RSI - Regolamento per l'utilizzo dei sistemi …Translate this page · CODICE RSI TITOLO...

CODICE RSI

TITOLO REGOLAMENTO PER UTILIZZO DEI SISTEMI INFORMATIVI AZIENDALI Rev. 01

Data 12/09/2018

CLASSIFICAZIONE - USO INTERNO / INTERNAL USE ONLY

Questo documento è proprietà di sedApta Group che se ne riserva tutti i diritti. Pagina 1 di 15

REGOLAMENTO PER UTILIZZO

DEI SISTEMI INFORMATIVI AZIENDALI

AZIENDA QUALIFICA NOME FIRMA

REDAZIONE

Tutte le aziende

RSI (QUA + ITA) BBEENNEEDDEETTTTAA CCUUTTTTIICCAA

SSIIMMOONNEE NNAASSOO

Tutte le aziende

Consulente Privacy Esterno

MMAATTTTIIAA CCAARRAAVVIINNAA

APPROVAZIONE

sedApta srl

Legale Rappresentante (DIR)

FFRRAANNCCEESSCCOO CCAAUUVVIINN

Hyla Soft SpA

Legale Rappresentante (DIR)

CCLLAAUUDDIIOO ZZIILLIICCHH

Aryosa Srl Legale Rappresentante AALLBBEERRTTOO GGRROOSSSSOO

Skillaware Srl Legale Rappresentante BBEENNEEDDEETTTTAA CCUUTTTTIICCAA

Novigo Srl Legale Rappresentante DDAAVVIIDDEE AANNGGHHIINNOOLLFFII

Atomos FT Srl Legale Rappresentante RROOBBEERRTTOO VVAACCCCAARROO

Sintec Srl Legale Rappresentante AALLBBEERRTTOO CCHHIINN

CODICE RSI


Data 12/09/2018



INDICE:

1. PREMESSA..................................................................................................................................... 3 2. COMUNICAZIONI CON AS .................................................................................................................. 3 3. UTILIZZO DEL PERSONAL COMPUTER E DELLE MACCHINE VIRTUALI ................................................................ 4 4. UTILIZZO DELLA RETE DI SEDAPTA GROUP ............................................................................................. 6 5. GESTIONE DELLE CREDENZIALI DI ACCESSO ............................................................................................ 7 6. UTILIZZO DEI SUPPORTI MAGNETICI ..................................................................................................... 8 7. UTILIZZO DI PC PORTATILI ................................................................................................................ 9 8. NORME DI CARATTERE GENERALE ........................................................................................................ 9 9. USO DELLA POSTA ELETTRONICA ....................................................................................................... 11 10. USO DELLA RETE INTERNET E DEI RELATIVI SERVIZI ........................................................................... 14 11. CONTROLLI NAVIGAZIONE INTERNET ........................................................................................... 14 12. OSSERVANZA DELLE POSIZIONI IN MATERIA DI PRIVACY ....................................................................... 15 13. NON OSSERVANZA DELLA NORMATIVA ............................................................................................. 15 14. AGGIORNAMENTO E REVISIONE ..................................................................................................... 15

CODICE RSI


Data 12/09/2018



1. Premessa La progressiva diffusione delle nuove tecnologie informatiche, ed in particolare il libero accesso alla rete Internet da

parte dei Personal Computer, espone sedApta Group a rischi di natura amministrativa e penale (Regolamento Europeo

679/2016 o RE 679/2016, conosciuto anche come General Data Protection Regulation GDPR), creando inoltre potenziali

problemi alla sicurezza e all’immagine dell’Azienda stessa.

Premesso quindi che l’utilizzo delle risorse informatiche e telematiche di sedApta Group deve sempre ispirarsi al

principio della diligenza e correttezza, comportamenti che sono propri del rapporto di lavoro, sedApta Group ha

adottato un regolamento interno, diretto ad evitare che attività svolte anche inconsapevolmente possano innescare

problemi o minacce alla Sicurezza nel trattamento dei dati.

Nel testo seguente, ovunque compare la sigla AS che sta per “Amministratore del Sistema”, si vuole intendere quel

gruppo di persone demandate dall’azienda a controllare ed amministrare i vari sistemi informatici in uso presso sedApta

Group, quali rete di server, sistema ERP, posta elettronica ed ogni altro dispositivo o sistema presente in sedApta Group.

Nel testo seguente, ovunque compaiono i termini “Utente” o “Incaricato” si intende tutto il personale dipendente e

non, che svolge operazioni di trattamento di qualsiasi tipologia di dati sui sistemi informativi, al fine di svolgere la propria

attività lavorativa.

