Post on 31-Aug-2018
transcript
1
Regolamento Privacy Aziendale
Ex Documento Programmatico sulla Sicurezza dei Dati
Personali
(D.lgs. 196/03 del 30/06/2003 e s.m.i)
Emittente: Area Qualità
Versione: 9
Data emissione: 31 Marzo 2016
Rev. del 30 Aprile 2016
2
1. DOCUMENT MANAGEMENT
1.1 HISTORY
Versione Data Nome file Note
1.0 05/03/2008 DPS_2008.doc
2.0 27/03/2009 DPS_2009.doc
3.0 31/03/2010 DPS_2010.doc
4.0 31/03/2011 DPS_2011.doc
5.0 31/03/2012 Regolamento_Privacy_2012.doc
6.0 30/09/2013 Regolamento_Privacy_2013.doc
7.0 31/03/2014 Regolamento_Privacy_2014.doc
8.1 04/01/2016 Regolamento_Privacy_2015.doc
9.0 30/04/2016 Regolamento_Privacy_2016.doc
1.2 RIFERIMENTI AD ALTRI DOCUMENTI
Rif. Data Titolo
1.3 11/03/2014 SGSI-05-POL_Politica di Sicurezza Informatica
1.3 APPROVAZIONE
Versione Data Nome file Note
1.0 03/03/2008 DPS_2008.doc
2.0 27/03/2009 DPS_2009.doc
3.0 31/03/2010 DPS_2010.doc
4.0 31/03/2011 DPS_2011.doc
5.0 31/03/2012 Regolamento_Privacy_2012.doc
6.0 30/09/2013 Regolamento_Privacy_2013.doc
7.0 31/03/2014 Regolamento_Privacy_2014.doc
8.1 04/01/2016 Regolamento_Privacy_2015.doc
9.0 30/04/2016 Regolamento_Privacy_2016.doc
1.4 GLOSSARIO E DEFINIZIONI
Nome Definizione
DPSS Documento Programmatico sulla Sicurezza
1.5 REVISIONI
Versione Capitolo Paragrafo Descrizione breve
2.0 Revisione generale del
documento
Variata struttura organizzativa privacy, aggiornati i
trattamenti effettuati e introdotte misure tecniche e
organizzative riferite agli amministratori di sistema
3.0 Revisione generale del
documento
Variata architettura di rete, e infrastruttura hardware,
software e policy backup in seguito a variazione sede.
4.0 Revisione generale del
documento
Revisione completa del documento.
Introduzione Banche Dati.
Introduzione banca dati videosorveglianza.
5.0 Revisione generale del
documento
Revisione completa del documento che viene rinominato
a fronte del Decreto Legge n. 5-2012 “Regolamento
Privacy Aziendale”
6.0 Revisione generale del
documento
Revisione completa per cambiamento organizzativo
3
7.0 Revisione generale del
documento
Revisione completa per cambiamento organizzativo
8.1 Revisione generale del
documento
Revisione completa per cambiamento organizzativo
9.0 Revisione generale del
documento
Revisione completa e rafforzamento misure di sicurezza
per trattamento dati sensibili e giudiziari
2. SOMMARIO
1. Document Management ............................................................................................................... 2
1.1 History ......................................................................................................................................2
1.2 Riferimenti ad altri documenti ..................................................................................................2
1.3 Approvazione .............................................................................................................................2
1.4 Glossario e Definizioni ..............................................................................................................2
1.5 Revisioni ...................................................................................................................................2
2. Sommario ..................................................................................................................................... 3
3. Introduzione ................................................................................................................................. 4
3.1 Riferimenti Normativi ................................................................................................................4
4. Funzioni organizzative relative alla privacy e protezione dei dati personali .................................. 5
4.1 Titolare del trattamento ............................................................................................................5
4.2 Responsabili interni per il trattamento dei dati personali .........................................................5
4.3 Incaricati del trattamento dei dati .............................................................................................6
4.4 Amministratori di Sistema ........................................................................................................6
4.5 Custode delle Credenziali ..........................................................................................................7
5. Descrizione del Sistema Informatico Aziendale ............................................................................. 7
5.1 Videosorveglianza ......................................................................................................................8
6. Elenco del Trattamento dei dati personali .................................................................................. 10
7. Distribuzione dei Compiti e delle Responsabilità ........................................................................ 15
7.1 Organigramma Privacy ............................................................................................................16
8. Analisi dei Rischi ........................................................................................................................ 17
9. Misure in essere ......................................................................................................................... 24
10. Criteri e modalità di ripristino della disponibilità dei dati ....................................................... 30
11. Pianificazione degli interventi formativi previsti ...................................................................... 30
12. Outsourcing (Dati dei Clienti) ................................................................................................. 31
12.1 Policy di Backup .....................................................................................................................31
12.2 Pubblicazione al Cliente ..........................................................................................................32
12.3 Front-End ...............................................................................................................................33
13. Piano di verifiche e di aggiornamento periodico del Regolamento Privacy ............................... 33
14. Trattamenti affidati all’esterno ................................................................................................ 33
15. Modelli Nomine ....................................................................................................................... 35
15.1 Nomina del Responsabile dei trattamenti dei dati personali ....................................................35
15.2 Nomina degli Incaricati ...........................................................................................................37
15.3 Nomina Custode delle Credenziali ...........................................................................................39
4
15.4 Nomina responsabile del trattamento esterno .........................................................................40
15.5 Nomina Amministratore di Sistema (responsabile) ..................................................................42
15.6 Nomina Amministratore di Sistema ........................................................................................44
Allegato 1........................................................................................................................................... 46
3. INTRODUZIONE
Il Documento Programmatico sulla Sicurezza (ora Regolamento Aziendale Privacy) di Optimo Next
s.r.l., Titolare del trattamento dei dati è redatto e aggiornato, ai sensi del D.Lgs. 196/2003 “ Codice
Unico in materia di protezione dei dati personali” e s.m.i. e a fronte dei provvedimenti del Garante.
Le prescrizioni descritte nel presente documento si applicano a tutti i trattamenti eseguiti
nell’ambito dell’intera struttura organizzativa di Optimo Next, dai Responsabili e dagli incaricati, e
sono da considerare vincolanti nei rapporti contrattuali relativi a trattamenti eseguiti da altri
soggetti esterni cui sia conferito un incarico di Responsabile del trattamento di dati di cui Optimo
Next sia Titolare. Il documento costituisce dalla presente revisione il regolamento aziendale in
materia di Privacy, riepiloga l’assolvimento di tutti gli adempimenti previsti sulla base della
situazione organizzativa aziendale e descrive le misure di sicurezza adottate nel trattamento dei
dati.
Tale documento ha anche lo scopo di definire, sulla base dell'analisi dei rischi, i criteri e le procedure
per garantire la sicurezza nel trattamento dei dati personali, la distribuzione dei compiti e delle
responsabilità nell’ambito delle strutture preposte al trattamento dei dati stessi:
• i criteri tecnici e organizzativi per la protezione delle aree e dei locali interessati dalle misure di
sicurezza nonché le procedure per controllare l’accesso delle persone autorizzate ai locali
medesimi;
• i criteri e le procedure per assicurare l’integrità e la disponibilità dei dati;
• i criteri e le procedure per la sicurezza delle trasmissioni dei dati, ivi compresi quelli per le
restrizioni di accesso per via telematica;
• i criteri e le procedure per il ripristino dell’accesso ai dati;
• l'elaborazione di un piano di formazione per rendere edotti i responsabili e gli incaricati del
trattamento dei rischi individuati e dei modi per prevenire gli eventuali danni.
L’efficacia di tali misure di sicurezza deve essere oggetto di controlli e revisioni periodici, da
eseguirsi almeno con cadenza annuale.
3.1 RIFERIMENTI NORMATIVI
D.lgs. 196/03 - “Codice in materia di protezione dei dati personali”
Provvedimento del Garante per la protezione dei dati personali dal titolo “Misure e
accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici
relativamente alle attribuzioni delle funzioni di amministratore di sistema” del 27 novembre
2008, in G.U. n. 300 del 24 dicembre 2008
5
Provvedimento del Garante per la protezione dei dati personali dal titolo “Rifiuti di
apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali” del
13 ottobre 2008, in G.U. n. 287 del 9 dicembre 2008
Provvedimento in materia di Videosorveglianza dell’8 Aprile 2010
D.L. n. 70 del 13 maggio 2011
Decreto Legge n. 201/2011
Decreto Legge 9 Febbraio 2012, n. 5
ISO 27001:2013 “Sistemi di Gestione della sicurezza delle informazioni”
D.lgs. 14 settembre 2015 n. 151: Riforma dell’art.4 dello statuto dei lavoratori
4. FUNZIONI ORGANIZZATIVE RELATIVE ALLA PRIVACY E PROTEZIONE
DEI DATI PERSONALI
4.1 TITOLARE DEL TRATTAMENTO
Il Titolare del trattamento nella figura del legale rappresentante avvalendosi dei responsabili interni
per il trattamento e, ove necessario, dei consulenti esterni:
individua e prende decisioni in ordine alle finalità ed alle modalità di trattamento dei dati
personali, ivi compreso il profilo della sicurezza
effettua il censimento ed aggiorna l'elenco dei trattamenti dei dati personali in azienda e
garantisce il diritto d’accesso come previsto dalle norme sulla privacy;
con l’assistenza degli amministratori di sistema e dei responsabili al trattamento individua,
predispone, verifica, documenta e rende note le misure di sicurezza (minime e più ampie)
necessarie per la protezione dei dati personali.
Redige, aggiorna e conserva il Documento Programmatico della Sicurezza con finalità anche di
Regolamento Privacy.
Per quanto riguarda i dati dei clienti gestiti nel processo documentale, Optimo Next è Responsabile del
Trattamento Esterno dei dati ed ha delegato l’Amministratore Delegato a far applicare le istruzioni
definite dal Titolare del trattamento.
4.2 RESPONSABILI INTERNI PER IL TRATTAMENTO DEI DATI PERSONALI
I Responsabili interni per il trattamento gestiscono i trattamenti sulla base dei compiti affidati e
analiticamente specificati per iscritto dal titolare.
I Responsabili si attengono alle istruzioni impartite dal titolare il quale, anche tramite verifiche
periodiche, vigila sulla puntuale osservanza delle disposizioni in materia di trattamento previste dal
Codice, ivi compreso il profilo relativo alla sicurezza. I Responsabili per il trattamento vigilano sul
rispetto delle istruzioni impartite agli incaricati al trattamento.
Analogamente sono considerati responsabili esterni per il trattamento, mediante incarico
sottoscritto dalle parti all'atto della stipula dei contratti, per il solo periodo necessario, anche i
consulenti (in proprio o di società terze) nonché tutti i soggetti a cui vengono comunicati dati per le
diverse finalità esplicitate nel capitolo 14 Trattamenti affidati all’esterno.
6
4.3 INCARICATI DEL TRATTAMENTO DEI DATI
Ciascun dipendente è assegnato, all'atto dell'assunzione o nel caso di cambiamento di mansione,
presso un’unità organizzativa ove sono trattati i dati e per ciascuna delle quali sono individuate
(vedi capitolo 6 - “Elenco Trattamento dei Dati”) le categorie di dati cui si può avere accesso e gli
ambiti del trattamento.
A tutti gli incaricati sono state fornite istruzioni scritte per operare, nell’ambito dei trattamento
assegnati, con la massima diligenza ed attenzione e rispettando le misure di sicurezza predisposte
dalla società.
4.4 AMMINISTRATORI DI SISTEMA
Secondo quanto previsto dal provvedimento del Garante del 27 novembre 2008 pubblicato sulla G.U. n. 300 del 24
dicembre 2008, il Titolare ha attribuito le funzioni di amministratore di sistema a personale qualificato per
esperienza, capacità e affidabilità anche in termini di garanzia del pieno rispetto dei profili di sicurezza richiesti dai
specifici trattamenti.
Gli amministratori di sistema vengono designati tramite lettera d’incarico nella quale vengono riportati gli ambiti di
operatività consentiti in funzione del profilo di autorizzazione assegnato.
Nella tabella seguente vengono riportati i nominativi degli amministratori di sistema, con l’elenco delle responsabilità
e attività svolte.
Nominativo Ruolo Responsabilità ed attività
Fabrizio
Tudisco Amministratore Delegato
Verifiche operato Amministratori di
Sistema
Gianmarco
Mazzone Security Manager
Gestione della sicurezza e custode delle
copie credenziali di Amministratore
Andrea
Rosario Muni System Engineer
System, Network e Data Base
Administrator
Giuseppe
D’Acunto System Engineer
System, Network e Data Base
Administrator
Tabella 1 – Informazioni relative agli amministratori di sistema
I nominativi degli amministratori di sistema vengono resi noti nell’ambito della struttura organizzativa di Optimo
Next mediante Policy aziendale comunicata a tutti i dipendenti tramite pubblicazione sul portale aziendale.
