Portale Customer Trust

Accedi a informazioni e risorse sulle politiche di sicurezza delle informazioni, sugli standard e sui programmi di garanzia di Symantec relativi alla protezione dei dati dei clienti.

Riepiloghi dei programmi di sicurezza

La fiducia è fondamentale per il nostro business

Impegno per la salvaguardia della privacy e dei dati personali

La protezione delle tue risorse più importanti è al centro della nostra attività e Symantec rimane impegnata a fondo nella salvaguardia dei tuoi dati e della privacy delle persone che rappresenta.

  • I dati e la loro protezione sono al centro di tutto ciò che facciamo: il nostro business si fonda sulla sicurezza, sulla conformità e sulla responsabilità, per consentirci di proteggere le risorse più importanti dei nostri clienti.
  • Sosteniamo il Regolamento generale sulla protezione dei dati dell'Unione europea (GDPR) e la tutela dei diritti alla privacy.
  • La privacy è un diritto fondamentale e la protezione dei dati personali, siano essi i nostri, quelli dei nostri clienti o dei nostri partner, è parte del nostro impegno di responsabilità aziendale.
Gestione globale della certificazione

Customer Trust Office

Il Customer Trust Office svolge un ruolo chiave per supportare le esigenze di due diligence dei clienti di Symantec durante il processo di vendita e, successivamente, per garantire che venga fornita loro una visione sufficiente sulle politiche di sicurezza delle informazioni, sulle pratiche e sulle garanzie dei prodotti Symantec. Questo team all'interno del Global Security Office (GSO) si coordina con i team delle vendite, degli affari legali e dei prodotti per rispondere ai questionari di valutazione della sicurezza delle informazioni ("ISA") dei clienti o per fornire documentazione sulle garanzie dei prodotti (ad esempio, certificazioni ISO 27001, report di auditing SOC, prove di test di penetrazione o risultati della scansione delle vulnerabilità).

Altre informazioni

Certificazioni di sicurezza

Informativa sulla privacy

Nell'Informativa sulla privacy di Symantec sono descritti i tipi di informazioni che vengono raccolte dai siti Web di Symantec, le relative modalità di utilizzo e gli interlocutori con cui vengono condivise. Nella nostra Informativa sulla privacy sono inoltre descritte le misure che adottiamo per proteggere la sicurezza delle informazioni. Viene inoltre spiegato come è possibile contattarci per aggiornare le proprie informazioni, rimuovere il proprio nominativo dalle nostre liste di distribuzione o ottenere risposte a quesiti riguardanti le procedure sulla privacy adottate da Symantec.

Learn More

Politiche e standard di sicurezza delle informazioni

Le politiche e gli standard di sicurezza delle informazioni di Symantec sono allineati agli standard del settore, ad esempio ISO, CSA, NIST/IEC 27001, SOC 2 e PCI. Le politiche e gli standard vengono rivisti e aggiornati (se necessario) su base annua. I seguenti domini di sicurezza delle informazioni sono coperti dalle politiche e dagli standard di sicurezza delle informazioni di Symantec:

  • Gestione del rischio e conformità
  • Training di sensibilizzazione sulla sicurezza
  • Sicurezza personale
  • Classificazione e protezione dei dati
  • Crittografia e gestione delle chiavi
  • Gestione e risposta agli incidenti sulla sicurezza
  • Gestione del rischio della supply chain
  • Controllo degli accessi logico
  • Sicurezza del luogo di lavoro e del data center
  • Sicurezza degli endpoint
  • Architettura e sicurezza del cloud
  • Gestione delle modifiche
  • Gestione delle risorse
  • Sviluppo dei prodotti e sicurezza delle operazioni
  • Business resiliency e disaster recovery
  • Backup e recovery dei dati
  • Utilizzo accettabile e gestione dei media
  • Gestione delle vulnerabilità e delle patch
  • Monitoraggio della sicurezza

Missione

Lo staff globale di professionisti di certificazione di Symantec promuove attivamente la consapevolezza delle best practice di certificazione globale e fornisce una guida e un supporto generale ai nostri team di prodotto per guidarli attraverso i canali tecnici e aziendali necessari per ottenere e mantenere le certificazioni di prodotto Symantec.

 

Certificazioni di Symantec

Common Criteria

Il CCRA (Common Criteria Recognition Arrangement) internazionale riunisce 26 nazioni che concordano di accettare un approccio unificato alle valutazioni dei prodotti delle tecnologie dell'informazione e ai profili di protezione per la sicurezza e l'informazione. Questa soluzione va a beneficio dei governi nazionali e di altri clienti dei prodotti IT, generando maggiore chiarezza nelle decisioni in materia di appalti, maggiore precisione nelle valutazioni, migliore equilibrio tra sicurezza e funzionalità e accesso più rapido ai prodotti del settore.

