Contratto Quadro Servizi di identità digitale e sicurezza ......Creazione di un codice grafico...

Classificazione: Consip public

1

Lotto 2 - ID 1403

Contratto Quadro

Servizi di identità digitale e sicurezza applicativa

Roma, 11 aprile 2016


2

1. I crimini informatici

2. I servizi del Contratto Quadro

3. Identità digitali & IAM

4. Firma digitale e timbro elettronico

5. Servizi di sicurezza

6. Servizi professionali

Indice


3

Da attacchi singoli, disorganizzati verso attacchi da parte di gruppi di hacker professionisti finanziati da governi o da malavita organizzata

«Il cyber crime è il 4° crimine economico» … da tecnologico è divenuto un problema di business e di sicurezza nazionale …

Le minacce sono divenute continue ed in costante aumento

Recente attacco a decine di PAL attraverso malware via email (cripta i dati salvati sul computer in qualunque formato e chiede un riscatto per riguadagnarne l’accesso; pwd di decrypt inviate via email)

Alcune PAC dichiarano oltre 10.000 attacchi/anno (Cyber Security Report 2014 a cura del Cyber Intelligence Security Center Università La Sapienza Roma e AgID)

In USA crescono gli attacchi alle strutture sanitarie per raccogliere dati «sensibili» sui cittadini (minor costo degli attacchi)

I crimini informatici

Scenario



4

Le minacce principali, in ordine di frequenza degli incidenti (ma non di gravità, nel qual caso l’ordine è inverso) sono:

─ negligenza, errore umano e frodi realizzate da insiders.

─ cyber crime transnazionale organizzato: incassa 15Mld $ all’anno (2012) producendo danni diretti ed indiretti per quasi 400Mld $ a livello globale.

─ cyber espionage e cyber warfare, da parte di soggetti sponsorizzati da stati e di mercenari.

Vulnerabilità introdotte dai produttori software

Vulnerabilità di tipo «0days» (mercato nero)

Attacchi di tipo DDoS (Distributed Denial of Service)

I crimini informatici

Problematiche



5

Servizi per la gestione delle identità digitali, erogati in modalità «as a service», in conformità anche all’art. 64 del CAD;

Servizi di firma digitale remota comprensiva della fornitura di certificati e di timbro elettronico, erogati in modalità «as a service», volti a favorire la dematerializzazione dei documenti e la digitalizzazione dei processi amministrativi;

Servizi di sicurezza, erogati sia in modalità «as a service» che in modalità «on premise», atti a garantire la sicurezza applicativa e a supportare le Amministrazioni nella prevenzione e gestione degli incidenti informatici e nell’analisi delle vulnerabilità dei sistemi informativi; i servizi di sicurezza includono anche servizi professionali a supporto delle attività delle Unità Locali di Sicurezza o strutture equivalenti delle Pubbliche Amministrazioni.

I servizi «as a service» saranno erogati dai fornitori aggiudicatari da Centri Servizi in cui l’Aggiudicatario obbligatoriamente dislocati su sedi ubicate sul territorio comunitario ed in ottempera la Direttiva 95/46/CE del Parlamento e del Consiglio Europeo. Il fornitore è obbligato a trattare, trasferire e conservare le eventuali repliche dei dati conservati dai suddetti Centri Servizi sempre all’interno del territorio comunitario.

I Centri Servizi e le relative macchine fisiche sono condivisi esclusivamente con altre Pubbliche Amministrazioni in logica di «community cloud».

Servizi oggetto del Contratto Quadro

2. I servizi del CQ


6

Servizi disponibili

2. I servizi del CQ

Gestione delle identità digitali

Identity & access management

Firma digitale remota

Timbro elettronico

Static application security testing

Dynamic application security testing

Mobile application security testing

Vulnerability assessment

Data loss/leak prevention

Data base security

Web application firewall e next generation firewall

management

Secure web gateway


7

Servizi di autorità di registrazione e autorità di autorizzazione, in ottemperanza alla normativa SPID (Sistema Pubblico per la gestione delle Identità Digitali)

Servizio fornito prevalentamente per agevolare la migrazione delle identità digitali già detenute dalle amministrazioni verso un identity provider fino ad un max di 12 mln di ID

Servizi aderenti allo standard SAML (Security Assertion Markup Language)

Servizio di gestione delle identità digitali (1/2)



8

Il servizio di registrazione gestisce ID con attributi identificativi (nome, luogo e data di nascita, sesso, ecc.) e attributi non identificativi (tel, residenza, ecc.)