L’operato degli amministratori di sistema è oggetto di verifiche almeno annuali sotto la responsabilità
dell’Amministratore Delegato e con il supporto del Security Manager al fine di controllare la rispondenza alle misure
organizzative, tecniche e di sicurezza definite per i trattamenti e previste dalla normativa vigente (rif. Allegato B –
D.Lgs 196/03).
Gli accessi logici ai Sistemi Informativi e ai Data Base da parte degli amministratori vengono tracciati garantendone la
completezza, inalterabilità e possibilità di verifica della relativa integrità.
Per la rilevazione ed archiviazione dei log è stato installato il software NG attivo su tutti i sistemi.
In particolare tramite il software citato viene tracciato log on, log off e disconnessione remota forzata.
I log vengono archiviati garantendo uno storico di 6 mesi dall’applicativo NG che ne garantisce inoltre
l’immodificabilità.
7
4.5 CUSTODE DELLE CREDENZIALI
Le password di sistema (di Amministratore), dei server di Optimo Next e di tutti quelli che sono i sistemi principali
della rete sono di esclusivo possesso del reparto IT e Delivery (solo DB). Tali password vengono cambiate almeno
trimestralmente od ogni qualvolta vi sia la necessità di rinnovare tali sicurezze.
Le password di sistema, delle apparecchiature di controllo e delle apparecchiature di security sono gestite da una
base dati relazionale ad uso esclusivo del reparto IT e del Security Manager.
In questa base dati sono contenute le seguenti informazioni:
identificazione del sistema o della specifica apparecchiatura;
identificazione dell'utente amministratore del sistema o della specifica apparecchiatura;
password associata all'utente amministratore del sistema o della specifica apparecchiatura;
eventuali note e commenti ad uso interno per la gestione del sistema o delle diverse apparecchiature.
Il Titolare avvalendosi dell’operato del Security Manager svolge le seguenti funzioni:
riceve dagli amministratori di sistema comunicazione riservata della sostituzione delle credenziali degli
amministratori di sistema (USER ID E PWD).
Delega il Security Manager alla conservazione delle stesse parole chiave con modalità (fisiche ed
organizzative) atte a garantire la segretezza delle stesse parole chiave e la loro integrità in modo da
permettere l’accesso al sistema a persone autorizzate in caso di emergenza in concomitanza ad una
eventuale indisponibilità degli amministratori di sistema;
collabora con i responsabili del trattamento e/o con l’amministratore del sistema per la corretta
gestione delle misure di sicurezza relative alle stesse parole chiave.
5. DESCRIZIONE DEL SISTEMA INFORMATICO AZIENDALE
Presso Optimo Next vengono eseguiti i trattamenti previsti dal Codice Privacy e cioè operazioni o complesso di
operazioni, svolte con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la
registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il
raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione
di dati.
Le misure di sicurezza adottate da Optimo Next garantiscono l’integrità, la disponibilità e la riservatezza dei dati
trattati, sia in termini di allocazione delle risorse umane e delle risorse tecnologiche, sia in termini normativi e
comportamentali.
Gli ambiti in cui si sviluppa l’attività di Optimo Next riguardano settori in cui la riservatezza, la competenza, la
tempestività e la continuità del servizio sono indispensabili per adempiere correttamente agli incarichi ricevuti
e per ottenere la soddisfazione dei clienti.
Optimo Next presta grande attenzione agli aspetti della sicurezza garantendo e controllando gli accessi ai dati
da parte del personale interno.
Tra le attività più rilevanti di Optimo Next, rivolte all’esterno, vi è quello di fornire il servizio di gestione
documentale (Outsourcing), consentendo ai clienti di accedere al sistema, attraverso l’utilizzo di applicazioni
strutturate, per la consultazione dei propri dati. Ogni utente viene inserito in un apposito profilo individuale o
8
di gruppo ed ogni profilo può accedere solo alle risorse che gli competono. Ogni cliente possiede una
partizione logica o fisica delle risorse che gli consentono di vedere e gestire solamente i dati che lo riguardano.
Per garantire la sicurezza del sistema per gli utenti che accedono da Internet sono costantemente in funzione
appositi software di sicurezza che ne controllano l’accesso. Sono inoltre state predisposte tecnologie di
sicurezza HW quali firewall e SW quali Antivirus, Antispam e sistemi di monitoraggio sulla rete locale.
Il sistema informativo di Optimo Next è sito presso la sede di Viale Industria, 61 – 24040 Bottanuco (BG).
La rete locale è composta da:
Server e sistemi multiutenti;
Reti locali e altri sistemi di collegamento ai terminali;
PC di accesso per gli utenti compresi i computer portatili;
Collegamenti del sistema ad apparecchiature di produzione, rilevatori di presenze e acquisizione dati;
Dispositivi di connessione e instradamento dati;
Software di sistema e applicativo gestionale locale e sistemi di posta elettronica e navigazione Internet;
Software di sistema e applicativo gestionale centralizzato.
Periodicamente tutti i prodotti software, applicativi e gestionali, possono presentare la necessità di essere
sostituiti da nuove versioni degli stessi ed è solitamente possibile farlo attraverso procedure di aggiornamento
(upgrade) del software preesistente. In questo caso l'impatto sull'operatività è minimo. In altri casi è necessario
procedere alla sostituzione integrale del pacchetto software con conseguente necessità di ripristinare le
procedure di utilizzo adattandole al nuovo software.
5.1 VIDEOSORVEGLIANZA
L’uso dell’impianto di videosorveglianza è strettamente finalizzato ad esigenze di sicurezza di Optimo Next
S.r.l ed è fondato su presupposti di necessità, proporzionalità e finalità in conformità a quanto previsto dal
Provvedimento in materia di videosorveglianza del 8 aprile 2010. L’area video sorvegliata si estende a (rif.
figura 1):
il corridoio interno di accesso agli uffici
l’area carico e scarico
l’area perimetrale di capannoni e uffici
l’area antistante i cancelli di ingresso
Il Sistema è composto da:
1 DVR 16 CANALI DIGITALE HD ELVOX
posizionato in armadietto sotto chiave nel locale Q.E.G.
16 telecamere IP ELVOX
come di seguito posizionate:
n.13 telecamera esterna per il controllo perimetrale di tutta
l'area aziendale incluso gli accessi
n.3 telecamere interne di cui:
n.1 per il controllo accesso ingresso reception
n.2 posizionate sopra la porta tagliafuoco per controllo
accesso archivi
9
Le finalità delle registrazioni effettuate è quello di tutela dell’integrità del patrimonio aziendale. Le immagini
vengono memorizzate su supporto magnetico riscrivibile e conservate per un periodo inferiore ai 7gg per
finalità di sicurezza dei dati aziendali e dei clienti. In particolare, i dati registrati sono accessibili solo al titolare
del trattamento e al Security Manager. La video sorveglianza viene resa disponibile alla persona incaricata
presso la reception al controllo visivo diretto dell’area inquadrabile dalla telecamera.
Su richiesta dell’autorità giudiziaria le registrazioni potranno venir conservate per un periodo più lungo.
Figura 1
10
6. ELENCO DEL TRATTAMENTO DEI DATI PERSONALI
In questa sezione sono censiti i trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni
esterne, con l’indicazione della natura dei dati e della struttura (ufficio, funzione, ecc.) interna od esterna
operativamente preposta, nonché degli strumenti elettronici impiegati e delle banche dati di riferimento. Dalla
verifica interna sono state rilevate le seguenti banche dati, gestite principalmente sui sistemi centrali:
dati personali riferibili a clienti;
dati personali riferibili a fornitori;
dati personali riferibili a utenti dei servizi gestiti in outsourcing
dati dei clienti contenenti dati personali anche sensibili (di cui Optimo Next non è titolare ma
Responsabile del Trattamento);
dati personali riferibili a dipendenti e collaboratori;
dati relativi a candidati / Curricula Vitae;
cartelle cliniche dei dipendenti/Collaboratori.
Le banche dati sono suddivisibili in una serie di “sotto banche dati”, tuttavia si è inteso accorpare quelle banche
dati che, per tipologia e per finalità, risultano uniformi, fermo restando che i supporti e il tipo di trattamento dei
dati di ciascuna sotto banca dati possono essere diversi. La tabella che segue illustra i sistemi /strumenti
utilizzati per il trattamento delle banche dati individuate.
CODICE DESCRIZIONE
S1 Server di rete su cui è installata una base dati relazionale contenente dati sensibili e non
S2 Stazioni di lavoro della rete locale su cui è presente un subset della base dati relazionale e non
(principalmente le stazioni di lavoro sono quelle delle aree funzionali).
S3 Dati personali anche sensibili conservati con strumenti non elettronici
S4 Dati personali conservati su sistemi in outsourcing
Tab. 2 – Strumenti utilizzati per i trattamenti effettuati da Optimo Next
11
Al fine di elencare i trattamenti effettuati e i DB viene utilizzata una tabella riassuntiva così configurata:
Descrizione Sintetica del Trattamento
Banche dati interessate
Responsabile del
trattamento
Struttura di riferimento
Altre strutture
che concorrono
al trattamento
Descrizione degli
strumenti utilizzati
T ID
Finalità perseguita o attività
svolta
Categorie di interessati
DB ID
Nome
Natura dei dati trattati
Formato banca dati
S G Elettronico Cartaceo
Cod
ice
Tra
tta
men
to
=
Ca
teg
orie
a c
ui a
pp
art
eng
ono
i d
ati
(fo
rnit
ori/
clie
nti
/per
son
ale
)
Cod
ice
ass
egn
ato
all
a b
an
ca d
ati
Nom
e a
sseg
na
to a
lla
ba
nca
da
ti
Da
ti s
ensi
bil
i
Da
ti g
iud
izia
ri
=
=
=
Stru
ttu
ra d
i rif
erim
ento
per
il
tra
tta
men
to d
ei d
ati
con
ten
uti
n
ella
sp
ecif
ica
ba
nca
da
ti
Alt
re s
tru
ttu
re c
he
ha
nn
o a
cces
so
all
a b
an
ca d
ati
Per
le b
an
che
da
ti e
lett
ron
ich
e vi
ene
ind
ica
to lo
str
um
ento
u
tili
zza
to p
er il
tra
tta
men
to in
ri
feri
men
to a
lla
ta
bel
la 2
. P
er le
ba
nch
e d
ati
in fo
rma
to
cart
ace
o vi
ene
ind
ica
to d
ove
ven
gon
o a
rch
ivia
te
12
Descrizione Sintetica del Trattamento
Banche dati interessate
Responsabile del
trattamento
Struttura di riferimento
Altre strutture che
concorrono al trattamento
Descrizione degli strumenti
utilizzati T ID
Finalità perseguita o
attività svolta
Categorie di
interessati
DB Nome
Natura dei dati trattati
Formato banca dati
ID S G Elettronico Cartaceo
TD
1
Gestione
clienti e
prospect
Clienti e
prospect
DB1
Anagrafica
clienti (AD
HOC)
X CFO Finance
S&M
P&C
S1,S2
DB16
SAP
Dati Clienti
e Prospect
X Direttore Sales
& Marketing
Sales &
Marketing MKT S2,S4
DB2
Teamwork
(contratti,
ordini,
allegati
tecnici,
gestione
commesse)
X R&D & Delivery R&D & Delivery S&M
P&C S1,S2
DB3
Ordine
clienti e
contratti
X X CFO P&C S&M,
R&D & Delivery S1,S2,S3
DB4
Anagrafica
Utenti dei
servizi
gestiti in
outsourcin
g
X R&D & Delivery R&D & Delivery S1,S2
13
Descrizione Sintetica del Trattamento
Banche dati interessate Responsabile
del trattamento
Struttura di riferimento
Altre strutture che concorrono
al trattamento
Descrizione degli
strumenti utilizzati
T ID
Finalità perseguita o attività
svolta
Categorie di
interessati
DB Nome
Natura dei dati trattati
Formato banca dati
ID S G Elettronico Cartaceo
TD2 Servizi ai
Clienti1 clienti DB5 DB Clienti
X
(elettronico/
Cartaceo)
X X OPTIMO NEXT
R&D &
Delivery
(Elettronico)
BPO, Doc.
Warehouse
(Cartaceo)
- S1,S2,S3
TD3 Gestione
Fornitori fornitori
DB6
Ordini e
contratti
fornitori
X X Procurement Procurement P&C
HR
S1,S2,S3
DB7 Anagrafica
fornitori X Procurement Procurement
P&C
Finance
HR
S1,S2
1 DB di cui Optimo Next è nominata responsabile esterna del trattamento dei dati
14
Descrizione Sintetica del Trattamento
Banche dati interessate
Responsabile del
trattamento
Struttura di
riferimento
Altre strutture che concorrono al trattamento
Descrizione degli
strumenti utilizzati
T ID
Finalità perseguita o
attività svolta
Categorie di interessati
DB Nome
Natura dei dati trattati
Formato banca dati
ID S G Elettronico Cartaceo
TD
4 Gestione Personale Personale
DB8 G. Pres.
