POLICY PER LA SICUREZZA INFORMATICA … garantire la sicurezza dei dati e il controllo degli...

EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B

C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3

1

POLICY PER LA SICUREZZA INFORMATICA

DELLE TERZE PARTI

Approvato dal C.d.A. in data 29 Marzo 2018

mailto:[email protected]



2

Sommario 1. Introduzione ...................................................................................................... 3

1.1 Premessa ............................................................................................................. 3

1.2 Obiettivi e struttura del documento........................................................................ 4

1.3 Perimetro di applicabilità ....................................................................................... 4

1.4 Gestione delle modifiche al documento .................................................................. 5

2. Riferimenti normativi ......................................................................................... 6

3. Policy per la Sicurezza Informatica ................................................................... 8

3.1 Il Sistema di Gestione della Sicurezza delle Informazioni ......................................... 8

3.2 Gestione sicura delle risorse ICT e del personale .................................................... 9

3.3 Controllo degli Accessi Logici ............................................................................... 10

3.4 Gestione degli Incidenti di Sicurezza Informatica .................................................. 10

3.5 Sviluppo sicuro e gestione dei cambiamenti.......................................................... 11

3.6 Gestione dei piani di Disaster Recovery e Continuità Operativa .............................. 13

4. Gestione dei rapporti con le Terze Parti .......................................................... 14

4.1 Sintesi delle misure di sicurezza per le Terze Parti ................................................ 14

4.2 Norme generali in materia di protezione dei dati personali .................................... 16




3

1. Introduzione

1.1 Premessa

L'informazione è un bene estremamente prezioso e importante per EsseQuamVideri S.r.l. (di

seguito EQV) e in quanto tale deve essere protetto dai rischi che potrebbero minacciare la

sua autenticità, riservatezza, integrità e disponibilità.

La Sicurezza Informatica costituisce infatti l’insieme delle misure, di natura tecnologica,

organizzativa e legale, volte ad impedire o in qualche modo ridurre i danni causati da eventi

intenzionali (crimini, frodi) o non intenzionali (errori umani, fenomeni naturali), che violano

il patrimonio informativo aziendale.

Gli aspetti di sicurezza coinvolgono nello specifico i seguenti settori informativi:

Sicurezza logica: volta a proteggere i dati relativi le risorse informatiche, attraverso la

definizione e l’implementazione di misure preventive, supportate da adeguate

procedure di configurazione e gestione;

Sicurezza fisica: volta a salvaguardare le infrastrutture (edifici, locali, strumentazioni,

ecc.), attraverso la definizione di policy e procedure dettagliate;

Sicurezza organizzativa: volta a proteggere risorse informatiche e dati attraverso la

definizione di modelli di governance, l’adeguamento dei processi organizzativi agli

standard di sicurezza e l’avvio di piani di formazione per lo sviluppo delle

competenze.

Il presente documento descrive la politica aziendale in materia di sicurezza informatica che

deve essere comunicata alle Terze Parti, secondo le Disposizioni di Vigilanza emanate da

Banca d’Italia (Circolare 285 del 17/12/2013 di Banca d’Italia e successivi aggiornamenti).

Inoltre specifica gli indirizzi e linee guida vigenti con riferimento alle misure adottate al fine

di garantire la sicurezza dei dati e il controllo degli accessi, incluse quelle dedicate alla

sicurezza dei servizi telematici per la clientela; alla gestione dei cambiamenti e degli

incidenti di sicurezza; alla disponibilità delle informazioni e dei servizi ICT.

Nello specifico sono trattati i seguenti aspetti di sicurezza informatica:




4

Gestione della sicurezza delle informazioni e delle risorse ICT (acquisizione,

registrazione, aggregazione, trasformazione, trasmissione e utilizzo dei dati);

Controllo degli accessi logici;

Gestione degli incidenti di sicurezza informatica;

Sviluppo sicuro e gestione dei cambiamenti;

Gestione dei piani di Disaster Recovery e di Continuità.

1.2 Obiettivi e struttura del documento

L'obiettivo del documento è quello di recepire e descrivere per le Terze Parti, i principi

generali di sicurezza delle informazioni di EQV in termini di direttive, linee guida e regole

applicate.

