Documento programmatico per la sicurezza dei trattamenti · UT1 CELERON 633 MHZ ASSEMBLATO UT2...

Documento programmatico per la sicurezza dei trattamenti

DPS01

REV. 00 DEL 29/07/2004

M.B.D.S. s.r.l. Via delle Macine 13823, Casapinta

Sicurezza dei trattamenti Pag. 1 di 28

STATO DEL DOCUMENTO

REV. PAR. PAG. MOTIVO DATA 00 prima emissione 29/07/2004

Elaborazione Verifica Approvazione

COPIA CONTROLLATA N° COPIA NON CONTROLLATA

_____________________________ ___________

_____________________________

Distribuita a In Data Firma Resp. Qualità


1. Introduzione..................................................................................................................................................................2 2. Elenco Reti ...................................................................................................................................................................2

2.1. R1: Rete aziendale ....................................................................................................................................................2 3. Elenco Hardware ..........................................................................................................................................................3

3.1. AM1 HP Compaq dx2000 ........................................................................................................................................3 3.2. AM2 PENTIUM 4 ASSEMBLATO........................................................................................................................3 3.3. COP1 Toshiba Satellite 1700....................................................................................................................................3 3.4. COP2 Toshiba Satellite 1700....................................................................................................................................4 3.5. COP3 Toshiba Satellite 1700....................................................................................................................................4 3.6. DIP1 Toshiba Satellite 2300 .....................................................................................................................................4 3.7. MA1 HP Compaq dx2000 ........................................................................................................................................5 3.8. PR1 HP Compaq dc5000 ..........................................................................................................................................5 3.9. S1 HP 9000 rp8420-32 .............................................................................................................................................5 3.10. UT1 CELERON 633 MHZ ASSEMBLATO .......................................................................................................6 3.11. UT2 CELERON 633 MHZ ASSEMBLATO .......................................................................................................6 3.12. UT3 HP Compaq dc5000......................................................................................................................................6 3.13. UT4 HP Compaq dc5000......................................................................................................................................7 3.14. UTP1 Toshiba Satellite 2300 ................................................................................................................................7

4. Elenco Software............................................................................................................................................................7 4.1. S2: BNP Home banking............................................................................................................................................7 4.2. S1: Gestionale SISTEMI 7.2.....................................................................................................................................8 4.3. S4: MIcorsoft Office 2000........................................................................................................................................8 4.4. S5: Microsoft Internet Explorer ................................................................................................................................9 4.5. S6: Outlook Express .................................................................................................................................................9


DPS01 REV. 00 DEL 29/07/2004



4.6. S3: Trend Micro Antivirus Corporate.....................................................................................................................10 4.7. S7: Windows 2000 Server ......................................................................................................................................11 4.8. S9: Windows Xp Home ..........................................................................................................................................11 4.9. S8: Windows XP Professional ................................................................................................................................11

5. Banche dati .................................................................................................................................................................12 5.1. B2: Gestione contabile dei clienti e dei fornitori ....................................................................................................12 5.2. B3: Gestione delle commesse e della produzione...................................................................................................15 5.3. B1: Gestione paghe, INAIL, IRPEF, Infortuni, Igiene ... .......................................................................................17 5.4. B4: Gestione informatica dei clienti e dei fornitori ................................................................................................20

6. Misure di Sicurezza ....................................................................................................................................................24 6.1. Misure di sicurezza generali ...................................................................................................................................24 6.2. Misure di sicurezza delle reti ..................................................................................................................................25 6.3. Misure di sicurezza delle banche dati .....................................................................................................................25

7. Danneggiamento o distruzione dei dati.......................................................................................................................26 7.1. Politica di backup ...................................................................................................................................................26 7.2. Continuità operativa................................................................................................................................................26 7.3. Ripristino dei dati ...................................................................................................................................................26

8. Responsabilità e compiti .............................................................................................................................................26 8.1. Incaricati del trattamento ........................................................................................................................................26 8.2. Amministratore di sistema ......................................................................................................................................27

9. Misure organizzative ..................................................................................................................................................27 10. Piani di formazione.....................................................................................................................................................27 11. Affidamento dei dati all'esterno..................................................................................................................................27 12. Controllo periodico sullo stato di sicurezza................................................................................................................28

1. Introduzione M.B.D.S. s.r.l. realizza impianti di amplificazione standard e su commessa. L'azienda è amministrata da un titolare che è anche Amministratore Unico ed è composta da 20 dipendenti. L'ingresso alla sede è monitorato da un impianto di videosorveglianza che, nell'assoluto rispetto della normativa sulla Privacy, è puntato su una porzione limitata del cancello d'ingresso. Inoltre esiste un sistema d’allarme con sensori anti intrusione e lo stabile è vigilato dal metronotte.

2. Elenco Reti

2.1. R1: Rete aziendale Categoria Reti Tipologia rete locale amministrata Descrizione Rete aziendale

Rete gestita da server con identificazione degli utenti, gestione delle password di accesso e dei livelli di autorizzazione.