Zucchetti X
HR HR
S1,S2
DB9 DB collab. x P&C S1,S2
DB10
Cartelle
matricola
(dip.)
x x P&C
S1,S2,
S3
DB11 Candidati
/CV X X X
Responsabili /
Direttori
secondo
necessità
S1,S2,S3
DB12
DB dati
bancari
dipendenti
X Finance S1,S2
DB13
Cartelle
cliniche
dip./coll.
X X Medico
competente S3
TD
5 Videosorveglianza
Visitatori/
dipendenti
DB14
Registraz
Imm.
Esterne
X
Titolare IT Procurement,
Reception
Sistema
Stand Alone
DB15
Registraz
Imm.
interne
X
Titolare IT Procurement,
Reception
Sistema
Stand Alone
15
7. DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITÀ
Nella seguente tabella vengono riportate le strutture di riferimento, già menzionate nella precedente sezione, alle quali vengono associati compiti e
le relative responsabilità in relazione ai trattamenti effettuati.
Struttura Trattamenti effettuati dalla
struttura (codice) Banche Dati (codice) Compiti e responsabilità della struttura
CFO TD1 DB1, DB3 Consultazione
Finance
TD1 DB1 Consultazione, organizzazione ed elaborazione dati
TD3 DB7 Consultazione, organizzazione ed elaborazione dati
TD4 DB12 Consultazione
R&D & Delivery TD1 DB2, DB3, DB4 Consultazione, organizzazione ed elaborazione dati
TD2 DB5 Elettronico Consultazione, organizzazione ed elaborazione dati
S&M TD1 DB16 Consultazione, organizzazione ed elaborazione dati
DB3 Consultazione
BPO TD2 DB5 cartaceo Consultazione, organizzazione ed elaborazione dati
Doc. Warehouse TD2 DB5 cartaceo Consultazione, organizzazione ed elaborazione dati
Procurement TD2 DB6,DB7 Consultazione, organizzazione ed elaborazione dati
TD5 DB14, DB15 Consultazione
HR TD4
DB8, DB9, DB10, DB11, DB12,
DB13 Consultazione, organizzazione ed elaborazione dati
TD3 DB6,DB7 Consultazione, organizzazione ed elaborazione dati
P&C
TD1 DB1,DB2 Consultazione, organizzazione ed elaborazione dati
TD3 DB6 Consultazione
DB7 Consultazione, organizzazione ed elaborazione dati
TD4 DB9 Consultazione, organizzazione ed elaborazione dati
DB10 Consultazione
IT TD5 DB14, DB15 Consultazione, organizzazione ed elaborazione dati
Reception TD5 DB14, DB15 Consultazione
16
7.1 ORGANIGRAMMA PRIVACY
La struttura organizzativa della Optimo Next funzionale al trattamento dei dati è riportata di seguito:
Figura 1 – Organigramma della struttura per la gestione della Privacy
TITOLARE Optimo Next S.r.l.
Legale rappresentante e RESPONSABILE (CFO)
RESPONSABILE
(BPO)
INCARICATI
RESPONSABILE
(R&D & Delivery)
RESPONSABILE
(HR)
RESPONSABILE
(S&M)
RESPONSABILE
Amministratori
di Sistema
CUSTODE DELLE
CREDENZIALI DI AUTENTICAZIONE (Security Manager)
RESPONSABILE
(Doc. Warehouse) RESPONSABILE
(Procurement
)
17
8. ANALISI DEI RISCHI
Lo scopo dell’analisi dei rischi è quello di evidenziare i principali eventi potenzialmente dannosi per la sicurezza dei dati ed indicare le possibili conseguenze e
la gravità degli stessi eventi, sia in relazione al contesto fisico e ambientale di riferimento sia agli strumenti utilizzati.
Categoria ID Rischio Impatto sulla
sicurezza Misure poste in essere
(A)Comportam
enti degli
operatori
A1
Sottrazione di
credenziali di
autenticazione
Basso
Agli incaricati, congiuntamente alla lettera di nomina, vengono indicate le norme
operative e di sicurezza a cui attenersi.
A2
Carenza di
consapevolezza,
disattenzione o
incuria
Basso
Agli incaricati, congiuntamente alla lettera di nomina, vengono indicate le norme
operative e di sicurezza a cui attenersi.
A3 Comportamenti
sleali o fraudolenti Basso
L’accesso agli elaboratori avviene solo tramite gli elaboratori protetti da password.
All’archivio cartaceo possono accedere solo i diretti incaricati che presidiano i locali
durante le ore di lavoro. Al di fuori degli orari di lavoro il personale non ha accesso
alla struttura.
A4 Errore materiale Basso
Agli incaricati, congiuntamente alla lettera di nomina, vengono indicate le norme
operative e di sicurezza a cui attenersi.
18
Categoria ID Rischio Impatto
sulla sicurezza
Misure poste in essere
(B)Eventi
relativi agli
strumenti
B1
Azione di virus
informatici o di
programmi
suscettibili di recare
danno
Basso
Sulla rete interna di Optimo Next agisce un sistema antivirus (Avast) che preserva i dati sia dei server sia
delle stazioni di lavoro da eventuali intrusioni da parte di virus o di agenti esterni indesiderati. Tale
sistema lavora su tutte le workstation e sui server in appoggio a due sistemi centralizzati che gestiscono le
verifiche programmate dei sistemi locali ( giornaliera o settimanale) e regolarmente, tutte le notti, effettua
un controllo per prelevare nuovi aggiornamenti di versione direttamente dal produttore. Tali
aggiornamenti vengono distribuiti automaticamente a tutti i sistemi della rete.
Esiste inoltre un sistema di messaggistica automatica che ha come destinatari i componenti del gruppo IT
in caso vengano rilevate anomalie su qualche sistema della rete.
B2
Spamming o
tecniche di
sabotaggio
Basso
Per garantire la sicurezza del sistema per gli utenti che accedono da Internet sono costantemente in
funzione appositi software di sicurezza che ne controllano l’accesso. Sono inoltre state predisposte
tecnologie di sicurezza HW quali firewall e SW quali Antivirus, Antispam e sistemi di monitoraggio sulla
rete locale.
B3
Malfunzionamento,
indisponibilità o
degrado degli
strumenti
Server/
Data
Center
Basso
Tutto l’Hardware è oggetto di interventi di manutenzione periodica a cura degli Amministratori di Sistema.
Al fine di raffreddare correttamente l’aria presente all’interno del Data Center sono presenti due unità di
trattamento aria Emerson (ogni unità è dotata di 26,5 kW potenza frigorifera totale resa), dotate delle più
avanzate e moderne tecnologie di condizionamento di precisione. Le unità sono controllate istante per
istante da un microprocessore dedicato. Tale microprocessore consente l’impostazione di tutti i parametri
di funzionamento, di visualizzare i valori di temperatura, di umidità, degli stati e degli allarmi. Il controllo
gestisce in maniera autonoma tutte le funzioni di raffreddamento, riscaldamento, umidificazione e
deumidificazione. Le due unità collegate tra di loro, tramite interfaccia di rete, sfruttano le funzioni di
rotazione, cascata e stand-by. Tutti i rack sono collegati attraverso cavi elettrici dotati di connettori
industriali interbloccati, sfruttando lo spazio tra il soffitto e gli stessi rack. Questa soluzione permette di
lasciare libera la parte sottostante del pavimento galleggiante a favore del flusso dell’aria condizionata.Le
unità sono datate di 2 motori indipendenti con 2 controlli remoti anch’essi indipendenti che gli
permettono di lavorare sia in parallelo che in singolo qualora vi fosse un guasto.
B4 PC
Client Basso
La manutenzione viene effettuata internamente a cura degli Amministratori di Sistema
19
Categoria ID Rischio Impatto
sulla sicurezza
Misure poste in essere
(B)Eventi
relativi agli
strumenti
B5 Accessi esterni non
autorizzati Basso
E’ stato attivato un sistema di filtraggio che opera sui collegamenti con reti remote per controllare il traffico
attraverso tali canali e un meccanismo di "intrusion detection" disponibile attraverso il Firewall.
B6 Perdita Dati Basso
Per minimizzare i rischi di perdita di dati dovuti ad interruzioni dell’alimentazione elettrica e per garantire
la continuità del servizio, vengono utilizzati dispositivi di sicurezza (UPS) e un gruppo elettrogeno che, in
caso di caduta permanente della tensione (black out), permettono di intervenire, effettuando le opportune
attività tecniche per la salvaguardia dei dati.
Optimo Next ha predisposto 2 modalità di backup in base alla criticità e disponibilità dei dati: su NAS
tramite snapshot proprietario, su NAS tramite snapshot di Windows.
Il backup dei dati mediante “snapshot” (NAS e Windows) viene utilizzato su entrambi i domini in funzione
delle criticità e della necessità di rapidità che di volta in volta vengono a crearsi.
La frequenza dei backup è almeno bi-giornaliera, di tipo full e la retention è di due settimane.
L’applicazione mantiene traccia dei ripristini effettuati in funzione delle richieste degli utenti.
Periodicamente (almeno semestralmente) vengono effettuate prove di restore. I dischi dei server sono
configurati in tecnologia RAID 5, che garantisce disponibilità e integrità dei dati e delle applicazioni anche in
caso di danneggiamento di uno dei dischi fissi.
B7
Errori software che
minacciano
l’integrità dei dati
Basso Per quel che riguarda i sistemi operativi dei PC e dei server, la manutenzione consiste nel mantenerli
aggiornati tramite l'installazione delle correzioni (patch, service pack, ecc.) rilasciate periodicamente dalle
case produttrici.
B8
Presenza di codice
non conforme alle
specifiche del
programma
Basso
20
Categoria ID Rischio Impatto
sulla sicurezza
Misure poste in essere
(B)Eventi
relativi agli
strumenti
B9
Intercettazione di
informazioni in rete
Basso
La trasmissione di dati attraverso reti di telecomunicazioni pubbliche riguarda:
le applicazioni di Remote Banking cifrano i dati trasmessi e ne verificano l’integrità durante
la trasmissione;
le applicazioni per il trattamento dei dati da parte dei clienti;
il trasferimento dei dati da e verso i clienti.
Il collegamento alla rete di telecomunicazioni pubbliche viene effettuato attraverso collegamento in fibra
ottica tramite un router e con due Firewall Juniper SSG-550 in fileover bilanciato. La funzione del virtual
chassis in tecnologia layer 3, inserito nello schema di rete, è quello di gestire le differenti VLan. La
funzione delle VLan è quello di separare ulteriormente le zone logiche dell’infrastruttura e di
regolamentare ulteriormente il traffico.
Sullo switch si ha la disponibilità di interfacce a 1Gbps cablate con tecnologia ethernet cat. 6b. Sulla zona
di front-end si attestano le interfacce di pubblicazione dei servizi. Tutto il traffico e le pubblicazioni sono
controllate dai firewall.
Sulla zona di front-end si attestano sia le macchine che erogano servizi in modalità ASP, quindi su
struttura condivisa, sia quelle dedicate al singolo cliente (Housing o Dedicated Hosting). A seconda delle
modalità e del tipo di servizio vengono gestite tramite differenti VLan.
Il firewall di collegamento ad Internet è dotato di opportuni filtri per impedirne l’accessibilità IP dal lato
pubblico. Qualsiasi tentativo di attacco viene monitorato dagli apparati e prontamente respinto. Il firewall
gestisce la raggiungibilità del servizio offerto ai clienti ed è configurato secondo rigide policy di sicurezza. Il
firewall regolamenta anche l’accesso verso l’esterno.
L’accesso a Internet è, inoltre, controllato attraverso un server Proxy, che centralizza le richieste di
navigazione sul Web e permette l’accesso ad Internet in maniera controllata a livello di User Id; L’accesso
alla rete è poi protetto dalla struttura logica basata su Dominio Active Directory, che comporta un elevato
grado di sicurezza nell’autenticazione ai servizi di rete.
Per quello che riguarda le misure di sicurezza della rete prese in relazione ai server in Outsourcing ed ai
loro collegamenti con reti remote, si basano sulla differenziazione dei domini Windows sulla assenza di
instradamento IP tra le due schede di rete di ogni server e sul binomio nome utente/password aggiuntivo
configurato per l’accesso all’applicazione di gestione documentale presente sui server in Outsourcing
21
Categoria ID Rischio Impatto
sulla sicurezza
Misure poste in essere
(C)Eventi
relativi al
contesto
fisico-
ambientale
C1
Ingressi non
autorizzati a
locali/aree ad
accesso ristretto
Basso
La sicurezza fisica è garantita dal portone ad accesso controllato.