Il servizio di autenticazione gestisce i livelli di sicurezza (Level of Assurance) LoA2, LoA3 e LoA4 (std ISO/IEC DIS 29115)

LoA2 autenticazione a un fattore (es. password)

LoA3 autenticazione a due fattori (es. OTP)

LoA4 autenticazione a due fattori con certificati digitali (es. smart card)

Servizio «as a service» con canone annuale per ID (fascia 1 fino a 1.000, fascia 2 fino a 10.000, fascia 3 oltre 10.000).

Durata minima: 24 mesi

Servizio di gestione delle identità digitali (2/2)



9


Identificazione, autenticazione ed autorizzazione per l’accesso di utenti esterni al portale dell’Amministrazione o ai servizi da essa erogati in rete

Il servizio fornisce all’amministrazione una componente tecnologica che si frappone tra l’utente esterno e le risorse disponibili - siano esse pagine web o servizi telematici

Servizio «as a service» con canone annuale per utente (fascia 1 fino a 10k, fascia 2 fino a 100k, fascia 3 fino a 400k, fascia 4 oltre 400k). Durata minima: 12 mesi

Servizio di «Identity&Access Management»


10

Servizio di firma nel quale la chiave privata del firmatario viene generata e conservata con il certificato di firma all'interno di un server remoto sicuro. Il servizio utilizza un sistema di autenticazione forte a due fattori, con sistemi OTP fisici o logici (USB, telefono cellulare, token).

Il servizio include la fornitura dei certificati digitali rilasciati da un Ente Certificatore accreditato secondo la normativa vigente.

Principali funzionalità:

─ firma in formato CAdES, PAdES e XAdES come da normativa vigente;

─ inserimento di firme multiple nello stesso documento;

─ firma remota massiva;

verifica della firma compatibile con i principali formati di documenti (tra cui almeno .doc, .docx, .xls, .xslx, .pdf, .ppt, .pptx, .eml, .odt, .ods, .odp).

Servizio «as a service» con canone annuale per utente (fascia 1 fino a 50, fascia 2 fino a 200, fascia 3 fino a 1.000, fascia 4 oltre 1.000).


Servizio di firma digitale remota



11

Fornire validità legale a documenti cartacei prodotti a partire da documenti informatici.

Creazione di un codice grafico bidimensionale e posizionamento in un punto qualsiasi del documento, a scelta dell’utente, e generato a partire dal contenuto del documento stesso e dalla firma digitale, ove presente.


─ verifica del timbro elettronico e della conformità del documento stampato rispetto all’originale informatico;

─ gestione delle credenziali e creazione di specifici profili deputati all’apposizione;

─ verifica del timbro compatibile con i principali formati di documenti (tra cui almeno .doc, .docx, .xls, .xslx, .pdf, .ppt, .pptx, .eml, .odt, .ods, .odp).

Servizio «as a service» con quotazione per timbratura (fascia 1 fino a 1k, fascia 2 fino a 10k, fascia 3 fino a 100k, fascia 4 oltre 100k).


Servizio di timbro elettronico



12

I servizi di sicurezza sono volti a supportare le Amministrazioni nella prevenzione e gestione degli incidenti informatici e nell’analisi delle vulnerabilità delle componenti hardware e software dei sistemi informativi.

Servizi di sicurezza


Modalità di erogazione:

─ “as a service”, mediante il Centro Servizi del Fornitore con l’ausilio degli strumenti (hardware e software) messi a disposizione da quest'ultimo. Il Fornitore può richiedere l’autorizzazione ad installare una o più appliance e/o componenti/agent software dedicate presso l’Amministrazione.

─ ”on premise”, mediante l’utilizzo degli strumenti in uso presso le Amministrazioni stesse con il supporto di figure professionali messe a disposizione dal Fornitore.

Per i servizi «as a service»:

─ In fase di attivazione, l’Amministrazione concorda con il Fornitore la strategia e le policy di sicurezza per il blocco delle minacce e i livelli di criticità dei servizi erogati (critici e non critici).