Responsabile Amministratore di sistema Sicurezza La rete aziendale è amministrata dal Server a sua volta

accessibile mediante credenziali di autenticazione. Misure di sicurezza

autenticazione dell’incaricato e/o dell’utente controllo degli accessi a dati e programmi


DPS01 REV. 00 DEL 29/07/2004



identificazione dell'incaricato e/o dell’utente Documenti allegati

Codice Descrizione Revisione Data revisione PROC01 Procedura di assegnazione e

custodia delle password 0 29/07/2004

3. Elenco Hardware

3.1. AM1 HP Compaq dx2000 Categoria Workstation Note HP Compaq dx2000 Matricola N. Serie 21212-OEM-333000-43434 Fornitore Fabbricante Data Fabb. Marcatura CE SI Non aziendale NO

Ubicazione Aree Reparti Posti Note Sede Zona Industriale Casapinta

Amministrazione

3.2. AM2 PENTIUM 4 ASSEMBLATO Categoria Workstation Note PC PENTIUM 4 ASSEMBLATO Matricola N. Serie 85679-OEM-222000-33333 Fornitore Computer e Sistemi, Biella Fabbricante Data Fabb. Marcatura CE SI Non aziendale NO


Amministrazione

3.3. COP1 Toshiba Satellite 1700 Categoria Portatili Note PC portatile Toshiba Satellite 1700 Matricola N. Serie 33333-OEM-444111-55555 Fornitore Gigli Informatica, Biella


DPS01 REV. 00 DEL 29/07/2004



Fabbricante Data Fabb. Marcatura CE SI Non aziendale NO


Commerciale

3.4. COP2 Toshiba Satellite 1700 Categoria Portatili Note PC portatile Toshiba Satellite 1700 Matricola N. Serie 33333-OEM-444111-12345 Fornitore Gigli Informatica, Biella Fabbricante Data Fabb. Marcatura CE SI Non aziendale NO


Commerciale

3.5. COP3 Toshiba Satellite 1700 Categoria Portatili Note PC portatile Toshiba Satellite 1700 Matricola N. Serie 33333-OEM-444111-54321 Fornitore Gigli Informatica, Biella Fabbricante Data Fabb. Marcatura CE SI Non aziendale NO


Commerciale

3.6. DIP1 Toshiba Satellite 2300 Categoria Portatili Note PC portatile Toshiba Satellite 2300 Matricola N. Serie 17896-OEM-18745-54321 Fornitore Gigli Informatica, Biella


DPS01 REV. 00 DEL 29/07/2004



Fabbricante Data Fabb. Marcatura CE SI Non aziendale NO

3.7. MA1 HP Compaq dx2000 Categoria Workstation Note HP Compaq dx2000 Matricola N. Serie 15151-OEM-333000-43434 Fornitore Fabbricante Data Fabb. Marcatura CE SI Non aziendale NO


Magazzino

3.8. PR1 HP Compaq dc5000 Categoria Workstation Note HP Compaq dc5000 microtower Matricola N. Serie 15687-OEM-458712-12345 Fornitore Fabbricante Data Fabb. Marcatura CE SI Non aziendale NO


Produzione

3.9. S1 HP 9000 rp8420-32 Categoria Server Note Matricola N. Serie 44440-874.8578603-94056 Fornitore Fabbricante HP Data Fabb. Marcatura CE SI Non aziendale NO


DPS01 REV. 00 DEL 29/07/2004




Ufficio tecnico

3.10. UT1 CELERON 633 MHZ ASSEMBLATO Categoria Workstation Note PC CELERON 633 MHZ ASSEMBLATO Matricola N. Serie 11111-OEM-222000-33333 Fornitore Computer e Sistemi, Biella Fabbricante Data Fabb. Marcatura CE SI Non aziendale NO


Ufficio tecnico

3.11. UT2 CELERON 633 MHZ ASSEMBLATO Categoria Workstation Note PC CELERON 633 MHZ ASSEMBLATO Matricola N. Serie 22222-OEM-333000-44444 Fornitore Computer e Sistemi, Biella Fabbricante Data Fabb. Marcatura CE SI Non aziendale NO


Ufficio tecnico

3.12. UT3 HP Compaq dc5000 Categoria Workstation Note HP Compaq dc5000 microtower Matricola N. Serie 54897-OEM-333000-12345 Fornitore Fabbricante Data Fabb. Marcatura CE SI Non aziendale NO


DPS01 REV. 00 DEL 29/07/2004




Ufficio tecnico

3.13. UT4 HP Compaq dc5000 Categoria Workstation Note HP Compaq dc5000 microtower Matricola N. Serie 54897-OEM-897451-12345 Fornitore Fabbricante Data Fabb. Marcatura CE SI Non aziendale NO


Ufficio tecnico

3.14. UTP1 Toshiba Satellite 2300 Categoria Portatili Note PC portatile Toshiba Satellite 2300 Matricola N. Serie 44444-OEM-444111-54321 Fornitore Gigli Informatica, Biella Fabbricante Data Fabb. Marcatura CE SI Non aziendale NO


Ufficio tecnico

4. Elenco Software

4.1. S2: BNP Home banking Categoria Gestionali Tipologia Software applicativo Descrizione BNP Home banking Produttore AGI Software Tipo di protezione USER ID E PASSWORD di 8 caratteri Versione attuale 5.3


DPS01 REV. 00 DEL 29/07/2004



Frequenza agg. 1 anno Responsabile agg. Amministratore di sistema Modalità agg. Collegamento al sito internet AGI Software