EQV ha fatto propri tali principi, al fine di realizzare e mantenere il sistema di gestione della

sicurezza delle informazioni, tenendo conto della protezione delle informazioni proprietarie

della società (intesa come riservatezza, integrità e disponibilità del dato elementare) nonché

della protezione delle infrastrutture, dei sistemi e delle applicazioni ICT da attacchi o

manomissioni che ne possano compromettere il corretto funzionamento.

Pertanto il presente documento, è volto ad indirizzare la corretta gestione della sicurezza

delle informazioni da parte delle Terze Parti, in linea con i requisiti di sicurezza di EQV.

Si riporta di seguito la suddivisione dello stesso nei seguenti capitoli:

Introduzione;

Riferimenti normativi;

Policy per la Sicurezza Informatica;

Misure di sicurezza informatica per le Terze Parti.

1.3 Perimetro di applicabilità La Policy per la Sicurezza Informatica si applica a tutto il personale di EQV, all’insieme delle

strutture tecnologiche e organizzative che costituiscono i sistemi informativi della società e a




5

tutte le Terze Parti (Fornitori di beni e servizi, consulenti, Outsourcer) che collaborano con

EQV alla gestione delle informazioni, ai processi e alle risorse coinvolte nella progettazione,

realizzazione, collaudo ed erogazione dei servizi di rispettiva competenza.

1.4 Gestione delle modifiche al documento Il presente documento è soggetto ad un rigoroso e periodico processo di controllo delle

modifiche. Opportune notifiche sono diffuse all’interno dell’azienda a seguito

dell’approvazione degli aggiornamenti significativi e, se necessario, gli interessati, compresi

le Terze Parti, vengono informati delle modifiche apportate.

La regolare revisione della Policy per la Sicurezza tiene conto dell’evoluzione del campo di

attività, dei prodotti forniti, delle tecnologie e dei rischi fronteggiati. Pertanto il presente

documento è soggetto ad un processo di aggiornamento periodico, il quale prevede le

seguenti responsabilità:

Aggiornamento da parte del Responsabile Prevenzione e Sicurezza;

Approvazione da parte del Consiglio di Amministrazione.

Al termine del processo di aggiornamento, la Policy per la Sicurezza Informatica diventa

ufficiale per le Terze Parti e viene distribuita all’internamente e pubblicata sul sito aziendale.




6

2. Riferimenti normativi La conformità alla legislazione Italiana, alle norme e standard internazionali relativi la

sicurezza delle informazioni limita i rischi di EQV e garantisce il livello minimo di sicurezza

del sistema informativo e del patrimonio informativo. Di seguito si riportano i principali

riferimenti normativi.

Legge 23 dicembre 1993, n. 547 e Legge 18 marzo 2008 n. 48 sulla criminalità

informatica;

Legge 31 dicembre 2007, n. 248 e Legge 31 luglio 2005, n. 155 sull'antiterrorismo;

D.Lgs. 21 novembre 2007, n. 231 - Attuazione della direttiva 2005/60/CE

concernente la prevenzione dell'utilizzo del sistema finanziario a scopo di riciclaggio

dei proventi di attività criminose e di finanziamento del terrorismo nonché della

direttiva 2006/70/CE che ne reca misure di esecuzione e successive modificazioni e

integrazioni;

Legge 22 aprile 1941, n. 633, D. Lgs. 29 dicembre 1992, n.518, Legge 18 agosto

2000, n. 248, D.Lgs. 9 aprile 2003, n. 68, Legge 29 giugno 2010, n.100 e successivi

aggiornamenti sulla protezione del diritto d’autore e in attuazione della direttiva

2001/29/CE sull'armonizzazione di del diritto d'autore e dei diritti connessi nella

società dell'informazione;

D.Lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali;

Decreto legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22

dicembre 2011, n. 214;

D.Lgs. 08 giugno 2001, n. 231 - Disciplina della responsabilità amministrativa delle

persone giuridiche, delle società e delle associazioni anche prive di personalità

giuridica” e successivi aggiornamenti;

Codice Penale: Art. 615 ter c.p. - Accesso abusivo ad un sistema informatico o

telematico; Art. 615 quater c.p. - Detenzione e diffusione abusiva di codici di accesso

a sistemi informatici e telematici; Art. 615 quinquies c.p. Diffusione di programmi




7

diretti a danneggiare o interrompere un sistema informatico; Art. 640 ter c.p. Frode

informatica e articoli correlati;