L’accesso dei dipendenti e collaboratori viene registrato, durante l’orario di lavoro, con badge magnetico
sul computer di rilevazione presenze.
L’accesso dei visitatori agli uffici avviene previa registrazione all’ingresso su apposita scheda.
Alle misure fisiche è associato un sistema di rilevazione di intrusione volumetrico e perimetrale inserito e
disinserito da un istituto di vigilanza. Questo sistema viene inserito alla chiusura degli uffici dal personale
autorizzato ed è in grado di segnalare l’intrusione in atto. La sede operativa e la sala server sono dotate di
impianto di allarme con sensori ottici di rilevamento. Qualsiasi violazione o intrusione viene segnalata
immediatamente ed automaticamente alla società di Vigilanza preposta, che ha il compito di intervenire
presso la sede. Le postazioni di lavoro dotate di PC e soprattutto l'area ove sono situati i server non sono
accessibili al pubblico se non accompagnato da personale dell’Azienda. Analoghe misure sono previste
per i luoghi ove vengono trattati e custoditi i supporti cartacei delle informazioni.
Gli atti e i documenti contenenti i dati sono conservati in archivi ad accesso selezionato e, inoltre, per i
documenti contenenti dati sensibili sono stati previsti archivi ad accesso controllato tramite badge.
Il Data Center è protetto tramite lettore di badge.
C2
Sottrazione di
strumenti
contenenti dati
Basso
C3
Eventi distruttivi,
naturali o artificiali
(movimenti tellurici,
scariche
atmosferiche,
incendi,
allagamenti,
condizioni
ambientali, ...),
nonché dolosi,
Allagamenti Basso Area non soggetta ad esondazioni o calamità di questo tipo.
C4 Incendio Basso
La sede è dotata di dispositivi antincendio costituiti da estintori, da manichette e da idranti per
l’area esterna. Al fine di effettuare la corretta sorveglianza del Data Center è stata inserita una
unità di controllo ambientale (EMS).
Questa unità ha il compito di accertare che tutti i parametri relativi all’ambiente siano all’interno
delle soglie impostate; in caso contrario invia un allarme tramite email e/o trap SNMP ai
responsabili del servizio.
22
accidentali o dovuti
ad incuria
Nello specifico il Data Center è dotato di rilevatori di fumi/incendio a pavimento e a soffitto e di
un impianto di spegnimento tramite gas inerte. In ogni rack è poi presente un sensore per la
temperatura e umidità ed un sensore fumo.
Annualmente viene verificata l’adeguatezza del piano antincendio.
Categoria ID Rischio Impatto sulla
sicurezza
Misure
poste in
essere
C)Eventi
relativi al
contesto
fisico-
ambientale
C5
Eventi distruttivi,
naturali o artificiali
(movimenti tellurici,
scariche
atmosferiche,
incendi,
allagamenti,
condizioni
ambientali, ...),
nonché dolosi,
accidentali o dovuti
ad incuria
Manomissioni /
Sabotaggio Basso
Le postazioni di lavoro dotate di PC e soprattutto l'area ove sono situati i server non sono
accessibili al pubblico se non accompagnato da personale dell’Azienda. Analoghe misure sono
previste per i luoghi ove vengono trattati e custoditi i supporti cartacei delle informazioni.
Il Data Center è protetto tramite lettore di Badge.
C6
Guasto a sistemi
complementari
(impianto elettrico,
ecc.)
Impianto
elettrico /
connessioni
internet
Medio
Sono installati dispositivi di sicurezza (UPS) che, in caso di caduta permanente della tensione
(black out), permettono di intervenire, effettuando le opportune attività tecniche per la
salvaguardia dei dati.
In caso di guasto al sistema UPS e/o di necessaria manutenzione, è possibile alimentare il carico
direttamente attraverso il provider elettrico senza dover spegnere i Server, scollegando così
l’UPS che potrà essere verificato. Al termine della manutenzione, tramite il by-pass, si riporterà
in protezione il carico sempre senza nessuna interruzione elettrica.
Risulta inoltre installato, monitorato e periodicamente testato un gruppo elettrogeno.
La linea di accesso a Internet, che arriva presso il Data Center, è fornita da un unico provider
contrattualizzato mediante SLA definiti.
C7 Errori umani nella Basso Tutti i dipendenti vengono adeguatamente formati secondo il piano di formazione previsto dal presente
23
gestione della
sicurezza fisica
DPS
24
9. MISURE IN ESSERE
Al fine di assicurare l’integrità dei dati trattati ed impedirne la comunicazione e/o diffusione non autorizzata, Optimo Next ha adottato delle misure
di sicurezza di tipo fisico, logico ed organizzativo. Tali misure avranno il compito di garantire sia i minimi requisiti di sicurezza, sia un livello idoneo
di sicurezza relativamente alle tipologie dei trattamenti effettuai, alle modalità di trattamento ed agli strumenti utilizzati.
Misure Descrizione Rischi Trattamenti interessati
Strumenti o persone addette
all'adozione
Custodia degli
archivi
cartacei in
locali specifici
chiusi a chiave
L’accesso agli archivi cartacei contenenti dati sensibili è controllato e protetto con porta e serratura.
C1, A3 TD2,TD5,TD6 Responsabili
trattamento
Verifica
leggibilità
supporti di
backup
Periodicamente vengono effettuate delle prove di RESTORE (almeno semestralmente)
B6 Tutti Amministratore di
sistema
Dispositivi
Antincendio
La sede è dotata di dispositivi antincendio costituiti da estintori, da manichette e da idranti per
l’area esterna. Al fine di effettuare la corretta sorveglianza del Data Center è stata inserita una
unità di controllo ambientale (EMS). Questa unità ha il compito di accertare che tutti i parametri
relativi all’ambiente siano all’interno delle soglie impostate; in caso contrario invia un allarme
tramite email e/o trap SNMP ai responsabili del servizio. Nello specifico il Data Center è dotato di
rilevatori di fumi/incendio a pavimento e a soffitto e di un impianto di spegnimento tramite gas
inerte. In ogni rack è poi presente un sensore per la temperatura e umidità ed un sensore fumo.
Annualmente viene verificata l’adeguatezza del piano antincendio.
C4 Tutti Titolare del
trattamento
25
Misure Descrizione Rischi Trattamenti interessati
Strumenti o persone addette
all'adozione
Continuità
Alimentazione
elettrica
Sono installati dispositivi di sicurezza (UPS) che, in caso di caduta permanente della tensione
(black out), permettono di intervenire, effettuando le opportune attività tecniche per la
salvaguardia dei dati.
In caso di guasto al sistema UPS e/o di necessaria manutenzione, è possibile alimentare il carico
direttamente attraverso il provider elettrico senza dover spegnere i Server, scollegando così l’UPS
che potrà essere verificato. Al termine della manutenzione, tramite il by-pass, si riporterà in
protezione il carico sempre senza nessuna interruzione elettrica.
Risulta inoltre installato, monitorato e periodicamente testato un gruppo elettrogeno.
C6 Tutti Titolare del
trattamento
Rifiuti di
apparecchiatu
re elettriche
ed
elettroniche
(Raae) e
misure di
sicurezza dei
dati personali
Gli HD di Pc e server vengono formattati a basso livello e inviati ad una società terza per la
distruzione fisica; la società rilascia quindi apposita certificazione C2 Tutti
Titolare del
trattamento
Identificazione
Incaricati del
trattamento
Sono stati individuati e nominati per iscritto gli incaricati preposti al trattamento. Agli incaricati,
congiuntamente alla lettera di nomina, verranno indicate le norme operative e di sicurezza a cui
attenersi. L’ambito delle risorse che ciascun utente può utilizzare viene comunicato per iscritto.
A1,A2,A
4,C5 Tutti
Responsabili del
trattamento
26
Misure Descrizione Rischi Trattamenti interessati
Strumenti o persone addette
all'adozione
Assegnazione
credenziali
Il gestore degli accessi al Sistema è l’Amministratore di Rete o di Sistema che tramite active directory
gestisce i profili di sicurezza. Ogni gruppo possiede una precisa visibilità delle risorse di rete tale da
consentire lo svolgimento delle proprie mansioni. La definizione del singolo profilo è effettuata
dall’Amministratore di Sistema su segnalazione del Responsabile di Area. Ogni profilo, pur avendo
gli attributi generali del gruppo di appartenenza, può avere ulteriori dettagli di visualizzazione.
Anche le singole risorse (cartella di lavoro, file, driver, etc.) possono essere rese visibili solo ad alcuni
utenti autorizzati. Il software consente di avere una visione immediata dei profili utenti definiti, con
una chiara suddivisione per gruppo di appartenenza. (Viene effettuata verifica della sussistenza dei
profili semestralmente da parte degli Amministratori di sistema in collaborazione con ufficio
personale). I PC sono protetti da accessi non autorizzati tanto al sistema operativo locale quanto
alla rete (tramite l’uso delle credenziali di accesso) L'accesso all'utilizzo della console dei server è
protetto e permesso solo all’Amministratore di Sistema e agli incaricati da lui nominati.
L'accesso alle informazioni e ai dati è protetto da un binomio "nome utente/password" univoco per
ogni addetto; tale tipo di misura di accesso è applicata sia al trattamento di dati personali che di dati
sensibili. Il personale è tenuto all'utilizzo dello specifico identificativo e della password assegnati
durante l'utilizzo delle risorse informatiche aziendali. Ogni utente accede al sistema attraverso un
User ID e Password. La password di accesso, che deve essere di almeno 8 caratteri la prima volta,
viene inserita dall’Amministratore di Sistema e l’utente, al primo accesso, deve modificarla. La
password deve contenere almeno un numero, una maiuscola o un carattere speciale e non deve
essere “banale” ovvero facilmente riconducibile all’utente stesso. Ogni 90 giorni il sistema, in
automatico, propone il cambio di password, l’utente deve in ogni caso cambiare la password ogni
qualvolta, questa, perda di qualità. Alla richiesta automatica del sistema di cambio password,
l’utente deve modificarla ed è impossibilitato a inserire una password usata precedentemente
(questo fino a 3 password precedenti). In caso di errato inserimento della password per 3 volte
nell’arco di 15 minuti, l’utente viene bloccato per 30 minuti e per accedere al sistema deve fare
richiesta di sblocco utente all’Amministratore di Sistema. Al fine di garantire la continuità e la
tempestività del servizio in caso di urgente necessità l’amministratore di sistema , su richiesta del
responsabile di funzione e previa comunicazione agli interessati, può accedere all’account utente.
Terminato l’utilizzo l’amministratore provvede a resettare la password che deve essere reimpostata
dall’incaricato al primo utilizzo.
A1,B5 Tutti Amministratori di
Sistema
27
Misure Descrizione Risch
i
Trattamenti
interessati
Strumenti o persone addette
all'adozione
Indicazione
dell’amminist
ratore di
sistema
I nominativi degli amministratori di sistema vengono resi noti nell’ambito della struttura
organizzativa di Optimo Next mediante Policy e Regolamento aziendale resi disponibili a
tutti i dipendenti tramite pubblicazione sul portale aziendale.
L’operato degli amministratori di sistema è oggetto di verifiche almeno annuali sotto la
responsabilità dell’Amministratore Delegato al fine di controllare la rispondenza alle
misure organizzative, tecniche e di sicurezza definite per i trattamenti e previste dalla
normativa vigente (rif. Allegato B – D.Lgs 196/03).
Gli accessi logici ai Sistemi Informativi e ai Data Base da parte degli amministratori
vengono tracciati garantendone la completezza, inalterabilità e possibilità di verifica della
relativa integrità. Per la rilevazione ed archiviazione dei log è stato installato il software NG
attivo su tutti i sistemi. In particolare tramite il software citato viene tracciato log on, log
off e disconnessione remota forzata. I log vengono archiviati garantendo uno storico di 6
mesi dall’applicativo NG che ne garantisce inoltre l’immodificabilità.
(B) Tutti Titolare del
trattamento
Predisposizio
ne ed
aggiornamen
to degli
antivirus
Sulla rete interna di Optimo Next agisce un sistema antivirus (Avast) che preserva i dati
sia dei server sia delle stazioni di lavoro da eventuali intrusioni da parte di virus o di
agenti esterni indesiderati.
Tale sistema lavora su tutte le workstation e sui server ed è governato da un sistema
centralizzato che gestisce le verifiche programmate dei sistemi locali ( giornaliera o
settimanale) e regolarmente, tutte le notti, effettua un controllo per prelevare nuovi
aggiornamenti di versione direttamente dal produttore. Tali aggiornamenti vengono
distribuiti automaticamente a tutti i sistemi della rete.