Hardware su cui è installato AM1 HP Compaq dx2000

Documenti allegati Codice Descrizione Revisione Data revisione

PROC03 Procedura per l'aggiornamento dei software, dell'antivirus e del firewall

0 29/07/2004

4.2. S1: Gestionale SISTEMI 7.2 Categoria Gestionali Tipologia Software applicativo Descrizione Gestionale SISTEMI 7.2 Produttore SISTEMI Informatica, Torino Tipo di protezione Password di almeno 8 caratteri e USER ID di almeno 6

caratteri, gestibili su ciascuna postazione Versione attuale 7.2 Frequenza agg. 6 mesi Responsabile agg. Amministratore di sistema Modalità agg. Ogni 6 mesi la software house concessionaria del Software,

Filippini srl di Biella, effettua aggiornamenti migliorativi e dovuti a modifiche di legge mediante un intervento in sede di un suo tecnico. Il tecnico, durante le operazioni di manutenzione, è controllato da un incaricato dell'azienda.

Hardware su cui è installato AM1 HP Compaq dx2000 AM2 PENTIUM 4 ASSEMBLATO COP1 Toshiba Satellite 1700 COP2 Toshiba Satellite 1700 COP3 Toshiba Satellite 1700 DIP1 Toshiba Satellite 2300 MA1 HP Compaq dx2000 PR1 HP Compaq dc5000 S1 HP 9000 rp8420-32 UT1 CELERON 633 MHZ ASSEMBLATO UT2 CELERON 633 MHZ ASSEMBLATO UT3 HP Compaq dc5000 UT4 HP Compaq dc5000 UTP1 Toshiba Satellite 2300



0 29/07/2004

4.3. S4: MIcorsoft Office 2000


DPS01 REV. 00 DEL 29/07/2004



Categoria Produttività Tipologia Software applicativo Descrizione MIcorsoft Office 2000 Produttore Microsoft Tipo di protezione nessuna Versione attuale versione 9 sr2 Frequenza agg. 1 anno Responsabile agg. Amministratore di sistema Modalità agg.



0 29/07/2004

4.4. S5: Microsoft Internet Explorer Categoria Internet Tipologia Internet Browser Descrizione Microsoft Internet Explorer Produttore Microsoft Tipo di protezione nessuna Versione attuale 6.0 Frequenza agg. 1 mese Responsabile agg. Amministratore di sistema Modalità agg. Si controlla tramite live update di Microsoft la presenza di

aggiornamenti relativi alla protezione e alla sicurezza Documenti allegati

Codice Descrizione Revisione Data revisione PROC03 Procedura per

l'aggiornamento dei software, dell'antivirus e del firewall

0 29/07/2004

4.5. S6: Outlook Express Categoria Internet Tipologia Client e mail Descrizione Outlook Express Produttore Microsoft Tipo di protezione nessuna Versione attuale 6.0 Frequenza agg. 1 mese Responsabile agg. Amministratore di sistema Modalità agg. Si controlla tramite live update di Microsoft la presenza di

aggiornamenti relativi alla protezione e alla sicurezza Hardware su cui è installato

AM1 HP Compaq dx2000 AM2 PENTIUM 4 ASSEMBLATO COP1 Toshiba Satellite 1700 COP2 Toshiba Satellite 1700


DPS01 REV. 00 DEL 29/07/2004



COP3 Toshiba Satellite 1700 DIP1 Toshiba Satellite 2300 MA1 HP Compaq dx2000 PR1 HP Compaq dc5000 UT1 CELERON 633 MHZ ASSEMBLATO UT2 CELERON 633 MHZ ASSEMBLATO UT3 HP Compaq dc5000 UT4 HP Compaq dc5000 UTP1 Toshiba Satellite 2300



0 29/07/2004

4.6. S3: Trend Micro Antivirus Corporate Categoria Di base Tipologia Antivirus Descrizione Trend Micro Antivirus Corporate

Antivirus per l'installazione sul Server

Produttore Trend Micro Tipo di protezione Nessuna Versione attuale 7.1 Frequenza agg. 7 giorni Responsabile agg. Amministratore di sistema Modalità agg. L'antivirus viene installato sul server e quando gli utenti si

connettono la prima volta si installa sui cliente e in seguito controlla che la versione presente sul client sia aggiornata. L'aggiornamento viene fatto solo sul server collegandosi al sito di Trend Micro www.trendmicro.com.

Hardware su cui è installato AM1 HP Compaq dx2000 AM2 PENTIUM 4 ASSEMBLATO COP1 Toshiba Satellite 1700 COP2 Toshiba Satellite 1700 COP3 Toshiba Satellite 1700 DIP1 Toshiba Satellite 2300 MA1 HP Compaq dx2000 PR1 HP Compaq dc5000 S1 HP 9000 rp8420-32 UT1 CELERON 633 MHZ ASSEMBLATO UT2 CELERON 633 MHZ ASSEMBLATO UT3 HP Compaq dc5000 UT4 HP Compaq dc5000 UTP1 Toshiba Satellite 2300


PROC03 Procedura per l'aggiornamento dei software,

0 29/07/2004


DPS01 REV. 00 DEL 29/07/2004



dell'antivirus e del firewall

4.7. S7: Windows 2000 Server Categoria Di base Tipologia Sistema Operativo Descrizione Windows 2000 Server

Software per la gestione della rete Produttore Microsoft Tipo di protezione Autenticazione utenti e profili utenti Versione attuale 2000 Frequenza agg. 7 giorni Responsabile agg. Amministratore di sistema Modalità agg. Si controlla tramite live update di Microsoft la presenza di

aggiornamenti relativi alla protezione e alla sicurezza Hardware su cui è installato

S1 HP 9000 rp8420-32 Documenti allegati

Codice Descrizione Revisione Data revisione PROC03 Procedura per

l'aggiornamento dei software, dell'antivirus e del firewall

0 29/07/2004

4.8. S9: Windows Xp Home Categoria Di base Tipologia Sistema Operativo Descrizione Windows Xp Home Produttore Microsoft Tipo di protezione Versione attuale xp sp1 Frequenza agg. Responsabile agg. Modalità agg.