In quanto base per gli standard internazionali ISO/IEC15408 e ISO/IEC 18045, i Common Criteria sono un framework in cui:

  • governi, esercito e altri utenti possono specificare i propri requisiti in termini di sicurezza, funzionamento e assicurazione tramite l'uso di profili di protezione,
  • i fornitori possono quindi implementare e/o inoltrare richieste in merito agli attributi di sicurezza dei propri prodotti
  • e i laboratori di test possono valutare i prodotti per stabilire se effettivamente soddisfino le richieste.

Fonte: Common Criteria IT Security Evaluation & the National Information Assurance Partnership

Per ulteriori informazioni, fare riferimento a National Information Assurance Policy e Common Criteria.

Più

 

Federal Identity, Credential and Access Management (FICAM)

FICAM TFS è una struttura di identità federativa per il governo federale degli Stati Uniti. Comprende linee guida, processi e infrastrutture di supporto per consentire ai cittadini e alle imprese di garantire servizi online sicuri e ottimizzati.

Certificazione NSL IDEF conseguita. IDEF è l'Identity Ecosystem Framework versione 1.0. Questa è una certificazione valida e attiva e applicabile sia per il settore pubblico che per i mercati commerciali.

I seguenti pacchetti di certificazione Norton Secure Login si applicano al programma FICAM gestito da GSA.  Consulta qui l'elenco di provider di identità approvati.

Per ulteriori informazioni, contattare Adam Madlin.

Pubblicazione Federal Information Processing Standard 140-2 (FIPS 140-2)

Stato prodotto FIPS 140-2

La convalida del Federal Information Processing Standard 140-2 (FIPS 140-2) è importante per qualsiasi fornitore di crittografia che operi nello spazio del mercato federale. Se il tuo prodotto IT utilizza qualsiasi forma di crittografia, probabilmente richiederà la convalida con i criteri FIPS 140-2 dal Cryptographic Module Validation Program (CMVP) eseguito congiuntamente dal National Institute of Standards and Technology (NIST), negli Stati Uniti, e dal Communications Security Establishment (CSE) in Canada prima che possa essere venduto e installato in un'agenzia federale o in una struttura del Dipartimento della Difesa.

FIPS 140-2 descrive i requisiti del governo federale degli Stati Uniti che devono essere rispettati dai prodotti IT per l'uso riservato ma non classificato. Lo standard è stato pubblicato dal NIST, è stato adottato dal CSE ed è gestito congiuntamente da questi organismi nell'ambito del CMVP.

Lo standard definisce i requisiti di sicurezza che devono essere soddisfatti da un modulo di crittografia utilizzato in un sistema di sicurezza che protegge le informazioni non classificate all'interno dei sistemi IT. Esistono quattro livelli di sicurezza: dal Livello 1 (il più basso) al Livello 4 (il più alto). Questi livelli sono destinati a coprire l'ampia gamma di potenziali applicazioni e ambienti in cui possono essere distribuiti i moduli di crittografia. I requisiti di sicurezza riguardano le aree relative alla progettazione sicura e all'implementazione di un modulo di crittografia. Queste aree includono progettazione e documentazione di base, interfacce dei moduli, ruoli e servizi autorizzati, sicurezza fisica, sicurezza del software, sicurezza del sistema operativo, gestione delle chiavi, algoritmi crittografici, interferenza elettromagnetica/compatibilità elettromagnetica (EMI / EMC) e autotest.  Accedi qui per ulteriori informazioni in merito ai requisiti FIPS 140-2, compresi i collegamenti NIST.

Elenco prodotti Symantec convalidato

Di seguito sono elencati i prodotti Symantec aventi stato che indica se un prodotto elencato è:

  • Convalida FIPS 140-2
    • Il prodotto utilizza un modulo di crittografia esistente (Symantec o di terze parti) ed è stato sottoposto a un processo di convalida "etichetta privata"
  • Conforme
    • Il prodotto utilizza un modulo di terze parti convalidato esistente, ma non ha ottenuto esplicitamente una convalida privata da NIST
  • N/D
    • Il prodotto non contiene un modulo di crittografia
  • Non ancora
    • Il prodotto ha un modulo di crittografia ma al momento non è ancora convalidato FIPS 140-2

L'istantanea nel tempo riportata di seguito riguarda una linea di prodotti "in flusso", quindi non ci sono garanzie di accuratezza, tuttavia cerchiamo di tenerlo aggiornato con lo stato attuale/stato FIPS 140-2 per i prodotti. Symantec non certifica che tutti i propri prodotti software e hardware, i servizi o le soluzioni di appliance risultano conformi o convalidati secondo i requisiti FIPS 140-2.

Per domande relative agli stati/ai contenuti FIPS 140-2 qui riportati o per prendere nota dello stato di un prodotto FIPS aggiornato, non esitare a contattarci.

