Regolamento Privacy Aziendale - Optimo Next · 3 7.0 Revisione generale del documento Revisione...

1

Regolamento Privacy Aziendale

Ex Documento Programmatico sulla Sicurezza dei Dati

Personali

(D.lgs. 196/03 del 30/06/2003 e s.m.i)

Emittente: Area Qualità

Versione: 9

Data emissione: 31 Marzo 2016

Rev. del 30 Aprile 2016

2

1. DOCUMENT MANAGEMENT

1.1 HISTORY

Versione Data Nome file Note

1.0 05/03/2008 DPS_2008.doc

2.0 27/03/2009 DPS_2009.doc

3.0 31/03/2010 DPS_2010.doc

4.0 31/03/2011 DPS_2011.doc

5.0 31/03/2012 Regolamento_Privacy_2012.doc





1.2 RIFERIMENTI AD ALTRI DOCUMENTI

Rif. Data Titolo

1.3 11/03/2014 SGSI-05-POL_Politica di Sicurezza Informatica

1.3 APPROVAZIONE

Versione Data Nome file Note

1.0 03/03/2008 DPS_2008.doc

2.0 27/03/2009 DPS_2009.doc

3.0 31/03/2010 DPS_2010.doc

4.0 31/03/2011 DPS_2011.doc






1.4 GLOSSARIO E DEFINIZIONI

Nome Definizione

DPSS Documento Programmatico sulla Sicurezza

1.5 REVISIONI

Versione Capitolo Paragrafo Descrizione breve

2.0 Revisione generale del

documento

Variata struttura organizzativa privacy, aggiornati i

trattamenti effettuati e introdotte misure tecniche e

organizzative riferite agli amministratori di sistema


documento

Variata architettura di rete, e infrastruttura hardware,

software e policy backup in seguito a variazione sede.


documento

Revisione completa del documento.

Introduzione Banche Dati.

Introduzione banca dati videosorveglianza.


documento

Revisione completa del documento che viene rinominato

a fronte del Decreto Legge n. 5-2012 “Regolamento

Privacy Aziendale”


documento

Revisione completa per cambiamento organizzativo

3


documento



documento



documento

Revisione completa e rafforzamento misure di sicurezza

per trattamento dati sensibili e giudiziari

2. SOMMARIO

1. Document Management ............................................................................................................... 2

1.1 History ......................................................................................................................................2

1.2 Riferimenti ad altri documenti ..................................................................................................2

1.3 Approvazione .............................................................................................................................2

1.4 Glossario e Definizioni ..............................................................................................................2

1.5 Revisioni ...................................................................................................................................2

2. Sommario ..................................................................................................................................... 3

3. Introduzione ................................................................................................................................. 4

3.1 Riferimenti Normativi ................................................................................................................4

4. Funzioni organizzative relative alla privacy e protezione dei dati personali .................................. 5

4.1 Titolare del trattamento ............................................................................................................5

4.2 Responsabili interni per il trattamento dei dati personali .........................................................5

4.3 Incaricati del trattamento dei dati .............................................................................................6

4.4 Amministratori di Sistema ........................................................................................................6

4.5 Custode delle Credenziali ..........................................................................................................7

5. Descrizione del Sistema Informatico Aziendale ............................................................................. 7

5.1 Videosorveglianza ......................................................................................................................8

6. Elenco del Trattamento dei dati personali .................................................................................. 10

7. Distribuzione dei Compiti e delle Responsabilità ........................................................................ 15

7.1 Organigramma Privacy ............................................................................................................16

8. Analisi dei Rischi ........................................................................................................................ 17

9. Misure in essere ......................................................................................................................... 24

10. Criteri e modalità di ripristino della disponibilità dei dati ....................................................... 30

11. Pianificazione degli interventi formativi previsti ...................................................................... 30

12. Outsourcing (Dati dei Clienti) ................................................................................................. 31

12.1 Policy di Backup .....................................................................................................................31

12.2 Pubblicazione al Cliente ..........................................................................................................32

12.3 Front-End ...............................................................................................................................33

13. Piano di verifiche e di aggiornamento periodico del Regolamento Privacy ............................... 33

14. Trattamenti affidati all’esterno ................................................................................................ 33

15. Modelli Nomine ....................................................................................................................... 35

15.1 Nomina del Responsabile dei trattamenti dei dati personali ....................................................35

15.2 Nomina degli Incaricati ...........................................................................................................37

15.3 Nomina Custode delle Credenziali ...........................................................................................39

4

15.4 Nomina responsabile del trattamento esterno .........................................................................40

15.5 Nomina Amministratore di Sistema (responsabile) ..................................................................42

15.6 Nomina Amministratore di Sistema ........................................................................................44

Allegato 1........................................................................................................................................... 46

3. INTRODUZIONE

Il Documento Programmatico sulla Sicurezza (ora Regolamento Aziendale Privacy) di Optimo Next

s.r.l., Titolare del trattamento dei dati è redatto e aggiornato, ai sensi del D.Lgs. 196/2003 “ Codice

Unico in materia di protezione dei dati personali” e s.m.i. e a fronte dei provvedimenti del Garante.

Le prescrizioni descritte nel presente documento si applicano a tutti i trattamenti eseguiti

nell’ambito dell’intera struttura organizzativa di Optimo Next, dai Responsabili e dagli incaricati, e

sono da considerare vincolanti nei rapporti contrattuali relativi a trattamenti eseguiti da altri

soggetti esterni cui sia conferito un incarico di Responsabile del trattamento di dati di cui Optimo

Next sia Titolare. Il documento costituisce dalla presente revisione il regolamento aziendale in

materia di Privacy, riepiloga l’assolvimento di tutti gli adempimenti previsti sulla base della

situazione organizzativa aziendale e descrive le misure di sicurezza adottate nel trattamento dei

dati.

Tale documento ha anche lo scopo di definire, sulla base dell'analisi dei rischi, i criteri e le procedure

per garantire la sicurezza nel trattamento dei dati personali, la distribuzione dei compiti e delle

responsabilità nell’ambito delle strutture preposte al trattamento dei dati stessi:

• i criteri tecnici e organizzativi per la protezione delle aree e dei locali interessati dalle misure di

sicurezza nonché le procedure per controllare l’accesso delle persone autorizzate ai locali

medesimi;

• i criteri e le procedure per assicurare l’integrità e la disponibilità dei dati;

• i criteri e le procedure per la sicurezza delle trasmissioni dei dati, ivi compresi quelli per le

restrizioni di accesso per via telematica;

• i criteri e le procedure per il ripristino dell’accesso ai dati;

• l'elaborazione di un piano di formazione per rendere edotti i responsabili e gli incaricati del

trattamento dei rischi individuati e dei modi per prevenire gli eventuali danni.

L’efficacia di tali misure di sicurezza deve essere oggetto di controlli e revisioni periodici, da

eseguirsi almeno con cadenza annuale.

3.1 RIFERIMENTI NORMATIVI

D.lgs. 196/03 - “Codice in materia di protezione dei dati personali”

Provvedimento del Garante per la protezione dei dati personali dal titolo “Misure e

accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici

relativamente alle attribuzioni delle funzioni di amministratore di sistema” del 27 novembre

2008, in G.U. n. 300 del 24 dicembre 2008

5

Provvedimento del Garante per la protezione dei dati personali dal titolo “Rifiuti di

apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali” del

13 ottobre 2008, in G.U. n. 287 del 9 dicembre 2008

Provvedimento in materia di Videosorveglianza dell’8 Aprile 2010

D.L. n. 70 del 13 maggio 2011

Decreto Legge n. 201/2011

Decreto Legge 9 Febbraio 2012, n. 5

ISO 27001:2013 “Sistemi di Gestione della sicurezza delle informazioni”

D.lgs. 14 settembre 2015 n. 151: Riforma dell’art.4 dello statuto dei lavoratori

4. FUNZIONI ORGANIZZATIVE RELATIVE ALLA PRIVACY E PROTEZIONE

DEI DATI PERSONALI

4.1 TITOLARE DEL TRATTAMENTO

Il Titolare del trattamento nella figura del legale rappresentante avvalendosi dei responsabili interni

per il trattamento e, ove necessario, dei consulenti esterni:

individua e prende decisioni in ordine alle finalità ed alle modalità di trattamento dei dati

personali, ivi compreso il profilo della sicurezza

effettua il censimento ed aggiorna l'elenco dei trattamenti dei dati personali in azienda e

garantisce il diritto d’accesso come previsto dalle norme sulla privacy;

con l’assistenza degli amministratori di sistema e dei responsabili al trattamento individua,

predispone, verifica, documenta e rende note le misure di sicurezza (minime e più ampie)

necessarie per la protezione dei dati personali.

Redige, aggiorna e conserva il Documento Programmatico della Sicurezza con finalità anche di

Regolamento Privacy.

Per quanto riguarda i dati dei clienti gestiti nel processo documentale, Optimo Next è Responsabile del

Trattamento Esterno dei dati ed ha delegato l’Amministratore Delegato a far applicare le istruzioni

definite dal Titolare del trattamento.

4.2 RESPONSABILI INTERNI PER IL TRATTAMENTO DEI DATI PERSONALI

I Responsabili interni per il trattamento gestiscono i trattamenti sulla base dei compiti affidati e

analiticamente specificati per iscritto dal titolare.

I Responsabili si attengono alle istruzioni impartite dal titolare il quale, anche tramite verifiche

periodiche, vigila sulla puntuale osservanza delle disposizioni in materia di trattamento previste dal

Codice, ivi compreso il profilo relativo alla sicurezza. I Responsabili per il trattamento vigilano sul

rispetto delle istruzioni impartite agli incaricati al trattamento.

Analogamente sono considerati responsabili esterni per il trattamento, mediante incarico

sottoscritto dalle parti all'atto della stipula dei contratti, per il solo periodo necessario, anche i

consulenti (in proprio o di società terze) nonché tutti i soggetti a cui vengono comunicati dati per le

diverse finalità esplicitate nel capitolo 14 Trattamenti affidati all’esterno.

http://www.garanteprivacy.it/garante/doc.jsp?ID=1571514

http://www.garanteprivacy.it/garante/doc.jsp?ID=1571514

6

4.3 INCARICATI DEL TRATTAMENTO DEI DATI

Ciascun dipendente è assegnato, all'atto dell'assunzione o nel caso di cambiamento di mansione,

presso un’unità organizzativa ove sono trattati i dati e per ciascuna delle quali sono individuate

(vedi capitolo 6 - “Elenco Trattamento dei Dati”) le categorie di dati cui si può avere accesso e gli

ambiti del trattamento.

A tutti gli incaricati sono state fornite istruzioni scritte per operare, nell’ambito dei trattamento

assegnati, con la massima diligenza ed attenzione e rispettando le misure di sicurezza predisposte

dalla società.

4.4 AMMINISTRATORI DI SISTEMA

Secondo quanto previsto dal provvedimento del Garante del 27 novembre 2008 pubblicato sulla G.U. n. 300 del 24

dicembre 2008, il Titolare ha attribuito le funzioni di amministratore di sistema a personale qualificato per

esperienza, capacità e affidabilità anche in termini di garanzia del pieno rispetto dei profili di sicurezza richiesti dai

specifici trattamenti.

Gli amministratori di sistema vengono designati tramite lettera d’incarico nella quale vengono riportati gli ambiti di

operatività consentiti in funzione del profilo di autorizzazione assegnato.

Nella tabella seguente vengono riportati i nominativi degli amministratori di sistema, con l’elenco delle responsabilità

e attività svolte.

Nominativo Ruolo Responsabilità ed attività

Fabrizio

Tudisco Amministratore Delegato

Verifiche operato Amministratori di

Sistema

Gianmarco

Mazzone Security Manager

Gestione della sicurezza e custode delle

copie credenziali di Amministratore

Andrea

Rosario Muni System Engineer

System, Network e Data Base

Administrator

Giuseppe

D’Acunto System Engineer

System, Network e Data Base

Administrator

Tabella 1 – Informazioni relative agli amministratori di sistema

I nominativi degli amministratori di sistema vengono resi noti nell’ambito della struttura organizzativa di Optimo

Next mediante Policy aziendale comunicata a tutti i dipendenti tramite pubblicazione sul portale aziendale.