Hardware su cui è installato COP1 Toshiba Satellite 1700 COP2 Toshiba Satellite 1700 COP3 Toshiba Satellite 1700

4.9. S8: Windows XP Professional Categoria Di base Tipologia Sistema Operativo Descrizione Windows XP Professional Produttore Microsoft Tipo di protezione Versione attuale sp1 Frequenza agg.


DPS01 REV. 00 DEL 29/07/2004



Responsabile agg. Modalità agg.

Hardware su cui è installato AM1 HP Compaq dx2000 AM2 PENTIUM 4 ASSEMBLATO DIP1 Toshiba Satellite 2300 PR1 HP Compaq dc5000 UT1 CELERON 633 MHZ ASSEMBLATO UT2 CELERON 633 MHZ ASSEMBLATO UT3 HP Compaq dc5000 UT4 HP Compaq dc5000 UTP1 Toshiba Satellite 2300

5. Banche dati

5.1. B2: Gestione contabile dei clienti e dei fornitori Tipologia dell'archivio: Cartaceo Gestione contabile dei clienti e dei fornitori Fatture clienti e fornitori, documenti di trasporto, ordini e contratti

5.1.1. Ubicazione Aree Reparti Posti Note

Sede Zona Industriale Casapinta

Amministrazione

5.1.2. Tipologie di soggetti interessati Descrizione Note

agenti e rappresentanti Clienti fornitori potenziali clienti

5.1.3. Mansioni Mansione Addetto amministrazione Finalità dei trattamenti adempimento di obblighi contabili o fiscali

attività economiche, commerciali, finanziarie e assicurative

beni, proprietà, possessi dati anagrafici e altri numeri di identificazione personale

Dati e trattamenti

informazioni concernenti taluni procedimenti


DPS01 REV. 00 DEL 29/07/2004



giudiziari assegnazione di incarichi Misure di sicurezza ingresso controllato nei locali ove ha luogo il trattamento

Incaricati Toschi Antonella Mansione Addetto segreteria

attività promozionali Finalità dei trattamenti gestione della clientela

Dati e trattamenti dati anagrafici e altri numeri di identificazione personale

assegnazione di incarichi Misure di sicurezza ingresso controllato nei locali ove ha luogo il trattamento

Incaricati Gigli Francesca Mansione Direttore Generale

adempimento di obblighi contabili o fiscali Finalità dei trattamenti gestione del contenzioso attività economiche, commerciali, finanziarie e assicurative


Dati e trattamenti

informazioni concernenti taluni procedimenti giudiziari

Misure di sicurezza ingresso controllato nei locali ove ha luogo il trattamento

Incaricati Di Biagio Giorgio Mansione Responsabile Commerciale




Baldacci Andrea Marchetti Antonio

Incaricati

Pongetti Marco

5.1.4. Comunicazione dei dati ad altri soggetti I dati di questo archivio sono comunicati a

Descrizione Note agenzie di intermediazione Nei limiti del contratto di agenzia per la comunicazione dei

dati relativi alle anagrafiche e alle statistiche sul fatturato banche e istituti di credito Richieste di finanziamenti, effettuazione di pagamenti,

riscossioni,... consulenti e liberi professionisti, anche in forma associata Adempimento degli obblighi contabili e fiscali e pratiche


DPS01 REV. 00 DEL 29/07/2004



giudiziarie uffici giudiziari Riscossione crediti e pratiche giudiziarie.

5.1.5. Diffusione I dati dell'archivio non sono soggetti a diffusione

5.1.6. Misure di sicurezza Descrizione Note

assegnazione di incarichi ingresso controllato nei locali ove ha luogo il trattamento sistemi di allarme e/o di sorveglianza antintrusione vigilanza della sede

5.1.7. Rischi e misure di prevenzione Fattore di Rischio: Accesso archivi dati comuni N. Rischio Pres. Gravità Misure da attuare Misure attuate 01 Accesso archivi dati

comuni SI media Assegnazione formale

dell'incarico Vigilanza

Fattore di Rischio: Distruzione documento o atti N. Rischio Pres. Gravità Misure da attuare Misure attuate 01 Distruzione documento o

atti SI medio alta Assegnazione formale


Fattore di Rischio: Fotocopia abusiva N. Rischio Pres. Gravità Misure da attuare Misure attuate 01 Fotocopia abusiva NO Assegnazione formale


Fattore di Rischio: Incendio N. Rischio Pres. Gravità Misure da attuare Misure attuate 01 Incendio SI medio alta Piano di emergenza

