Smart city, le migliori innovazioni che cambieranno la tua ...
Luglio 2007 Il nuovo accesso ai servizi informatici Come cambieranno le nostre utenze e le nostre...
-
Upload
calogero-palma -
Category
Documents
-
view
213 -
download
0
Transcript of Luglio 2007 Il nuovo accesso ai servizi informatici Come cambieranno le nostre utenze e le nostre...
Luglio 2007Luglio 2007
Il nuovo accesso ai servizi informaticiCome cambieranno le nostre utenze
e le nostre password a fine settembre.
Giovanni M. Bianco
Giancarlo Peli
Servizi Informatici di Ateneo
Luglio 20072 di 47
A settembre il cambiamento che toccherà le nostre utenze
informatiche
A fine settembre, tutti noi, utilizzatori di servizi informatici dell’Ateneo, dovremo affrontare un cambiamento importante che riguarderà primariamente le nostre utenze e le nostre password ma, in generale, tutte le politiche di gestione delle credenziali informatiche.
Da quel momento, le attuali credenziali informatiche non saranno più attive e, per tempo, si sono programmati dei momenti informativi che delineano i contorni del cambiamento.
Luglio 20073 di 47
Scopo della presentazione
Lo scopo di questa presentazione è quello di riassumere i contenuti del progetto del nuovo sistema di gestione delle identità (UserId e Password) di Ateneo, ma soprattutto di evidenziare i potenziali impatti che possono essere determinati dalla sua introduzione nell'ambito dell'organizzazione universitaria.
Queste slide sono anticipate per mail/newsletter e sul sito web, e saranno presentate in momenti di incontro seminariale di circa 90 min replicati tra i mesi di Luglio, Agosto e Settembre. Il calendario degli incontri sarà reso disponibile a breve per mail/newsletter e sul sito.
Luglio 20074 di 47
Guida alla presentazione
Si è voluto unificare in un questo unico medium informativo:• scaletta a promemoria degli interventi realizzati/in
essere/futuri• repertorio di informazioni, normative, link di dettaglio a
disposizione on line• slide di supporto alla presentazione
per dare modo di avere con un’unica modalità tutte le informazioni e gli approfondimenti necessari.
La documentazione di dettaglio, narrativa e puntuale, rinviata anche con appositi link, è stata inserita per chi consulta la presentazione senza recarsi ai seminari ai quali, tuttavia, si rimanda per le dimostrazioni pratiche di utilizzo del sistema.
Luglio 20075 di 47
Acronimi usati
Nel proseguo si tratteranno argomenti che prevedono l’uso di acronimi:• GARR: significa "Gestione Ampliamento Rete Ricerca" è
un’organizzazione informatica che “serve” tutte le Entità che rappresentano la Comunità Accademica e della Ricerca Scientifica in Italia. Tra i suoi scopi (visibili in questo link), vi è quello di fornire connettività e trasporto dati.
• GARR Acceptable User Policy: l'utilizzo della Rete è soggetto al rispetto delle Acceptable Use Policy (AUP) da parte di tutti gli utenti GARR. L’AUP è reperibile in questo link.
• UserId o AccountId: identificativo che ci consente di “entrare” nella rete dell’Ateneo (es. mrossi)
• Password: insieme di caratteri conosciuti solo dall’interessato e necessari per entrare nella rete, associati all’ UserId o AccountId
• CDR: Centro di Responsabilità nell’Ateneo di Verona
Luglio 20076 di 47
Agenda della presentazione
Questa presentazione si divide in tre parti:
Perchè sono necessari i sistemi di Gestione delle Identità
Cosa succederà a Settembre per tutti gli utilizzatori della rete di Ateneo
Dimostrazioni pratiche e approfondimenti
Luglio 20077 di 47
Prima parte
Perché sono necessari i Sistemi di Gestione delle Identità
Luglio 20078 di 47
Un po’ di storia
Dapprima, occorre ricordare che il processo di implementazione del sistema di gestione delle identità è cominciato circa due anni fa.