─ Gestione degli incident in funzione delle policy definite e dei relativi livelli di criticità

─ Emissione di report periodici: executive summary, technical report, remediation plan


13

Static application security testing


Identificazione delle vulnerabilità software all'interno del codice (sorgente o binario), con metodologia OWASP (Open Web Application Software Project)

Servizio prevalentemente orientato ad applicazioni in ambiente web

Compatibilità con i principali linguaggi e framework di sviluppo largamente diffusi (tra cui almeno .NET, PHP, C/C++, Java, J2EE, ASP);

Integrazione con almeno due dei seguenti repository software: SVN - Subversion, CVS - Concurrent Versions System, Git, TFVC - Team Foundation Version Control.

Servizio «as a service» con canone annuale per applicazione nel caso di modalità continua o a corpo per modalità una tantum (fascia 1 fino a 5 app, fascia 2 fino a 10 app, fascia 3 oltre 10 app).



14



Identificazione delle vulnerabilità all'interno delle applicazioni Web in fase di esecuzione, con metodologia OWASP (Open Web Application Software Project)


Tre diversi profili in base alle applicazioni:

─ Bronze - applicazioni non critiche che consentono la visualizzazione di pagine di contenuto informativo (siti web statici);

─ Silver - applicazioni costituite da più form (siti web dinamici) e con funzionalità di autenticazione;

─ Gold - applicazioni critiche con funzionalità complesse e di tipo transazionale (ad esempio pagamenti)

Compatibilità con i principali linguaggi e framework di sviluppo largamente diffusi (tra cui almeno .NET, PHP, C/C++, Java, J2EE, ASP).

Servizio «as a service» con canone annuale per applicazione (fascia 1 fino a 5 app, fascia 2 fino a 10 app, fascia 3 oltre 10 app).



15

Mobile application security testing

5 Servizi di sicurezza

Verifica del livello di sicurezza delle applicazioni per dispositivi mobile.

Compatibilità con almeno due dei seguenti sistemi operativi: Android, Blackberry, iOS e Microsoft Windows Mobile.

Servizio «as a service» con canone annuale per applicazione nel caso di modalità continua o a corpo per modalità una tantum (fascia 1 fino a 5 app, fascia 2 fino a 10 app, fascia 3 oltre 10 app).



16

Vulnerability assessment

5 Servizi di sicurezza

Verifica dello stato di sicurezza dell’infrastruttura e dello stato di esposizione alle vulnerabilità attraverso la raccolta di informazioni su servizi erogati, architettura e configurazioni del sistema.

Il servizio prevede le fasi di raccolta informazioni, analisi delle vulnerabilità e prioritizzazione delle stesse con produzione della reportistica.

Compatibilità con i maggiori protocolli di rete di livello application quali FTP/SFTP/FTPS, HTTP/HTTPS, SMTP e di livello network e transport.

Servizio «as a service» con canone annuale per indirizzo IP (fascia 1 per un indirizzo, fascia 2 da 2 a 15, fascia 3 oltre 15).

Durata minima: 12 mesi.


17





Tre diversi profili in base alle applicazioni:

─ Bronze - applicazioni non critiche che consentono la visualizzazione di pagine di contenuto informativo (siti web statici);

─ Silver - applicazioni costituite da più form (siti web dinamici) e con funzionalità di autenticazione;

─ Gold - applicazioni critiche con funzionalità complesse e di tipo transazionale (ad esempio pagamenti)

Compatibilità con i principali linguaggi e framework di sviluppo largamente diffusi (tra cui almeno .NET, PHP, C/C++, Java, J2EE, ASP).

Servizio «as a service» con canone annuale per applicazione (fascia 1 fino a 5 app, fascia 2 fino a 10 app, fascia 3 oltre 10 app).



18

Data loss/leak prevention


Protezione dei dati da accessi non autorizzati o violazioni delle policy di sicurezza per la riduzione del rischio di perdita, danno o svantaggio competitivo.

Le attività di monitoraggio e protezione sono effettuate su dati in-use (accesso tramite endpoint – desktop e laptop), in-motion (traffico rete), e at-rest (sui supporti di memorizzazione).

Possibilità di creare regole predefinite per la protezione dei dati, in funzione dei sistemi di memorizzazione (es. dischi rimovibili, porte USB, DVD, ecc.) per verifica utilizzo conferme alle politiche di privacy e sicurezza (DLP data at rest).