B1 Tutti Amministratore
di sistema
Analisi dei
Rischi
Sulla base dell’analisi dei rischi è stato redatto il presente Regolamento Privacy. Questo
documento viene divulgato a tutti gli incaricati e responsabili.
A1,A2,
A4,C5 Tutti
Titolare del
trattamento
Responsabili del
trattamento
28
Misure Descrizione Risch
i
Trattamenti
interessati
Strumenti o persone addette
all'adozione Piano di
verifica delle
misure
adottate
E’ stato stabilito un piano di verifica delle misure adottate. Tale piano è illustrato nel
presente DPS. Tutte Tutti
Responsabili del
trattamento
Piano di
formazione
degli
incaricati
E’ stato predisposto un piano per la formazione degli incaricati. Tale piano è illustrato nel
presente DPS.
A1,A2,
A4,C5 Tutti
Responsabili del
trattamento
Dotazione di
dispositivi
antintrusione
È stato installato un sistema di rilevazione di intrusione volumetrico e perimetrale inserito
e disinserito da un istituto di vigilanza. Questo sistema viene inserito alla chiusura degli
uffici dal personale autorizzato ed è in grado di segnalare l’intrusione in atto. La sede
operativa e la sala server sono dotate di impianto di allarme con sensori ottici di
rilevamento. Qualsiasi violazione o intrusione viene segnalata immediatamente ed
automaticamente alla società di Vigilanza preposta, che ha il compito di intervenire
presso la sede.
C1,C2 Tutti Titolare del
trattamento
C1,C2 Tutti Titolare del
trattamento
Business
Continuity
Plan /
Disaster
Recovery
Plan
OPTIMO NEXT dispone di un sito alternativo di Disaster Recovery. Il disaster Recovery
Plan è contrattualizzabile con livelli di servizio da definire in specifici contratti.
B6,
C3,C4,
C5,C6
Tutti Amministratore
di sistema
Trattamento
dei dati
personali dei
clienti su
supporti
removibili
L’utilizzo di supporti removibili è strettamente regolata da apposita policy interna e nel
rispetto delle normativa sulla conservazione ottica sostitutiva. B6,C2 Tutti
Amministratore
di sistema
29
Misure Descrizione Risch
i
Trattamenti
interessati
Strumenti o persone addette
all'adozione Trattamento
dei dati
personali da
parte dei
tecnici in
conformità a
quanto
previsto
dall'allegato B
del D.lgs
196/03
Viene richiesto al fornitore il rilascio di un attestazione di conformità degli interventi tecnici effettuati
all’allegato B del D.lgs. 196/03 B6 Tutti
Amministratore di
sistema
Trattamento di
dati sensibili
con strumenti
elettonici
Il file system, per i dati sensibili, è criptato con AES.
Gli utenti potranno accedere ai dati solo se opportunamente profilati e inoltre verrà
richiesto loro un esplicito consenso di visualizzazione del singolo documento (tramite pop
up) e tale consenso verrà registrato nell'audit.
Gestione delle chiave di criptazione: le chiavi, una per ogni cliente, saranno custodite sul
DB applicativo cifrate con la Master key, e una copia su supporto cartaceo di idoneo
materiale non deperibile sarà custodita in cassaforte. Anche una copia della Master key
sarà custodita in cassaforte con le medesime modalità.
C2 TD2 Amministratore di
sistema
30
10. CRITERI E MODALITÀ DI RIPRISTINO DELLA DISPONIBILITÀ DEI DATI
SNAPMIRROR di NetApp mantiene traccia dei ripristini effettuati in funzione delle richieste degli
utenti che vengono tracciate e autorizzate mediante il portale sharepoint. Se necessario viene
effettuato il ripristino dei dati dal sito di Disaster Recovery.
Optimo Next dispone anche della possibilità di ripristino resa disponibile da vSphere Replication che
consente il ripristino di una VM o dei singoli file/cartelle in essi contenuti.
Tramite la funzionalità nativa di windows VSS è possibile effettuare il ripristino tramite “Esplora
Risorse” di Windows, puntando sul file/cartella originale, scegliendo la versione precedente
necessaria e ripristinandola sopra quella originale.
Tramite Tool di Management di SQL, e più precisamente tramite Script appositamente predisposti,
che eseguono Full settimanali e Differenziali giornalieri dei DB è possibile il ripristino dei DB in caso
di necessità.
Periodicamente (almeno semestralmente) vengono effettuate prove di restore per tutte le soluzioni
di backup precedentemente illustrate.
11. PIANIFICAZIONE DEGLI INTERVENTI FORMATIVI PREVISTI
Coerentemente con l’evoluzione degli strumenti tecnici adottati dall’azienda e/o dall’insorgere di
nuove disposizioni legislative in materia, vengono programmati nuovi incontri formativi. In ogni
caso, almeno una volta l’anno, verrà comunque istituito un incontro per sensibilizzare gli incaricati
sull’importanza di adottare le norme di sicurezza predisposte e per recepire eventuali suggerimenti
in materia derivanti dalla constatazione della presenza di minacce o vulnerabilità riscontrate.
Descrizione sintetica degli interventi formativi Classi di incarico o
tipologie di incaricati interessati
Tempi previsti
Formazione sull’aggiornamento del DPS Responsabili / Incaricati Secondo semestre
2010
Formazione sull’aggiornamento del DPS Responsabili / Incaricati Secondo semestre
2011
Formazione sull’aggiornamento del Regolamento Privacy (ex
DPS) Responsabili / Incaricati
Secondo semestre
2012
Formazione sull’aggiornamento del Regolamento Privacy (ex
DPS) Responsabili / Incaricati
Secondo semestre
2013
Formazione sull’aggiornamento del Regolamento Privacy (ex
DPS) Responsabili / Incaricati
Secondo semestre
2014
Formazione sull’aggiornamento del Regolamento Privacy (ex
DPS) Responsabili / Incaricati
Secondo semestre
2015
Formazione ai neoassunti e al personale sull’aggiornamento del
Regolamento Privacy (ex DPS) anche a fronte del Regolamento
CE di futura emissione
Responsabili / Incaricati Primo e Secondo
semestre 2016
31
12. OUTSOURCING (DATI DEI CLIENTI)
Il trattamento dei dati dei clienti può riguardare sia dati personali sia dati sensibili, dati di cui il Cliente
resta Titolare e Optimo Next viene nominata Responsabile esterno del trattamento.
Le misure di sicurezza della rete, in relazione ai server in Outsourcing (dati dei clienti) ed ai loro
collegamenti con reti remote, si basano sulla differenziazione dei Domini di Windows da non esporre
direttamente il servizio a Internet.
E’ stato attivato un sistema di filtraggio che opera sui collegamenti con reti remote per controllare il
traffico attraverso tali canali e un meccanismo di "intrusion detection" sul firewall.
L’ambiente hardware e software di ogni cliente è strutturato in funzione delle richieste del cliente stesso.
Ogni utente/cliente è inserito nel sistema con l’inserimento della propria User Id e Password.
L’Amministratore di Sistema è l’unico che, in qualsiasi momento, può monitorare gli accessi e le
abilitazioni.
Come già evidenziato per la rete interna, i sistemi informativi devono garantire la continuità del servizio,
in particolare diventa una necessità se si tratta di sistemi dedicati ai clienti verso i quali Optimo ha
obblighi contrattuali.
Per tutelare il patrimonio dati dei clienti presente sugli archivi gestionali e residenti sui dischi dei server
dedicati ai clienti, Optimo Next ha predisposto una specifica policy di backup descritta nel successivo
paragrafo. I back up garantiscono, in caso di perdita dei dati o di impossibilità di accesso al sistema, di
recuperare la situazione storica più recente. Per i clienti che ne fanno espressamente richiesta viene
allocato un server posizionato nel sito di DR che permette il ripristino del servizio.
L’accesso da remoto da parte del cliente segue il seguente iter:
Identificazione sul Firewall che avviene tramite il riconoscimento dell’indirizzo IP del cliente
(configurato all’interno del FIREWALL).
Inserimento credenziali di accesso sul FRONT END WEB
Ogni creazione, modifica o cancellazione di un utente al sistema è gestita da una specifica procedura in
base alla quale è il cliente stesso, nelle persone identificate quali responsabili, per iscritto (e-mail), a
richiedere tale modifica. Viene tenuta traccia di ogni richiesta effettuata.
12.1 POLICY DI BACKUP
Optimo Next ha predisposto la seguente policy di backup in base alla criticità e disponibilità dei dati:
32
Il backup dei dati mediante “snapshot” (NAS e Windows) viene utilizzato su entrambi i domini in funzione
delle criticità e della necessità di rapidità che di volta in volta vengono a crearsi.
La frequenza dei backup è almeno bi-giornaliera, di tipo full e la retention è di due settimane.
Optimo Next dispone anche dei backup resi disponibili da vSphere Replication che consente il backup di
una VM e dei singoli file/cartelle in essi contenuti.
Tramite la funzionalità nativa di windows VSS viene resa disponibile un ulteriore modalità di backup.
Tramite Tool di Management di SQL, e più precisamente tramite Script appositamente predisposti,
vengono eseguiti backup Full settimanali e Differenziali giornalieri dei DB.
I dati residenti sul datacenter di Aruba sono anch’essi oggetto di backup.
12.2 PUBBLICAZIONE AL CLIENTE
Optimo Next offre la possibilità al cliente di accedere alle applicazioni direttamente tramite Internet. In
questo modo il cliente non è vincolato ad alcuna linea di connessione.
Il servizio Web offerto consente la consultazione online dei documenti del cliente archiviati
elettronicamente.
Optimo Next ha realizzato una piattaforma tecnologica di pubblicazione affidabile, sicura, scalabile e
disponibile in modo da proteggere il patrimonio dei dati dei clienti.
La sicurezza sulla connessione avviene attraverso un sistema di firewall su tecnologia Juniper, attraverso
l’uso di SGS 550.
Su tutte le connessioni stabilite i firewall eseguono dei controlli sul traffico, accettando solo ciò che è
permesso.
Le connessioni avvengono sia tramite tunnel diretto tra devices (LAN to LAN), sia tramite client sw
dedicato per le stazioni di lavoro orfane.
I sistemi di sicurezza vengono gestiti direttamente dal supporto IT di Optimo Next.
Dati Critici
Documenti DB DB (.bak) Media Applicativi Configurazioni Log VM LUN
Infr
astr
utt
ure
NAS
Volume/LUN Snapshot
[RPO=±ogni 12h*±3g]
[RTO=±4h]
-
Volume/LUN Snapshot
[RPO=±ogni 12h*±3g]
[RTO=±4h]
Volume/LUN Snapshot
[RPO=±ogni 12h*±3g]
[RTO=±4h]
Volume/LUN Snapshot
[RPO=±ogni 12h*±3g]
[RTO=±4h]
Volume/LUN Snapshot
[RPO=±ogni 12h*±3g]
[RTO=±4h]
Volume/LUN Snapshot
[RPO=±ogni 12h*±3g]
[RTO=±4h]
-
Volume/LUN Snapshot
[RPO=±ogni 12h*±3g]
[RTO=±4h]
SAN
Volume/LUN Snapshot
[RPO=±ogni 12h*±3g]
[RTO=±4h]
- -
Volume/LUN Snapshot
[RPO=±ogni 12h*±3g]
[RTO=±4h]
Volume/LUN Snapshot
[RPO=±ogni 12h*±3g]
[RTO=±4h]
Volume/LUN Snapshot
[RPO=±ogni 12h*±3g]
[RTO=±4h]
Volume/LUN Snapshot
[RPO=±ogni 12h*±3g]
[RTO=±4h]
Volume/LUN Snapshot
[RPO=±ogni 12h*±3g]
[RTO=±4h]
Volume/LUN Snapshot
[RPO=±ogni 12h*±3g]
[RTO=±4h]
ESXi - - - - - - -
vSphere
Replication
[RPO=ogni 4h
*7g]
[RTO=±4h]
-
Windows
OS
Shadow Copy
[RPO=ogni
12h*±7g]
[RTO=±4h]
- -
Shadow Copy
[RPO=ogni
12h*±7g]
[RTO=±4h]
Shadow Copy
[RPO=ogni
12h*±7g]
[RTO=±4h]
Shadow Copy
[RPO=ogni
12h*±7g]
[RTO=±4h]
Shadow Copy
[RPO=ogni
12h*±7g]
[RTO=±4h]
- -
SQL -
SQL Manager
(.bak)
[RPO=ogni
24h*7g]
[RTO=±4h]
- - - - - - -
PM
(CA ARCserve Backup + Adic)
[RPO=ogni 24h*+7g]
[RTO=±8h]
(CA ARCserve Backup + Adic)
[RPO=ogni 24h*+7g]
[RTO=±8h]
(CA ARCserve Backup + Adic)
[RPO=ogni 24h*+7g]
[RTO=±8h]
(CA ARCserve Backup + Adic)
[RPO=ogni 24h*+7g]
[RTO=±8h]
(CA ARCserve Backup + Adic)
[RPO=ogni 24h*+7g]
[RTO=±8h]
(CA ARCserve Backup + Adic)
[RPO=ogni 24h*+7g]
[RTO=±8h]
(CA ARCserve Backup + Adic)
[RPO=ogni 24h*+7g]
[RTO=±8h]
- -
Backup eseguiti
33
12.3 FRONT-END
E’ la zona di pubblicazione dei servizi verso il mondo Internet.