L’operato degli amministratori di sistema è oggetto di verifiche almeno annuali sotto la responsabilità

dell’Amministratore Delegato e con il supporto del Security Manager al fine di controllare la rispondenza alle misure

organizzative, tecniche e di sicurezza definite per i trattamenti e previste dalla normativa vigente (rif. Allegato B –

D.Lgs 196/03).

Gli accessi logici ai Sistemi Informativi e ai Data Base da parte degli amministratori vengono tracciati garantendone la

completezza, inalterabilità e possibilità di verifica della relativa integrità.

Per la rilevazione ed archiviazione dei log è stato installato il software NG attivo su tutti i sistemi.

In particolare tramite il software citato viene tracciato log on, log off e disconnessione remota forzata.

I log vengono archiviati garantendo uno storico di 6 mesi dall’applicativo NG che ne garantisce inoltre

l’immodificabilità.

7

4.5 CUSTODE DELLE CREDENZIALI

Le password di sistema (di Amministratore), dei server di Optimo Next e di tutti quelli che sono i sistemi principali

della rete sono di esclusivo possesso del reparto IT e Delivery (solo DB). Tali password vengono cambiate almeno

trimestralmente od ogni qualvolta vi sia la necessità di rinnovare tali sicurezze.

Le password di sistema, delle apparecchiature di controllo e delle apparecchiature di security sono gestite da una

base dati relazionale ad uso esclusivo del reparto IT e del Security Manager.

In questa base dati sono contenute le seguenti informazioni:

identificazione del sistema o della specifica apparecchiatura;

identificazione dell'utente amministratore del sistema o della specifica apparecchiatura;

password associata all'utente amministratore del sistema o della specifica apparecchiatura;

eventuali note e commenti ad uso interno per la gestione del sistema o delle diverse apparecchiature.

Il Titolare avvalendosi dell’operato del Security Manager svolge le seguenti funzioni:

riceve dagli amministratori di sistema comunicazione riservata della sostituzione delle credenziali degli

amministratori di sistema (USER ID E PWD).

Delega il Security Manager alla conservazione delle stesse parole chiave con modalità (fisiche ed

organizzative) atte a garantire la segretezza delle stesse parole chiave e la loro integrità in modo da

permettere l’accesso al sistema a persone autorizzate in caso di emergenza in concomitanza ad una

eventuale indisponibilità degli amministratori di sistema;

collabora con i responsabili del trattamento e/o con l’amministratore del sistema per la corretta

gestione delle misure di sicurezza relative alle stesse parole chiave.

5. DESCRIZIONE DEL SISTEMA INFORMATICO AZIENDALE

Presso Optimo Next vengono eseguiti i trattamenti previsti dal Codice Privacy e cioè operazioni o complesso di

operazioni, svolte con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la

registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il

raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione

di dati.

Le misure di sicurezza adottate da Optimo Next garantiscono l’integrità, la disponibilità e la riservatezza dei dati

trattati, sia in termini di allocazione delle risorse umane e delle risorse tecnologiche, sia in termini normativi e

comportamentali.

Gli ambiti in cui si sviluppa l’attività di Optimo Next riguardano settori in cui la riservatezza, la competenza, la

tempestività e la continuità del servizio sono indispensabili per adempiere correttamente agli incarichi ricevuti

e per ottenere la soddisfazione dei clienti.

Optimo Next presta grande attenzione agli aspetti della sicurezza garantendo e controllando gli accessi ai dati

da parte del personale interno.

Tra le attività più rilevanti di Optimo Next, rivolte all’esterno, vi è quello di fornire il servizio di gestione

documentale (Outsourcing), consentendo ai clienti di accedere al sistema, attraverso l’utilizzo di applicazioni

strutturate, per la consultazione dei propri dati. Ogni utente viene inserito in un apposito profilo individuale o

8

di gruppo ed ogni profilo può accedere solo alle risorse che gli competono. Ogni cliente possiede una

partizione logica o fisica delle risorse che gli consentono di vedere e gestire solamente i dati che lo riguardano.

Per garantire la sicurezza del sistema per gli utenti che accedono da Internet sono costantemente in funzione

appositi software di sicurezza che ne controllano l’accesso. Sono inoltre state predisposte tecnologie di

sicurezza HW quali firewall e SW quali Antivirus, Antispam e sistemi di monitoraggio sulla rete locale.

Il sistema informativo di Optimo Next è sito presso la sede di Viale Industria, 61 – 24040 Bottanuco (BG).

La rete locale è composta da:

Server e sistemi multiutenti;

Reti locali e altri sistemi di collegamento ai terminali;

PC di accesso per gli utenti compresi i computer portatili;

Collegamenti del sistema ad apparecchiature di produzione, rilevatori di presenze e acquisizione dati;

Dispositivi di connessione e instradamento dati;

Software di sistema e applicativo gestionale locale e sistemi di posta elettronica e navigazione Internet;

Software di sistema e applicativo gestionale centralizzato.

Periodicamente tutti i prodotti software, applicativi e gestionali, possono presentare la necessità di essere

sostituiti da nuove versioni degli stessi ed è solitamente possibile farlo attraverso procedure di aggiornamento

(upgrade) del software preesistente. In questo caso l'impatto sull'operatività è minimo. In altri casi è necessario

procedere alla sostituzione integrale del pacchetto software con conseguente necessità di ripristinare le

procedure di utilizzo adattandole al nuovo software.

5.1 VIDEOSORVEGLIANZA

L’uso dell’impianto di videosorveglianza è strettamente finalizzato ad esigenze di sicurezza di Optimo Next

S.r.l ed è fondato su presupposti di necessità, proporzionalità e finalità in conformità a quanto previsto dal

Provvedimento in materia di videosorveglianza del 8 aprile 2010. L’area video sorvegliata si estende a (rif.

figura 1):

il corridoio interno di accesso agli uffici

l’area carico e scarico

l’area perimetrale di capannoni e uffici

l’area antistante i cancelli di ingresso

Il Sistema è composto da:

1 DVR 16 CANALI DIGITALE HD ELVOX

posizionato in armadietto sotto chiave nel locale Q.E.G.

16 telecamere IP ELVOX

come di seguito posizionate:

n.13 telecamera esterna per il controllo perimetrale di tutta

l'area aziendale incluso gli accessi

n.3 telecamere interne di cui:

n.1 per il controllo accesso ingresso reception

n.2 posizionate sopra la porta tagliafuoco per controllo

accesso archivi

9

Le finalità delle registrazioni effettuate è quello di tutela dell’integrità del patrimonio aziendale. Le immagini

vengono memorizzate su supporto magnetico riscrivibile e conservate per un periodo inferiore ai 7gg per

finalità di sicurezza dei dati aziendali e dei clienti. In particolare, i dati registrati sono accessibili solo al titolare

del trattamento e al Security Manager. La video sorveglianza viene resa disponibile alla persona incaricata

presso la reception al controllo visivo diretto dell’area inquadrabile dalla telecamera.

Su richiesta dell’autorità giudiziaria le registrazioni potranno venir conservate per un periodo più lungo.

Figura 1

10

6. ELENCO DEL TRATTAMENTO DEI DATI PERSONALI

In questa sezione sono censiti i trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni

esterne, con l’indicazione della natura dei dati e della struttura (ufficio, funzione, ecc.) interna od esterna

operativamente preposta, nonché degli strumenti elettronici impiegati e delle banche dati di riferimento. Dalla

verifica interna sono state rilevate le seguenti banche dati, gestite principalmente sui sistemi centrali:

dati personali riferibili a clienti;

dati personali riferibili a fornitori;

dati personali riferibili a utenti dei servizi gestiti in outsourcing

dati dei clienti contenenti dati personali anche sensibili (di cui Optimo Next non è titolare ma

Responsabile del Trattamento);

dati personali riferibili a dipendenti e collaboratori;

dati relativi a candidati / Curricula Vitae;

cartelle cliniche dei dipendenti/Collaboratori.

Le banche dati sono suddivisibili in una serie di “sotto banche dati”, tuttavia si è inteso accorpare quelle banche

dati che, per tipologia e per finalità, risultano uniformi, fermo restando che i supporti e il tipo di trattamento dei

dati di ciascuna sotto banca dati possono essere diversi. La tabella che segue illustra i sistemi /strumenti

utilizzati per il trattamento delle banche dati individuate.

CODICE DESCRIZIONE

S1 Server di rete su cui è installata una base dati relazionale contenente dati sensibili e non

S2 Stazioni di lavoro della rete locale su cui è presente un subset della base dati relazionale e non

(principalmente le stazioni di lavoro sono quelle delle aree funzionali).

S3 Dati personali anche sensibili conservati con strumenti non elettronici

S4 Dati personali conservati su sistemi in outsourcing

Tab. 2 – Strumenti utilizzati per i trattamenti effettuati da Optimo Next

11

Al fine di elencare i trattamenti effettuati e i DB viene utilizzata una tabella riassuntiva così configurata:

Descrizione Sintetica del Trattamento

Banche dati interessate

Responsabile del

trattamento

Struttura di riferimento

Altre strutture

che concorrono

al trattamento

Descrizione degli

strumenti utilizzati

T ID

Finalità perseguita o attività

svolta

Categorie di interessati

DB ID

Nome

Natura dei dati trattati

Formato banca dati

S G Elettronico Cartaceo

Cod

ice

Tra

tta

men

to

=

Ca

teg

orie

a c

ui a

pp

art

eng

ono

i d

ati

(fo

rnit

ori/

clie

nti

/per

son

ale

)

Cod

ice

ass

egn

ato

all

a b

an

ca d

ati

Nom

e a

sseg

na

to a

lla

ba

nca

da

ti

Da

ti s

ensi

bil

i

Da

ti g

iud

izia

ri

=

=

=

Stru

ttu

ra d

i rif

erim

ento

per

il

tra

tta

men

to d

ei d

ati

con

ten

uti

n

ella

sp

ecif

ica

ba

nca

da

ti

Alt

re s

tru

ttu

re c

he

ha

nn

o a

cces

so

all

a b

an

ca d

ati

Per

le b

an

che

da

ti e

lett

ron

ich

e vi

ene

ind

ica

to lo

str

um

ento

u

tili

zza

to p

er il

tra

tta

men

to in

ri

feri

men

to a

lla

ta

bel

la 2

. P

er le

ba

nch

e d

ati

in fo

rma

to

cart

ace

o vi

ene

ind

ica

to d

ove

ven

gon

o a

rch

ivia

te

12



Responsabile del

trattamento


Altre strutture che

concorrono al trattamento

Descrizione degli strumenti

utilizzati T ID

Finalità perseguita o

attività svolta

Categorie di

interessati

DB Nome


Formato banca dati

ID S G Elettronico Cartaceo

TD

1

Gestione

clienti e

prospect

Clienti e

prospect

DB1

Anagrafica

clienti (AD

HOC)

X CFO Finance

S&M

P&C

S1,S2

DB16

SAP

Dati Clienti

e Prospect

X Direttore Sales

& Marketing

Sales &

Marketing MKT S2,S4

DB2

Teamwork

(contratti,

ordini,

allegati

tecnici,

gestione

commesse)

X R&D & Delivery R&D & Delivery S&M

P&C S1,S2

DB3

Ordine

clienti e

contratti

X X CFO P&C S&M,

R&D & Delivery S1,S2,S3

DB4

Anagrafica

Utenti dei

servizi

gestiti in

outsourcin

g

X R&D & Delivery R&D & Delivery S1,S2

13


Banche dati interessate Responsabile

del trattamento


Altre strutture che concorrono

al trattamento

Descrizione degli


T ID

Finalità perseguita o attività

svolta

Categorie di

interessati

DB Nome


Formato banca dati


TD2 Servizi ai

Clienti1 clienti DB5 DB Clienti

X

(elettronico/

Cartaceo)

X X OPTIMO NEXT

R&D &

Delivery

(Elettronico)

BPO, Doc.