Nella prassi quotidiana può accadere che un “Incaricato” sia chiamato a fornire assistenza su basi dati dei propri clienti

e quindi a trattare dati personali di terzi (per es. DB dei dipendenti dei clienti di sedApta Group, con i dati delle loro

presenze e/o dei loro accessi). Anche questi “Incaricati”, su specifica richiesta dei clienti, sono o saranno nominati

“Amministratore del Sistema”, ma si seguito, per distinguerli dagli “AS” di cui sopra, verranno indicati come “AS-

Support”.

2. Comunicazioni con AS Le richieste di supporto verso l’AS devono avvenire esclusivamente tramite lo strumento di ticketing messo a

disposizione dall’azienda scrivendo una email a [email protected].

L’utente che richiede il supporto in caso venga richiesto da AS deve eseguire il file c:/SedaptaIT-Helpdesk.exe

(Teamviewer) che consente, e quindi autorizza, l’accesso remoto per supporto da parte dell’AS.

Le comunicazioni di servizio su attività svolte sull’infrastruttura o sugli strumenti aziendali verranno emesse dall’AS

tramite strumento Bitrix su “Activity Stream” o qualora coinvolga una cerchia ristretta di persone via email o sistema di

ticketing.

mailto:[email protected]

CODICE RSI


Data 12/09/2018



3. Utilizzo del personal computer, beni aziendali e delle macchine virtuali Il Personal Computer (PC) e i beni aziendali assegnati all’incaricato e le virtual machine a disposizione sono strumenti

di lavoro, ciascuno ne è responsabile.

Al momento della consegna dei beni aziendali, ad ogni incaricato, viene fatto firmare un modulo indicante tipologia,

marca, modello e seriale dei suddetti beni MR 02 P09 Assegnazione beni aziendali

Ogni utilizzo non inerente all’attività lavorativa può contribuire ad innescare disservizi, costi di manutenzione e

soprattutto, minacce alla sicurezza. L’accesso all’elaboratore è protetto da apposite credenziali di autenticazione (nome

utente e password) che devono essere custodite dall’incaricato con la massima diligenza e non divulgate per alcuna

ragione. Non è consentita l’attivazione della password di accensione (bios) senza preventiva autorizzazione da parte

dell’AS.

L’AS per l’espletamento delle sue funzioni, ha la facoltà in qualunque momento di accedere al Personal Computer o alle

virtual machine dell’incaricato o di un gruppo definito ed ai dati trattati da ciascun dipendente o dal gruppo, compresi

quelli che risiedono sui sistemi di memorizzazione di massa presenti sui Server. L’AS potrà accedere ai dati ed agli

strumenti informatici esclusivamente per permettere all’azienda, titolare del trattamento dati, al solo fine di garantire

l’operatività, la sicurezza del sistema ed il normale svolgimento dell’attività aziendale. Con il fine di fronteggiare le

minacce fin qui conosciute, si notifica che NON è consentito:

• introdurre negli appositi lettori qualsiasi tipo di supporto magnetico od ottico (CD-Rom, floppy disk, DVD, Pen-

Drive, etc.) di dubbia o sconosciuta provenienza, poiché sussiste il grave pericolo di introdurre Virus e Malware

informatici;

• Installare autonomamente programmi di dubbia o sconosciuta provenienza, in quanto sussiste il pericolo di

alterare la stabilità delle applicazioni dell’elaboratore, nonché quello di introdurre Virus informatici; In caso di

dubbio consultare l’AS.

• l’uso di programmi potenzialmente dannosi o installati tramite meccanismi che aggirino o che non rispettino il

sistema di licenziamento. L’inosservanza di questa disposizione, infatti, oltre al rischio di danneggiamenti del

sistema per incompatibilità con il software esistente, può esporre l’azienda a gravi responsabilità civili ed anche

penali in caso di violazione della normativa a tutela dei diritti d’autore sul software (D. Lgs. 518/92 sulla tutela

giuridica del software e L. 248/2000 nuove norme di tutela del diritto d’autore) che impone che qualsiasi

software presente nel sistema sia regolarmente licenziato ad uso dell’Azienda o comunque libero e quindi non

protetto dal diritto d’autore;

CODICE RSI


Data 12/09/2018



• eseguire programmi o software che non necessitano di installazione (portable), proveniente da supporti di

memorizzazione di massa esterni o provenienti dalla rete Internet di dubbia o sconosciuta provenienza. Questi

Software infatti potrebbero avere al loro interno Virus, Malware e programmi atti a scardinare le misure di

sicurezza adottate da sedApta Group esponendola a rischi maggiori.