Sistemi antincendio Fattore di Rischio: Presa visione abusiva atti N. Rischio Pres. Gravità Misure da attuare Misure attuate 01 Presa visione abusiva di

atti SI media Assegnazione formale

dell'incarico Formazione degli incaricati

Fattore di Rischio: Uso non autorizzato dei dati


DPS01 REV. 00 DEL 29/07/2004



N. Rischio Pres. Gravità Misure da attuare Misure attuate 01 Uso non autorizzato dei

dati SI media Assegnazione formale


5.2. B3: Gestione delle commesse e della produzione Tipologia dell'archivio: Cartaceo Gestione delle commesse e della produzione



Ufficio tecnico


Clienti

5.2.3. Mansioni Mansione Addetto alla produzione Finalità dei trattamenti Esecuzione di commesse

dati anagrafici e altri numeri di identificazione personale

Dati e trattamenti

Documentazione tecnica e progetti del cliente Misure di sicurezza assegnazione di incarichi Mansione Addetto magazzino Finalità dei trattamenti Bollettazione e spedizione Dati e trattamenti dati anagrafici e altri numeri di identificazione

personale


Incaricati Franceschini Paolo Mansione Responsabile Produzione Finalità dei trattamenti Esecuzione di commesse Dati e trattamenti dati anagrafici e altri numeri di identificazione

personale


Incaricati Minucci Stefano


DPS01 REV. 00 DEL 29/07/2004



Mansione Responsabile Ufficio Tecnico

Esecuzione di commesse Finalità dei trattamenti Progettazione e gestione di disegni e documenti del cliente


Dati e trattamenti

Documentazione tecnica e progetti del cliente assegnazione di incarichi Misure di sicurezza ingresso controllato nei locali ove ha luogo il trattamento

Cirri Carlo Morelli Alberto Pettinari Gabriele

Incaricati

Taviani Emanuele

5.2.4. Comunicazione dei dati ad altri soggetti I dati dell'archivio non sono soggetti a comunicazione




5.2.7. Rischi e misure di prevenzione Fattore di Rischio: Accesso archivi dati comuni N. Rischio Pres. Gravità Misure da attuare Misure attuate 01 Accesso archivi dati

comuni SI media Assegnazione formale



atti SI medio alta Assegnazione formale



DPS01 REV. 00 DEL 29/07/2004



Fattore di Rischio: Fotocopia abusiva N. Rischio Pres. Gravità Misure da attuare Misure attuate 01 Fotocopia abusiva NO Assegnazione formale



Sistemi antincendio Fattore di Rischio: Presa visione abusiva atti N. Rischio Pres. Gravità Misure da attuare Misure attuate 01 Presa visione abusiva di



Fattore di Rischio: Uso non autorizzato dei dati N. Rischio Pres. Gravità Misure da attuare Misure attuate 01 Uso non autorizzato dei

dati SI media Assegnazione formale


5.3. B1: Gestione paghe, INAIL, IRPEF, Infortuni, Igiene ... Tipologia dell'archivio: Cartaceo Gestione paghe, INAIL, IRPEF, Infortuni, Igiene e sicurezza del lavoro



Amministrazione


personale dipendente

5.3.3. Mansioni Mansione Addetto amministrazione

adempimenti connessi al versamento delle quote di iscrizione a sindacati o all'esercizio di diritti sindacali

adempimento di obblighi contabili o fiscali

Finalità dei trattamenti

igiene e sicurezza del lavoro


DPS01 REV. 00 DEL 29/07/2004



trattamento economico e giuridico del personale adesione a sindacati od organizzazioni a carattere sindacale


dati relativi alla famiglia e a situazioni personali lavoro

Dati e trattamenti

stato di salute assegnazione di incarichi Misure di sicurezza custodia in classificatori o armadi non accessibili

Incaricati Toschi Antonella Mansione Direttore Generale

adempimenti connessi al versamento delle quote di iscrizione a sindacati o all'esercizio di diritti sindacali

adempimento di obblighi contabili o fiscali igiene e sicurezza del lavoro


trattamento economico e giuridico del personale adesione a sindacati od organizzazioni a carattere sindacale


dati relativi alla famiglia e a situazioni personali lavoro

Dati e trattamenti

stato di salute Misure di sicurezza custodia in classificatori o armadi non accessibili Incaricati Di Biagio Giorgio


Descrizione Note banche e istituti di credito consulenti e liberi professionisti, anche in forma associata Studio ANAF Consulenza del lavoro enti previdenziali e assistenziali



assegnazione di incarichi custodia in classificatori o armadi non accessibili sistemi di allarme e/o di sorveglianza antintrusione


DPS01 REV. 00 DEL 29/07/2004



5.3.7. Rischi e misure di prevenzione Fattore di Rischio: Accesso archivi dati sensibili o giudiziari N. Rischio Pres. Gravità Misure da attuare Misure attuate 01 Accesso archivi dati

sensibili o giudiziari SI media Armadi chiusi a chiave

Assegnazione formale dell'incarico Vigilanza Sistemi d'allarme


atti SI media Armadi chiusi a chiave

Assegnazione formale dell'incarico Vigilanza

Fattore di Rischio: Fotocopia abusiva N. Rischio Pres. Gravità Misure da attuare Misure attuate 01 Fotocopia abusiva SI media Fotocopiatrice con chiave