Warehouse

(Cartaceo)

- S1,S2,S3

TD3 Gestione

Fornitori fornitori

DB6

Ordini e

contratti

fornitori

X X Procurement Procurement P&C

HR

S1,S2,S3

DB7 Anagrafica

fornitori X Procurement Procurement

P&C

Finance

HR

S1,S2

1 DB di cui Optimo Next è nominata responsabile esterna del trattamento dei dati

14



Responsabile del

trattamento

Struttura di

riferimento

Altre strutture che concorrono al trattamento

Descrizione degli


T ID

Finalità perseguita o

attività svolta

Categorie di interessati

DB Nome


Formato banca dati


TD

4 Gestione Personale Personale

DB8 G. Pres.

Zucchetti X

HR HR

S1,S2

DB9 DB collab. x P&C S1,S2

DB10

Cartelle

matricola

(dip.)

x x P&C

S1,S2,

S3

DB11 Candidati

/CV X X X

Responsabili /

Direttori

secondo

necessità

S1,S2,S3

DB12

DB dati

bancari

dipendenti

X Finance S1,S2

DB13

Cartelle

cliniche

dip./coll.

X X Medico

competente S3

TD

5 Videosorveglianza

Visitatori/

dipendenti

DB14

Registraz

Imm.

Esterne

X

Titolare IT Procurement,

Reception

Sistema

Stand Alone

DB15

Registraz

Imm.

interne

X

Titolare IT Procurement,

Reception

Sistema

Stand Alone

15

7. DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITÀ

Nella seguente tabella vengono riportate le strutture di riferimento, già menzionate nella precedente sezione, alle quali vengono associati compiti e

le relative responsabilità in relazione ai trattamenti effettuati.

Struttura Trattamenti effettuati dalla

struttura (codice) Banche Dati (codice) Compiti e responsabilità della struttura

CFO TD1 DB1, DB3 Consultazione

Finance

TD1 DB1 Consultazione, organizzazione ed elaborazione dati


TD4 DB12 Consultazione

R&D & Delivery TD1 DB2, DB3, DB4 Consultazione, organizzazione ed elaborazione dati

TD2 DB5 Elettronico Consultazione, organizzazione ed elaborazione dati

S&M TD1 DB16 Consultazione, organizzazione ed elaborazione dati

DB3 Consultazione

BPO TD2 DB5 cartaceo Consultazione, organizzazione ed elaborazione dati

Doc. Warehouse TD2 DB5 cartaceo Consultazione, organizzazione ed elaborazione dati

Procurement TD2 DB6,DB7 Consultazione, organizzazione ed elaborazione dati

TD5 DB14, DB15 Consultazione

HR TD4

DB8, DB9, DB10, DB11, DB12,

DB13 Consultazione, organizzazione ed elaborazione dati

TD3 DB6,DB7 Consultazione, organizzazione ed elaborazione dati

P&C

TD1 DB1,DB2 Consultazione, organizzazione ed elaborazione dati

TD3 DB6 Consultazione

DB7 Consultazione, organizzazione ed elaborazione dati


DB10 Consultazione

IT TD5 DB14, DB15 Consultazione, organizzazione ed elaborazione dati

Reception TD5 DB14, DB15 Consultazione

16

7.1 ORGANIGRAMMA PRIVACY

La struttura organizzativa della Optimo Next funzionale al trattamento dei dati è riportata di seguito:

Figura 1 – Organigramma della struttura per la gestione della Privacy

TITOLARE Optimo Next S.r.l.

Legale rappresentante e RESPONSABILE (CFO)

RESPONSABILE

(BPO)

INCARICATI

RESPONSABILE

(R&D & Delivery)

RESPONSABILE

(HR)

RESPONSABILE

(S&M)

RESPONSABILE

Amministratori

di Sistema

CUSTODE DELLE

CREDENZIALI DI AUTENTICAZIONE (Security Manager)

RESPONSABILE

(Doc. Warehouse) RESPONSABILE

(Procurement

)

17

8. ANALISI DEI RISCHI

Lo scopo dell’analisi dei rischi è quello di evidenziare i principali eventi potenzialmente dannosi per la sicurezza dei dati ed indicare le possibili conseguenze e

la gravità degli stessi eventi, sia in relazione al contesto fisico e ambientale di riferimento sia agli strumenti utilizzati.

Categoria ID Rischio Impatto sulla

sicurezza Misure poste in essere

(A)Comportam

enti degli

operatori

A1

Sottrazione di

credenziali di

autenticazione

Basso

Agli incaricati, congiuntamente alla lettera di nomina, vengono indicate le norme

operative e di sicurezza a cui attenersi.

A2

Carenza di

consapevolezza,

disattenzione o

incuria

Basso



A3 Comportamenti

sleali o fraudolenti Basso

L’accesso agli elaboratori avviene solo tramite gli elaboratori protetti da password.

All’archivio cartaceo possono accedere solo i diretti incaricati che presidiano i locali

durante le ore di lavoro. Al di fuori degli orari di lavoro il personale non ha accesso

alla struttura.

A4 Errore materiale Basso



18

Categoria ID Rischio Impatto

sulla sicurezza

Misure poste in essere

(B)Eventi

relativi agli

strumenti

B1

Azione di virus

informatici o di

programmi

suscettibili di recare

danno

Basso

Sulla rete interna di Optimo Next agisce un sistema antivirus (Avast) che preserva i dati sia dei server sia

delle stazioni di lavoro da eventuali intrusioni da parte di virus o di agenti esterni indesiderati. Tale

sistema lavora su tutte le workstation e sui server in appoggio a due sistemi centralizzati che gestiscono le

verifiche programmate dei sistemi locali ( giornaliera o settimanale) e regolarmente, tutte le notti, effettua

un controllo per prelevare nuovi aggiornamenti di versione direttamente dal produttore. Tali

aggiornamenti vengono distribuiti automaticamente a tutti i sistemi della rete.

Esiste inoltre un sistema di messaggistica automatica che ha come destinatari i componenti del gruppo IT

in caso vengano rilevate anomalie su qualche sistema della rete.

B2

Spamming o

tecniche di

sabotaggio

Basso

Per garantire la sicurezza del sistema per gli utenti che accedono da Internet sono costantemente in

funzione appositi software di sicurezza che ne controllano l’accesso. Sono inoltre state predisposte

tecnologie di sicurezza HW quali firewall e SW quali Antivirus, Antispam e sistemi di monitoraggio sulla

rete locale.

B3

Malfunzionamento,

indisponibilità o

degrado degli

strumenti

Server/

Data

Center

Basso

Tutto l’Hardware è oggetto di interventi di manutenzione periodica a cura degli Amministratori di Sistema.

Al fine di raffreddare correttamente l’aria presente all’interno del Data Center sono presenti due unità di

trattamento aria Emerson (ogni unità è dotata di 26,5 kW potenza frigorifera totale resa), dotate delle più

avanzate e moderne tecnologie di condizionamento di precisione. Le unità sono controllate istante per

istante da un microprocessore dedicato. Tale microprocessore consente l’impostazione di tutti i parametri

di funzionamento, di visualizzare i valori di temperatura, di umidità, degli stati e degli allarmi. Il controllo

gestisce in maniera autonoma tutte le funzioni di raffreddamento, riscaldamento, umidificazione e

deumidificazione. Le due unità collegate tra di loro, tramite interfaccia di rete, sfruttano le funzioni di

rotazione, cascata e stand-by. Tutti i rack sono collegati attraverso cavi elettrici dotati di connettori

industriali interbloccati, sfruttando lo spazio tra il soffitto e gli stessi rack. Questa soluzione permette di

lasciare libera la parte sottostante del pavimento galleggiante a favore del flusso dell’aria condizionata.Le

unità sono datate di 2 motori indipendenti con 2 controlli remoti anch’essi indipendenti che gli

permettono di lavorare sia in parallelo che in singolo qualora vi fosse un guasto.

B4 PC

Client Basso

La manutenzione viene effettuata internamente a cura degli Amministratori di Sistema

19


sulla sicurezza


(B)Eventi

relativi agli

strumenti

B5 Accessi esterni non

autorizzati Basso

E’ stato attivato un sistema di filtraggio che opera sui collegamenti con reti remote per controllare il traffico

attraverso tali canali e un meccanismo di "intrusion detection" disponibile attraverso il Firewall.

B6 Perdita Dati Basso

Per minimizzare i rischi di perdita di dati dovuti ad interruzioni dell’alimentazione elettrica e per garantire

la continuità del servizio, vengono utilizzati dispositivi di sicurezza (UPS) e un gruppo elettrogeno che, in

caso di caduta permanente della tensione (black out), permettono di intervenire, effettuando le opportune

attività tecniche per la salvaguardia dei dati.

Optimo Next ha predisposto 2 modalità di backup in base alla criticità e disponibilità dei dati: su NAS

tramite snapshot proprietario, su NAS tramite snapshot di Windows.

Il backup dei dati mediante “snapshot” (NAS e Windows) viene utilizzato su entrambi i domini in funzione

delle criticità e della necessità di rapidità che di volta in volta vengono a crearsi.

La frequenza dei backup è almeno bi-giornaliera, di tipo full e la retention è di due settimane.

L’applicazione mantiene traccia dei ripristini effettuati in funzione delle richieste degli utenti.

Periodicamente (almeno semestralmente) vengono effettuate prove di restore. I dischi dei server sono

configurati in tecnologia RAID 5, che garantisce disponibilità e integrità dei dati e delle applicazioni anche in

caso di danneggiamento di uno dei dischi fissi.

B7

Errori software che

minacciano

l’integrità dei dati

Basso Per quel che riguarda i sistemi operativi dei PC e dei server, la manutenzione consiste nel mantenerli

aggiornati tramite l'installazione delle correzioni (patch, service pack, ecc.) rilasciate periodicamente dalle

case produttrici.

B8

Presenza di codice

non conforme alle

specifiche del

programma

Basso

20


sulla sicurezza


(B)Eventi

relativi agli

strumenti

B9

Intercettazione di

informazioni in rete

Basso

La trasmissione di dati attraverso reti di telecomunicazioni pubbliche riguarda:

le applicazioni di Remote Banking cifrano i dati trasmessi e ne verificano l’integrità durante

la trasmissione;

le applicazioni per il trattamento dei dati da parte dei clienti;

il trasferimento dei dati da e verso i clienti.

Il collegamento alla rete di telecomunicazioni pubbliche viene effettuato attraverso collegamento in fibra

ottica tramite un router e con due Firewall Juniper SSG-550 in fileover bilanciato. La funzione del virtual

chassis in tecnologia layer 3, inserito nello schema di rete, è quello di gestire le differenti VLan. La

funzione delle VLan è quello di separare ulteriormente le zone logiche dell’infrastruttura e di

regolamentare ulteriormente il traffico.

Sullo switch si ha la disponibilità di interfacce a 1Gbps cablate con tecnologia ethernet cat. 6b. Sulla zona

di front-end si attestano le interfacce di pubblicazione dei servizi. Tutto il traffico e le pubblicazioni sono

controllate dai firewall.

Sulla zona di front-end si attestano sia le macchine che erogano servizi in modalità ASP, quindi su

struttura condivisa, sia quelle dedicate al singolo cliente (Housing o Dedicated Hosting). A seconda delle

modalità e del tipo di servizio vengono gestite tramite differenti VLan.

Il firewall di collegamento ad Internet è dotato di opportuni filtri per impedirne l’accessibilità IP dal lato

pubblico. Qualsiasi tentativo di attacco viene monitorato dagli apparati e prontamente respinto. Il firewall

gestisce la raggiungibilità del servizio offerto ai clienti ed è configurato secondo rigide policy di sicurezza. Il

firewall regolamenta anche l’accesso verso l’esterno.

L’accesso a Internet è, inoltre, controllato attraverso un server Proxy, che centralizza le richieste di

navigazione sul Web e permette l’accesso ad Internet in maniera controllata a livello di User Id; L’accesso

alla rete è poi protetto dalla struttura logica basata su Dominio Active Directory, che comporta un elevato

grado di sicurezza nell’autenticazione ai servizi di rete.

Per quello che riguarda le misure di sicurezza della rete prese in relazione ai server in Outsourcing ed ai

loro collegamenti con reti remote, si basano sulla differenziazione dei domini Windows sulla assenza di

instradamento IP tra le due schede di rete di ogni server e sul binomio nome utente/password aggiuntivo

configurato per l’accesso all’applicazione di gestione documentale presente sui server in Outsourcing

21


sulla sicurezza


(C)Eventi

relativi al

contesto

fisico-

ambientale

C1

Ingressi non

autorizzati a

locali/aree ad

accesso ristretto

Basso

La sicurezza fisica è garantita dal portone ad accesso controllato.