Direttiva 2002/20/CE del Parlamento europeo e del Consiglio del 7 marzo 2002

relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica e

«pacchetto telecomunicazioni», adottato nel 2002 ed emendato nel 2009;

Direttiva 2006/24/CE del Parlamento Europeo e del consiglio del 15 marzo 2006

riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di

servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di

comunicazione e che modifica la direttiva 2002/58/CE;

Provvedimento del Garante del 27 novembre 2008 relativo a "misure e accorgimenti

prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente

alle attribuzioni delle funzioni di amministratore di sistema" (e proroga del 12

febbraio 2009);

Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile

2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei

dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva

95/46/CE (regolamento generale sulla protezione dei dati);

ISO/IEC 13335-1:2004 - Information technology - Security techniques - Management

of information and communications technology security - Part 1: Concepts and

models for information and communications technology security management;

Standard ISO/IEC 27001:2013. Information technology - Security techniques -

Information security management systems – Requirements e ISO/IEC 27002:2013

Information technology - Security techniques - Code of practice for information

security controls.




8

3. Policy per la Sicurezza Informatica La Policy per la Sicurezza delle informazioni alle quali le Terze Parti devono far riferimento,

è strutturata sulla base dello standard internazionale ISO 27001:2013, per il quale si

riportano di seguito i domini di sicurezza inclusi:

Politica di sicurezza informatica;

Organizzazione della sicurezza informatica;

Sicurezza nella gestione delle risorse umane;

Gestione degli asset IT;

Controllo degli accessi logici;

Crittografia;

Sicurezza fisica e ambientale;

Sicurezza delle operazioni;

Gestione delle comunicazioni;

Acquisizione, sviluppo e manutenzione dei sistemi informativi;

Relazioni con i fornitori;

Gestione di eventi e incidenti di sicurezza informatica;

Gestione della continuità operativa;

Conformità alle normative.

3.1 Il Sistema di Gestione della Sicurezza delle Informazioni

EQV al fine di perseguire il suo obiettivo principale, ovvero la tutela del proprio patrimonio

informativo aziendale, deve proteggersi da tutte le minacce, interne o esterne, intenzionali

o accidentali, che si potrebbero prefigurare nell’ambito di erogazione dei propri servizi.

Il valore strategico per l’organizzazione è costituito dalle risorse aziendali e come tale, EQV

deve garantirne adeguata protezione. Anche l’informazione, costituendo una risorsa critica

immateriale, assume un ruolo d’importanza primaria e pertanto necessaria ai processi di

pianificazione, organizzazione, esecuzione e controllo delle attività aziendali.




9

Inoltre, tutte le operazioni di trattamento vengono, eseguite in conformità agli standard

internazionali di riferimento e alle disposizioni legislative vigenti in materia di Privacy, di

prevenzione e di contrasto degli illeciti informatici, allo scopo di prevenire e contenere

possibili rischi relativi la perdita di riservatezza, integrità e disponibilità delle informazioni

acquisite.

In particolare la Policy per la Sicurezza Informatica di EQV intende tutelare:

La riservatezza delle informazioni, attraverso interventi volti a contrastare il verificarsi

di accessi non autorizzati alle informazioni o la diffusione non controllata delle stesse;

L’integrità delle informazioni, mediante interventi volti a contrastare il verificarsi di

modifiche non autorizzate delle informazioni;

La disponibilità delle informazioni, attraverso interventi volti a garantirla ai soli

soggetti autorizzati;

L’autenticità dell’informazione garantendone la provenienza e l’assicurandone del

“non ripudio”.

Inoltre risulta di fondamentale importanza per EQV proteggere adeguatamente, nel tempo,

le informazioni, soprattutto nel caso in cui tali informazioni siano accessibili, gestite ed

elaborate da soggetti esterni all’azienda.

Pertanto, in conformità con quanto previsto dallo Standard ISO 27001:2013, si rende

necessario definire adeguatamente i requisiti di sicurezza che le Terze Parti sono tenute a

recepire ed applicare nelle attività di trattamento delle informazioni. Tali requisiti devono

essere concordati con i fornitori stessi e stabiliti in specifici accordi contrattuali, secondo le

misure di sicurezza

3.2 Gestione sicura delle risorse ICT e del personale Le fasi di selezione ed inserimento di tutti i dipendenti di EQV e i collaboratori, comprese le

Terze Parti, devono essere svolte a valle della valutazione degli obiettivi e in funzione alle




10

mansioni che dovranno essere ricoperte. A riguardo devono essere definite ed approvate

procedure volte a gestire ed utilizzare le informazioni sulle risorse ICT.