Su questa zona arrivano le richieste di consultazione e da qui provengono le connessioni dei “tunnel”
diretti sui clienti (HTTPS).
Questa zona è la più critica e la più soggetta a controlli da parte dei responsabili del servizio.
Le politiche di pubblicazione interne sono rigide e i sistemi direttamente esposti sono soggetti a continui
aggiornamenti per scongiurare qualsiasi problema legato alla sicurezza.
Per l’accesso a Internet possibile limitare la visibilità solo ad alcuni indirizzi fissi (indirizzi della sede del
cliente o comunque ben definiti). In tal modo gli indirizzi non autorizzati non accedono al servizio.
Tutti i dati riguardanti le applicazioni Web sono memorizzate su tecnologia NAS (Network Attached
Storage) che garantisce notevole scalabilità e grande capacità di dati.
13. PIANO DI VERIFICHE E DI AGGIORNAMENTO PERIODICO DEL
REGOLAMENTO PRIVACY
La bontà delle misure adottate viene periodicamente verificata.
Durante queste operazioni di verifica periodica viene data particolare importanza a:
- Verifica dell’adozione delle misure minime di sicurezza.
- Verifica della bontà delle misure antintrusione adottate ( in particolare sistema di allarme).
- Corretto utilizzo delle parole chiave e dei profili di accesso degli incaricati. Prevedere la
disattivazione dei codici di accesso non utilizzati per più di sei mesi.
- Aggiornamento dei dispositivi antivirus.
- Aggiornamento dispositivi firewall.
- Aggiornamento dei programmi software che trattano i dati personali.
- Aggiornamento dei sistemi operativi e software applicativi che hanno accesso ad internet.
- Integrità dei dati e delle loro copie di backup.
- Bontà di conservazione dei documenti cartacei.
- Verifica access log amministratori di sistema.
- Accertamento della distruzione dei supporti magnetici che non possono più essere riutilizzati.
- Accertamento del livello di formazione degli incaricati. Prevedere sessioni di aggiornamento anche
in relazione all’evoluzione tecnica e tecnologica avvenuta in azienda.
Di queste verifiche viene redatto un verbale.
14. TRATTAMENTI AFFIDATI ALL’ESTERNO
In questa sezione è riportato il quadro sintetico delle attività affidate a terzi che comportano il trattamento
di dati, con l’indicazione sintetica del quadro giuridico o contrattuale (nonché organizzativo e tecnico) in
cui tale trasferimento si inserisce, in riferimento agli impegni assunti, anche all’esterno, per garantire la
protezione dei dati stessi.
Descrizione attività
Trattamenti di dati interessati
Soggetto esterno Descrizione dei criteri e degli
impegni assunti per l’adozione delle
34
esternalizzata misure Adempimenti
contabili, fiscali e
previdenziali
TD4 STUDIO GREPPI
trattamento di dati ai soli fini dell’espletamento
dell’incarico ricevuto;
Servizi ai clienti TD2 STUDIO MALINVERNI
trattamento di dati ai soli fini dell’espletamento
dell’incarico ricevuto;
Adempimenti in
merito a salute e
sicurezza su posto di
lavoro (d.lgs. 81/08)
TD4 SGST srl
trattamento di dati ai soli fini dell’espletamento
dell’incarico ricevuto;
TD4 CMM srl
trattamento di dati ai soli fini dell’espletamento
dell’incarico ricevuto;
Servizi di
postalizzazione TD1,TD2 SELECTA Spa
trattamento di dati ai soli fini dell’espletamento
dell’incarico ricevuto;
Tabella 1 – Trattamenti esternalizzati Legenda
Descrizione dell’attività “esternalizzata”: è indicata sinteticamente l’attività affidata all’esterno.
Trattamenti di dati interessati: è indicato se i trattamenti sono relativi a dati, sensibili o
giudiziari, effettuati nell’ambito della predetta attività.
Soggetto esterno: è indicata la società, l’ente o il consulente cui è stata affidata l’attività, e il ruolo
ricoperto agli effetti della disciplina sulla protezione dei dati personali (titolare o responsabile del
trattamento).
Descrizione dei criteri: il tipo di dichiarazione che la società a cui viene affidato il trattamento
rilascia o il tipo di impegno assunto anche su base contrattuale:
1. trattamento di dati ai soli fini dell’espletamento dell’incarico ricevuto;
2. adempimento degli obblighi previsti dal Codice per la protezione dei dati personali;
3. rispetto delle istruzioni specifiche eventualmente ricevute per il trattamento dei dati
personali o integrazione delle procedure già in essere;
4. impegno a relazionare periodicamente sulle misure di sicurezza adottate –anche mediante
eventuali questionari e liste di controllo- e ad informare immediatamente il titolare del
trattamento in caso di situazioni anomale o di emergenza
35
15. MODELLI NOMINE
15.1 NOMINA DEL RESPONSABILE DEI TRATTAMENTI DEI DATI
PERSONALI
Bottanuco lì, __/__/_____
Oggetto: nomina del Responsabile dei trattamenti dei dati personali trattati da OPTIMO NEXT S.r.l.
Il sottoscritto Fabrizio Tudisco in qualità di Legale Rappresentante,
visto
- il D.Lgs 196/2003 “Codice in materia di protezione dei dati personali”, che d’ora in poi nel presente
documento sarà richiamato semplicemente come “Codice”
premesso che
- Ai sensi dell’art. 28 del “Codice” è, nel presente atto, Titolare dei dati personali trattati da parte di questa
società è la società stessa, di cui il sottoscritto è Legale Rappresentante pro-tempore
- L’art. 29 del “Codice” consente la facoltà di nominare uno o più Responsabili di tutti o parte dei
trattamenti.
- L’art. 33 impone di adottare le misure di sicurezza disposte dal “Codice” e almeno le misure minime
individuate dall’allegato B del “Codice” stesso
considerato che
- occorre definire le misure minime di sicurezza per l’attività di ciascuna unità organizzativa nel
trattamento di dati personali e per l’esecuzione di procedimenti amministrativi e individuare gli incaricati
Ritenuto che abbia adeguate capacità professionali, esperienza e affidabilità, tali da fornire idonea
garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo
relativo alla sicurezza,
nomina
______________________________quale Responsabile dei trattamenti dei dati (di seguito indicato
come“Responsabile”) per i trattamenti individuati nel Regolamento Privacy Aziendale
Nello specifico al Responsabile vengono affidate le seguenti responsabilità e compiti:
1) E’ autorizzato ad individuare e a comunicare al Titolare i nominativi degli incaricati al trattamento che
dovranno essere nominati
2) E’ autorizzato a trattare tutti i dati personali con cui entri comunque in contatto nell’ambito
dell’espletamento dell’attività di sua competenza contenuti nelle banche dati e negli archivi cartacei
identificati nel Regolamento Privacy nella sezione “Elenco trattamenti dei dati” e ad esso assegnati.
3) Ha il compito di istruire gli “Incaricati” ed in particolare dando piena concretezza a quanto previsto dal
Regolamento Privacy.
4) Ha il compito di organizzare gli archivi cartacei in modo da garantire adeguata protezione dei dati,
anche in relazione al loro grado di sensibilità e riservatezza, nonché di garantirne la protezione da eventi
che potrebbero danneggiare o far perdere documenti.
36
6) Ha il compito di definire, in collaborazione con l’amministratore di sistema, la gestione dei personal
computer e dei dispositivi elettronici che trattano dati personali in modo da garantire adeguata protezione
dei dati, anche in relazione al loro grado di sensibilità e di riservatezza,
nonché di garantirne la protezione da eventi che potrebbero danneggiare o far perdere documenti, come
indicato all’interno del “Regolamento Privacy” .
7) Ha il compito per quanto non espressamente citato, di dare piena attuazione al “Codice” e al
Disciplinare Tecnico (allegato B), nonché a quanto indicato all’interno del “Regolamento Privacy” in termini
di adozione delle misure minime di sicurezza.
8) Ha il compito di collaborare col Titolare nella predisposizione e nell’adeguamento del “Regolamento
Privacy” e degli altri documenti necessari.
9) Ha il compito di collaborare col Titolare nella predisposizione di attività formative degli “Incaricati”,
mediante riunioni, corsi o distribuzione di materiali illustrativi delle norme, così come indicato all’interno
del “Regolamento Privacy” nella sezione “Pianificazione degli interventi formativi”.
10) Ha il compito di gestire l’ingresso di nuovo personale, all’atto dell’assunzione in servizio, dando ad ogni
nuovo componente anche temporaneo dell’unità organizzativa in oggetto un’adeguata formazione
individuale.
In generale il “Responsabile” deve comunque attenersi rigorosamente a tutte le regole dettate dal
D.Lgs 196/2003 e in particolare ai seguenti punti fondamentali:
a) I dati devono essere trattati in modo lecito e secondo correttezza, devono essere esatti ed aggiornati.
b) Per il trattamento devono essere seguite le norme di legge in materia di tutela della riservatezza dei dati
personali e devono essere applicate le misure di protezione previste dal Titolare.
DATA Il Titolare del trattamento
_______________________ _____________________________
Firma Per Accettazione
_______________________
37
15.2 NOMINA DEGLI INCARICATI
Bottanuco lì, __/__/_____
Oggetto: nomina Incaricato del trattamento dei dati personali trattati da Optimo Next S.r.l.
Il sottoscritto Fabrizio Tudisco in qualità di Legale Rappresentante,
visto
- il D.Lgs 196/2003 “Codice in materia di protezione dei dati personali”, che d’ora in poi nel presente
documento sarà richiamato semplicemente come “Codice”
premesso che
- Ai sensi dell’art. 28 del “Codice” è, nel presente atto, Titolare dei dati personali trattati da parte di questa
società è la società stessa, di cui il sottoscritto è Legale Rappresentante pro-tempore
- L’art. 30 del “Codice” sancisce che le operazione di Trattamento dei dati possano essere effettuate suolo
da Incaricati nominati per iscritto dal Titolare.
Nomina
il sig./la sig.ra/_________________________________________________
Incaricato/a del trattamento per i seguenti trattamenti / banche dati :
____________________________________________
In particolare l’Incaricato del trattamento dei dati personali deve osservare le seguenti disposizioni:
L’incaricato che ha ricevuto credenziali di autenticazione (User ID e Password) per il
trattamento dei dati personali, deve conservare con la massima segretezza le parole chiave e i
dispositivi di autenticazione in suo possesso e uso esclusivo
La parola chiave, quando è prevista dal sistema di autenticazione, deve essere composta da
almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un
numero di caratteri pari al massimo consentito
La parola chiave non deve contenere riferimenti agevolmente riconducibili all’incaricato
L’incaricato del trattamento deve modificarla al primo utilizzo e, successivamente, almeno ogni
sei mesi.
In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave deve essere
modificata almeno ogni tre mesi
Gli incaricati del trattamento non debbono in nessun caso lasciare incustodito e accessibile lo
strumento elettronico durante una sessione di trattamento dei dati personali. (Lo Screensaver
deve essere impostato al massimo a 15 minuti e il ripristino deve essere protetto da Password).
38
Gli incaricati del trattamento debbono controllare e custodire, per l’intero ciclo necessario allo
svolgimento delle operazioni di trattamento, gli atti e i documenti contenenti i dati personali
Quando gli atti e i documenti contenenti i dati personali sensibili o giudiziari sono affidati agli
incaricati del trattamento per lo svolgimento dei relativi compiti i medesimi atti e documenti
sono controllati e custoditi dagli incaricati fino alla restituzione, e sono restituiti al termine
delle operazioni affidate.
L’incaricato del trattamento dichiara di aver preso conoscenza dei compiti che gli sono stati affidati, e di
essere a conoscenza di quanto stabilito dal Codice in materia di dati personali e si impegna ad adottare
tutte le misure necessarie all’attuazione delle norme in esso descritte
Il responsabile del Trattamento
_________________________
Firma per accettazione
_______________________________
39
15.3 NOMINA CUSTODE DELLE CREDENZIALI
Bottanuco lì, __/__/_____
Oggetto: nomina custode delle credenziali per Optimo Next S.r.l.