Registrazione del numero delle copie

Assegnazione formale dell'incarico Vigilanza

Fattore di Rischio: Ignoranza procedure gestione N. Rischio Pres. Gravità Misure da attuare Misure attuate 01 Ignoranza procedure di

gestione SI medio alta Assegnazione formale

dell'incarico Istruzioni agli incaricati


Sistemi antincendio Fattore di Rischio: Ingresso non controllato N. Rischio Pres. Gravità Misure da attuare Misure attuate 01 Ingresso non controllato SI media Sistemi d'allarme

Videosorveglianza Fattore di Rischio: Presa visione abusiva atti N. Rischio Pres. Gravità Misure da attuare Misure attuate 01 Presa visione abusiva di


dell'incarico Chiusura a chiave Formazione degli incaricati Sistemi d'allarme Videosorveglianza Vigilanza


DPS01 REV. 00 DEL 29/07/2004



5.4. B4: Gestione informatica dei clienti e dei fornitori Tipologia dell'archivio: Informatico Gestione informatica dei clienti e dei fornitori



Amministrazione


agenti e rappresentanti Clienti fornitori

5.4.3. Mansioni Mansione Addetto alla produzione Finalità dei trattamenti Esecuzione di commesse


Dati e trattamenti

Documentazione tecnica e progetti del cliente assegnazione di incarichi autenticazione dell’incaricato e/o dell’utente

Misure di sicurezza

identificazione dell'incaricato e/o dell’utente Mansione Addetto amministrazione

adempimento di obblighi contabili o fiscali attività promozionali


gestione della clientela attività economiche, commerciali, finanziarie e assicurative

Dati e trattamenti


assegnazione di incarichi autenticazione dell’incaricato e/o dell’utente

Misure di sicurezza

identificazione dell'incaricato e/o dell’utente Incaricati Toschi Antonella Mansione Addetto magazzino Finalità dei trattamenti Bollettazione e spedizione


Dati e trattamenti

Documentazione tecnica e progetti del cliente Misure di sicurezza assegnazione di incarichi


DPS01 REV. 00 DEL 29/07/2004



autenticazione dell’incaricato e/o dell’utente identificazione dell'incaricato e/o dell’utente

Incaricati Franceschini Paolo Mansione Addetto segreteria

adempimento di obblighi contabili o fiscali attività promozionali


gestione della clientela Dati e trattamenti dati anagrafici e altri numeri di identificazione

personale


Misure di sicurezza

identificazione dell'incaricato e/o dell’utente Incaricati Gigli Francesca Mansione Direttore Generale

adempimento di obblighi contabili o fiscali gestione del contenzioso


gestione della clientela attività economiche, commerciali, finanziarie e assicurative


Dati e trattamenti

informazioni concernenti taluni procedimenti giudiziari

autenticazione dell’incaricato e/o dell’utente Misure di sicurezza identificazione dell'incaricato e/o dell’utente

Incaricati Di Biagio Giorgio Mansione Responsabile Commerciale




Misure di sicurezza

identificazione dell'incaricato e/o dell’utente Baldacci Andrea Marchetti Antonio

Incaricati

Pongetti Marco Mansione Responsabile Produzione



Dati e trattamenti


Misure di sicurezza

identificazione dell'incaricato e/o dell’utente Incaricati Minucci Stefano


DPS01 REV. 00 DEL 29/07/2004



Mansione Responsabile Ufficio Tecnico



Dati e trattamenti


Misure di sicurezza

identificazione dell'incaricato e/o dell’utente Cirri Carlo Morelli Alberto Pettinari Gabriele

Incaricati

Taviani Emanuele


Descrizione Note agenzie di intermediazione Agenti e rappresentanti esterni per la promozione delle

attività banche e istituti di credito Richieste di finanziamenti, effettuazione di pagamenti,

riscossioni,... consulenti e liberi professionisti, anche in forma associata Adempimento degli obblighi contabili e fiscali e pratiche

giudiziarie uffici giudiziari Riscossione crediti e pratiche giudiziarie.



autenticazione dell’incaricato e/o dell’utente continuità dell'alimentazione elettrica controlli aggiornati antivirus controllo degli accessi a dati e programmi dispositivi antincendio identificazione dell'incaricato e/o dell’utente

5.4.7. Backup e ripristino dati Frequenza backup 1 giorno Responsabile Amministratore di sistema


DPS01 REV. 00 DEL 29/07/2004



Modalità Backup incrementale dell'archivio che si trova nel Server Luogo conservazione supporti I supporti con i salvataggi vengono conservati per 2

settimane in un apposito armadio ignifugo.

5.4.8. Rischi e misure di prevenzione Fattore di Rischio: Accesso abusivo N. Rischio Pres. Gravità Misure da attuare Misure attuate 01 Accesso abusivo SI medio alta Assegnazione formale

dell'incarico Antivirus aggiornato periodicamente Autenticazione degli utenti Identificazione degli utenti

Fattore di Rischio: Assenza personale N. Rischio Pres. Gravità Misure da attuare Misure attuate 01 Assenza personale SI bassa Assegnazione formale

dell'incarico Autenticazione degli utenti Identificazione degli utenti

Fattore di Rischio: Distruzione N. Rischio Pres. Gravità Misure da attuare Misure attuate 01 Distruzione SI media Backup periodico Fattore di Rischio: Furto HW N. Rischio Pres. Gravità Misure da attuare Misure attuate 01 Furto Hardware SI medio alta Sistemi d'allarme

