informativi Colt.

9. Gli utenti che hanno accesso ai Sistemi Informativi Colt devono assicurarsi che i requisiti di password definiti da Colt siano seguiti per i rispettivi account.

10. Gli utenti che forniscono Software come Servizio devono garantire che il software soddisfi i requisiti di sicurezza definiti da Colt, inclusi i requisiti di autenticazione.

9. Gestione delle vulnerabilità e delle patch

1. L'utente deve avere un processo ben definito di gestione delle vulnerabilità e delle patch.

2. L'utente deve intraprendere azioni appropriate (es. scansione) sui sistemi che gestiscono le informazioni di Colt per identificare potenziali vulnerabilità di sicurezza.

3. L'utente deve monitorare tutti i fornitori applicabili per il rilascio di patch.

4. L'utente deve garantire che tutte le patch applicabili siano distribuite entro i tempi standard specifici in base alla classificazione di criticità della vulnerabilità e alla gravità aziendale dell'applicazione per Colt come indicato di seguito:

• Patch critiche: valutazione CVSS 9.0-10.0

• Patch importanti: valutazione CVSS 7.0-8.9

• Altre patch: valutazione CVSS inferiore a 7.0

5. L'utente deve testare le patch del fornitore in un ambiente non di produzione per garantire che non vi siano risultati imprevisti.

10. Monitoraggio sicuro

1. Gli utenti devono garantire che i log siano mantenuti per l'accesso e la gestione delle informazioni di Colt.

2. Gli utenti devono disporre di un meccanismo per monitorare i log al fine di rilevare eventuali eventi dannosi che impattino i Sistemi Informativi Colt.

3. Gli utenti devono garantire che tutti i log siano protetti da accessi non autorizzati e conservati secondo i requisiti legali e normativi.

4. Gli utenti devono avere un processo definito di gestione degli incidenti di sicurezza.

5. Gli utenti devono informare immediatamente Colt quando vengono a conoscenza di:

• Qualsiasi violazione della sicurezza avvenuta in connessione con il servizio;

• Qualsiasi frode avvenuta in connessione con l'utente, l'apparecchiatura Colt o il servizio; o

• Qualsiasi delle password emesse da Colt all'utente sia venuta a conoscenza di qualsiasi utente non autorizzato.

6. Gli utenti devono garantire che qualsiasi violazione della sicurezza dei dati personali di Colt memorizzati e gestiti presso la loro sede sia segnalata all'autorità competente secondo i requisiti normativi.

11. Gestione del rischio e continuità del servizio

1. L'utente deve avere un processo definito di gestione del rischio per valutare e mitigare i rischi per i servizi forniti a Colt.

2. L'utente deve garantire resilienza, incluse misure di backup e recupero, piani di contingenza e di disaster recovery, per fornire servizi a un livello che soddisfi l'SLA concordato secondo l'accordo contrattuale.

3. L'utente deve condividere il report SLA e le informazioni con Colt su base mensile.

4. L'utente deve garantire che le migliori pratiche di sicurezza siano seguite per tutti i progetti e le attività intraprese come parte del contratto con Colt.

5. L'utente deve garantire di avere un adeguato meccanismo per monitorare qualsiasi incidente di sicurezza che interessi i Sistemi Informativi Colt.

6. L'utente ha il dovere di informare immediatamente Colt di qualsiasi incidente di sicurezza di cui venga a conoscenza e che possa avere impatto sui Sistemi Informativi Colt.

7. L'utente deve garantire che qualsiasi violazione della sicurezza dei dati personali di Colt memorizzati e gestiti presso la loro sede sia segnalata all'autorità competente secondo i requisiti normativi.

12. Rimozione, distruzione e conservazione delle informazioni

1. Al termine del contratto, l'utente deve distruggere fisicamente o cancellare in modo sicuro tutte le informazioni di Colt fino al punto in cui non possano essere lette, decifrate o ricostruite, salvo diverse disposizioni autorizzate dal contratto.

2. Tutte le informazioni di Colt sui sistemi dell'utente, sui supporti di memorizzazione e sui documenti cartacei, comprese le copie salvate elettronicamente su fotocopiatrici, stampanti e altre apparecchiature tecniche devono essere distrutte.

3. L'utente deve certificare per iscritto a Colt che tutte le informazioni sono state distrutte e cancellate in modo sicuro.

13. Rimozione, distruzione e conservazione delle informazioni

1. L'utente può avere accesso, tramite i Sistemi Informativi Colt, a motori di ricerca, servizi web in abbonamento, aree di chat, bacheche, pagine web, Usenet o altri servizi che promulgano regole, linee guida o accordi per governarne l'uso.

2. L'utente deve attenersi a tali regole, linee guida e accordi.

3. L'utente che pubblica messaggi nei newsgroup Usenet è responsabile di prendere familiarità con eventuali statuti scritti o FAQ che regolano l'uso di tali newsgroup e di conformarsi ad essi.

4. Indipendentemente da tali politiche,

• Le strutture Usenet devono essere utilizzate solo in conformità con le regole pertinenti dei gruppi Usenet.

• I binari devono essere pubblicati solo nei gruppi Usenet binari.

• I messaggi commerciali o pubblicitari non devono essere pubblicati in più newsgroup.

14. Uso delle strutture Usenet News

1. L'utente può avere accesso, tramite i Sistemi Informativi Colt, a motori di ricerca, servizi web in abbonamento, aree di chat, bacheche, pagine web, Usenet o altri servizi che promulgano regole, linee guida o accordi per governarne l'uso.

2. L'utente deve attenersi a tali regole, linee guida e accordi.

3. L'utente che pubblica messaggi nei newsgroup Usenet è responsabile di prendere familiarità con eventuali statuti scritti o FAQ che regolano l'uso di tali newsgroup e di conformarsi ad essi.

4. Indipendentemente da tali politiche,

1. Le strutture Usenet devono essere utilizzate solo in conformità con le regole pertinenti dei gruppi Usenet.

2. I binari devono essere pubblicati solo nei gruppi Usenet binari.

3. I messaggi commerciali o pubblicitari non devono essere pubblicati in più newsgroup

15. Diritto di audit

1. Colt si riserva il diritto di “Auditare” l'utente e i loro subappaltatori in caso di mancata fornitura di garanzie sulle pratiche di sicurezza seguite.

2. Colt fornirà un avviso scritto all'utente prima di eseguire l'audit.

3. L'audit può includere la revisione delle politiche, dei processi e delle procedure dell'utente, una valutazione in loco dei controlli di sicurezza fisica, della rete, dei sistemi, della privacy dei dati e della valutazione delle vulnerabilità (nel caso di Software come Servizio).

5. Requisito di conformità alla politica

Questo standard entrerà in vigore alla pubblicazione. Verrà rivisto almeno una volta ogni due anni per garantirne la rilevanza. La conformità sarà valutata periodicamente e potranno essere richieste informazioni ai team operativi pertinenti. Se la conformità non è fattibile, deve essere richiesta un'eccezione tramite il processo di Eccezione alla Politica di Sicurezza.

6. Cronologia e controllo delle versioni