Durante il periodo di permanenza, tutti i dipendenti di EQV e i collaboratori, comprese le

Terze Parti, devono ricevere un’adeguata e continuativa formazione riguardo le tematiche di

sicurezza delle informazioni e le modalità di chiusura del rapporto di lavoro dovranno essere

coerenti con gli obiettivi di sicurezza aziendale definiti.

3.3 Controllo degli Accessi Logici L’accesso da parte di ogni singolo utente deve essere limitato alle sole informazioni di cui

necessita per lo svolgimento delle proprie mansioni (c.d. principio del “need-to-know”). La

comunicazione e trasmissione di informazioni all'interno, così come verso l’esterno, deve

fondarsi sullo stesso principio.

L’accesso alle informazioni da parte di utenti e sistemi autorizzati deve essere subordinata al

superamento di una procedura di identificazione ed autenticazione degli stessi. Le

autorizzazioni di accesso alle informazioni devono essere differenziate in base al ruolo ed

agli incarichi ricoperti dai singoli individui e devono essere periodicamente sottoposte a

revisione.

E’ necessario inoltre definire un processo di gestione delle credenziali di autorizzazione e dei

relativi profili di accesso.

I sistemi che costituiscono l’infrastruttura ICT devono essere opportunamente protetti e

segregati, in modo da minimizzare la possibilità degli accessi non autorizzati.

3.4 Gestione degli Incidenti di Sicurezza Informatica

Tutti i dipendenti di EQV e i collaboratori, comprese le Terze Parti, sono tenuti a rilevare e

notificare, a chi di competenza e secondo le procedure previste, eventuali problematiche

legate alla sicurezza delle informazioni al fine di intraprendere azioni correttive.




11

Gli incidenti che possono avere un impatto sui livelli di sicurezza degli asset IT aziendali

devono essere rilevati e gli eventuali danni, potenziali e non, devono essere gestiti, ove

possibile, in tempi brevi secondo specifiche procedure.

3.5 Sviluppo sicuro e gestione dei cambiamenti Le attività relative alla gestione dei cambiamenti devono essere progettate e sviluppate al

fine di garantire la loro massima efficienza ed efficacia ed un livello di sicurezza coerente

con le informazioni trattate. Pertanto devono essere considerati i seguenti requisiti generali

in tema di sviluppo:

Deve essere preservata la riservatezza, l’integrità e la disponibilità delle informazioni;

Deve essere prevista l’esistenza di ambienti di sviluppo, test e di produzione separati

(tutte le applicazioni sviluppate devono rispondere alle previsioni legislative e

normative vigenti) e contromisure relative lo sviluppo sicuro al fine di contrastare

eventuali minacce;

I requisiti di sicurezza devono essere sempre individuati ed eventuali variazioni

all’applicazione degli stessi devono essere concordate prima dello sviluppo, modifica

e/o realizzazione di sistemi informatici;

Per le modifiche significative deve essere condotta un’analisi del rischio, volta ad

identificare i rischi correlati alla modifica e le contromisure da applicare ai fini della

loro mitigazione.

Relativamente alla formalizzazione dei requisiti devono essere tenuti in considerazione i

seguenti aspetti:

Formalizzare i requisiti in un documento nel quale evidenziare gli aspetti funzionali,

architetturali e di sicurezza. Riportare inoltre gli eventuali rischi di sicurezza derivanti

dall’implementazione delle soluzioni volte a soddisfare le esigenze della società;

Comprendere e considerare gli aspetti legati alla normativa vigente in tema di

definizione dei requisiti. In particolare devono essere prese in considerazione le




12

esigenze in materia di protezione, controllo e verifica dei dati e dei processi

elaborativi. Qualora EQV non li esprima formalmente, è compito delle Terze Parti

esplicitarli per favorire la definizione delle specifiche.