L’Universitá di Verona, prima in Italia, nel 2005 ha pubblicato un bando di gara d'appalto europeo per dotare la propria infrastruttura informatica di un sistema per la gestione automatica delle identitá (il software che implementa la Gestione delle Identità di Ateneo è denominato, più brevemente, GIA).
Luglio 20079 di 47
Identità nell’Ateneo
Gli Atenei, infatti, sono strutture complesse ed articolate, nei perimetri dei quali sono in continuo movimento persone che, a vario titolo, hanno dei rapporti con l’Università anche in veste di “semplici” frequentatori.
Occorre particolare attenzione e cautela al fine di garantire l’accesso al sistema informatico solo a coloro che ne hanno diritto.
Luglio 200710 di 47
Conoscere chi e cosa
Gestire il ciclo di vita delle credenziali informatiche di tutti i soggetti che ne hanno diritto significa gestire in modo automatico l'assegnazione dei vari account informatici (tipicamente UserId e Password) alle varie tipologie di persone che instaurano dei rapporti con UniVr e che necessitano di accedere alle risorse informatiche di quest'ultima.Recenti norme (DM 16 Agosto 2005 “Antiterrorismo”) oppure Leggi (D.Lgs. 196/2003 “Privacy” e Allegato B - Disciplinare Tecnico) oppure Policy (Acceptable User Policy del GARR) sono molto chiare in proposito. In essenza:• Si deve conoscere chi opera sulla rete• Un soggetto può agire essendo autorizzato e con criteri
e limiti ben precisi
Luglio 200711 di 47
Approfondimenti
Nel dettaglio, per i vari aspetti regolamentari e normativi, oltre che di presentazione della materia della Privacy, si possono approfondire i seguenti link:• Norme e disposizioni sulla Privacy
• D.Lgs. 196/2003 con il Disciplinare Tecnico (All. B)
• Decreto “Antiterrorismo” (applicabile agli Atenei)• DM (16/8/2005) sull’Antiterrorismo
• Policy del GARR (obbligatorie per gli Atenei)• Acceptable User Policy
• Regolamenti di Ateneo sui servizi informatici• Linee guida di Ateneo per tutti• Regolamento per gli studenti
• Materiale di approfondimento del nostro Ateneo su Privacy e dintorni
• Documentazione disponibile nel sito UniVr
Luglio 200712 di 47
Le necessità di gestione delle identità nascono dalle norme
L’allegato B al D.Lgs. 196/2003 si riferisce spesso a profili, autorizzazioni, modifiche periodiche delle password, attività di controllo sugli accessi… come si possono gestire questi processi?
Per far ciò è necessaria una “tecnologia” che gestisca le identità, garantendo le corrette autorizzazioni al sistema.
Questa “tecnologia” deve possedere almeno un livello base di “gestione delle identità”, al fine cioè di consentire di capire chi, cosa, come, quando, … un utente può agire.
Luglio 200713 di 47
Vincoli sono presenti anche nelle Policy del GARR
Anche il GARR prevede nell’Acceptable User Policy:• “Art 6. Tutti gli utenti a cui vengono forniti accessi alla
rete GARR devono essere riconosciuti ed identificabili. Devono perciò essere attuate tutte le misure che impediscano l'accesso a utenti non identificati.”
La “tecnologia” prima ipotizzata si definisce col termine di “Identity Management” e per l’Ateneo di Verona, l’applicativo è stato chiamato, come detto, GIA - Gestione delle Identità di Ateneo.
Corollari a questa tecnologia sono anche il cosiddetto “Access Management” e il “Single Sign On”, di cui verranno delucidate le necessità nel proseguo.
Luglio 200714 di 47
Uno sguardo al Disciplinare Tecnico (All. B) del D.Lgs.