• modificare le caratteristiche impostate sul proprio PC, salvo previa autorizzazione esplicita dell’AS (Es.

Disinstallare o disattivare antivirus, modificare le policy imposte dal dominio, aggirare i filtri imposti

dall’azienda, etc..).

Il PC deve essere spento ogni sera prima di lasciare gli uffici o in caso di assenze prolungate dall’ufficio. In ogni

caso lasciare un elaboratore incustodito connesso alla rete può essere causa di utilizzo da parte di terzi senza

che vi sia la possibilità di provarne in seguito l’indebito uso; per tanto, nel caso si dovesse lasciare lo strumento

incustodito, attivare lo screen saver con relativo blocco e richiesta password (premendo ctrl+alt+canc e poi

blocca il computer). Abilitare inoltre lo screensaver protetto da password con esecuzione automatica dopo 5

minuti di inattività.

• Particolare attenzione dovrà essere posta durante l’utilizzo di dispositivi esterni (come ad esempio

masterizzatori, modem, dischi esterni, IPOD, Fotocamere digitali, lettori MP3, chiavette USB, etc.), in quanto il

furto o la perdita di tali supporti è statisticamente molto elevato ed espone al rischio di perdita di dati o di

diffusione non consentita e incontrollata. Se autorizzato, ciascun utente deve prestare la massima attenzione

ai supporti di origine esterna, avvertendo immediatamente l’AS nel caso in cui vengano rilevati virus.

• Utilizzare il disco “C” locale e/o dischi locali o il “desktop” per memorizzare importanti file di lavoro, visto che

su tale disco non vengono eseguite procedure di salvataggio o back up dei dati

• La Condivisione di cartelle con accesso ad everyone sul proprio pc e sui Server o macchine virtuali a

disposizione. Software malevolo potrebbe utilizzare queste condivisioni per propagare l’infezione. La

condivisione di cartelle/directory è consentita solo temporaneamente e solo con utenti selezionati.

• Apportare modifiche hardware agli strumenti informativi (es: aggiungere/togliere hard disk e schede di

computer), salvo esplicita autorizzazione del Responsabile SW o del Responsabile SI.

Per lo stesso principio legato alla continuità operativa è proibito formattare, distruggere o rendere inutilizzabili gli

strumenti aziendali in dotazione se non preventivamente autorizzati dall’AS

CODICE RSI


Data 12/09/2018



Tutti i Personal computer a disposizione dell’azienda devono essere muniti di antivirus, verificare quotidianamente

la presenza del software antivirus aziendale e lo stato dei relativi aggiornamenti. Verificare inoltre la corretta

esecuzione settimanale della scansione antivirus.

In nessun caso non autorizzato è consentito disinstallare o disabilitare anche temporaneamente l’antivirus. In caso

di problemi sullo stato degli aggiornamenti o su vulnerabilità contattare tempestivamente l’AS.

Verificare almeno una volta al mese che i pc e le Virtual machine a disposizione (Esempio ambienti Sviluppo, Test,

Demo, Customer Support, etc..) abbiano il software aggiornato, procedere con il loro aggiornamento nel caso sia

necessario.

In caso di dimissioni o comunque cessazione del rapporto di collaborazione tra l’incaricato e sedApta Group, è

assolutamente proibito eliminare dati utili al fine di continuità dell’attività lavorativa nel Personal Computer o

Notebook assegnato; è proibito altresì copiare dati aziendali su supporti esterni, o spedire dati aziendali all’esterno

dell’azienda e diffonderli al di fuori dell’operatività aziendale.

4. Utilizzo della rete di sedApta Group Le unità di rete sono aree di condivisione di informazioni strettamente professionali e non possono in alcun modo essere

utilizzate per scopi diversi. Gli utenti sono tenuti a salvare informazioni che riguardano la propria attività lavorativa nella

cartella denominata con il nome dell’area di appartenenza (es. amministrazione, commerciale, acquisti, etc.), o, in

alternativa nella cartella di natura “personale”, il cui accesso è consentito anche all’IT per attività relative alla sicurezza

esplicitate nel paragrafo precedente.

File potenzialmente pericolosi, di dubbia o sconosciuta provenienza, o che possano indurre a violazioni su diritti d’autore

o violazioni in generale non può essere dislocato, nemmeno per brevi periodi, né sulla cartella in condivisione né sulla

cartella per uso personale (per esempio Virtual Machine non autorizzate, fotografie, musica, film o filmati in genere,

ecc.).

