Tipo documento: Documento tecnico

Titolo documento: Network Access Agreement

Emesso da: Stato: Codice documento Versione Data di pubblicazione

TELEPASS TEMPLATE NAA- 0.9 26/02/2022

Network Access Agreement - VPN

AMBIENTI DI PRODUZIONE E TEST
 INDICE

1 PREMESSA.............................................................................................................................................................. 4

2 ANAGRAFICA PARTNER (3A PARTE) E TIPOLOGIA VPN.............................................................................................. 5

3 RIFERIMENTI........................................................................................................................................................... 5

4 SCHEMA TECNICO VPN............................................................................................................................................ 5

5 AMBIENTE PRODUZIONE......................................................................................................................................... 6

6 TERMINI E CONDIZIONI........................................................................................................................................... 8

7 ACCETTAZIONE..................................................................................................................................................... 10

INDICE delle TABELLE

Tabella 1 - Registro delle modifiche............................................................................................................................. 3

Tabella 2 - Dettagli del Documento............................................................................................................................. 3
Tabella 3 – Anagrafica Partner (Evidenziare le voci/i parametri in scope)........................................................................5
Tabella 4 - Riferimenti............................................................................................................................................... 5
Tabella 5 – Produzione - Scheda Tecnica...................................................................................................................... 6
Tabella 6 - Produzione - VPN Configurazione – (Evidenziare le voci/i parametri in scope).................................................6
Tabella 7 - Produzione FW Rules................................................................................................................................. 7
Tabella 8 - Produzione NAT Mapping........................................................................................................................... 7

INDICE delle FIGURE

Figura 1 - Esempio Schema VPN...............................................................................................................................................5

Le informazioni contenute in questo documento sono riservate Pag. 2/11

 Registro delle Modifiche

Ver. Descrizione Data emissione

0.1 Prima stesura – Draft 05/07/2019

0.2 Revisione 29/07/2019

0.3 Inserimento riferimento 09/08/2019

responsabile Business e firme

0.4 Inserimento riferimenti 13/08/2019

ambiente test/produzione

0.5 Modifiche schede tecniche 20/11/2019

0.6 Modifica tabelle regole firewall 21/11/2019

0.7 Formattazione tabelle 06/02/2020

08 Aggiornamento Logo 07/10/2021

0.9 Aggiornamento Tabelle 26/02/2022

Tabella 1 - Registro delle modifiche

Dettagli del Documento

Data Redatto Verificato Approvato
05/02/2020 Claudio Vanni Luca Schiera
07/10/2021 Luca Schiera Luca Schiera
26/02/2022 Luca Schiera Luca Schiera

Tabella 2 - Dettagli del Documento

Le informazioni contenute in questo documento sono riservate Pag. 3/11

1 PREMESSA
Questo documento definisce l’agreement tra Telepass e la società <<Nome società >> (da qui in poi
definita come Terza parte) per l’apertura di un canale sicuro (Site-to-Site Virtual Private Network)
tra l’infrastruttura tecnologica di Telepass e quella gestita dalla Terza parte.

1.1 Riservatezza

Il contenuto del presente documento, come della correlata documentazione e le informazioni

fornite sono da intendersi parte integrante del documento di architettura, pertanto qualsiasi dato,
notizia, conoscenza, informazione di natura tecnica, economica, commerciale, amministrativa, ecc.
trasmessi da Telepass ai Destinatari per iscritto, in forma elettronica, grafica, su supporto magnetico
o in qualsiasi altra forma (le “Informazioni Riservate”) devono considerarsi strettamente riservati e
confidenziali.

1.2 Scopo

Lo scopo del presente accordo è di delineare i termini e le condizioni specifiche che regolano
l'accesso e l'uso della rete di Telepass e delle risorse informatiche da parte di terzi. Questo accordo è
datato e realizzato tra Telepass e la seguente Terza parte: <<Nome società >>.