196/2003Nelle slide in fondo a questa presentazione sono riportati i punti del Disciplinare Tecnico, All. B al D.Lgs. 196/2003, che caratterizzano le richieste da soddisfare per un gestore delle identità.
Il testo normativo, quindi, “facilita” la determinazione degli obiettivi, seppure quegli stessi obiettivi siano molto ambiziosi e complessi da implementare in una realtà universitaria proprio per l’ampia casistica dei rapporti presenti.
Luglio 200715 di 47
Passi implementativi del processo
Nel Giugno 2005, come anticipato, l’Ateneo ha pubblicato sulla G.U.C.E. (Gazzetta Ufficiale Europea) un bando per l’implementazione “base” dell’Identity Management.
L’offerta è stata selezionata attraverso una approfondita e completa comparazione tra le 5 Aziende a livello europeo che si sono proposte e l’appalto è stato affidato nel Novembre 2005 all’Associazione Temporanea di Impresa (ATI) SUN - Open1.
Luglio 200716 di 47
L’A.T.I. Sun+Open1
L’ATI, ha terminato la fase di rilevazione dello stato attuale e dei requisiti nel Febbraio 2006.
Ha terminato la fase di analisi nel Giugno 2006 producendo, tra l’altro, un documento di “Executive Summary”, spedito a tutti i Responsabili dei CdR per raccogliere eventuali osservazioni.
Ha terminato la fase di implementazione della soluzione nel Giugno 2007.
Luglio 200717 di 47
Parte Seconda
Cosa succederà a Settembre per tutti gli utilizzatori della
rete di Ateneo
Luglio 200718 di 47
Analisi dei processi di gestione delle identità presenti nell’Ateneo
Attraverso una serie di interviste, condotte nei primi mesi del 2006, con i responsabili di un campione il più possibile rappresentativo delle varie tipologie di strutture organizzative (Facoltà, Dipartimenti, Biblioteche, Direzioni, Centri, Uffici, …), e mirate all’analisi dei processi di gestione delle identità degli utenti, sono state individuate le necessità dell’Ateneo al fine del rilascio e della gestione delle credenziali di accesso.
Tali risultanze di analisi sono poi state spedite (in particolare, l’Executive Summary), come detto, nel Giugno 2006 a tutti i Responsabili dei CdR per raccogliere eventuali osservazioni.
Luglio 200719 di 47
Alcune risultati dell’analisi
Il sistema GIA deve effettuare la gestione delle identitá in accordo alla normativa.
Agli utenti appartenenti alle varie classi d'identitá che sono presenti in Ateneo (ovverosia “Personale Interno”, “Studenti”, “Personale Esterno” e “Frequentatori”) devono essere assegnati degli identificatori univoci (UserId):• all’interno di ogni singola classe di identità, ciascuno sarà
caratterizzato dalla stessa tipologia di identificatore, ma se l'utente appartiene contemporaneamente a due classi (ad esempio uno studente che ha un contratto di “150 ore”), lo stesso deve avere due identificatori distinti per operare nei due diversi contesti lavorativi poichè sono distinte sono le autorizzazioni di accesso.
Luglio 200720 di 47
Strutture coinvolte
Nella prima versione il sistema GIA prenderà in considerazione le seguenti tipologie di organizzazioni: Facoltà, Dipartimenti, Direzioni Centrali, Biblioteche (frequentatori), Organi di staff.
Le rimanenti tipologie di strutture, Centri, Organi Accademici, altre strutture che nel frattempo possono essere sorte, verranno considerate non appena sarà effettuato il primo rilascio del software.
Luglio 200721 di 47
Integrazione degli account
Per gestire gli account dei soggetti che hanno diritto di accedere alle varie risorse informatiche, GIA deve essere integrato con queste ultime al fine di poter controllare il ciclo di vita delle identitá, ovvero al fine di poter gestire in modo automatico la creazione, la modifica e la cancellazione degli account in accordo ai vari processi di gestione.
