Qualificazione dei Laboratori di VA e PT

Che cos'è

Le Aziende / Laboratori che effettuano test di Vulnerability Assessment (VA) e di Penetration test (PT), ai fini di  poter operare per le società che erogano servizi di conservazione a norma e servizi di trust soggetti a eIDAS (firma digitale, marca temporale, ecc.) -che richiedono a loro volta la certificazione dei loro servizi all’Agenzia per l’Italia Digitale (AgID)-, devono dal 1° giugno 2017 essere qualificati secondo quanto previsto dalle circolari di Accredia (n. 5/2017 processo di certificazione dei Conservatori a Norma secondo le disposizioni dell'AgID e n. 8/2016 per il processo di certificazione dei Prestatori di servizi fiduciari e dei servizi da essi forniti secondo le disposizioni AgID).

CSQA offre alle Aziende / Laboratori un servizio di audit ispettivo finalizzato al rilascio di una specifica attestazione di qualifica valida fino al 1° giugno 2019, termine oltre il quale  essi dovranno poi accreditarsi direttamente presso Accredia secondo la ISO/IEC 17025:2005.
 

Punti chiave

Secondo le indicazioni Accredia, l’Organismo di Certificazione che svolge la verifica di conformità ai requisiti della Check List di AgID, verifica anche l’esistenza e l’accettabilità dei controlli operativi, riferiti alla norma UNI CEI EN ISO/IEC 27001, relativi ai processi di VA (Vulnerability Assessment) e PT (Penetration Test).

L'attività ispettiva deve fornire evidenza almeno:
  •  della chiara individuazione e diligente applicazione dei requisiti inerenti la metodologia di valutazione tecnica adottata, che richiami, preferibilmente, l'applicazione dei requisiti ISO/IEC 27008;
  • della competenza formale (quali qualifiche, da chi rilasciate, quale esperienza nel settore) delle Risorse Umane addette a tali test; e
  • della qualifica (certificazione in gergo IT) dei SW utilizzati (almeno la garanzia che le versioni siano compatibili e aggiornate ai rilasci dei SO e delle applicazioni da analizzare del Conservatore).

Vantaggi

Un servizio di qualifica che si traduce in vantaggi per tutti gli stakeholder:
  • per il Laboratorio, che può evidenziare da subito il possesso dei requisiti richiesti dai clienti, assicurando il proprio business,
  • per i clienti, in primis i Conservatori a norma e i Trust Service Provider accreditati, che beneficiano in questo modo di un sistema di controllo esteso ai propri fornitori, che innalza il livello di tutela (e di conformità) nella "filiera".