Infine i requisiti devono essere individuati tenendo in considerazione gli aspetti di sicurezza

fisica (se applicabili), l’aderenza allo standard ISO/IEC 27001:2013 al quale EQV si ispira

nella sua politica di sicurezza delle informazioni, i diversi profili di utenza (es.

amministratore dell’applicazione, operatore, ospite) da prevedere in modo da poter

associare un ruolo specifico ad ogni utente che viene creato, la tipologia di dati che

verranno trattati al fine di poter correttamente valutare le misure minime di sicurezza da

applicare, ai sensi della normativa vigente e delle procedure in essere della società, di cui è

possibile prendere visione su richiesta delle Terze Parti.

Devono essere recepite le specifiche progettuali, espresse da EQV e tradurle in direttive

tecniche ed operative, al fine di realizzare e rendere disponibili le componenti applicative,

tecnologiche e di servizio necessarie al soddisfacimento dei requisiti definiti del progetto. Al

fine di garantire un supporto per la corretta interpretazione e applicazione della normativa

vigente e delle policy di EQV, il risultato di tale attività deve essere validato dalla struttura

responsabile della progettazione e da quella preposta alla gestione della sicurezza delle

informazioni.

Nel caso in cui la progettazione sia rivolta ad una soluzione software devono essere

individuate le potenziali minacce e vulnerabilità che possono compromettere la sicurezza

dell’applicazione, attraverso un’analisi degli scenari di utilizzo e l’identificazione delle risorse

critiche, definendo successivamente le metodologie di sicurezza da utilizzare sulla base delle

vulnerabilità rilevate.

Sia in presenza di sviluppo di una componente applicativa in outsourcing, o di acquisizione

di pacchetti software sul mercato, restano valide tutte le linee guida fornite in precedenza,

le quali devono trovare collocazione all’interno del rapporto contrattuale. Saranno inoltre

definite e formalizzate nei contratto di fornitura, opportune clausole con le Terze Parti volte

a garantire, anche in termini di sicurezza, la qualità del software acquisito.




13

La verifica e la successiva validazione degli aspetti di sicurezza di un progetto è finalizzata

ad accertarsi che siano soddisfatti i requisiti e le condizioni imposte durante tutta la

progettazione.

Nell’ambito dei test devono essere effettuate delle verifiche di performance, volte a

verificare la capacità dell’intera soluzione di sopportare picchi di utilizzo sia in termini di

attività contemporanee degli utenti, che in termini di mole di dati trattati.

3.6 Gestione dei piani di Disaster Recovery e Continuità Operativa Tutti gli eventi dai quali può scaturire un’interruzione della continuità del business di EQV,

devono essere identificati e valutati, in termini di probabilità di accadimento e possibili

conseguenze. EQV, al fine di mitigare tale accadimento, si è dotato di un Piano di Continuità

Operativa, comprendente gli aspetti di Disaster Recovery.

Analogamente, le Terze Parti devono predisporre un piano di continuità che consenta di

affrontare, le conseguenze di un evento non pianificato garantendo il ripristino dei servizi

critici in tempi e con modalità che permettano la riduzione delle conseguenze negative sulla

missione aziendale.

Devono essere preparate, validate e opportunamente rese pubbliche, tutte le procedure

operative ed organizzative utili al fine di assicurare l’implementazione del piano di

continuità. I piani e le procedure di Disaster Recovery devono essere mantenute e

aggiornate al fine di garantire l’efficacia del sistema nel tempo a fronte di eventuali

cambiamenti organizzativi/tecnologici.




14

4. Gestione dei rapporti con le Terze Parti Al fine di mitigare i rischi accidentali e/o intenzionali, di distruzione, perdita, divulgazione,

alterazione e accesso non autorizzato delle risorse informative aziendali, tutte le

informazioni accessibili dalle Terze Parti o associati a servizi/prodotti erogati da fornitori

esterni, sono soggette a specifici requisiti di sicurezza. Tali requisiti minimi sono riportati nel

presente documento e saranno integrati all’interno di specifici accordi contrattuali stipulati

con le Terze Parti, che dovranno garantire:

Il rispetto dei requisiti di legge in materia di protezione dei dati personali e copyright

delle risorse informative accedute ed utilizzate;

La riservatezza e la non divulgazione delle informazioni aziendali critiche;

La possibilità di effettuare attività di audit al fine di verificare il rispetto dei requisiti di

sicurezza concordati.