Il sottoscritto Fabrizio Tudisco in qualità di Legale Rappresentante,
visto
- il D.Lgs 196/2003 “Codice in materia di protezione dei dati personali”, che d’ora in poi nel presente
documento sarà richiamato semplicemente come “Codice”
premesso che
- Ai sensi dell’art. 28 del “Codice” è, nel presente atto, Titolare dei dati personali trattati da parte di questa
società è la società stessa, di cui il sottoscritto è Legale Rappresentante pro-tempore
- Il punto 10 dell’allegato B del “Codice” prevede l’individuazione preventiva per iscritto dei soggetti
incaricati della custodia delle credenziali di accesso agli strumenti elettronici.
Nomina
il sig./la sig.ra/_________________________________________________
“custode delle parole chiave riservate” .
Nell’espletamento delle sue funzioni il/la custode delle credenziali dovrà applicare le misure di sicurezza
disposte dall’impresa e, specificatamente, nelle gestione delle parole chiave dovrà:
- custodire la password, con modalità (fisiche ed organizzative) atte a garantire la segretezza della stessa e
la relativa integrità in modo da permettere l’accesso al sistema in caso di emergenza in concomitanza ad
una eventuale indisponibilità degli amministratori di sistema;
Il responsabile del Trattamento
_________________________
Firma per accettazione
_______________________________
40
15.4 NOMINA RESPONSABILE DEL TRATTAMENTO ESTERNO
Spettabile __________________, Optimo Next S.r.l., è “Titolare” dei trattamenti di dati personali che sono
esternalizzati presso la Vs. Azienda, per effetto del contratto stipulato il ____________. Con la presente
Optimo Next S.r.l. designa la Vs. Azienda quale “Responsabile del trattamento” ai sensi dell'art. 29 del d.
lgs. 196/2003 “Codice in materia di protezione dei dati personali” (il “Codice”) in relazione ai trattamenti
previsti nel contratto suddetto.
In relazione a tale nomina la Vs. Azienda dovrà seguire le seguenti istruzioni:
- garantire che i trattamenti siano svolti nel pieno rispetto delle norme e di ogni prescrizione contenuta
nel Codice, nei relativi allegati compresi i codici deontologici, delle future modificazioni ed integrazioni
nonché informarsi e tenere conto dei provvedimenti, dei comunicati ufficiali, delle autorizzazioni
generali emessi dall'Autorità Garante per la Protezione dei Dati Personali (il “Garante”);
- verificare la costante adeguatezza delle misure di sicurezza per la protezione dei trattamenti alle
misure minime di sicurezza di cui agli artt. da 33 a 35 del Codice, da adottarsi nei modi previsti dal
Disciplinare Tecnico allegato B al Codice e secondo le previsioni dell’art. 180, e delle eventuali
modificazioni o integrazioni che dovessero intervenire ai sensi dell’art. 36 nonché a quelle idonee e
preventive di cui all’art. 31 così da ridurre al minimo i rischi di perdita e distruzione, anche accidentale,
dei dati stessi, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità
della raccolta;
- segnalare tempestivamente qualsiasi eventuale carenza sulle misure di sicurezza adottate o su
qualunque altro aspetto relativo ai trattamenti conferiti che dovesse comportare responsabilità civili e
penali del Titolare;
- curare l’aggiornamento periodico, almeno annuale, del Documento Programmatico sulla sicurezza
previsto dalla regola 19 del Disciplinare Tecnico citato, relativamente ai trattamenti di dati personali
conferiti col contratto suddetto, consegnandone copia in tempo utile affinché OPTIMO NEXT S.r.l.
possa provvedere all’adempimento rispettando la scadenza prevista dalla normativa in questione;
- comunicare tempestivamente qualsiasi richiesta ricevuta ai sensi dell'art. 7 del Codice, per
consentirne l'evasione nei termini previsti dalla legge e, in particolare, disporre l'organizzazione
interna per l'eventuale modifica, rettifica, integrazione e cancellazione dei dati, nonché il blocco del
trattamento ove venisse disposto dal Garante o dall'Autorità Giudiziaria;
Ci riserviamo, ai sensi dell'art. 29 comma 5 del Codice, la facoltà di effettuare verifiche periodiche per
vigilare sulla puntuale osservanza delle vigenti disposizioni in materia di trattamento, ivi compreso il
profilo relativo alla sicurezza, e delle istruzioni suddette.
41
Cordiali saluti
42
15.5 NOMINA AMMINISTRATORE DI SISTEMA (RESPONSABILE)
Bottanuco lì, __/__/_____
Oggetto: Incarico di amministratore di sistema (responsabile)
Il sottoscritto Fabrizio Tudisco , in qualità di titolare del trattamento dei dati ai sensi del D.L.vo N. 196
del 30/06/2003 di OPTIMO NEXT S.r.l., conformemente a quanto stabilito nell’allegato B “Disciplinare
tecnico in materia di misure minime di sicurezza”, affida al Sig. Fabrizio Tudisco, l’incarico di
amministratore di sistema con i seguenti compiti:
Sovrintendere al funzionamento della rete;
Monitorare lo stato dei sistemi;
Eseguire gli interventi di manutenzione hardware e software su sistemi operativi e applicativi
indicati dal responsabile dei sistemi informativi;
Sovrintendere all’operato di eventuali tecnici esterni all’azienda.
Fare in modo che sia prevista la disattivazione dei codici identificativi personali (user-id), in caso di
perdita della qualità che consentiva all’incaricato l’accesso al personal computer, oppure nel caso
di mancato utilizzo del codice per oltre sei mesi;
Non comunicare a terzi in alcun modo password di alcun utente;
Collaborare con i responsabili del trattamento dei dati personali;
Collaborare con il custode delle password;
Proteggere tutti i sistemi informatici mediante l’impiego di idonei programmi di protezione, la cui
efficacia e aggiornamento dovrà essere verificata con cadenza semestrale, con riferimento ai
seguenti rischi:
o abuso della qualità di operatore di sistema prevista dal codice penale per le fattispecie di
accesso abusivo a sistema informatico o telematico (art. 615 ter)
o frode informatica (art. 640 ter)
o danneggiamento di informazioni, dati e programmi informatici (artt. 635 bis e ter) e di
danneggiamento di sistemi informatici e telematici (artt. 635 quater e quinques)
Non comunicare a terzi in alcun modo, se non nei casi espressamente previsti, e non utilizzare
per altri fini i dati personali di cui dovesse venire a conoscenza nell’esecuzione delle operazioni di
gestione dei sistemi informativi e comunque mantenere la più completa riservatezza sui dati
trattati e sulle tipologie di trattamento effettuate. Tali obblighi perdureranno anche dopo la
cessazione del rapporto di lavoro;
Gestire in modo sicuro i supporti e le aree di memoria, interni od esterni al sistema di
trattamento, già utilizzati per il trattamento dei dati, provvedendo a che le informazioni
precedentemente contenute non siano recuperabili o provvedendo, altrimenti, alla loro
distruzione;
Coordinare l’operato degli altri Amministratori di Sistema
L’amministratore testé incaricato, dichiara di essere a conoscenza di quanto stabilito dal D.L.vo N. 196 del
30/06/2003 ed in particolare di quanto indicato nell’allegato B “Disciplinare tecnico in materia di misure
minime di sicurezza” e si impegna ad adottare tutte le misure necessarie all’attuazione delle norme
descritte nel Documento Programmatico sulla Sicurezza, in relazione ai compiti sopra indicati.
L’operato degli amministratori di sistema è oggetto di verifiche almeno annuali sotto la responsabilità del
titolare del trattamento al fine di controllare la sua rispondenza alle misure organizzative, tecniche e di
43
sicurezza definite per i trattamenti e previste dalla normativa vigente (rif. Allegato B – D.Lgs 196/03 e
Provvedimento Garante del 27-11-08 pubblicato in G.U. n. 300 del 24 dicembre 2008).
Gli accessi logici ai Sistemi Informativi e ai Data Base da parte degli amministratori vengono tracciati
garantendone la completezza, inalterabilità e possibilità di verifica della relativa integrità. L’access log
degli amministratori contiene i riferimenti temporali, la descrizione dell’evento e prevederà la
storicizzazione degli eventi per un periodo di 6 mesi.
Per accettazione dell’incaricato
L’amministratore del sistema
Il titolare del trattamento
_________________________
(firma)
_________________________
(firma)
44
15.6 NOMINA AMMINISTRATORE DI SISTEMA
Bottanuco lì, __/__/_____
Oggetto: Incarico di amministratore di sistema
Il sottoscritto Fabrizio Tudisco , in qualità di titolare del trattamento dei dati ai sensi del D.L.vo N. 196
del 30/06/2003 di OPTIMO NEXT S.r.l., conformemente a quanto stabilito nell’allegato B “Disciplinare
tecnico in materia di misure minime di sicurezza”, affida al Sig__________________, l’incarico di
amministratore di sistema con i seguenti compiti:
Sovrintendere al funzionamento della rete;
Monitorare lo stato dei sistemi;
Eseguire gli interventi di manutenzione hardware e software su sistemi operativi e applicativi
indicati dal responsabile dei sistemi informativi;
Sovrintendere all’operato di eventuali tecnici esterni all’azienda.
Fare in modo che sia prevista la disattivazione dei codici identificativi personali (user-id), in caso di
perdita della qualità che consentiva all’incaricato l’accesso al personal computer, oppure nel caso
di mancato utilizzo del codice per oltre sei mesi;
Non comunicare a terzi in alcun modo password di alcun utente;
Collaborare con i responsabili del trattamento dei dati personali;
Collaborare con il custode delle password;
Proteggere tutti i sistemi informatici mediante l’impiego di idonei programmi di protezione, la cui
efficacia e aggiornamento dovrà essere verificata con cadenza semestrale, con riferimento ai
seguenti rischi:
o abuso della qualità di operatore di sistema prevista dal codice penale per le fattispecie di
accesso abusivo a sistema informatico o telematico (art. 615 ter)
o frode informatica (art. 640 ter)
o danneggiamento di informazioni, dati e programmi informatici (artt. 635 bis e ter) e di
danneggiamento di sistemi informatici e telematici (artt. 635 quater e quinques)
Non comunicare a terzi in alcun modo, se non nei casi espressamente previsti, e non utilizzare
per altri fini i dati personali di cui dovesse venire a conoscenza nell’esecuzione delle operazioni di
gestione dei sistemi informativi e comunque mantenere la più completa riservatezza sui dati
trattati e sulle tipologie di trattamento effettuate. Tali obblighi perdureranno anche dopo la
cessazione del rapporto di lavoro;
Gestire in modo sicuro i supporti e le aree di memoria, interni od esterni al sistema di
trattamento, già utilizzati per il trattamento dei dati, provvedendo a che le informazioni
precedentemente contenute non siano recuperabili o provvedendo, altrimenti, alla loro
distruzione;
L’amministratore testé incaricato, dichiara di essere a conoscenza di quanto stabilito dal D.L.vo N. 196 del
30/06/2003 ed in particolare di quanto indicato nell’allegato B “Disciplinare tecnico in materia di misure
minime di sicurezza” e si impegna ad adottare tutte le misure necessarie all’attuazione delle norme
descritte nel Documento Programmatico sulla Sicurezza, in relazione ai compiti sopra indicati.
L’operato degli amministratori di sistema è oggetto di verifiche almeno annuali sotto la responsabilità del
titolare del trattamento al fine di controllare la sua rispondenza alle misure organizzative, tecniche e di
sicurezza definite per i trattamenti e previste dalla normativa vigente (rif. Allegato B – D.Lgs 196/03 e
Provvedimento Garante del 27-11-08 pubblicato in G.U. n. 300 del 24 dicembre 2008).
45
Gli accessi logici ai Sistemi Informativi e ai Data Base da parte degli amministratori vengono tracciati
garantendone la completezza, inalterabilità e possibilità di verifica della relativa integrità. L’access log
degli amministratori contiene i riferimenti temporali, la descrizione dell’evento e prevederà la
storicizzazione degli eventi per un periodo di 6 mesi.
Per accettazione dell’incaricato
L’amministratore del sistema
Il titolare del trattamento
_________________________
(firma)
_________________________
(firma)
Bottanuco (BG), lì 31 marzo 2014
Il Titolare del Trattamento
OPTIMO NEXT S.r.l.
Fabrizio Tudisco
46
Allegato 1
Livello di attuazione e verifiche periodiche sulle misure di sicurezza previste dall’allegato “B” del D.lgs. 196/03 “Codice in materia di protezione dei dati personali”
REV.09
Optimo Next pone particolare attenzione alla conformità dei servizi offerti rispetto al “Codice in
materi di protezione dei dati” d.lgs 196/03 e ai successivi provvedimenti introdotti dal Garante
per la protezione dei dati personali e nello specifico ai provvedimenti:
- “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici
relativamente alle attribuzioni delle funzioni di amministratore di sistema” del 27 novembre
2008, pubblicato in G.U. n. 300 del 24 dicembre 2008.