Videosorveglianza Vigilanza

Fattore di Rischio: Guasto Tecnologico N. Rischio Pres. Gravità Misure da attuare Misure attuate 01 Guasto tecnologico SI media Backup periodico

Manutenzione periodica Piano di emergenza


Sistemi antincendio Fattore di Rischio: Malfunzionamento HW N. Rischio Pres. Gravità Misure da attuare Misure attuate 01 Malfunzionamento

Hardware SI medio alta Backup periodico

Manutenzione periodica Fattore di Rischio: Malfunzionamento SW N. Rischio Pres. Gravità Misure da attuare Misure attuate 01 Malfunzionamento

Software SI medio alta Assistenza

Backup periodico


DPS01 REV. 00 DEL 29/07/2004



Fattore di Rischio: Mancanza di alimentazione N. Rischio Pres. Gravità Misure da attuare Misure attuate 01 Mancanza di

alimentazione SI bassa Gruppo di continuità

Fattore di Rischio: Presa visione abusiva N. Rischio Pres. Gravità Misure da attuare Misure attuate 01 Presa di visione abusiva SI media Assegnazione formale

dell'incarico Autenticazione degli accessi Autenticazione degli utenti Firewall

Fattore di Rischio: Uso Non autorizzato N. Rischio Pres. Gravità Misure da attuare Misure attuate 01 Uso non autorizzato SI media Assegnazione formale

dell'incarico Autenticazione degli accessi

5.4.9. Documenti allegati Codice Descrizione Revisione Data revisione

PROC02 Procedura per il salvataggio, il ripristino e il disaster recovery

0 29/07/2004

6. Misure di Sicurezza

6.1. Misure di sicurezza generali Descrizione Note

analisi dei rischi eseguita per archivio (sia informatici che cartacei) assegnazione di incarichi incarico formale mediante lettera contenente le istruzioni

operative autenticazione dell’incaricato e/o dell’utente Mediante User ID e Password continuità dell'alimentazione elettrica sono presenti due gruppi di continuità: uno per il server e

uno per le workstation controlli aggiornati antivirus antivirus installato sul server aggiornato settimanalmente controllo degli accessi a dati e programmi mediante profili utenti e autenticazione con User ID e

Password controllo sull’operato degli addetti alla manutenzione custodia in armadi blindati e/o ignifughi Custodia dei supporti dei salvataggi in armadi chiusi e

ignifughi custodia in classificatori o armadi non accessibili Custodia dei dati sensibili in armadi di metallo chiusi a

chiave. dispositivi antincendio Dotazione di estintori, impianto a norma, addetto

antincendio adeguatamente formato e Piano di emergenza formazione professionale Mediante formazione e informazione continua.


DPS01 REV. 00 DEL 29/07/2004



identificazione dell'incaricato e/o dell’utente Mediante User ID e Password piano di disaster recovery E' presente una procedura per il ripristino della continuità

della gestione rilevazione di intercettazioni Installazione di un firewall che protegge il server e tutti i PC

collegati a Internet sistemi di allarme e/o di sorveglianza antintrusione Sono installati sistemi di allarme e il cancello è

videosorvegliato vigilanza della sede Contratto con agenzia di vigilanza

6.2. Misure di sicurezza delle reti

6.2.1. Banca dati R1: Rete aziendale Descrizione Note

autenticazione dell’incaricato e/o dell’utente controllo degli accessi a dati e programmi identificazione dell'incaricato e/o dell’utente

6.3. Misure di sicurezza delle banche dati

6.3.1. Banca dati B2: Gestione contabile dei clienti e dei fornitori (Cartaceo) Descrizione Note


6.3.2. Banca dati B3: Gestione delle commesse e della produzione (Cartaceo)

Descrizione Note assegnazione di incarichi ingresso controllato nei locali ove ha luogo il trattamento sistemi di allarme e/o di sorveglianza antintrusione vigilanza della sede

6.3.3. Banca dati B1: Gestione paghe, INAIL, IRPEF, Infortuni, Igiene ... (Cartaceo)

Descrizione Note assegnazione di incarichi custodia in classificatori o armadi non accessibili sistemi di allarme e/o di sorveglianza antintrusione


DPS01 REV. 00 DEL 29/07/2004



6.3.4. Banca dati B4: Gestione informatica dei clienti e dei fornitori (Informatico)

Descrizione Note autenticazione dell’incaricato e/o dell’utente continuità dell'alimentazione elettrica controlli aggiornati antivirus controllo degli accessi a dati e programmi dispositivi antincendio identificazione dell'incaricato e/o dell’utente

7. Danneggiamento o distruzione dei dati

7.1. Politica di backup A) Backup dei dati contenuti su server e relativi alla gestione clienti e fornitori Il backup viene effettuato quotidianamente in automatico e cade sotto la responsabilità dell'Amministratore di Sistema. Il backup viene effettuato dal server per il salvataggio di tutti i dati presenti nel programma gestionale e nella posta elettronica che arriva via router direttamente sul server, utilizzando delle cassette elettromagnetiche riscrivibili. B) Backup dei dati di Office presenti sulle workstation e sui portatili. Il backup dei dati personali contenuti in office, incluso la posta inviata e in arrivo e le rubriche, viene effettuato almeno ogni 7 giorni, solitamente il Venerdì sera, utilizzando dei CD ROM nei quali viene annotato il PC, il nome dell'incaricato, la data di backup. Questi supporti vengono archiviati in apposito armadio ignifugo. La responsabilità della corretta applicazione della procedura di backup è del singolo incaricato.

