Home Protezione Conformità all’Ordine Esecutivo 14028 del Governo degli Stati Uniti

Conformità all’Ordine Esecutivo 14028 del Governo degli Stati Uniti

Gentili clienti e partner,

Siamo orgogliosi di annunciare la nostra conformità all’Ordine Esecutivo (OE) 14028 degli Stati Uniti, il cosiddetto “Ordine esecutivo sul miglioramento della sicurezza informatica della nazione”. Questo importante traguardo è la dimostrazione del nostro costante impegno a migliorare la sicurezza e la resilienza dei nostri prodotti, nonché del sostegno che da sempre forniamo ai partner che operano al servizio del Governo degli Stati Uniti.

Abbiamo attuato diverse iniziative chiave per allinearci alle direttive dell’OE 14028, tra cui standard, procedure e criteri, quali:

  1. Maintain a secure software development environment, including actions such as:
    • Utilizzare un ambiente di build separato
    • Verificare le relazioni fiduciarie
    • Utilizzare l’autenticazione a più fattori, basata sul rischio e sull’accesso condizionale a un repository del codice sorgente
    • Crittografare i dati critici
    • Monitorare operazioni e avvisi e reagire agli incidenti informatici
    • Fornire alle agenzie governative federali degli Stati Uniti, quando e ove richiesto, i registri pertinenti che dimostrino la conformità ai processi di cui sopra
  2. Eseguire regolarmente strumenti automatici che verifichino il rispetto dei seguenti standard:
    • Mantenimento di supply chain del codice sorgente affidabili, così da garantire l’integrità del codice stesso
    • Individuazione e correzione delle potenziali vulnerabilità note presenti nella codebase
    • Inoltro alle agenzie governative federali degli Stati Uniti, quando e ove richiesto, di evidenze che attestino la regolare esecuzione di tali strumenti automatizzati
  3. Mantenere e verificare con regolarità l’accuratezza e l’aggiornamento dei dati e la provenienza (cioè l’origine) del codice e dei componenti software interni e di terzi.
  4. Avvenuta implementazione di un programma di divulgazione delle vulnerabilità che include processi di reportistica e divulgazione.
  5. Attestare la conformità ai processi di sviluppo sicuro del software con le Attestazioni di sviluppo software sicuro.
  6. Garantire, per quanto possibile, l’integrità e la provenienza del software open-source utilizzato in una qualsiasi parte dei nostri prodotti.
  7. Stabilire processi interni per la generazione delle Attestazioni di sviluppo software sicuro e altri registri pertinenti, come le distinte base software (SBOM), per i prodotti Fiery venduti al Governo Federale degli Stati Uniti e caricare detti documenti nel Repository for Software Attestations and Artifacts (RSAA) della CISA.

Domande frequenti

Che cos’è la direttiva OE 14028?

La direttiva OE 14028 è un ordine esecutivo del Presidente degli Stati Uniti emesso nel 2021 per rispondere al crescente numero di attacchi informatici contro le agenzie governative e le infrastrutture critiche statunitensi. Il suo scopo è quello di aiutare il Governo degli Stati Uniti e il settore privato a collaborare per proteggersi al meglio da queste minacce. Un aspetto importante della direttiva OE 14028 è che definisce un quadro per migliorare la sicurezza della supply chain del software.

Perché la direttiva OE 14028 è importante per Fiery?

I partner di Fiery vendono attivamente prodotti e servizi al Governo degli Stati Uniti e pertanto è necessario che tutto il software Fiery sia conforme a questo Ordine Esecutivo.

Quali sono i prodotti Fiery interessati dalla direttiva OE 14028?

Tutte le applicazioni software Fiery sviluppate dopo il 14 settembre 2022.

Quando le agenzie governative statunitensi inizieranno a imporre la conformità alla direttiva OE 14028?

Dall’11 giugno 2024
“Le agenzie raccoglieranno le Lettere di Attestazione non rese pubbliche dai fornitori di software per il “software critico” entro 3 mesi dall’approvazione del modulo comune”. Il modulo comune è stato approvato l’11/3/2024

In che modo la direttiva OE 14028 gestisce gli aggiornamenti delle versioni software esistenti?

I programmi software esistenti che vengono modificati con cambi di versione importanti (ad esempio, utilizzando uno schema semantico di gestione delle versioni Major.Minor.Patch o in cui il numero di versione del software passa da 2.5 a 3.0 dopo il 14 settembre 2022) sono interessati da questo Ordine Esecutivo e devono conformarsi ad esso. Il software Fiery segue uno schema di gestione delle versioni a tre cifre, Major.Minor.Patch, applicato in modo incrementale. Ad esempio, nel caso di v1.0.2, 1 è la versione Major, 0 la versione Minor e 2 indica le patch o gli aggiornamenti di sicurezza. Ai fini della conformità alla direttiva OE 14028, il software Fiery considera solo la versione Major. Gli aggiornamenti Minor del software (ad esempio, CWS 7.1.0) e le patch (ad esempio, CWS 7.1.1) non rientrano nell’ambito di applicazione del presente Ordine Esecutivo.

In che modo la direttiva OE 14028 gestisce i prodotti Software-as-a-Service (SAS)?

I programmi software in cui il produttore modifica continuamente il codice (come, ad esempio, i prodotti Software-as-a-Service o altri prodotti che utilizzano la distribuzione continua) sono interessati da questa direttiva e devono risultare conformi a questo Ordine Esecutivo.

Oltre alle Attestazioni di sviluppo software sicuro, sono previsti altri requisiti a dimostrazione della conformità del prodotto alla direttiva?

Su richiesta di qualsiasi agenzia governativa statunitense, siamo in grado di dimostrare la conformità dei nostri prodotti ai processi di sviluppo software sicuro (SSDP) e di fornire i registri pertinenti di supporto, come la distinta base del software (SBOM) per il prodotto in questione.

Le Attestazioni di sviluppo software sicuro di Fiery includeranno anche eventuali software di terzi forniti in bundle con il front-end digitale Fiery (ad esempio, il software Adobe o il software Microsoft)?

No. Fornire l’Attestazione per i prodotti software di terzi è responsabilità esclusiva dei produttori di detti programmi.

E per quanto riguarda il software open-source incluso nei front-end digitali Fiery?

I programmi software open-source di terzi inclusi nei front-end digitali Fiery non rientrano nell’ambito di applicazione di questa direttiva.

Per ulteriori informazioni sulle nostre iniziative legate alla cybersecurity, è possibile visitate il nostro sito Web all’indirizzo https://www.fiery.com/security/