Generazione automatica di alert nel caso di violazione delle policy di sicurezza definite, controllo sui dati in movimento (DLP data in motion).

Compatibilità con i maggiori protocolli di rete di livello application quali FTP/SFTP/FTPS, HTTP/HTTPS, SMTP e di livello network e transport e con i sistemi operativi Windows e Linux.

Servizio «as a service» con canone annuale endpoint (1) (fascia 1 fino a 500, fascia 2 fino a 1000, fascia 3 oltre 1000).

Durata minima: 12 mesi.


19

Data base security


Protezione in tempo reale delle basi di dati da minacce esterne o interne.

Arresto in tempo reale delle sessioni che violano le policy, evitando che i dati vengano compromessi;

Controllo degli accessi ai dati, identificazione e arresto di comportamenti non autorizzati o dannosi;

Compatibilità con almeno tre dei seguenti sistemi di database: Oracle, Microsoft SQL Server, IBM DB2, SAP Sybase e MySQL.

Servizio «as a service» con canone annuale per istanza (fascia 1 fino a 25, fascia 2 fino a 50, fascia 3 oltre 50).



20

Web application firewall e next generation firewall management


Protezione delle applicazioni web da attacchi esterni agendo da filtro del traffico di rete dello strato applicativo.


─ funzionalità standard firewall (es. policy enforcement, statefull inspection,

─ packet filtering, NAT, VPN client-to-site e site-to-site);

─ anti-malware e anti-spam;

─ Intrusion Prevention (IPS) per il blocco delle minacce;

─ monitoraggio del livello di sicurezza degli applicativi web;

─ prevenzione avanzata contro le intrusioni e filtraggio dei contenuti;

─ deep packet inspection per scansionare l'intero payload dei pacchetti;

Servizio «as a service» con canone annuale per livelli di throughput (fascia 1 fino a 50 Mbps, fascia 2 fino a 200 Mbps, fascia3 fino a 500 Mbps).



21

Secure web gateway


Blocco dell’accesso a siti web potenzialmente malevoli aggiornando la propria base dati in maniera automatica.

Individuazione delle attività di download di applicazioni potenzialmente dannose.


─ analisi del traffico per bloccare malware, botnet , spyware e furto dei dati;

─ identificazione dei comportamenti potenzialmente pericolosi e blocco dei siti potenzialmente malevoli o categorizzati come tali;

─ aggiornamento automatico delle liste di siti malevoli;

─ gestione della navigazione tramite utilizzo di categorie di siti web e protocolli.

Servizio «as a service» con canone annuale per singola postazione di lavoro informatizzata (fascia 1 fino a 100, fascia 2 fino a 1.000, fascia3 fino a 5.000, fascia 4 oltre 5.000).



22

Servizi professionali

6. Servizi professionali

Supporto per la realizzazione di attività nell’ambito della sicurezza applicativa, comprensive di quelle relative ai servizi di monitoraggio, quali ad esempio:

─ supporto per la gestione delle attività del CERT (Computer Emergency Respose Team) e delle Unità Locali di Sicurezza o strutture equivalenti delle Pubbliche Amministrazioni per la prevenzione e gestione degli incidenti informatici, per l’analisi delle vulnerabilità dei sistemi hardware e software;

─ attività di supporto ai Security Operating Center (SOC) ;

─ penetration test di tipo applicativo e infrastrutturale;

─ encryption dei dati memorizzati sulle postazioni di lavoro.

I servizi sono erogati esclusivamente in modalità “on premise” con strumenti hw/sw presenti presso l’Amministrazione.

Per la specifica attività richiesta viene presentata una quotazione con tariffe per giorno/uomo delle figure professionali previste (Capo Progetto, Specialista di tecnologia senior, Specialista di tecnologia).

Possibilità di richiedere supporto per attività H24 (tariffa maggiorata specifica).

Classificazione: Consip internal

23

Consip S.p.A.

Via Isonzo 19/E – 00198 Roma

T +39 0685449.1

www.consip.it

@Consip_Spa

www.linkedin.com/company/consip/

Canale ‘’Consip’’

Direzione Progetti per la PA

Contratto Quadro Servizi di identità digitale e sicurezza ......Creazione di un codice grafico...

Documents

Transcript of Contratto Quadro Servizi di identità digitale e sicurezza ......Creazione di un codice grafico...