7.2. Continuità operativa La continuità operativa è assicurata mediante "Piano di Emergenza" grazie alla gestione manuale e su supporti cartacei delle attività amministrative e commerciali. Piano di emergenza : Perdita dei dati informatici dovuta a guasto HW, SW, blackout, etc. 1) Avvertire immediatamente la software house fornitrice del programma per la gestione dei clienti e fornitori della perdita dei dati 2) Recupero dati mediante copie di backup con supporto telefonico 3) Emissione manuale di : commesse, fatture, D.d.t. utilizzando come banca dati quella cartacea della contabilità ordinaria 4) Gli eventuali documenti emessi su supporto cartaceo saranno inseriti nel gestionale successivamente al ripristino.

7.3. Ripristino dei dati Per il ripristino dei dati della gestione clienti e fornitori è richiesto l'intervento della Software House (Filippini srl) fornitrice del programma gestionale. Il ripristino è assicurato entro sette giorni dall'eventuale insorgenza del guasto. Per il ripristino dei dati di office non è richiesto alcun intervento esterno e il ripristino è assicurato entro 7 giorni dall'eventuale insorgenza del guasto nel caso di guasto hardware che renda necessario l'acquisto di un nuovo dispositivo, entro un giorno nel caso che questa evenienza non si renda necessaria.

8. Responsabilità e compiti

8.1. Incaricati del trattamento Baldacci Andrea


DPS01 REV. 00 DEL 29/07/2004



Cirri Carlo Franceschini Paolo Gigli Francesca Marchetti Antonio Minucci Stefano Morelli Alberto Pettinari Gabriele Pongetti Marco Taviani Emanuele Toschi Antonella

8.2. Amministratore di sistema Pettinari Gabriele

Aggiornare il software di rete Custodire l'elenco delle password di accesso

Effettuare la manutenzione della rete

Compiti

Sovrintendere al buon funzionamento della rete informatica

9. Misure organizzative I dati trattati dalla azienda sono classificati e sono stati identificati gli incaricati del trattamento le cui mansioni risultano da apposite lettere di incarico. E' stata effettuata un'approfondita analisi dei rischi per "Banca dati" sia essa cartacea o elettronica e sono state descritte le misure di sicurezza già in essere e quelle da adottare in ottica di miglioramento continuo. Sono state definite inoltre delle procedure interne per quanto riguarda: PROC01: procedura di assegnazione e custodia delle password PROC02: procedura per il salvataggio, il ripristino e il disaster recovery PROC03: procedura per l'aggiornamento dei software, dell'antivirus c) Le regole per l'aggiornamento dell'antivirus, del firewall e dei principali software utilizzati dall'azienda.

10. Piani di formazione Gli incaricati vengono formati secondo il seguente piano: Strumenti didattici : Messa a disposizione del Codice D.Lgs. 196/03, del D.P.S e di materiale informativo per eventuale consultazione Contenuti: 1- I concetti della Privacy 2- Principali procedure per la sicurezza dei dati. 3- Assegnazione dell'incarico e spiegazione delle misure minime richieste dal codice, nonché delle misure di sicurezza relative alle tipologie di dati del cui trattamento sono stati incaricati. 4- Struttura e contenuti del D.P.S. Modalità: Informazione e formazione in occasione dell'assegnazione dell'incarico. Programma formazione: 1 ora entro il 31/12/04, in occasione della redazione del D.P.S.

11. Affidamento dei dati all'esterno I dati affidati all'esterno sono quelli relativi all'adempimento degli obblighi di legge, inclusi quelli fiscali. Come individuato in fase di analisi dei data base aziendali, è possibile dare all'esterno dati relativi a clienti/fornitori alle seguenti tipologie di soggetti: Stato/Enti pubblici


DPS01 REV. 00 DEL 29/07/2004



Banche o assicurazioni Studi professionali di commercialisti o legali Agenzie di intermediazione esterna I dati affidati sono ordinari. Possono essere trasmessi dati relativi ad alcune istanze giudiziarie, soprattutto per quanto riguarda l'espletamento di alcune formalità necessarie per il recupero dei crediti e comunque nei termini previsti dalla normativa italiana sul fallimento. I dati sensibili affidati ad esempio allo studio di elaborazione paghe, al consulente del lavoro o al medico del lavoro sono trasmessi solo su supporti cartacei e non telematici e nei limiti del trattamento loro consentito.

12. Controllo periodico sullo stato di sicurezza Il controllo dello stato di sicurezza del sistema viene effettuato annualmente per verificare l'aggiornamento del DPS e la presenza delle misure di sicurezza minime. Il controllo viene effettuato dal Titolare del Trattamento in base al D.P.S. e all'analisi dei rischi in esso riportata. In tal modo è possibile verificare l'aggiornamento del documento e il rispetto delle misure di sicurezza in esso dettagliate. In base ai riscontri della verifica il D.P.S. viene successivamente aggiornato.

Documento programmatico per la sicurezza dei trattamenti · UT1 CELERON 633 MHZ ASSEMBLATO UT2...

Documents

Transcript of Documento programmatico per la sicurezza dei trattamenti · UT1 CELERON 633 MHZ ASSEMBLATO UT2...