L’accesso dei dipendenti e collaboratori viene registrato, durante l’orario di lavoro, con badge magnetico

sul computer di rilevazione presenze.

L’accesso dei visitatori agli uffici avviene previa registrazione all’ingresso su apposita scheda.

Alle misure fisiche è associato un sistema di rilevazione di intrusione volumetrico e perimetrale inserito e

disinserito da un istituto di vigilanza. Questo sistema viene inserito alla chiusura degli uffici dal personale

autorizzato ed è in grado di segnalare l’intrusione in atto. La sede operativa e la sala server sono dotate di

impianto di allarme con sensori ottici di rilevamento. Qualsiasi violazione o intrusione viene segnalata

immediatamente ed automaticamente alla società di Vigilanza preposta, che ha il compito di intervenire

presso la sede. Le postazioni di lavoro dotate di PC e soprattutto l'area ove sono situati i server non sono

accessibili al pubblico se non accompagnato da personale dell’Azienda. Analoghe misure sono previste

per i luoghi ove vengono trattati e custoditi i supporti cartacei delle informazioni.

Gli atti e i documenti contenenti i dati sono conservati in archivi ad accesso selezionato e, inoltre, per i

documenti contenenti dati sensibili sono stati previsti archivi ad accesso controllato tramite badge.

Il Data Center è protetto tramite lettore di badge.

C2

Sottrazione di

strumenti

contenenti dati

Basso

C3

Eventi distruttivi,

naturali o artificiali

(movimenti tellurici,

scariche

atmosferiche,

incendi,

allagamenti,

condizioni

ambientali, ...),

nonché dolosi,

Allagamenti Basso Area non soggetta ad esondazioni o calamità di questo tipo.

C4 Incendio Basso

La sede è dotata di dispositivi antincendio costituiti da estintori, da manichette e da idranti per

l’area esterna. Al fine di effettuare la corretta sorveglianza del Data Center è stata inserita una

unità di controllo ambientale (EMS).

Questa unità ha il compito di accertare che tutti i parametri relativi all’ambiente siano all’interno

delle soglie impostate; in caso contrario invia un allarme tramite email e/o trap SNMP ai

responsabili del servizio.

22

accidentali o dovuti

ad incuria

Nello specifico il Data Center è dotato di rilevatori di fumi/incendio a pavimento e a soffitto e di

un impianto di spegnimento tramite gas inerte. In ogni rack è poi presente un sensore per la

temperatura e umidità ed un sensore fumo.

Annualmente viene verificata l’adeguatezza del piano antincendio.

Categoria ID Rischio Impatto sulla

sicurezza

Misure

poste in

essere

C)Eventi

relativi al

contesto

fisico-

ambientale

C5

Eventi distruttivi,

naturali o artificiali

(movimenti tellurici,

scariche

atmosferiche,

incendi,

allagamenti,

condizioni

ambientali, ...),

nonché dolosi,

accidentali o dovuti

ad incuria

Manomissioni /

Sabotaggio Basso

Le postazioni di lavoro dotate di PC e soprattutto l'area ove sono situati i server non sono

accessibili al pubblico se non accompagnato da personale dell’Azienda. Analoghe misure sono

previste per i luoghi ove vengono trattati e custoditi i supporti cartacei delle informazioni.

Il Data Center è protetto tramite lettore di Badge.

C6

Guasto a sistemi

complementari

(impianto elettrico,

ecc.)

Impianto

elettrico /

connessioni

internet

Medio

Sono installati dispositivi di sicurezza (UPS) che, in caso di caduta permanente della tensione

(black out), permettono di intervenire, effettuando le opportune attività tecniche per la

salvaguardia dei dati.

In caso di guasto al sistema UPS e/o di necessaria manutenzione, è possibile alimentare il carico

direttamente attraverso il provider elettrico senza dover spegnere i Server, scollegando così

l’UPS che potrà essere verificato. Al termine della manutenzione, tramite il by-pass, si riporterà

in protezione il carico sempre senza nessuna interruzione elettrica.

Risulta inoltre installato, monitorato e periodicamente testato un gruppo elettrogeno.

La linea di accesso a Internet, che arriva presso il Data Center, è fornita da un unico provider

contrattualizzato mediante SLA definiti.

C7 Errori umani nella Basso Tutti i dipendenti vengono adeguatamente formati secondo il piano di formazione previsto dal presente

23

gestione della

sicurezza fisica

DPS

24

9. MISURE IN ESSERE

Al fine di assicurare l’integrità dei dati trattati ed impedirne la comunicazione e/o diffusione non autorizzata, Optimo Next ha adottato delle misure

di sicurezza di tipo fisico, logico ed organizzativo. Tali misure avranno il compito di garantire sia i minimi requisiti di sicurezza, sia un livello idoneo

di sicurezza relativamente alle tipologie dei trattamenti effettuai, alle modalità di trattamento ed agli strumenti utilizzati.

Misure Descrizione Rischi Trattamenti interessati

Strumenti o persone addette

all'adozione

Custodia degli

archivi

cartacei in

locali specifici

chiusi a chiave

L’accesso agli archivi cartacei contenenti dati sensibili è controllato e protetto con porta e serratura.

C1, A3 TD2,TD5,TD6 Responsabili

trattamento

Verifica

leggibilità

supporti di

backup

Periodicamente vengono effettuate delle prove di RESTORE (almeno semestralmente)

B6 Tutti Amministratore di

sistema

Dispositivi

Antincendio

La sede è dotata di dispositivi antincendio costituiti da estintori, da manichette e da idranti per

l’area esterna. Al fine di effettuare la corretta sorveglianza del Data Center è stata inserita una

unità di controllo ambientale (EMS). Questa unità ha il compito di accertare che tutti i parametri

relativi all’ambiente siano all’interno delle soglie impostate; in caso contrario invia un allarme

tramite email e/o trap SNMP ai responsabili del servizio. Nello specifico il Data Center è dotato di

rilevatori di fumi/incendio a pavimento e a soffitto e di un impianto di spegnimento tramite gas

inerte. In ogni rack è poi presente un sensore per la temperatura e umidità ed un sensore fumo.

Annualmente viene verificata l’adeguatezza del piano antincendio.

C4 Tutti Titolare del

trattamento

25



all'adozione

Continuità

Alimentazione

elettrica

Sono installati dispositivi di sicurezza (UPS) che, in caso di caduta permanente della tensione

(black out), permettono di intervenire, effettuando le opportune attività tecniche per la

salvaguardia dei dati.

In caso di guasto al sistema UPS e/o di necessaria manutenzione, è possibile alimentare il carico

direttamente attraverso il provider elettrico senza dover spegnere i Server, scollegando così l’UPS

che potrà essere verificato. Al termine della manutenzione, tramite il by-pass, si riporterà in

protezione il carico sempre senza nessuna interruzione elettrica.

Risulta inoltre installato, monitorato e periodicamente testato un gruppo elettrogeno.

C6 Tutti Titolare del

trattamento

Rifiuti di

apparecchiatu

re elettriche

ed

elettroniche

(Raae) e

misure di

sicurezza dei

dati personali

Gli HD di Pc e server vengono formattati a basso livello e inviati ad una società terza per la

distruzione fisica; la società rilascia quindi apposita certificazione C2 Tutti

Titolare del

trattamento

Identificazione

Incaricati del

trattamento

Sono stati individuati e nominati per iscritto gli incaricati preposti al trattamento. Agli incaricati,

congiuntamente alla lettera di nomina, verranno indicate le norme operative e di sicurezza a cui

attenersi. L’ambito delle risorse che ciascun utente può utilizzare viene comunicato per iscritto.

A1,A2,A

4,C5 Tutti

Responsabili del

trattamento

26



all'adozione

Assegnazione

credenziali

Il gestore degli accessi al Sistema è l’Amministratore di Rete o di Sistema che tramite active directory

gestisce i profili di sicurezza. Ogni gruppo possiede una precisa visibilità delle risorse di rete tale da

consentire lo svolgimento delle proprie mansioni. La definizione del singolo profilo è effettuata

dall’Amministratore di Sistema su segnalazione del Responsabile di Area. Ogni profilo, pur avendo

gli attributi generali del gruppo di appartenenza, può avere ulteriori dettagli di visualizzazione.

Anche le singole risorse (cartella di lavoro, file, driver, etc.) possono essere rese visibili solo ad alcuni

utenti autorizzati. Il software consente di avere una visione immediata dei profili utenti definiti, con

una chiara suddivisione per gruppo di appartenenza. (Viene effettuata verifica della sussistenza dei

profili semestralmente da parte degli Amministratori di sistema in collaborazione con ufficio

personale). I PC sono protetti da accessi non autorizzati tanto al sistema operativo locale quanto

alla rete (tramite l’uso delle credenziali di accesso) L'accesso all'utilizzo della console dei server è

protetto e permesso solo all’Amministratore di Sistema e agli incaricati da lui nominati.

L'accesso alle informazioni e ai dati è protetto da un binomio "nome utente/password" univoco per

ogni addetto; tale tipo di misura di accesso è applicata sia al trattamento di dati personali che di dati

sensibili. Il personale è tenuto all'utilizzo dello specifico identificativo e della password assegnati

durante l'utilizzo delle risorse informatiche aziendali. Ogni utente accede al sistema attraverso un

User ID e Password. La password di accesso, che deve essere di almeno 8 caratteri la prima volta,

viene inserita dall’Amministratore di Sistema e l’utente, al primo accesso, deve modificarla. La

password deve contenere almeno un numero, una maiuscola o un carattere speciale e non deve

essere “banale” ovvero facilmente riconducibile all’utente stesso. Ogni 90 giorni il sistema, in

automatico, propone il cambio di password, l’utente deve in ogni caso cambiare la password ogni

qualvolta, questa, perda di qualità. Alla richiesta automatica del sistema di cambio password,

l’utente deve modificarla ed è impossibilitato a inserire una password usata precedentemente

(questo fino a 3 password precedenti). In caso di errato inserimento della password per 3 volte

nell’arco di 15 minuti, l’utente viene bloccato per 30 minuti e per accedere al sistema deve fare

richiesta di sblocco utente all’Amministratore di Sistema. Al fine di garantire la continuità e la

tempestività del servizio in caso di urgente necessità l’amministratore di sistema , su richiesta del

responsabile di funzione e previa comunicazione agli interessati, può accedere all’account utente.

Terminato l’utilizzo l’amministratore provvede a resettare la password che deve essere reimpostata

dall’incaricato al primo utilizzo.

A1,B5 Tutti Amministratori di

Sistema

27

Misure Descrizione Risch

i

Trattamenti

interessati


all'adozione

Indicazione

dell’amminist

ratore di

sistema

I nominativi degli amministratori di sistema vengono resi noti nell’ambito della struttura

organizzativa di Optimo Next mediante Policy e Regolamento aziendale resi disponibili a

tutti i dipendenti tramite pubblicazione sul portale aziendale.

L’operato degli amministratori di sistema è oggetto di verifiche almeno annuali sotto la

responsabilità dell’Amministratore Delegato al fine di controllare la rispondenza alle

misure organizzative, tecniche e di sicurezza definite per i trattamenti e previste dalla

normativa vigente (rif. Allegato B – D.Lgs 196/03).

Gli accessi logici ai Sistemi Informativi e ai Data Base da parte degli amministratori

vengono tracciati garantendone la completezza, inalterabilità e possibilità di verifica della

relativa integrità. Per la rilevazione ed archiviazione dei log è stato installato il software NG

attivo su tutti i sistemi. In particolare tramite il software citato viene tracciato log on, log

off e disconnessione remota forzata. I log vengono archiviati garantendo uno storico di 6

mesi dall’applicativo NG che ne garantisce inoltre l’immodificabilità.

(B) Tutti Titolare del

trattamento

Predisposizio

ne ed

aggiornamen

to degli

antivirus

Sulla rete interna di Optimo Next agisce un sistema antivirus (Avast) che preserva i dati

sia dei server sia delle stazioni di lavoro da eventuali intrusioni da parte di virus o di

agenti esterni indesiderati.