- “Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati
personali “ del 13 ottobre 2008, pubblicato in G.U. n. 287 del 9 dicembre 2008
A tal scopo Optimo Next effettua annualmente approfonditi Audit finalizzati alla verifica delle
piena conformità delle misure di sicurezza implementate rispetto ai requisiti richiesti dal
Garante e alle esigenze dei clienti.
Gli Audit effettuati portano all’aggiornamento annuale del Regolamento Privacy (ex Documento
Programmatico sulla Sicurezza dei Dati) di cui questo documento è una sintesi volta a presentare
le misure di sicurezza implementate da Optimo Next.
47
Misure di sicurezza fisica
Misura di
Sicurezza DESCRIZIONE
48
Controlli degli
accessi e
protezione
dell’ambiente
La sicurezza fisica è garantita dal portone ad accesso controllato.
L’accesso dei dipendenti e collaboratori alla struttura viene consentito e registrato,
durante l’orario di lavoro, tramite badge RFID.
L’accesso dei visitatori agli uffici avviene previa registrazione all’ingresso tramite
apposito software.
Alle misure fisiche è associato un sistema allarme dotato di radar per la rilevazione
del movimento combinati a sensori infrarossi e una centralina che gestisce 8 zone
con collegamento ad alta velocità in bassa tensione. È stato inoltre predisposto un
ponte radio che consente il collegamento diretto con l’ istituto di vigilanza.
Questo sistema viene inserito alla chiusura degli uffici dal personale autorizzato ed è
in grado di segnalare l’intrusione in atto.
La sala server è dotata di impianto di allarme anch’esso dotato di radar per la
rilevazione del movimento combinati a sensori infrarossi indipendente rispetto al
sistema della sede.
Qualsiasi violazione o intrusione viene segnalata immediatamente ed
automaticamente al personale interno incaricato e alla società di Vigilanza preposta,
che ha il compito di intervenire presso la sede.
Le postazioni di lavoro dotate di PC e soprattutto l'area ove sono situati i server non
sono accessibili al pubblico se non accompagnato da personale dell’Azienda.
Analoghe misure sono previste per i luoghi ove vengono trattati e custoditi i supporti
cartacei delle informazioni.
Il Data Center è protetto tramite lettore di badge.
Optimo Next dispone inoltre di un impianto di video sorveglianza perimetrale
finalizzato a tutelare l’integrità del patrimonio aziendale e le proprietà dei propri
clienti.
√
Dispositivi
antincendio
La sede è dotata di dispositivi antincendio costituiti da estintori, da manichette e da
idranti per l’area esterna.
Il Data Center è dotato di rilevatori di fumi/incendio a pavimento e a soffitto e di un
impianto di spegnimento tramite gas inerte.
√
49
Misure di sicurezza previste dal DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI
SICUREZZA (Allegato B, d.lgs 196/03) Misura di
Sicurezza DESCRIZIONE
MMS 1
L’accesso ai sistemi informatici prevede meccanismi di autenticazione che
permettono l’accesso solo ai dati relativi al proprio profilo di appartenenza, ogni
dipendente riceve lettera di incarico scritta rispetto alla mansione e all'ambito delle
risorse che può utilizzare. Con una cadenza giornaliera vengono effettuati i
salvataggi dei dati (in modalità completa) dei server che forniscono il servizio.
√
MMS 2/3 Le credenziali di autenticazione sono composte da user-name e password e sono
assegnate ad un singolo utente √
MMS 4
A tutti i dipendenti sono comunicate per iscritto raccomandazioni per la
conservazione della segretezza delle credenziali di autenticazione ed è stata istituita
una policy di sistema che avvisa l’utente dei cambiare la password ogni 90 giorni.
Alla richiesta automatica del sistema di cambio password, l’utente deve modificarla
ed è impossibilitato a inserire una password usata precedentemente (questo fino a 3
password precedenti).
√
MMS 5
La password di accesso, che deve essere di almeno 8 caratteri, viene inserita
dall’Amministratore di Sistema e l’utente, al primo accesso, deve modificarla.
La policy istituita per le password prevede che contengano obbligatoriamente
almeno un numero, una maiuscola o un carattere speciale e che non siano
facilmente riconducibile all’utente stesso.
√
MMS 6 Le credenziali di accesso non possono in alcun caso essere assegnate a persone
diverse ma sono univocamente legate al singolo utente. √
MMS 7 Le credenziali di accesso non utilizzate per almeno 6 mesi vengono disattivate. √
MMS 8 In caso di dimissioni le credenziali vengono disattivate, l’account di posta elettronica
viene bloccato. √
50
Misura di
Sicurezza DESCRIZIONE
MMS 9 A tutti gli incaricati sono impartite istruzioni per iscritto in merito alla utilizzo di
screensaver o di altri mezzi per impedire l’accesso a computer lasciati incustoditi. √
MMS 10
Al fine di garantire la continuità e la tempestività del servizio in caso di urgente
necessità l’amministratore, su richiesta del responsabile di funzione di sistema e
previa comunicazione agli interessati, può accedere all’account utente. Terminato
l’utilizzo l’amministratore provvede a resettare la password che deve essere
reimpostata dall’incaricato al primo utilizzo. √
Il titolare ha in custodia le copie credenziali di accesso degli amministratori che
vengono conservata in busta chiusa in cassaforte.
MMS 11 Non Applicabile ad Optimo Next
MMS 12/13 Ogni utente viene inserito in un apposito profilo individuale o di gruppo ed ogni
profilo può accedere solo alle risorse del sistema operativo che gli competono. √
MMS 14 Annualmente viene effettuata una verifica al fine di rilevare la sussistenza delle
condizioni per il mantenimento dei profili di autorizzazione. √
MMS 15 All’interno del Regolamento Privacy (ex DPS) è stata predisposta una liste delle
strutture incaricate del trattamento dei dati. √
MMS 16
Sulla rete interna di Optimo Next agisce un sistema antivirus che preserva i dati
sia dei server sia delle stazioni di lavoro da eventuali intrusioni da parte di virus o
di agenti esterni indesiderati. Tale sistema lavora su tutte le workstation e sui
server in appoggio a due sistemi centralizzati che gestiscono le verifiche
programmate dei sistemi locali ( giornaliera o settimanale) e regolarmente, tutte
le notti, effettua un controllo per prelevare nuovi aggiornamenti di versione
direttamente dal produttore. Tali aggiornamenti vengono distribuiti
automaticamente a tutti i sistemi della rete.
√
La sicurezza sulla connessione viene garantita attraverso un sistema di firewall su
tecnologia Juniper che esegue dei controlli sul traffico, accettando solo ciò che è
permesso. √
51
Misura di
Sicurezza DESCRIZIONE
MMS17 I sistemi operativi vengono periodicamente aggiornati rivolgendo particolare
attenzione alle patch e agli upgrade riguardanti la sicurezza. √
MMS 18
Ogni 12h vengono effettuati i salvataggi dei dati (in modalità completa) dei server
che forniscono il servizio.
Viene effettuato il backup delle elaborazioni dei documenti digitalizzati, residenti su
NAS con tecnologia RAID 10, attraverso le policy di snapshot che prevedono la
creazione dell’immagine del volume dedicato al cliente 2 volte nell’arco delle 24h. I
dati vengono anche replicati tramite “Snap Mirror” (NetApp to NetApp) sul sito di
Disaster Recovery per i clienti contrattualizzati.
√
MMS 19
Optimo Next ha deciso di mantenere aggiornato un Regolamento Aziendale Privacy
(ex DPS) contenente:
L'elenco dei trattamenti di dati personali;
la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture
preposte al trattamento dei dati;
l'analisi dei rischi che incombono sui dati;
le misure da adottare per garantire l'integrità e la disponibilità dei dati,
nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro
custodia e accessibilità;
la descrizione dei criteri e delle modalità per il ripristino della disponibilità
dei dati in seguito a distruzione o danneggiamento.
Il piano degli interventi formativi di aggiornamento dei responsabili e degli
incaricati del trattamento in materia di Privacy. La formazione è inoltre
programmata al momento dell'ingresso in servizio, nonché in occasione di
cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti,
rilevanti rispetto al trattamento di dati personali;
la descrizione dei criteri da adottare per garantire l'adozione delle misure
minime di sicurezza in caso di trattamenti di dati personali affidati, in
conformità al codice, all'esterno della struttura di Optimo Next;
i criteri da adottare per il trattamento dei dati sensibili.
√
Misura di
Sicurezza DESCRIZIONE
MMS 20 Per garantire la sicurezza, oltre ai sistemi firewall configurati solo per consentire
l’accesso ad alcune tipologie di dati (messaggi di posta), è stato implementato un √
52
sistema di REVERSE PROXY, per l’accesso alla Web mail, basato su un protocollo
criptato, in modo da non esporre direttamente il servizio alle minacce provenienti
dal WEB.
MMS 21/22 L’utilizzo di supporti removibili è strettamente regolata da apposita policy interna. √
MMS 23
OPTIMO NEXT dispone di un sito alternativo di Disaster Recovery. Il disaster
Recovery Plan è contrattualizzabile con livelli di servizio da definire in specifici
contratti. √
MMS 24 Non Applicabile ad Optimo Next
MMS 25 Ai fornitori che compiono interventi sulla rete aziendale viene sempre richiesta una
dichiarazione di conformità dell’intervento al disciplinare tecnico. √
MMS 26 Il titolare nella relazione accompagnatoria del bilancio d’esercizio riferisce
sull’aggiornamento del Regolamento Privacy √
MMS 27
Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia,
per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli
atti e dei documenti contenenti dati personali.
√
MMS 28
Quando gli atti e i documenti cartacei contenenti dati personali sensibili o giudiziari
sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i
medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla
restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e
sono restituiti al termine delle operazioni affidate.
√
MMS 29
Gli atti e i documenti contenenti i dati sono conservati in archivi ad accesso
selezionato e, inoltre, per i documenti contenenti dati sensibili sono stati previsti
archivi ad accesso controllato tramite badge.
√
Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti
elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27
novembre 2008.
(G.U. n. 300 del 24 dicembre 2008)
53
Misura di
Sicurezza DESCRIZIONE
A Nell’ attribuzione delle funzioni di amministratore di sistema viene attentamente
valutata l'esperienza, la capacità e l'affidabilità del soggetto/i designato/i √
B1 La designazione quale amministratore di sistema è individuale √
B2 Gli ambiti individuali di intervento degli amministratori sono definiti in un
documento √
C1/C2/C3
Nel Regolamento Privacy è stato predisposto l’elenco degli identificativi delle
persone fisiche con incarico di amministratori di sistema.
I nominativi degli amministratori di sistema vengono resi noti nell’ambito della
struttura organizzativa di Optimo Next mediante Policy aziendale comunicata a
tutti i dipendenti tramite pubblicazione sul portale aziendale.
√
D
Nel caso di servizi di amministrazione di sistema affidati in outsourcing gli
estremi identificativi degli amministratori di sistema sono conservati per
sopperire ad ogni evenienza.
√
E
L’operato degli amministratori di sistema è oggetto di verifiche almeno annuali
sotto la responsabilità del titolare del trattamento al fine di controllare la sua
rispondenza alle misure organizzative, tecniche e di sicurezza definite per i
trattamenti e previste dalla normativa vigente
√
F1 / F2 / F3 / F4
Per la rilevazione ed archiviazione dei log è stato installato il software NG attivo
su tutti i sistemi. In particolare tramite il software citato viene tracciato log on,
log off e disconnessione remota forzata. I log vengono archiviati garantendo uno
storico di 6 mesi dall’applicativo NG che ne garantisce inoltre l’inalterabilità e
l’integrità.
√
Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati
personali – 13 ottobre 2008
54
G.U. n. 287 del 9 dicembre 2008
Misura Tecnica DESCRIZIONE
G Gli HD di Pc e server vengono formattati a basso livello e inviati ad una società
terza per la distruzione fisica; la società rilascia quindi apposita certificazione √
Provvedimento in materia di videosorveglianza - 8 aprile 2010
(Gazzetta Ufficiale n. 99 del 29 aprile 2010)
Misura Tecnica DESCRIZIONE
H
La zona sottoposta a videosorveglianza è segnalata. Sono previste misure tecniche od organizzative per la cancellazione, anche in forma automatica, delle registrazioni, allo scadere del termine previsto. Le immagini sono conservate per un periodo di tempo inferiore ai 7gg. Sono stati adottati sistemi idonei alla registrazione degli accessi logici degli incaricati e delle operazioni compiute sulle immagini registrate, compresi i relativi riferimenti temporali, con conservazione per un periodo di tempo congruo all'esercizio dei doveri di verifica periodica dell'operato dei responsabili da parte del titolare, comunque non inferiore a sei mesi?
√