Nella prima versione di GIA è prevista l'integrazione delle seguenti risorse e servizi/applicazioni informatiche:• Active Directory (permette l’accesso alla rete per il
personale, wireless, accesso VPN, Help Desk, Titulus)• Servizi Directory LDAP (gestisce le credenziali di posta
elettronica, applicazioni degli studenti)• Web Integrato (dbERW, gestore delle informazioni sul Web)• CIA (programma per la Contabilità Integrata di Ateneo)• Database degli studenti• Servizi on line degli studenti
Luglio 200722 di 47
Altre risorse integrate in futuro
Immediatamente dopo l’integrazione delle risorse appena elencate, si provvederà ad integrare altri sistemi, in particolare:• CSA (programma per la gestione delle Carriere Giuridiche e
degli Stipendi del Personale).• Nuovo programma di gestione delle presenze: l’attuale
programma sarà sostituito da un gestore delle presenze che sarà integrato con GIA.
GIA fornisce a tutti gli effetti un contesto a norma di legge e di regolamento che può essere sfruttato per gestire tutte le risorse informatiche, in qualsiasi CdR. • In questi casi, occorre un’analisi ad hoc, tuttavia il SIA
mette a disposizione GIA per chiunque ne faccia richiesta e abbia la necessità di gestire accessi a dei servizi.
Luglio 200723 di 47
Nuovi codici utente
Limitatamente ai servizi informatici integrati con il sistema GIA, gli attuali identificatori utente (UserId o AccountId nel GIA) presenti nelle risorse integrate (quelle elencate nelle slide precedenti) verranno disabilitati e sostituiti con un identificatore il cui formato è definito dal seguente schema:• Per tutte le classi d‘identità, con la sola eccezione degli
studenti, il nuovo AccountId sarà:• composto solo da caratteri numerici ed alfanumerici• la lunghezza dell'accountId è fissa e pari ad 8 caratteri• il formato dell'accountId é definito come:
– <sequenza caratteri><sequenza numerica> – Dove la “sequenza caratteri” è definita dai primi sei (6) caratteri
del codice fiscale, o di codice similare per chi sprovvisto (come ad es. visitatori stranieri), associato all'utente
• la “sequenza numerica” ha lo scopo di eliminare le duplicazioni relative alla “sequenza di caratteri” (ciò vale per utenti con le prime 6 cifre del codice fiscale uguali). Essa è costituita da un numero casuale compreso fra 01 e 99. Il formato permette quindi 99 diversi AccountId con i primi sei caratteri del codice fiscale uguali.
Luglio 200724 di 47
Gestione delle Password
Per i servizi informatici integrati con il sistema GIA, verrà definita una regola di creazione della password (password policy) conforme alla normativa.• Quindi, la password dovrà contenere quegli elementi
affinchè sia “robusta”: numeri, segni di interpunzione, eccetera.
Luglio 200725 di 47
Cosa succede quando termina la collaborazione con UniVr
È importante sapere che, per come sono le attuali norme, le identitá informatiche (AccountId) non saranno mai cancellate, ma solo disabilitate. • Ciò al fine di mantenere la storicità degli AccountId
Alla scadenza di un rapporto di collaborazione con UniVr il sistema GIA provvederà automaticamente a disabilitare i privilegi di accesso concessi dal rapporto stesso.
Luglio 200726 di 47
Alcune funzioni sarannoself-service
Alcuni servizi di gestione devono poter essere effettuati direttamente dagli utenti finali. Ciò sarà effettuato attraverso un’apposita interfaccia web.
I servizi per i quali è prevista l'erogazione in modalità self-service sono: l'aggiornamento della propria password, la gestione della password dimenticata, la richiesta di accesso per conto di un ospite o di un consulente (quest'ultimo solo per i Docenti e i Responsabili ai sensi della Privacy), l'aggiornamento di una parte del proprio profilo.