Tale sistema lavora su tutte le workstation e sui server ed è governato da un sistema

centralizzato che gestisce le verifiche programmate dei sistemi locali ( giornaliera o

settimanale) e regolarmente, tutte le notti, effettua un controllo per prelevare nuovi

aggiornamenti di versione direttamente dal produttore. Tali aggiornamenti vengono

distribuiti automaticamente a tutti i sistemi della rete.

B1 Tutti Amministratore

di sistema

Analisi dei

Rischi

Sulla base dell’analisi dei rischi è stato redatto il presente Regolamento Privacy. Questo

documento viene divulgato a tutti gli incaricati e responsabili.

A1,A2,

A4,C5 Tutti

Titolare del

trattamento

Responsabili del

trattamento

28


i

Trattamenti

interessati


all'adozione Piano di

verifica delle

misure

adottate

E’ stato stabilito un piano di verifica delle misure adottate. Tale piano è illustrato nel

presente DPS. Tutte Tutti

Responsabili del

trattamento

Piano di

formazione

degli

incaricati

E’ stato predisposto un piano per la formazione degli incaricati. Tale piano è illustrato nel

presente DPS.

A1,A2,

A4,C5 Tutti

Responsabili del

trattamento

Dotazione di

dispositivi

antintrusione

È stato installato un sistema di rilevazione di intrusione volumetrico e perimetrale inserito

e disinserito da un istituto di vigilanza. Questo sistema viene inserito alla chiusura degli

uffici dal personale autorizzato ed è in grado di segnalare l’intrusione in atto. La sede

operativa e la sala server sono dotate di impianto di allarme con sensori ottici di

rilevamento. Qualsiasi violazione o intrusione viene segnalata immediatamente ed

automaticamente alla società di Vigilanza preposta, che ha il compito di intervenire

presso la sede.

C1,C2 Tutti Titolare del

trattamento

C1,C2 Tutti Titolare del

trattamento

Business

Continuity

Plan /

Disaster

Recovery

Plan

OPTIMO NEXT dispone di un sito alternativo di Disaster Recovery. Il disaster Recovery

Plan è contrattualizzabile con livelli di servizio da definire in specifici contratti.

B6,

C3,C4,

C5,C6

Tutti Amministratore

di sistema

Trattamento

dei dati

personali dei

clienti su

supporti

removibili

L’utilizzo di supporti removibili è strettamente regolata da apposita policy interna e nel

rispetto delle normativa sulla conservazione ottica sostitutiva. B6,C2 Tutti

Amministratore

di sistema

29


i

Trattamenti

interessati


all'adozione Trattamento

dei dati

personali da

parte dei

tecnici in

conformità a

quanto

previsto

dall'allegato B

del D.lgs

196/03

Viene richiesto al fornitore il rilascio di un attestazione di conformità degli interventi tecnici effettuati

all’allegato B del D.lgs. 196/03 B6 Tutti

Amministratore di

sistema

Trattamento di

dati sensibili

con strumenti

elettonici

Il file system, per i dati sensibili, è criptato con AES.

Gli utenti potranno accedere ai dati solo se opportunamente profilati e inoltre verrà

richiesto loro un esplicito consenso di visualizzazione del singolo documento (tramite pop

up) e tale consenso verrà registrato nell'audit.

Gestione delle chiave di criptazione: le chiavi, una per ogni cliente, saranno custodite sul

DB applicativo cifrate con la Master key, e una copia su supporto cartaceo di idoneo

materiale non deperibile sarà custodita in cassaforte. Anche una copia della Master key

sarà custodita in cassaforte con le medesime modalità.

C2 TD2 Amministratore di

sistema

30

10. CRITERI E MODALITÀ DI RIPRISTINO DELLA DISPONIBILITÀ DEI DATI

SNAPMIRROR di NetApp mantiene traccia dei ripristini effettuati in funzione delle richieste degli

utenti che vengono tracciate e autorizzate mediante il portale sharepoint. Se necessario viene

effettuato il ripristino dei dati dal sito di Disaster Recovery.

Optimo Next dispone anche della possibilità di ripristino resa disponibile da vSphere Replication che

consente il ripristino di una VM o dei singoli file/cartelle in essi contenuti.

Tramite la funzionalità nativa di windows VSS è possibile effettuare il ripristino tramite “Esplora

Risorse” di Windows, puntando sul file/cartella originale, scegliendo la versione precedente

necessaria e ripristinandola sopra quella originale.

Tramite Tool di Management di SQL, e più precisamente tramite Script appositamente predisposti,

che eseguono Full settimanali e Differenziali giornalieri dei DB è possibile il ripristino dei DB in caso

di necessità.

Periodicamente (almeno semestralmente) vengono effettuate prove di restore per tutte le soluzioni

di backup precedentemente illustrate.

11. PIANIFICAZIONE DEGLI INTERVENTI FORMATIVI PREVISTI

Coerentemente con l’evoluzione degli strumenti tecnici adottati dall’azienda e/o dall’insorgere di

nuove disposizioni legislative in materia, vengono programmati nuovi incontri formativi. In ogni

caso, almeno una volta l’anno, verrà comunque istituito un incontro per sensibilizzare gli incaricati

sull’importanza di adottare le norme di sicurezza predisposte e per recepire eventuali suggerimenti

in materia derivanti dalla constatazione della presenza di minacce o vulnerabilità riscontrate.

Descrizione sintetica degli interventi formativi Classi di incarico o

tipologie di incaricati interessati

Tempi previsti

Formazione sull’aggiornamento del DPS Responsabili / Incaricati Secondo semestre

2010

Formazione sull’aggiornamento del DPS Responsabili / Incaricati Secondo semestre

2011

Formazione sull’aggiornamento del Regolamento Privacy (ex

DPS) Responsabili / Incaricati

Secondo semestre

2012



Secondo semestre

2013



Secondo semestre

2014



Secondo semestre

2015

Formazione ai neoassunti e al personale sull’aggiornamento del

Regolamento Privacy (ex DPS) anche a fronte del Regolamento

CE di futura emissione

Responsabili / Incaricati Primo e Secondo

semestre 2016

31

12. OUTSOURCING (DATI DEI CLIENTI)

Il trattamento dei dati dei clienti può riguardare sia dati personali sia dati sensibili, dati di cui il Cliente

resta Titolare e Optimo Next viene nominata Responsabile esterno del trattamento.

Le misure di sicurezza della rete, in relazione ai server in Outsourcing (dati dei clienti) ed ai loro

collegamenti con reti remote, si basano sulla differenziazione dei Domini di Windows da non esporre

direttamente il servizio a Internet.

E’ stato attivato un sistema di filtraggio che opera sui collegamenti con reti remote per controllare il

traffico attraverso tali canali e un meccanismo di "intrusion detection" sul firewall.

L’ambiente hardware e software di ogni cliente è strutturato in funzione delle richieste del cliente stesso.

Ogni utente/cliente è inserito nel sistema con l’inserimento della propria User Id e Password.

L’Amministratore di Sistema è l’unico che, in qualsiasi momento, può monitorare gli accessi e le

abilitazioni.

Come già evidenziato per la rete interna, i sistemi informativi devono garantire la continuità del servizio,

in particolare diventa una necessità se si tratta di sistemi dedicati ai clienti verso i quali Optimo ha

obblighi contrattuali.

Per tutelare il patrimonio dati dei clienti presente sugli archivi gestionali e residenti sui dischi dei server

dedicati ai clienti, Optimo Next ha predisposto una specifica policy di backup descritta nel successivo

paragrafo. I back up garantiscono, in caso di perdita dei dati o di impossibilità di accesso al sistema, di

recuperare la situazione storica più recente. Per i clienti che ne fanno espressamente richiesta viene

allocato un server posizionato nel sito di DR che permette il ripristino del servizio.

L’accesso da remoto da parte del cliente segue il seguente iter:

Identificazione sul Firewall che avviene tramite il riconoscimento dell’indirizzo IP del cliente

(configurato all’interno del FIREWALL).

Inserimento credenziali di accesso sul FRONT END WEB

Ogni creazione, modifica o cancellazione di un utente al sistema è gestita da una specifica procedura in

base alla quale è il cliente stesso, nelle persone identificate quali responsabili, per iscritto (e-mail), a

richiedere tale modifica. Viene tenuta traccia di ogni richiesta effettuata.

12.1 POLICY DI BACKUP

Optimo Next ha predisposto la seguente policy di backup in base alla criticità e disponibilità dei dati:

32

Il backup dei dati mediante “snapshot” (NAS e Windows) viene utilizzato su entrambi i domini in funzione

delle criticità e della necessità di rapidità che di volta in volta vengono a crearsi.

La frequenza dei backup è almeno bi-giornaliera, di tipo full e la retention è di due settimane.

Optimo Next dispone anche dei backup resi disponibili da vSphere Replication che consente il backup di

una VM e dei singoli file/cartelle in essi contenuti.

Tramite la funzionalità nativa di windows VSS viene resa disponibile un ulteriore modalità di backup.

Tramite Tool di Management di SQL, e più precisamente tramite Script appositamente predisposti,

vengono eseguiti backup Full settimanali e Differenziali giornalieri dei DB.

I dati residenti sul datacenter di Aruba sono anch’essi oggetto di backup.

12.2 PUBBLICAZIONE AL CLIENTE

Optimo Next offre la possibilità al cliente di accedere alle applicazioni direttamente tramite Internet. In

questo modo il cliente non è vincolato ad alcuna linea di connessione.

Il servizio Web offerto consente la consultazione online dei documenti del cliente archiviati

elettronicamente.

Optimo Next ha realizzato una piattaforma tecnologica di pubblicazione affidabile, sicura, scalabile e

disponibile in modo da proteggere il patrimonio dei dati dei clienti.

La sicurezza sulla connessione avviene attraverso un sistema di firewall su tecnologia Juniper, attraverso

l’uso di SGS 550.

Su tutte le connessioni stabilite i firewall eseguono dei controlli sul traffico, accettando solo ciò che è

permesso.

Le connessioni avvengono sia tramite tunnel diretto tra devices (LAN to LAN), sia tramite client sw

dedicato per le stazioni di lavoro orfane.

I sistemi di sicurezza vengono gestiti direttamente dal supporto IT di Optimo Next.

Dati Critici

Documenti DB DB (.bak) Media Applicativi Configurazioni Log VM LUN

Infr

astr

utt

ure

NAS

Volume/LUN Snapshot

[RPO=±ogni 12h*±3g]

[RTO=±4h]

-

Volume/LUN Snapshot


[RTO=±4h]

Volume/LUN Snapshot


[RTO=±4h]

Volume/LUN Snapshot


[RTO=±4h]

Volume/LUN Snapshot


[RTO=±4h]

Volume/LUN Snapshot


[RTO=±4h]

-

Volume/LUN Snapshot


[RTO=±4h]

SAN

Volume/LUN Snapshot


[RTO=±4h]

- -

Volume/LUN Snapshot


[RTO=±4h]

Volume/LUN Snapshot


[RTO=±4h]

Volume/LUN Snapshot


[RTO=±4h]

Volume/LUN Snapshot


[RTO=±4h]

Volume/LUN Snapshot


[RTO=±4h]

Volume/LUN Snapshot


[RTO=±4h]

ESXi - - - - - - -

vSphere

Replication

[RPO=ogni 4h

*7g]

[RTO=±4h]

-

Windows

OS

Shadow Copy

[RPO=ogni

12h*±7g]

[RTO=±4h]

- -

Shadow Copy

[RPO=ogni

12h*±7g]

[RTO=±4h]

Shadow Copy

[RPO=ogni

12h*±7g]

[RTO=±4h]

Shadow Copy

[RPO=ogni

12h*±7g]

[RTO=±4h]

Shadow Copy

[RPO=ogni

12h*±7g]

[RTO=±4h]

- -

SQL -

SQL Manager

(.bak)

[RPO=ogni

24h*7g]

[RTO=±4h]

- - - - - - -

PM

(CA ARCserve Backup + Adic)

[RPO=ogni 24h*+7g]

[RTO=±8h]


[RPO=ogni 24h*+7g]

[RTO=±8h]


[RPO=ogni 24h*+7g]

[RTO=±8h]


[RPO=ogni 24h*+7g]

[RTO=±8h]


[RPO=ogni 24h*+7g]

[RTO=±8h]


[RPO=ogni 24h*+7g]

[RTO=±8h]


[RPO=ogni 24h*+7g]

[RTO=±8h]

- -

Backup eseguiti

33

12.3 FRONT-END

E’ la zona di pubblicazione dei servizi verso il mondo Internet.

