Politica sui controlli crittografici

La Politica sui controlli crittografici (P18) stabilisce i controlli obbligatori che disciplinano l’uso dei meccanismi di crittografia in tutta l’organizzazione per garantire la riservatezza, l’integrità, la disponibilità e l’autenticità di tutte le informazioni sensibili e dei dati regolamentati. Riconoscendo che la crittografia è fondamentale per comunicazioni sicure, conformità normativa e protezione dei dati, questa politica descrive requisiti dettagliati allineati alle principali norme globali e ai mandati regolatori in evoluzione. Lo scopo principale è garantire che metodi crittografici appropriati siano applicati in modo coerente ovunque i dati sensibili siano trasmessi, trattati o archiviati, rafforzando la fiducia organizzativa e supportando operazioni sicure in tutti i domini aziendali. La politica si applica a livello di organizzazione, includendo tutte le funzioni aziendali, tutto il personale e i fornitori terzi di servizi pertinenti coinvolti in operazioni crittografiche. La copertura si estende agli ambienti di produzione, sviluppo, staging, sistemi di backup e ambiente di ripristino in caso di disastro, con riferimento esplicito ai sistemi che trattano dati Riservato, Altamente riservato o Dati regolamentati. I casi d’uso della crittografia includono cifratura simmetrica e asimmetrica, firme digitali, hashing sicuro e cifratura a livello di API, oltre a robusta generazione, distribuzione e distruzione delle chiavi, incluse tecnologie quali Hardware Security Modules (HSM), Trusted Platform Modules (TPM) e Key Management Systems (KMS). È stabilito un solido modello di governance, guidato dal Responsabile della sicurezza delle informazioni o dal Chief Information Security Officer (CISO), che è proprietario della politica e ne assicura la conformità con ISO/IEC 27001:2022 Allegato A Controllo 8.24, tra gli altri. Il Responsabile delle operazioni crittografiche mantiene l’Elenco dei metodi crittografici approvati (ACML) e il Registro di gestione delle chiavi, guidando il riesame e l’integrazione di nuove tecnologie. Responsabili di linea, Amministratori di sistema, Proprietari dell’asset, Sviluppatori e fornitori terzi ricevono responsabilità chiare per approvazione, configurazione, applicazione e riesame dei controlli crittografici nelle rispettive aree. Sono imposti riesami annuali e Riesami della progettazione crittografica (CDR) per tutti i nuovi deployment o quelli modificati, assicurando l’allineamento con le minacce attuali e i requisiti normativi. I requisiti di implementazione della politica sono completi. Possono essere utilizzati solo algoritmi e protocolli approvati dall’organizzazione, inclusi AES-256 per la cifratura simmetrica, RSA 2048+/ECC per l’asimmetrica, SHA-256/SHA-3 per l’hashing e TLS 1.2+ per il trasporto. È definito un processo formale e gestito centralmente di gestione delle chiavi, che copre generazione, archiviazione, utilizzo, rotazione, revoca, distruzione e rinnovo dei certificati. La separazione dei compiti e la doppia custodia per operazioni sensibili garantiscono responsabilità e riducono il rischio interno, mentre il monitoraggio continuo identifica scadenza dei certificati, uso di cifrari deprecati e accesso non autorizzato alle chiavi. Il trattamento del rischio, le eccezioni e l’applicazione sono rigorosi. La deviazione dagli algoritmi standard richiede un processo di approvazione documentato, inclusi valutazione del rischio e controlli compensativi. Audit annuali dei controlli crittografici, escalation rigorosa per non conformità o compromissione delle chiavi e rimedi disciplinari o contrattuali formali sono procedure standard. La politica è riesaminata e aggiornata regolarmente in risposta a nuove vulnerabilità crittografiche, cambiamenti normativi, audit operativi o aggiornamenti significativi degli strumenti, con comunicazione centralizzata e controllo delle versioni tramite il Registro di controllo dei documenti del SGSI.