Luglio 200727 di 47
Ruolo dei Tecnici di Facoltà e dei Responsabili ai sensi
della privacy
I Tecnici di Facoltà dovranno utilizzare il sistema GIA soprattutto per le operazioni di gestione delle password.I Responsabili a sensi della Privacy saranno coinvolti nel processo di richiesta dei privilegi di accesso a determinati servizi informatici. Questo significa accedere al GIA e, tramite l'apposita interfaccia web, individuare l'utente oggetto della richiesta e selezionare i servizi per i quali viene richiesto l'accesso.• Ciò può essere effettuato anche da un Incaricato
appositamente nominato dal Responsabile.
Luglio 200728 di 47
Self-service per Docenti e Responsabili ai sensi della
Privacy
I Docenti e i Responsabili ai sensi della Privacy avranno la facoltà di richiedere l'accesso alla rete per gli ospiti e questo richiede la compilazione, sempre via web, di una apposito prospetto le cui informazioni consentano di identificare l'ospite stesso (ad esempio, oltre al nome e cognome, devono essere specificati gli estremi di un documento di riconoscimento).
I Responsabili sono coinvolti anche nel processo di richiesta accesso per i Consulenti/Fornitori e per la fornitura dei privilegi di accesso anche agli Esterni.
Luglio 200729 di 47
Dove sono state prelevate le informazioni per noi utenti
Nell'ambito della gestione delle identitá, è stato particolarmente importante individuare le “sorgenti autoritative” per le varie informazioni che contribuiscono alla definizione dell'identitá. La sorgente autoritativa è quella base di dati che, per una determinata informazione e per uno specifica classe di utenza, definisce il valore di riferimento certo. • Ad esempio il database degli studenti è autoritativo per
le informazioni relative agli utenti, almeno relativamente alle informazioni d'identità che si desidera gestire.
Per il personale docente, TA, esterno, …, la sorgente autoritativa scelta è quella del DBErw (WebIntegrato).
Luglio 200730 di 47
Parte Terza
Alcuni approfondimenti e dimostrazioni pratiche
Luglio 200731 di 47
Nuovi Identificatori
Come anticipato, gli attuali identificatori utilizzati per l'autenticazioni ai servizi informatici che verranno integrati con il sistema GIA, saranno disabilitati e sostituiti con altri identificatori il cui formato è sottoposto a particolari regole.
Per accedere ai vari servizi informatici l'utente dovrà ricordare un solo identificatore, che ne identifica anche l'ambito di utilizzo o la categoria di appartenenza. • Solo in situazioni molto particolari sono previste delle
“sovrapposizioni”, ovvero solo alcune tipologie di utenti possono trovarsi nella situazione di possedere tipi diversi di identificatori (ad esempio: Studenti Iscritti e Studenti 150 ore).
Per i servizi integrati con il GIA, prima elencati, l'utente dovrà “dimenticare” il vecchio account ed utilizzare il nuovo AccountId con il nuovo formato.
Luglio 200732 di 47
Nuove Password
Per tutti i servizi informatici integrati con GIA le credenziali di accesso (password) saranno gestite in modo conforme alla normativa:• la definizione della password sarà vincolata (dal sistema GIA stesso)
da opportune regole di conformità (caratteri minuscoli/minuscoli, numeri, caratteri speciali)
• la password dovrà essere aggiornata con una frequenza predeterminata (massimo 6 mesi)
• tutti gli utenti dovranno necessariamente seguire all'inizio il processo di assegnazione della password che prevede una fase di identificazione dell'utente da parte del personale amministratore preposto
• in caso di dimenticanza della password, l'utente dovrà seguire una apposita procedura
Tutti gli utenti utilizzatori dei servizi informatici integrati con GIA saranno soggetti alle nuove procedure che implicano una variazione degli attuali comportamenti. • GIA però mette a disposizione degli utenti delle procedure
automatiche che semplificano notevolmente l'aggiornamento delle password.