Su questa zona arrivano le richieste di consultazione e da qui provengono le connessioni dei “tunnel”

diretti sui clienti (HTTPS).

Questa zona è la più critica e la più soggetta a controlli da parte dei responsabili del servizio.

Le politiche di pubblicazione interne sono rigide e i sistemi direttamente esposti sono soggetti a continui

aggiornamenti per scongiurare qualsiasi problema legato alla sicurezza.

Per l’accesso a Internet possibile limitare la visibilità solo ad alcuni indirizzi fissi (indirizzi della sede del

cliente o comunque ben definiti). In tal modo gli indirizzi non autorizzati non accedono al servizio.

Tutti i dati riguardanti le applicazioni Web sono memorizzate su tecnologia NAS (Network Attached

Storage) che garantisce notevole scalabilità e grande capacità di dati.

13. PIANO DI VERIFICHE E DI AGGIORNAMENTO PERIODICO DEL

REGOLAMENTO PRIVACY

La bontà delle misure adottate viene periodicamente verificata.

Durante queste operazioni di verifica periodica viene data particolare importanza a:

- Verifica dell’adozione delle misure minime di sicurezza.

- Verifica della bontà delle misure antintrusione adottate ( in particolare sistema di allarme).

- Corretto utilizzo delle parole chiave e dei profili di accesso degli incaricati. Prevedere la

disattivazione dei codici di accesso non utilizzati per più di sei mesi.

- Aggiornamento dei dispositivi antivirus.

- Aggiornamento dispositivi firewall.

- Aggiornamento dei programmi software che trattano i dati personali.

- Aggiornamento dei sistemi operativi e software applicativi che hanno accesso ad internet.

- Integrità dei dati e delle loro copie di backup.

- Bontà di conservazione dei documenti cartacei.

- Verifica access log amministratori di sistema.

- Accertamento della distruzione dei supporti magnetici che non possono più essere riutilizzati.

- Accertamento del livello di formazione degli incaricati. Prevedere sessioni di aggiornamento anche

in relazione all’evoluzione tecnica e tecnologica avvenuta in azienda.

Di queste verifiche viene redatto un verbale.

14. TRATTAMENTI AFFIDATI ALL’ESTERNO

In questa sezione è riportato il quadro sintetico delle attività affidate a terzi che comportano il trattamento

di dati, con l’indicazione sintetica del quadro giuridico o contrattuale (nonché organizzativo e tecnico) in

cui tale trasferimento si inserisce, in riferimento agli impegni assunti, anche all’esterno, per garantire la

protezione dei dati stessi.

Descrizione attività

Trattamenti di dati interessati

Soggetto esterno Descrizione dei criteri e degli

impegni assunti per l’adozione delle

34

esternalizzata misure Adempimenti

contabili, fiscali e

previdenziali

TD4 STUDIO GREPPI

trattamento di dati ai soli fini dell’espletamento

dell’incarico ricevuto;

Servizi ai clienti TD2 STUDIO MALINVERNI



Adempimenti in

merito a salute e

sicurezza su posto di

lavoro (d.lgs. 81/08)

TD4 SGST srl



TD4 CMM srl



Servizi di

postalizzazione TD1,TD2 SELECTA Spa



Tabella 1 – Trattamenti esternalizzati Legenda

Descrizione dell’attività “esternalizzata”: è indicata sinteticamente l’attività affidata all’esterno.

Trattamenti di dati interessati: è indicato se i trattamenti sono relativi a dati, sensibili o

giudiziari, effettuati nell’ambito della predetta attività.

Soggetto esterno: è indicata la società, l’ente o il consulente cui è stata affidata l’attività, e il ruolo

ricoperto agli effetti della disciplina sulla protezione dei dati personali (titolare o responsabile del

trattamento).

Descrizione dei criteri: il tipo di dichiarazione che la società a cui viene affidato il trattamento

rilascia o il tipo di impegno assunto anche su base contrattuale:

1. trattamento di dati ai soli fini dell’espletamento dell’incarico ricevuto;

2. adempimento degli obblighi previsti dal Codice per la protezione dei dati personali;

3. rispetto delle istruzioni specifiche eventualmente ricevute per il trattamento dei dati

personali o integrazione delle procedure già in essere;

4. impegno a relazionare periodicamente sulle misure di sicurezza adottate –anche mediante

eventuali questionari e liste di controllo- e ad informare immediatamente il titolare del

trattamento in caso di situazioni anomale o di emergenza

35

15. MODELLI NOMINE

15.1 NOMINA DEL RESPONSABILE DEI TRATTAMENTI DEI DATI

PERSONALI

Bottanuco lì, __/__/_____

Oggetto: nomina del Responsabile dei trattamenti dei dati personali trattati da OPTIMO NEXT S.r.l.

Il sottoscritto Fabrizio Tudisco in qualità di Legale Rappresentante,

visto

- il D.Lgs 196/2003 “Codice in materia di protezione dei dati personali”, che d’ora in poi nel presente

documento sarà richiamato semplicemente come “Codice”

premesso che

- Ai sensi dell’art. 28 del “Codice” è, nel presente atto, Titolare dei dati personali trattati da parte di questa

società è la società stessa, di cui il sottoscritto è Legale Rappresentante pro-tempore

- L’art. 29 del “Codice” consente la facoltà di nominare uno o più Responsabili di tutti o parte dei

trattamenti.

- L’art. 33 impone di adottare le misure di sicurezza disposte dal “Codice” e almeno le misure minime

individuate dall’allegato B del “Codice” stesso

considerato che

- occorre definire le misure minime di sicurezza per l’attività di ciascuna unità organizzativa nel

trattamento di dati personali e per l’esecuzione di procedimenti amministrativi e individuare gli incaricati

Ritenuto che abbia adeguate capacità professionali, esperienza e affidabilità, tali da fornire idonea

garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo

relativo alla sicurezza,

nomina

______________________________quale Responsabile dei trattamenti dei dati (di seguito indicato

come“Responsabile”) per i trattamenti individuati nel Regolamento Privacy Aziendale

Nello specifico al Responsabile vengono affidate le seguenti responsabilità e compiti:

1) E’ autorizzato ad individuare e a comunicare al Titolare i nominativi degli incaricati al trattamento che

dovranno essere nominati

2) E’ autorizzato a trattare tutti i dati personali con cui entri comunque in contatto nell’ambito

dell’espletamento dell’attività di sua competenza contenuti nelle banche dati e negli archivi cartacei

identificati nel Regolamento Privacy nella sezione “Elenco trattamenti dei dati” e ad esso assegnati.

3) Ha il compito di istruire gli “Incaricati” ed in particolare dando piena concretezza a quanto previsto dal

Regolamento Privacy.

4) Ha il compito di organizzare gli archivi cartacei in modo da garantire adeguata protezione dei dati,

anche in relazione al loro grado di sensibilità e riservatezza, nonché di garantirne la protezione da eventi

che potrebbero danneggiare o far perdere documenti.

36

6) Ha il compito di definire, in collaborazione con l’amministratore di sistema, la gestione dei personal

computer e dei dispositivi elettronici che trattano dati personali in modo da garantire adeguata protezione

dei dati, anche in relazione al loro grado di sensibilità e di riservatezza,

nonché di garantirne la protezione da eventi che potrebbero danneggiare o far perdere documenti, come

indicato all’interno del “Regolamento Privacy” .

7) Ha il compito per quanto non espressamente citato, di dare piena attuazione al “Codice” e al

Disciplinare Tecnico (allegato B), nonché a quanto indicato all’interno del “Regolamento Privacy” in termini

di adozione delle misure minime di sicurezza.

8) Ha il compito di collaborare col Titolare nella predisposizione e nell’adeguamento del “Regolamento

Privacy” e degli altri documenti necessari.

9) Ha il compito di collaborare col Titolare nella predisposizione di attività formative degli “Incaricati”,

mediante riunioni, corsi o distribuzione di materiali illustrativi delle norme, così come indicato all’interno

del “Regolamento Privacy” nella sezione “Pianificazione degli interventi formativi”.

10) Ha il compito di gestire l’ingresso di nuovo personale, all’atto dell’assunzione in servizio, dando ad ogni

nuovo componente anche temporaneo dell’unità organizzativa in oggetto un’adeguata formazione

individuale.

In generale il “Responsabile” deve comunque attenersi rigorosamente a tutte le regole dettate dal

D.Lgs 196/2003 e in particolare ai seguenti punti fondamentali:

a) I dati devono essere trattati in modo lecito e secondo correttezza, devono essere esatti ed aggiornati.

b) Per il trattamento devono essere seguite le norme di legge in materia di tutela della riservatezza dei dati

personali e devono essere applicate le misure di protezione previste dal Titolare.

DATA Il Titolare del trattamento

_______________________ _____________________________

Firma Per Accettazione

_______________________

37

15.2 NOMINA DEGLI INCARICATI


Oggetto: nomina Incaricato del trattamento dei dati personali trattati da Optimo Next S.r.l.


visto



premesso che



- L’art. 30 del “Codice” sancisce che le operazione di Trattamento dei dati possano essere effettuate suolo

da Incaricati nominati per iscritto dal Titolare.

Nomina

il sig./la sig.ra/_________________________________________________

Incaricato/a del trattamento per i seguenti trattamenti / banche dati :

____________________________________________

In particolare l’Incaricato del trattamento dei dati personali deve osservare le seguenti disposizioni:

L’incaricato che ha ricevuto credenziali di autenticazione (User ID e Password) per il

trattamento dei dati personali, deve conservare con la massima segretezza le parole chiave e i

dispositivi di autenticazione in suo possesso e uso esclusivo

La parola chiave, quando è prevista dal sistema di autenticazione, deve essere composta da

almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un

numero di caratteri pari al massimo consentito

La parola chiave non deve contenere riferimenti agevolmente riconducibili all’incaricato

L’incaricato del trattamento deve modificarla al primo utilizzo e, successivamente, almeno ogni

sei mesi.

In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave deve essere

modificata almeno ogni tre mesi

Gli incaricati del trattamento non debbono in nessun caso lasciare incustodito e accessibile lo

strumento elettronico durante una sessione di trattamento dei dati personali. (Lo Screensaver

deve essere impostato al massimo a 15 minuti e il ripristino deve essere protetto da Password).

38

Gli incaricati del trattamento debbono controllare e custodire, per l’intero ciclo necessario allo

svolgimento delle operazioni di trattamento, gli atti e i documenti contenenti i dati personali

Quando gli atti e i documenti contenenti i dati personali sensibili o giudiziari sono affidati agli

incaricati del trattamento per lo svolgimento dei relativi compiti i medesimi atti e documenti

sono controllati e custoditi dagli incaricati fino alla restituzione, e sono restituiti al termine

delle operazioni affidate.

L’incaricato del trattamento dichiara di aver preso conoscenza dei compiti che gli sono stati affidati, e di

essere a conoscenza di quanto stabilito dal Codice in materia di dati personali e si impegna ad adottare

tutte le misure necessarie all’attuazione delle norme in esso descritte

Il responsabile del Trattamento

_________________________

Firma per accettazione

_______________________________

39

15.3 NOMINA CUSTODE DELLE CREDENZIALI


Oggetto: nomina custode delle credenziali per Optimo Next S.r.l.


visto



premesso che



- Il punto 10 dell’allegato B del “Codice” prevede l’individuazione preventiva per iscritto dei soggetti

incaricati della custodia delle credenziali di accesso agli strumenti elettronici.

Nomina

il sig./la sig.ra/_________________________________________________

“custode delle parole chiave riservate” .