Le informazioni contenute in questo documento sono riservate Pag. 4/11

2 ANAGRAFICA PARTNER (3A PARTE) E TIPOLOGIA VPN
Partner/Merchant Servizio Tipologia Note
Concessionaria Parcheggio
Fegina - Monterosso al
Logistica Parcheggio Smart
Mare (SP)
Altro Service Desk/Call Center

Tabella 3 – Anagrafica Partner (Evidenziare le voci/i parametri in scope)

3 RIFERIMENTI
Referenti tecnici
Nome Cognome
Riferimento telefonico
email
Telepass Partner
Luca Schiera (Operations Manager)
Andrea Santoro (Network Architect)
Operations Team (Outsourcing NTTData)
Luca Schiera +393480102588
luca.schiera@telepass.com
andrea.santoro@farnetworks.com
noc.outsourcing@nttdata.com

Tabella 4 - Riferimenti

4 SCHEMA TECNICO VPN

La configurazione standard delle VPN Site to Site Telepass prevede, con il fine di evitare overlap con le
risorse interne Telepass, il provisioning (da parte di Telepass) di una subnet remota. Il partner dovrà
utilizzare tale subnet per:

 nattare le proprie risorse che Telepass dovrà raggiungere

 nattare il traffico diretto verso Telepass

Le informazioni contenute in questo documento sono riservate Pag. 5/11

 Figura 1 - Esempio Schema VPN

5 AMBIENTE PRODUZIONE

5.1 Scheda Tecnica

VPN Gateway e Subnet Telepass Partner
Apparato (Marca e modello firewall) FortiGate VM
PROD: 34.91.81.5
IP pubblico VPN gateway
DR: 35.233.36.118
Subnet private 10.255.1.96/28 172.17.53.176/28

Tabella 5 – Produzione - Scheda Tecnica

5.2 Configurazione VPN

IPSEC VPN SITE-TO-SITE - AMBIENTE PRODUZIONE
IKE version IKEv2 (Default)
Authentication Pre-shared Key
Password exchange Phone exchanged
Fase 1: IKE SA (Security Associations) / ISAKMP Security Association (SA)
IKEv1 IKEv2
Encryption -
aes256 – sha256
Hash
Diffie-Hellman group 5
Lifetime (fase 1) 86400 sec
Fase 2: IPSEC SA (Security Associations)
PFS Enable

Le informazioni contenute in questo documento sono riservate Pag. 6/11

PFS type group 5
Encryption -
aes256 – sha256
Hash
Lifetime (fase 2) 28800 sec
Tabella 6 - Produzione - VPN Configurazione – (Evidenziare le voci/i parametri in scope)

Le informazioni contenute in questo documento sono riservate Pag. 7/11

 5.3 Regole Firewall
Porta / Descrizione/Nota
Sorgente Destinazione Applicazione 2
Orario 3

Protocollo 1

TCP 21
TCP 22
TCP 80
TCP 443
10.255.1.96/28 172.17.53.176/28 TCP 1521
TCP 5432
TCP 6000
TCP 8006
TCP 8080
TCP 80
TCP 123
TCP 443
172.17.53.176/2
10.255.1.96/28 TCP 3128
8
TCP 5309
TCP 5432
TCP 10050
Tabella 7 - Produzione FW Rules

5.4 NAT
Ruolo / Descrizione IP Sorgente IP Destinazione NAT

Tabella 8 - Produzione NAT Mapping

1
Per es. 443/tcp, 53/udp
2
Per es. https, ssh
3
Per es. h24, 9-18, lun-ven 8-20

Le informazioni contenute in questo documento sono riservate Pag. 8/11

6 TERMINI E CONDIZIONI

6.1

La terza parte può utilizzare la connessione di rete solo per le attività riportate nelle finalità indicate
nel presente modulo di richiesta di accesso per terze parti. L'uso della connessione di rete per scopi
non approvati è severamente proibito;

6.2

La terza parte è responsabile della definizione delle regole di Firewalling del proprio perimetro volte
a garantire un adeguato livello di segregazione tra la propria rete ed i sistemi connessi alla rete
Telepass.