Prodotti Symantec conformi a FIPS

Nome prodotto Symantec Stato Dispone del modulo di crittografia Tipo di modulo di crittografia
Data Center Security 6.6 Conforme a FIPS OpenSSL con BSAFE (certificato n. 1058)
IT Management Suite 8.0 Conforme a FIPS  
Critical System Protection 7.x Conforme a FIPS  

Più

 

Prodotti Symantec con convalida FIPS

Nome prodotto Symantec Stato Dispone del modulo di crittografia Tipo di modulo di crittografia
Data Loss Prevention 12.5 Con convalida FIPS Modulo di crittografia Java Symantec (certificato di convalida n. 2138)
Modulo di crittografia Symantec DLP (certificato di convalida n. 2318)
Data Loss Prevention 14.0 Con convalida FIPS Modulo di crittografia Java Symantec (certificato di convalida n. 2138)
Modulo di crittografia Symantec DLP (certificato di convalida n. 2318)
Data Loss Prevention 15.0 Con convalida FIPS Modulo di crittografia Java Symantec (certificato di convalida n. 3082)
Modulo di crittografia Symantec DLP (certificato di convalida n. 2318)
Crittografia - Desktop Email Encryption 10.3 Con convalida FIPS Symantec PGP SDK 4.2.1 (certificato n. 1684)
Crittografia - Drive Encryption 10.3 Con convalida FIPS Symantec PGP SDK 4.2.1(certificato n. 1684)  
Crittografia - Endpoint Encryption 11.1.1 Con convalida FIPS PGP Cryptographic Engine 4.3
Crittografia - File Share Encryption 10.3 Con convalida FIPS Symantec PGP SDK 4.2.1(certificato n. 1684)  
Crittografia - Gateway Email Encryption 3.3 Con convalida FIPS Symantec PGP SDK 4.2.1 (certificato n. 1684)
Crittografia - Management Server 3.3 Con convalida FIPS Symantec PGP SDK 4.2.1 (certificato n. 1684)
Crittografia - Mobile Encryption Con convalida FIPS Symantec PGP SDK 4.2.1 (certificato n. 1684)
Crittografia - PGP Command Line 10.3 Con convalida FIPS Symantec PGP SDK 4.2.1 (certificato n. 1684)
Crittografia - PGP Key Management Client Access 10.3 Con convalida FIPS Symantec PGP SDK 4.2.1 (certificato n. 1684)
Crittografia - PGP Key Management Server 3.3 Con convalida FIPS Symantec PGP SDK 4.2.1 (certificato n. 1684)
Endpoint Protection 12.1 Con convalida FIPS Modulo di crittografia Java Symantec Versione 1.2 (certificato n. 2138) BSAFE
(certificato n. 1786)
Endpoint Protection Small Business Edition 12.1 Con convalida FIPS Modulo di crittografia Java 1.3
Messaging Gateway 10.5 Con convalida FIPS Modulo di crittografia scanner Symantec; modulo di crittografia Symantec Control Center
Wrapper affidabile OpenSSL e RSA B
Mobility Suite - In hosting Con convalida FIPS OpenSSL
Mobility Suite - In loco Con convalida FIPS OpenSSL
Symantec Insight for Private Cloud Con convalida FIPS Utilizza due OpenSSL

Più

 

Prodotti Symantec non FIPS

Nome prodotto Symantec Stato Dispone del modulo di crittografia Tipo di modulo di crittografia
Control Compliance Suite - AM N/D No  
Feed dati DeepSight Intelligence per la sicurezza informatica N/D No  
Portale DeepSight Intelligence per la sicurezza informatica N/D No  
Endpoint Protection Small Business Edition 2013 N/D No Open SSL 0.98
Mail Security per Domino 8.1 N/D No  
Mail Security per MS Exchange 7.5 N/D No  
Norton Secure Login Non ancora Crittografia Java
Protection Engine 7.5 N/D No  
Protezione per server SharePoint 6.0 N/D No  
Symantec Embedded Security: Critical System Protection 1.0 Non ancora OpenSSL
Validation and ID Protection Service (VIP) Non ancora Modalità FIPS OpenSSL

Più

Federal Risk and Authorization Management Program (FedRAMP)

Prodotto Symantec Stato
Symantec VIP In fase di elaborazione
Sicurezza della posta elettronica per il governo: SMG Autorizzato

 

Il Federal Risk and Authorization Management Program, o FedRAMP, è un programma governativo ad ampio spettro che fornisce un approccio standardizzato alla valutazione della sicurezza, all'autorizzazione e al monitoraggio continuo di prodotti e servizi cloud. Questo approccio impiega un framework "fai una volta, usa molte volte" che consente di risparmiare circa il 30-40% dei costi governativi, oltre al tempo e allo staff necessari per condurre valutazioni di sicurezza ridondanti delle agenzie. Il programma FedRAMP è il risultato di una stretta collaborazione con esperti di cybersecurity e cloud di General Services Administration (GSA), National Institute of Standards and Technology (NIST), Department of Homeland Security (DHS), Dipartimento della Difesa (DOD), National Security Agency (NSA), Ufficio di gestione e bilancio (OMB), il Consiglio federale dei servizi informativi (CIO) e i relativi gruppi di lavoro, nonché il settore privato.