Nell’espletamento delle sue funzioni il/la custode delle credenziali dovrà applicare le misure di sicurezza

disposte dall’impresa e, specificatamente, nelle gestione delle parole chiave dovrà:

- custodire la password, con modalità (fisiche ed organizzative) atte a garantire la segretezza della stessa e

la relativa integrità in modo da permettere l’accesso al sistema in caso di emergenza in concomitanza ad

una eventuale indisponibilità degli amministratori di sistema;

Il responsabile del Trattamento

_________________________

Firma per accettazione

_______________________________

40

15.4 NOMINA RESPONSABILE DEL TRATTAMENTO ESTERNO

Spettabile __________________, Optimo Next S.r.l., è “Titolare” dei trattamenti di dati personali che sono

esternalizzati presso la Vs. Azienda, per effetto del contratto stipulato il ____________. Con la presente

Optimo Next S.r.l. designa la Vs. Azienda quale “Responsabile del trattamento” ai sensi dell'art. 29 del d.

lgs. 196/2003 “Codice in materia di protezione dei dati personali” (il “Codice”) in relazione ai trattamenti

previsti nel contratto suddetto.

In relazione a tale nomina la Vs. Azienda dovrà seguire le seguenti istruzioni:

- garantire che i trattamenti siano svolti nel pieno rispetto delle norme e di ogni prescrizione contenuta

nel Codice, nei relativi allegati compresi i codici deontologici, delle future modificazioni ed integrazioni

nonché informarsi e tenere conto dei provvedimenti, dei comunicati ufficiali, delle autorizzazioni

generali emessi dall'Autorità Garante per la Protezione dei Dati Personali (il “Garante”);

- verificare la costante adeguatezza delle misure di sicurezza per la protezione dei trattamenti alle

misure minime di sicurezza di cui agli artt. da 33 a 35 del Codice, da adottarsi nei modi previsti dal

Disciplinare Tecnico allegato B al Codice e secondo le previsioni dell’art. 180, e delle eventuali

modificazioni o integrazioni che dovessero intervenire ai sensi dell’art. 36 nonché a quelle idonee e

preventive di cui all’art. 31 così da ridurre al minimo i rischi di perdita e distruzione, anche accidentale,

dei dati stessi, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità

della raccolta;

- segnalare tempestivamente qualsiasi eventuale carenza sulle misure di sicurezza adottate o su

qualunque altro aspetto relativo ai trattamenti conferiti che dovesse comportare responsabilità civili e

penali del Titolare;

- curare l’aggiornamento periodico, almeno annuale, del Documento Programmatico sulla sicurezza

previsto dalla regola 19 del Disciplinare Tecnico citato, relativamente ai trattamenti di dati personali

conferiti col contratto suddetto, consegnandone copia in tempo utile affinché OPTIMO NEXT S.r.l.

possa provvedere all’adempimento rispettando la scadenza prevista dalla normativa in questione;

- comunicare tempestivamente qualsiasi richiesta ricevuta ai sensi dell'art. 7 del Codice, per

consentirne l'evasione nei termini previsti dalla legge e, in particolare, disporre l'organizzazione

interna per l'eventuale modifica, rettifica, integrazione e cancellazione dei dati, nonché il blocco del

trattamento ove venisse disposto dal Garante o dall'Autorità Giudiziaria;

Ci riserviamo, ai sensi dell'art. 29 comma 5 del Codice, la facoltà di effettuare verifiche periodiche per

vigilare sulla puntuale osservanza delle vigenti disposizioni in materia di trattamento, ivi compreso il

profilo relativo alla sicurezza, e delle istruzioni suddette.

41

Cordiali saluti

42

15.5 NOMINA AMMINISTRATORE DI SISTEMA (RESPONSABILE)


Oggetto: Incarico di amministratore di sistema (responsabile)

Il sottoscritto Fabrizio Tudisco , in qualità di titolare del trattamento dei dati ai sensi del D.L.vo N. 196

del 30/06/2003 di OPTIMO NEXT S.r.l., conformemente a quanto stabilito nell’allegato B “Disciplinare

tecnico in materia di misure minime di sicurezza”, affida al Sig. Fabrizio Tudisco, l’incarico di

amministratore di sistema con i seguenti compiti:

Sovrintendere al funzionamento della rete;

Monitorare lo stato dei sistemi;

Eseguire gli interventi di manutenzione hardware e software su sistemi operativi e applicativi

indicati dal responsabile dei sistemi informativi;

Sovrintendere all’operato di eventuali tecnici esterni all’azienda.

Fare in modo che sia prevista la disattivazione dei codici identificativi personali (user-id), in caso di

perdita della qualità che consentiva all’incaricato l’accesso al personal computer, oppure nel caso

di mancato utilizzo del codice per oltre sei mesi;

Non comunicare a terzi in alcun modo password di alcun utente;

Collaborare con i responsabili del trattamento dei dati personali;

Collaborare con il custode delle password;

Proteggere tutti i sistemi informatici mediante l’impiego di idonei programmi di protezione, la cui

efficacia e aggiornamento dovrà essere verificata con cadenza semestrale, con riferimento ai

seguenti rischi:

o abuso della qualità di operatore di sistema prevista dal codice penale per le fattispecie di

accesso abusivo a sistema informatico o telematico (art. 615 ter)

o frode informatica (art. 640 ter)

o danneggiamento di informazioni, dati e programmi informatici (artt. 635 bis e ter) e di

danneggiamento di sistemi informatici e telematici (artt. 635 quater e quinques)

Non comunicare a terzi in alcun modo, se non nei casi espressamente previsti, e non utilizzare

per altri fini i dati personali di cui dovesse venire a conoscenza nell’esecuzione delle operazioni di

gestione dei sistemi informativi e comunque mantenere la più completa riservatezza sui dati

trattati e sulle tipologie di trattamento effettuate. Tali obblighi perdureranno anche dopo la

cessazione del rapporto di lavoro;

Gestire in modo sicuro i supporti e le aree di memoria, interni od esterni al sistema di

trattamento, già utilizzati per il trattamento dei dati, provvedendo a che le informazioni

precedentemente contenute non siano recuperabili o provvedendo, altrimenti, alla loro

distruzione;

Coordinare l’operato degli altri Amministratori di Sistema

L’amministratore testé incaricato, dichiara di essere a conoscenza di quanto stabilito dal D.L.vo N. 196 del

30/06/2003 ed in particolare di quanto indicato nell’allegato B “Disciplinare tecnico in materia di misure

minime di sicurezza” e si impegna ad adottare tutte le misure necessarie all’attuazione delle norme

descritte nel Documento Programmatico sulla Sicurezza, in relazione ai compiti sopra indicati.

L’operato degli amministratori di sistema è oggetto di verifiche almeno annuali sotto la responsabilità del

titolare del trattamento al fine di controllare la sua rispondenza alle misure organizzative, tecniche e di

43

sicurezza definite per i trattamenti e previste dalla normativa vigente (rif. Allegato B – D.Lgs 196/03 e

Provvedimento Garante del 27-11-08 pubblicato in G.U. n. 300 del 24 dicembre 2008).

Gli accessi logici ai Sistemi Informativi e ai Data Base da parte degli amministratori vengono tracciati

garantendone la completezza, inalterabilità e possibilità di verifica della relativa integrità. L’access log

degli amministratori contiene i riferimenti temporali, la descrizione dell’evento e prevederà la

storicizzazione degli eventi per un periodo di 6 mesi.

Per accettazione dell’incaricato

L’amministratore del sistema

Il titolare del trattamento

_________________________

(firma)

_________________________

(firma)

44

15.6 NOMINA AMMINISTRATORE DI SISTEMA


Oggetto: Incarico di amministratore di sistema

Il sottoscritto Fabrizio Tudisco , in qualità di titolare del trattamento dei dati ai sensi del D.L.vo N. 196

del 30/06/2003 di OPTIMO NEXT S.r.l., conformemente a quanto stabilito nell’allegato B “Disciplinare

tecnico in materia di misure minime di sicurezza”, affida al Sig__________________, l’incarico di

amministratore di sistema con i seguenti compiti:

Sovrintendere al funzionamento della rete;

Monitorare lo stato dei sistemi;

Eseguire gli interventi di manutenzione hardware e software su sistemi operativi e applicativi

indicati dal responsabile dei sistemi informativi;

Sovrintendere all’operato di eventuali tecnici esterni all’azienda.

Fare in modo che sia prevista la disattivazione dei codici identificativi personali (user-id), in caso di

perdita della qualità che consentiva all’incaricato l’accesso al personal computer, oppure nel caso

di mancato utilizzo del codice per oltre sei mesi;

Non comunicare a terzi in alcun modo password di alcun utente;

Collaborare con i responsabili del trattamento dei dati personali;

Collaborare con il custode delle password;

Proteggere tutti i sistemi informatici mediante l’impiego di idonei programmi di protezione, la cui

efficacia e aggiornamento dovrà essere verificata con cadenza semestrale, con riferimento ai

seguenti rischi:

o abuso della qualità di operatore di sistema prevista dal codice penale per le fattispecie di

accesso abusivo a sistema informatico o telematico (art. 615 ter)

o frode informatica (art. 640 ter)

o danneggiamento di informazioni, dati e programmi informatici (artt. 635 bis e ter) e di

danneggiamento di sistemi informatici e telematici (artt. 635 quater e quinques)

Non comunicare a terzi in alcun modo, se non nei casi espressamente previsti, e non utilizzare

per altri fini i dati personali di cui dovesse venire a conoscenza nell’esecuzione delle operazioni di

gestione dei sistemi informativi e comunque mantenere la più completa riservatezza sui dati

trattati e sulle tipologie di trattamento effettuate. Tali obblighi perdureranno anche dopo la

cessazione del rapporto di lavoro;

Gestire in modo sicuro i supporti e le aree di memoria, interni od esterni al sistema di

trattamento, già utilizzati per il trattamento dei dati, provvedendo a che le informazioni

precedentemente contenute non siano recuperabili o provvedendo, altrimenti, alla loro

distruzione;

L’amministratore testé incaricato, dichiara di essere a conoscenza di quanto stabilito dal D.L.vo N. 196 del

30/06/2003 ed in particolare di quanto indicato nell’allegato B “Disciplinare tecnico in materia di misure

minime di sicurezza” e si impegna ad adottare tutte le misure necessarie all’attuazione delle norme

descritte nel Documento Programmatico sulla Sicurezza, in relazione ai compiti sopra indicati.

L’operato degli amministratori di sistema è oggetto di verifiche almeno annuali sotto la responsabilità del

titolare del trattamento al fine di controllare la sua rispondenza alle misure organizzative, tecniche e di

sicurezza definite per i trattamenti e previste dalla normativa vigente (rif. Allegato B – D.Lgs 196/03 e

Provvedimento Garante del 27-11-08 pubblicato in G.U. n. 300 del 24 dicembre 2008).

45

Gli accessi logici ai Sistemi Informativi e ai Data Base da parte degli amministratori vengono tracciati

garantendone la completezza, inalterabilità e possibilità di verifica della relativa integrità. L’access log

degli amministratori contiene i riferimenti temporali, la descrizione dell’evento e prevederà la

storicizzazione degli eventi per un periodo di 6 mesi.

Per accettazione dell’incaricato

L’amministratore del sistema

Il titolare del trattamento

_________________________

(firma)

_________________________

(firma)

Bottanuco (BG), lì 31 marzo 2014

Il Titolare del Trattamento

OPTIMO NEXT S.r.l.

Fabrizio Tudisco

46

Allegato 1

Livello di attuazione e verifiche periodiche sulle misure di sicurezza previste dall’allegato “B” del D.lgs. 196/03 “Codice in materia di protezione dei dati personali”

REV.09

Optimo Next pone particolare attenzione alla conformità dei servizi offerti rispetto al “Codice in

materi di protezione dei dati” d.lgs 196/03 e ai successivi provvedimenti introdotti dal Garante

per la protezione dei dati personali e nello specifico ai provvedimenti:

- “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici

relativamente alle attribuzioni delle funzioni di amministratore di sistema” del 27 novembre

2008, pubblicato in G.U. n. 300 del 24 dicembre 2008.

- “Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati

personali “ del 13 ottobre 2008, pubblicato in G.U. n. 287 del 9 dicembre 2008

A tal scopo Optimo Next effettua annualmente approfonditi Audit finalizzati alla verifica delle

piena conformità delle misure di sicurezza implementate rispetto ai requisiti richiesti dal

Garante e alle esigenze dei clienti.

Gli Audit effettuati portano all’aggiornamento annuale del Regolamento Privacy (ex Documento

Programmatico sulla Sicurezza dei Dati) di cui questo documento è una sintesi volta a presentare

le misure di sicurezza implementate da Optimo Next.