6.3

La terza parte può utilizzare solo i metodi di accesso che sono stati concordati con Telepass.

6.4

La terza parte è responsabile nei confronti di Telepass dell’operato del proprio personale. Il
personale della terza parte adotterà tutte le misure di sicurezza necessarie a garantire la sicurezza
dei sistemi di Telepass connessi tramite la presente rete.

6.5

La terza parte deve garantire che ogni operazione svolta sui sistemi e sulla rete connessa a Telepass
tramite il presente canale abbia un log delle attività sufficientemente dettagliato da permettere
l’effettuazione di attività di indagini in caso di tentata o riuscita violazione dei sistemi Telepass
tramite canale oggetto della presente richiesta.

6.6

Nel caso di una violazione di sicurezza individuata da Telepass proveniente dalla connessione di rete
qui definita la terza parte metterà a disposizione di Telepass tutte le evidenze necessarie, log accessi
e di attività, necessarie per determinare le cause che hanno generato la violazione di sicurezza.

6.7

Nel caso di violazione di sicurezza, individuata da Telepass o dalla terza parte stessa, la terza parte
deve intervenire nel più breve tempo possibile, ovvero senza giustificato ritardo, al fine di eliminare
la violazione di sicurezza finanche alla chiusura della connessione di rete fino alla risoluzione delle
cause che hanno dato origine all’incidente.

Le informazioni contenute in questo documento sono riservate Pag. 9/11

 6.8
La terza parte deve garantire di essere autorizzata al trattamento dei dati scambiati tramite il presente canale e
di adottare tutte le misure necessarie a garantire l’integrità, la riservatezza e l’autenticità degli stessi.

6.9
La terza parte deve comunicare a Telepass se tramite il canale invierà dati che, secondo la normativa vigente,
devono essere trattati con specifici presidi di sicurezza (a titolo esemplificativo e non esaustivo per la GDPR dati
personali o per la PCI-DSS PAN)

6.10
La terza parte, per i dati provenienti da Telepass che rientrano in scope GDPR, deve garantire di adottare tutte
le misure necessarie a garantire la riservatezza degli stessi secondo quanto previsto dalla vigente normativa. La
terza parte è da ritenersi la sola responsabile per le conseguenze derivanti dall’adozione di misure adeguate che
possono comportare l’accesso non autorizzato ai predetti dati e/o alla loro parziale o totale
perdita/inaccessibilità. Nel caso l’inadempienza della terza parte dovesse generare un provvedimento da parte
del garante che penalizzi Telepass, questa (Telepass) si riserva la facoltà di richiedere i danni derivanti dalla
sanzione direttamente alla Terza parte.

6.11
La terza parte che tratta dati personali derivanti da Telepass deve concordare preventivamente le misure
tecnico/organizzative relative al trattamento degli stessi con Telepass.

6.12
La terza parte che tratta dati personali derivanti da Telepass deve gestire a conservare gli stessi sul territorio
europeo e rendere disponibile a Telepass l’accesso per eventuali audit ai locali dove questi dati sono
conservati/gestiti.

6.13
Dove la terza parte ha accesso diretto o indiretto a informazioni di Telepass, questa non è autorizzata a copiare
divulgare o distribuire le stesse senza il consenso scritto esplicito del referente di Telepass.

Le informazioni contenute in questo documento sono riservate Pag. 10/11

7 ACCETTAZIONE

Visto e sottoscritto

Per Telepass SPA

Referente di Business <Nome e Cognome>

Firma ____________________________ Data <gg-mm-aaaa>

Responsabile Infrastrutture <Nome e Cognome>

Firma ____________________________ Data <gg-mm-aaaa>

Per <Azienda Partner>

Referente di Business <Nome e Cognome>

Firma ____________________________ Data <gg-mm-aaaa>

Responsabile Infrastrutture <Nome e Cognome>

Firma ____________________________ Data <gg-mm-aaaa>

Le informazioni contenute in questo documento sono riservate Pag. 11/11