Al fine di perseguire gli obiettivi di sicurezza informatica EQV assicura che tutte le politiche,

le procedure, gli standard e tutta la documentazione relativa alla sicurezza delle

informazioni siano applicati e rispettati, richiedendo alle Terze Parti di adottare misure

minime di sicurezza volte a garantire la disponibilità delle risorse; impedire attacchi volti a

violare la riservatezza dei dati e delle informazioni, consentendone la fruizione soltanto a

persone o sistemi informatici autorizzati; assicurare l'integrità dei dati e delle informazioni,

non consentendo modifiche non autorizzate.

4.1 Sintesi delle misure di sicurezza per le Terze Parti I prodotti e i servizi forniti dalle Terze Parti devono essere realizzati in ottemperanza alla

normativa vigente in materia, di cui sono riportati alcuni riferimenti normativi nel presente

documento e nei contratti stipulati.

Si riportano di seguito gli obblighi che le Terze Parti devono rispettare:

Osservanza della Policy per la Sicurezza Informatica aziendale di EQV;




15

Trattamento dei dati in accordo con il livello di classificazione della società, ponendo

particolare attenzione alla riservatezza;

Rispetto della proprietà di dati, software, documentazione tecnica e altre risorse ICT,

con l’esclusiva per EQV sui dati inerenti la clientela e i servizi ad essa forniti;

Periodica produzione di copie di backup del sistema informativo gestito da Terze Parti

(database, transazioni, log applicativi e di sistema) al quale EQV può accedere su

richiesta;

Ripartizione dei compiti e responsabilità inerenti i presidi di sicurezza (minacce

interne ed esterne) per la tutela di dati, applicazioni e sistemi;

Rispetto dei livelli di servizio in linea con le esigenze delle applicazioni e dei processi

aziendali che si avvalgono dei servizi esternalizzati;

Definizione di misure di tracciamento volte a garantire l’accountability e la tracciatura

delle operazioni effettuate, con riferimento alle operazioni critiche e agli accessi a

dati riservati;

Possibilità per EQV di conoscere l’ubicazione dei data center e una indicazione del

numero di addetti con accesso ai dati riservati o alle componenti critiche; tali

informazioni sono periodicamente aggiornate dalla Terza Parte; nel caso di Cloud

Service Provider nazionali, esteri o multinazionali, la Terza Parte dichiara l'ubicazione

dei sistemi di archiviazione dei dati su territorio nazionale o estero;

Eliminazione di qualsiasi copia o stralcio di dati riservati di proprietà di EQV e

presente su propri sistemi o supporti, in modo da escludere qualunque accesso

successivo da parte del proprio personale o di terzi, una volta concluso il rapporto

contrattuale e trascorso un periodo di tempo concordato;

Prevedere adeguati meccanismi di isolamento dei dati di EQV rispetto ad altri clienti,

a garanzia della loro riservatezza e integrità, garantendo il rispetto dei livelli di

servizio definiti da contratto, assicurando la piena ricostruzione degli accessi e delle

modifiche effettuate sui dati;

Rispetto delle procedure di comunicazione e coordinamento redatte da EQV in caso

di incidenti di sicurezza informatica e di continuità operativa;




16

Il produttore si impegnerà a sviluppare e mantenere prodotti hardware o software

con elevati livelli di qualità e garantendo ridotte vulnerabilità di sicurezza informatica;

Rispetto delle regole di sviluppo sicuro del software, al fine di evitare violazioni da

vulnerabilità note, secondo le best practice internazionali (es. “Top 10 OWASP -

Open Web Application Security Project” 2013, “OWASP ASVS - Application Security

Verification Standard”, etc.);

Garantire che le Web Application siano implementate in modo corretto, relativamente

all'autenticazione e alla gestione della sessione (es. garantendo che utenti non

autorizzati non possano compromettere password, chiavi, token di sessione o

sfruttare debolezze implementative per assumere l'identità di altri utenti);

Obbligo di distruzione o restituzione dei dispositivi contenenti dati rimossi o sostituiti

per attività di manutenzione;

Rispetto delle regole e delle restrizioni in vigore, di cui è possibile prendere visione

presso EQV, relativamente alla possibilità di eseguire attività di manutenzione da

postazioni di lavoro remote e il rispetto delle procedure specificate nelle clausole

contrattuali a cui la Terza Parte deve attenersi per attività di manutenzione.