47

Misure di sicurezza fisica

Misura di

Sicurezza DESCRIZIONE

48

Controlli degli

accessi e

protezione

dell’ambiente

La sicurezza fisica è garantita dal portone ad accesso controllato.

L’accesso dei dipendenti e collaboratori alla struttura viene consentito e registrato,

durante l’orario di lavoro, tramite badge RFID.

L’accesso dei visitatori agli uffici avviene previa registrazione all’ingresso tramite

apposito software.

Alle misure fisiche è associato un sistema allarme dotato di radar per la rilevazione

del movimento combinati a sensori infrarossi e una centralina che gestisce 8 zone

con collegamento ad alta velocità in bassa tensione. È stato inoltre predisposto un

ponte radio che consente il collegamento diretto con l’ istituto di vigilanza.

Questo sistema viene inserito alla chiusura degli uffici dal personale autorizzato ed è

in grado di segnalare l’intrusione in atto.

La sala server è dotata di impianto di allarme anch’esso dotato di radar per la

rilevazione del movimento combinati a sensori infrarossi indipendente rispetto al

sistema della sede.

Qualsiasi violazione o intrusione viene segnalata immediatamente ed

automaticamente al personale interno incaricato e alla società di Vigilanza preposta,

che ha il compito di intervenire presso la sede.

Le postazioni di lavoro dotate di PC e soprattutto l'area ove sono situati i server non

sono accessibili al pubblico se non accompagnato da personale dell’Azienda.

Analoghe misure sono previste per i luoghi ove vengono trattati e custoditi i supporti

cartacei delle informazioni.

Il Data Center è protetto tramite lettore di badge.

Optimo Next dispone inoltre di un impianto di video sorveglianza perimetrale

finalizzato a tutelare l’integrità del patrimonio aziendale e le proprietà dei propri

clienti.

√

Dispositivi

antincendio

La sede è dotata di dispositivi antincendio costituiti da estintori, da manichette e da

idranti per l’area esterna.

Il Data Center è dotato di rilevatori di fumi/incendio a pavimento e a soffitto e di un

impianto di spegnimento tramite gas inerte.

√

49

Misure di sicurezza previste dal DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI

SICUREZZA (Allegato B, d.lgs 196/03) Misura di


MMS 1

L’accesso ai sistemi informatici prevede meccanismi di autenticazione che

permettono l’accesso solo ai dati relativi al proprio profilo di appartenenza, ogni

dipendente riceve lettera di incarico scritta rispetto alla mansione e all'ambito delle

risorse che può utilizzare. Con una cadenza giornaliera vengono effettuati i

salvataggi dei dati (in modalità completa) dei server che forniscono il servizio.

√

MMS 2/3 Le credenziali di autenticazione sono composte da user-name e password e sono

assegnate ad un singolo utente √

MMS 4

A tutti i dipendenti sono comunicate per iscritto raccomandazioni per la

conservazione della segretezza delle credenziali di autenticazione ed è stata istituita

una policy di sistema che avvisa l’utente dei cambiare la password ogni 90 giorni.

Alla richiesta automatica del sistema di cambio password, l’utente deve modificarla

ed è impossibilitato a inserire una password usata precedentemente (questo fino a 3

password precedenti).

√

MMS 5

La password di accesso, che deve essere di almeno 8 caratteri, viene inserita

dall’Amministratore di Sistema e l’utente, al primo accesso, deve modificarla.

La policy istituita per le password prevede che contengano obbligatoriamente

almeno un numero, una maiuscola o un carattere speciale e che non siano

facilmente riconducibile all’utente stesso.

√

MMS 6 Le credenziali di accesso non possono in alcun caso essere assegnate a persone

diverse ma sono univocamente legate al singolo utente. √

MMS 7 Le credenziali di accesso non utilizzate per almeno 6 mesi vengono disattivate. √

MMS 8 In caso di dimissioni le credenziali vengono disattivate, l’account di posta elettronica

viene bloccato. √

50

Misura di


MMS 9 A tutti gli incaricati sono impartite istruzioni per iscritto in merito alla utilizzo di

screensaver o di altri mezzi per impedire l’accesso a computer lasciati incustoditi. √

MMS 10

Al fine di garantire la continuità e la tempestività del servizio in caso di urgente

necessità l’amministratore, su richiesta del responsabile di funzione di sistema e

previa comunicazione agli interessati, può accedere all’account utente. Terminato

l’utilizzo l’amministratore provvede a resettare la password che deve essere

reimpostata dall’incaricato al primo utilizzo. √

Il titolare ha in custodia le copie credenziali di accesso degli amministratori che

vengono conservata in busta chiusa in cassaforte.

MMS 11 Non Applicabile ad Optimo Next

MMS 12/13 Ogni utente viene inserito in un apposito profilo individuale o di gruppo ed ogni

profilo può accedere solo alle risorse del sistema operativo che gli competono. √

MMS 14 Annualmente viene effettuata una verifica al fine di rilevare la sussistenza delle

condizioni per il mantenimento dei profili di autorizzazione. √

MMS 15 All’interno del Regolamento Privacy (ex DPS) è stata predisposta una liste delle

strutture incaricate del trattamento dei dati. √

MMS 16

Sulla rete interna di Optimo Next agisce un sistema antivirus che preserva i dati

sia dei server sia delle stazioni di lavoro da eventuali intrusioni da parte di virus o

di agenti esterni indesiderati. Tale sistema lavora su tutte le workstation e sui

server in appoggio a due sistemi centralizzati che gestiscono le verifiche

programmate dei sistemi locali ( giornaliera o settimanale) e regolarmente, tutte

le notti, effettua un controllo per prelevare nuovi aggiornamenti di versione

direttamente dal produttore. Tali aggiornamenti vengono distribuiti

automaticamente a tutti i sistemi della rete.

√

La sicurezza sulla connessione viene garantita attraverso un sistema di firewall su

tecnologia Juniper che esegue dei controlli sul traffico, accettando solo ciò che è

permesso. √

51

Misura di


MMS17 I sistemi operativi vengono periodicamente aggiornati rivolgendo particolare

attenzione alle patch e agli upgrade riguardanti la sicurezza. √

MMS 18

Ogni 12h vengono effettuati i salvataggi dei dati (in modalità completa) dei server

che forniscono il servizio.

Viene effettuato il backup delle elaborazioni dei documenti digitalizzati, residenti su

NAS con tecnologia RAID 10, attraverso le policy di snapshot che prevedono la

creazione dell’immagine del volume dedicato al cliente 2 volte nell’arco delle 24h. I

dati vengono anche replicati tramite “Snap Mirror” (NetApp to NetApp) sul sito di

Disaster Recovery per i clienti contrattualizzati.

√

MMS 19

Optimo Next ha deciso di mantenere aggiornato un Regolamento Aziendale Privacy

(ex DPS) contenente:

L'elenco dei trattamenti di dati personali;

la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture

preposte al trattamento dei dati;

l'analisi dei rischi che incombono sui dati;

le misure da adottare per garantire l'integrità e la disponibilità dei dati,

nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro

custodia e accessibilità;

la descrizione dei criteri e delle modalità per il ripristino della disponibilità

dei dati in seguito a distruzione o danneggiamento.

Il piano degli interventi formativi di aggiornamento dei responsabili e degli

incaricati del trattamento in materia di Privacy. La formazione è inoltre

programmata al momento dell'ingresso in servizio, nonché in occasione di

cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti,

rilevanti rispetto al trattamento di dati personali;

la descrizione dei criteri da adottare per garantire l'adozione delle misure

minime di sicurezza in caso di trattamenti di dati personali affidati, in

conformità al codice, all'esterno della struttura di Optimo Next;

i criteri da adottare per il trattamento dei dati sensibili.

√

Misura di


MMS 20 Per garantire la sicurezza, oltre ai sistemi firewall configurati solo per consentire

l’accesso ad alcune tipologie di dati (messaggi di posta), è stato implementato un √

52

sistema di REVERSE PROXY, per l’accesso alla Web mail, basato su un protocollo

criptato, in modo da non esporre direttamente il servizio alle minacce provenienti

dal WEB.

MMS 21/22 L’utilizzo di supporti removibili è strettamente regolata da apposita policy interna. √

MMS 23

OPTIMO NEXT dispone di un sito alternativo di Disaster Recovery. Il disaster

Recovery Plan è contrattualizzabile con livelli di servizio da definire in specifici

contratti. √

MMS 24 Non Applicabile ad Optimo Next

MMS 25 Ai fornitori che compiono interventi sulla rete aziendale viene sempre richiesta una

dichiarazione di conformità dell’intervento al disciplinare tecnico. √

MMS 26 Il titolare nella relazione accompagnatoria del bilancio d’esercizio riferisce

sull’aggiornamento del Regolamento Privacy √

MMS 27

Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia,

per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli

atti e dei documenti contenenti dati personali.

√

MMS 28

Quando gli atti e i documenti cartacei contenenti dati personali sensibili o giudiziari

sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i

medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla

restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e

sono restituiti al termine delle operazioni affidate.

√

MMS 29

Gli atti e i documenti contenenti i dati sono conservati in archivi ad accesso

selezionato e, inoltre, per i documenti contenenti dati sensibili sono stati previsti

archivi ad accesso controllato tramite badge.

√

Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti

elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27

novembre 2008.

(G.U. n. 300 del 24 dicembre 2008)

53

Misura di


A Nell’ attribuzione delle funzioni di amministratore di sistema viene attentamente

valutata l'esperienza, la capacità e l'affidabilità del soggetto/i designato/i √

B1 La designazione quale amministratore di sistema è individuale √

B2 Gli ambiti individuali di intervento degli amministratori sono definiti in un

documento √

C1/C2/C3

Nel Regolamento Privacy è stato predisposto l’elenco degli identificativi delle

persone fisiche con incarico di amministratori di sistema.

I nominativi degli amministratori di sistema vengono resi noti nell’ambito della

struttura organizzativa di Optimo Next mediante Policy aziendale comunicata a

tutti i dipendenti tramite pubblicazione sul portale aziendale.

√

D

Nel caso di servizi di amministrazione di sistema affidati in outsourcing gli

estremi identificativi degli amministratori di sistema sono conservati per

sopperire ad ogni evenienza.

√

E

L’operato degli amministratori di sistema è oggetto di verifiche almeno annuali

sotto la responsabilità del titolare del trattamento al fine di controllare la sua

rispondenza alle misure organizzative, tecniche e di sicurezza definite per i

trattamenti e previste dalla normativa vigente

√

F1 / F2 / F3 / F4

Per la rilevazione ed archiviazione dei log è stato installato il software NG attivo

su tutti i sistemi. In particolare tramite il software citato viene tracciato log on,

log off e disconnessione remota forzata. I log vengono archiviati garantendo uno

storico di 6 mesi dall’applicativo NG che ne garantisce inoltre l’inalterabilità e

l’integrità.

√

Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati

personali – 13 ottobre 2008

54

G.U. n. 287 del 9 dicembre 2008

Misura Tecnica DESCRIZIONE

G Gli HD di Pc e server vengono formattati a basso livello e inviati ad una società

terza per la distruzione fisica; la società rilascia quindi apposita certificazione √

Provvedimento in materia di videosorveglianza - 8 aprile 2010

(Gazzetta Ufficiale n. 99 del 29 aprile 2010)

Misura Tecnica DESCRIZIONE

H

La zona sottoposta a videosorveglianza è segnalata. Sono previste misure tecniche od organizzative per la cancellazione, anche in forma automatica, delle registrazioni, allo scadere del termine previsto. Le immagini sono conservate per un periodo di tempo inferiore ai 7gg. Sono stati adottati sistemi idonei alla registrazione degli accessi logici degli incaricati e delle operazioni compiute sulle immagini registrate, compresi i relativi riferimenti temporali, con conservazione per un periodo di tempo congruo all'esercizio dei doveri di verifica periodica dell'operato dei responsabili da parte del titolare, comunque non inferiore a sei mesi?

√

Regolamento Privacy Aziendale - Optimo Next · 3 7.0 Revisione generale del documento Revisione...

Documents

Transcript of Regolamento Privacy Aziendale - Optimo Next · 3 7.0 Revisione generale del documento Revisione...