Luglio 200733 di 47
Nuove procedure di Gestione degli utenti
L'introduzione del sistema GIA determinerà una variazione ai processi di gestione degli utenti e questo significa che alcune persone nell'ambito dell'organizzazione UniVR dovranno assumere ruoli precisi nei confronti della gestione delle identitá degli utenti.
Le procedure universitarie stanno per essere adeguate per contemplare i nuovi processi e, a tal proposito, sono stati avviati e conclusi programmi formativi mirati per le persone che devono assumere questi nuovi ruoli.
Luglio 200734 di 47
Nuovi processi
Oltre alla nuova procedura di gestione delle credenziali, che prevede la possibilità da parte di ciascun utente di poter modificare in autonomia la propria password, la realizzazione del sistema GIA introduce procedure formalizzate in ottemperanza a quanto presente nell’attuale regolamento di ateneo per l’accesso alla rete dati.
In particolare, GIA aiuta a definire il work flow per attivare nuove credenziali a persone che ne hanno titolo secondo il regolamento di ateneo per l’accesso alla rete dati.
Luglio 200735 di 47
Dimostrazioni pratiche
In questo spazio della presentazione vi sono dimostrazioni pratiche dell’utilizzo di GIA
Luglio 200736 di 47
Conclusioni
Verso fine Settembre il nostro Ateneo modificherà il sistema di gestione dell’accesso alla rete.
Questo è determinato sia da esigenze normative sia da questioni di “ordine” nella trattazione delle credenziali informatiche.
Questa presentazione è anticipata tramite mail/newsletter e pubblicata nel sito web. Seguiranno molti momenti di presentazione anche delle procedure vere e proprie di GIA.
Luglio 200737 di 47
Per chi vuole approfondire: il Disciplinare tecnico al D.Lgs.
196/20031. Il trattamento di dati personali con strumenti elettronici e' consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.
2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave.
Luglio 200738 di 47
Il Disciplinare tecnico
3. Ad ogni incaricato sono assegnate o associate individualmente una o piu' credenziali per l'autenticazione.
4. Con le istruzioni impartite agli incaricati e' prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato.
Luglio 200739 di 47
Il Disciplinare tecnico
5. La parola chiave, quando e' prevista dal sistema di autenticazione, e' composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed e' modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave e' modificata almeno ogni tre mesi.• Il cosiddetto Single Sign On (SSO), “aiuta”
l’incaricato a gestire tutte le credenziali automaticamente.
6. Il codice per l'identificazione, laddove utilizzato, non puo' essere assegnato ad altri incaricati, neppure in tempi diversi.
Luglio 200740 di 47
Il Disciplinare tecnico
7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.• L’Access Manager “controlla” che per ogni risorsa
informatica accedibile da un incaricato non vi sia stato un accesso entro i termini temporali di 6 mesi
8. Le credenziali sono disattivate anche in caso di perdita della qualita' che consente all'incaricato l'accesso ai dati personali.
9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.
Luglio 200741 di 47
Il Disciplinare tecnico
10. Quando l'accesso ai dati e agli strumenti elettronici e' consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalita' con le quali il titolare puo' assicurare la disponibilita' di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessita' di operativita' e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali e' organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato.
Luglio 200742 di 47
Il Disciplinare tecnico
11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.
Luglio 200743 di 47
Il Disciplinare tecnico
12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso e' utilizzato un sistema di autorizzazione.
13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento.
14. Periodicamente, e comunque almeno annualmente, e' verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.
Luglio 200744 di 47
Il Disciplinare tecnico
15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati puo' essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.
Luglio 200745 di 47
Il Disciplinare tecnico
16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.
17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilita' di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento e' almeno semestrale.
Luglio 200746 di 47
Il Disciplinare tecnico
18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.
Luglio 200747 di 47
Il Disciplinare tecnico …Non solo questioni “elettroniche”…
28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.
29. L'accesso agli archivi contenenti dati sensibili o giudiziari e' controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.