4.2 Norme generali in materia di protezione dei dati personali

I dati di clienti, dipendenti e fornitori di EQV sono un grande valore strategico, per questo

motivo la privacy è fondamentale per la società e come tale deve essere protetta.

Nel rispetto della normativa vigente, i dati personali raccolti o successivamente trattati

possono essere trattati esclusivamente per le finalità di lavoro definiti e non possono essere

comunicati o diffusi senza il consenso esplicito di EQV.

I dati personali di clienti, dipendenti e fornitori di EQV devono essere protetti e gestiti in

modo da evitare la loro perdita, l'alterazione, l'accesso non autorizzato, illecito e uso non

corretto.




17

L'impegno di EQV è quello di garantire la diffusione di una “cultura della sicurezza e della

privacy” aumentare la consapevolezza di coloro che sono coinvolti nel trattamento dei dati

personali.

Ognuno è tenuto a trattare i dati personali di clienti, dipendenti e fornitori in modo

professionale e responsabile e secondo le istruzioni riportate nell’atto di nomina come

persona esterna incaricata del trattamento o in qualunque altro procedimento disponibile.

Ogni trattamento di dati dei clienti, dei dipendenti e dei fornitori, come ad esempio, ma non

limitatamente, dati personali o contabili, deve essere:

Esercitato nel rispetto delle norme vigenti;

Limitato a soli attività lavorative;

Determinato secondo le procedure operative definite da EQV o su richiesta formale.

Ogni forma di diffusione e/o il trasferimento di dati personali di clienti, dipendenti e fornitori

a terzi non autorizzato è severamente vietato.

Il contraente ovvero le Terze Parti devono notificare immediatamente a EQV se vi è il

sospetto che il trattamento dei dati personali non è fatto in accordo con le norme e le

procedure.

In relazione alla sicurezza del trattamento dei dati memorizzati negli archivi informatizzati, i

contraenti sono tenuti a svolgere la loro attività in conformità alle istruzioni fornite dal EQV

e dal Terzo Responsabile.

Di seguito sono elencate le misure di sicurezza minime che dovranno essere adottati dalle

Terze Parti, in quanto persone esterne incaricate del trattamento:

L'accesso ai sistemi informativi è regolato da un codice di identificazione associato

con una password che deve essere riservato e conosciuto solo dall’utente finale;

La password deve: rimanere segreta, essere modificata al primo accesso, non essere

attribuibile all’utente del sistema (che deve quindi essere diverso dal nome utente);

Al termine della loro attività lavorativa, i responsabili del trattamento delle Terze Parti

devono:

o Conservare i documenti soggetti all’applicazione della normativa in materia di

protezione dei dati personali all'interno di armadi o cassetti chiusi a chiave;




18

o Assicurarsi di aver disconnesso e spento il computer e i relativi accessori;

o Bloccare la porta dell'ufficio;

o Notificare al loro Responsabile di eventuali situazioni di irregolarità;

In relazione alla sicurezza del trattamento dei dati archiviati non informatizzati, il

personale delle Terze Parti è tenuto a svolgere la loro attività in conformità alle

istruzioni fornite dal EQV e/o del Terzo Responsabile del trattamento.

Di seguito è riportato un elenco non completo di esempi di misure minime di sicurezza da

adottare da parte dei contraenti in quanto persone esterne incaricati del trattamento:

Utilizzare i dati personali per finalità strettamente connesse nell'atto di nomina;

Prendere tutte le dovute precauzioni per impedire la distruzione, la perdita, la

modifica e la divulgazione di documenti contenenti dati personali;

Conservare la documentazione cartacea contenete i dati personali, secondo la

vigente normativa;

Evitare di lasciare documenti specifici in vista dei visitatori o di lasciare i visitatori solo

in uffici non presidiati;

Utilizzare distruggi documenti ogni volta che i documenti contenenti i dati personali

devono essere smaltiti; in alternativa, portare la documentazione presso un impianto

di triturazione mediante l’adozione delle idonee misure di sicurezza;

Al termine dell'attività lavorativa riporre i documenti in questione all'interno

armadi/cassetti e garantire che armadi e porte degli uffici siano chiusi correttamente


POLICY PER LA SICUREZZA INFORMATICA … garantire la sicurezza dei dati e il controllo degli...

Documents

Transcript of POLICY PER LA SICUREZZA INFORMATICA … garantire la sicurezza dei dati e il controllo degli...