Obiettivi

  • Accelerare l'adozione di soluzioni cloud sicure attraverso il riutilizzo di valutazioni e autorizzazioni
  • Aumentare la fiducia nella sicurezza delle soluzioni cloud per ottenere autorizzazioni di sicurezza coerenti utilizzando una serie di standard concordati da utilizzare per l'approvazione dei prodotti cloud all'interno o all'esterno del FedRAMP
  • Garantire un'applicazione coerente delle pratiche di sicurezza esistenti, aumentare la fiducia nelle valutazioni di sicurezza
  • Aumentare l'automazione e i dati quasi in tempo reale per il monitoraggio continuo

Vantaggi

  • Aumentare il riutilizzo delle valutazioni di sicurezza esistenti tra agenzie
  • Risparmiare costi, tempo e risorse significativi: "fai una sola volta, usa molte volte"
  • Migliorare la visibilità della sicurezza in tempo reale
  • Fornire un approccio uniforme alla gestione basata sul rischio
  • Migliorare la trasparenza tra governi e fornitori di servizi cloud (Cloud Service Providers, CSP)
  • Migliorare la competenza, l'affidabilità, la coerenza e la qualità del processo di autorizzazione della sicurezza federale

Principali parti coinvolte

Principali parti coinvolte Ci sono tre attori principali nel processo FedRAMP: agenzie, CSP e organizzazioni di valutazione di terze parti (3PAO). Le agenzie sono responsabili della selezione di un servizio cloud, sfruttando il processo FedRAMP e richiedendo ai CSP di soddisfare i requisiti FedRAMP. I CSP forniscono l'effettivo servizio cloud a un'agenzia e devono soddisfare tutti i requisiti FedRAMP prima di implementare i propri servizi. I 3PAO eseguono una valutazione iniziale e periodica dei sistemi CSP per i requisiti FedRAMP, forniscono evidenza di conformità e svolgono un ruolo costante nel garantire che i CSP soddisfino i requisiti.  Le autorizzazioni provvisorie FedRAMP (P-ATO) devono includere una valutazione di un 3PAO accreditato per garantire un processo di valutazione coerente.

Processi chiave

FedRAMP autorizza i sistemi cloud in un processo a tre fasi:

  1. Valutazione della sicurezza: il processo di valutazione della sicurezza utilizza una serie standardizzata di requisiti in conformità con FISMA utilizzando un insieme di base di controlli NIST 800-53 per garantire le autorizzazioni di sicurezza.
  2. Sfruttamento e autorizzazione: le agenzie federali visualizzano i pacchetti di autorizzazione di sicurezza nell'archivio FedRAMP e sfruttano i pacchetti di autorizzazione di sicurezza per concedere un'autorizzazione di sicurezza alla propria agenzia.
  3. Autorizzazione e valutazione continuative: una volta concessa l'autorizzazione, è necessario completare le attività di valutazione e autorizzazione per mantenere l'autorizzazione di sicurezza.

Governance

FedRAMP è un programma governativo con contributi provenienti da numerosi dipartimenti, agenzie e gruppi governativi. Il principale organo decisionale del programma è il Joint Authorization Board (JAB), composto dai CIO di DOD, DHS e GSA.  Oltre al JAB, OMB, consiglio federale CIO, NIST, DHS e il FedRAMP Program Management Office (PMO) svolgono ruoli chiave nell'esecuzione efficace del programma FedRAMP.

 

Modelli di accessibilità ai prodotti volontari

Symantec è impegnata a sviluppare soluzioni tecnologiche accessibili a persone di ogni livello. A tal fine, utilizziamo il Modello di accessibilità ai prodotti volontario (VPAT™, Voluntary Product Accessibility Template),  sviluppato dall'Information Technology Industry Council, per assistere i funzionari delle amministrazioni pubbliche e altri acquirenti nella valutazione delle caratteristiche di accessibilità dei nostri prodotti e servizi.

Il rilascio di un VPAT, tuttavia, non costituisce una certificazione di Symantec secondo cui l'acquisizione di qualsiasi tecnologia elettronica e informatica sarebbe conforme ai requisiti della Sezione 508 del Rehabilitation Act del 1973 (29 U.S.C., § 794 (d)).

Per ulteriori informazioni sul programma VPAT di Symantec, ti invitiamo a contattarci.