Su queste unità di memorizzazione, vengono svolte regolari attività di controllo, amministrazione e di backup. L’AS può

in qualunque momento procedere alla rimozione di ogni file o applicazione che riterrà essere pericolosi per la sicurezza

sia dei PC degli utenti che delle unità di rete, informando l’utente sulle azioni eseguite. In nessun modo l’AS di sistema

è tenuto a ripristinare da BKP precedentemente eseguiti, informazioni di natura personale non pertinenti l’attività

lavorativa.

CODICE RSI


Data 12/09/2018



Costituisce buona regola la periodica (almeno ogni sei mesi) pulizia degli archivi, con cancellazione dei file obsoleti o

inutili. Particolare attenzione deve essere prestata alla duplicazione dei dati, è infatti assolutamente da evitare

un’archiviazione ridondante.

Le credenziali d’ingresso alla rete ed ai programmi sono segrete e vanno gestite secondo le procedure impartite. È

assolutamente proibito entrare nella rete e nei programmi con altri nomi utente diversi dal proprio se non

espressamente autorizzati dall’AS ed esclusivamente per specifici scopi (Es. Demo).

Le richieste di abilitazione all’accesso remoto alla rete aziendale tramite VPN o altri metodi di connessione remota deve

essere effettuate via ticket e preventivamente autorizzata dal responsabile del richiedente.

Non è consentito l’accesso alla rete aziendale via VPN o altri meccanismi di connessione remota da dispositivi personali

o dispositivi non aziendali se non espressamente autorizzati dall’AS.

In caso di dimissioni o comunque cessazione del rapporto di collaborazione tra l’incaricato e sedApta Group, è

assolutamente proibito eliminare dati e informazioni presenti nelle cartelle sopra specificate; è proibito altresì copiare

dati aziendali su supporti esterni, o spedire dati aziendali all’esterno dell’azienda e diffonderli al di fuori dell’operatività

aziendale.

Al fine di ottimizzare l’utilizzo di risorse aziendali e minimizzare il rischio di violazioni, verificare periodicamente la

presenza di risorse obsolete (Es. Virtual Machine, cartelle condivise, etc..) all’interno del proprio ambiente di lavoro ed

avvisare tempestivamente l’AS nel caso in cui sia possibile eliminare o dismettere qualche risorsa.

5. Gestione delle credenziali di accesso All’accensione del PC l’utente ha accesso alla rete ed al PC stesso solo usando le credenziali di autenticazione (nome

utente + password) che gli sono state fornite. È obbligatorio procedere alla modifica delle password a cura dell’incaricato

al primo utilizzo e successivamente almeno ogni sei mesi; per i PC disposti al trattamento dei dati sensibili, almeno ogni

tre mesi. In ottemperanza al disposto legislativo di cui sopra, e ove tecnicamente predisposti, i vari sistemi propongono

in automatico il periodo utile per effettuare il cambio della password. Trascorso tale periodo senza che l’utente abbia

ottemperato alla richiesta del sistema, le credenziali d’accesso saranno disattivate; occorre in tal caso rivolgersi all’AS

per la riattivazione.

Le password possono essere modificate in modo autonomo dall’utente secondo le seguenti disposizioni;

• devono essere composte da almeno otto caratteri;

CODICE RSI


Data 12/09/2018



• nella password ci devono essere almeno una lettera maiuscola, almeno una lettera minuscola e almeno un

carattere alfanumerico;

• devono essere sostituite in tempi non superiori ai 6 mesi.

• non devono contenere riferimenti agevolmente riconducibili all’incaricato (per es. nomi propri di familiari, date

di nascita, personaggi noti al pubblico, etc.), (RE 679/2016);

• non è possibile inserire password precedentemente utilizzate ed il sistema automaticamente ne controlla il

contenuto;

Le password devono essere immediatamente sostituite nel caso si sospetti che le stesse abbiano perso la necessaria

segretezza. Qualora l’utente venisse a conoscenza delle password di altro utente, è tenuto a darne immediata notizia

all’AS. In nessun caso è ammessa la condivisione di credenziali di autenticazione personali, tranne che queste siano state

create appositamente per uso condiviso o per uso tecnico di manutenzione del sistema (rivolgersi sempre all’AS in caso

di dubbi).

È assolutamente proibito, per gli incaricati che ne hanno possibilità, eliminare o disabilitare in ogni momento la propria

utenza.

Occorre garantire la continuità operativa qualora l’incaricato dotato delle credenziali non sia reperibile o non sia più in

organico sedApta Group.

Le credenziali di accesso a siti esterni o portali Internet (per es. portali fornitori, pubbliche amministrazioni, portali

istituzionali, ecc.) devono essere depositate presso l’AS per garantire la continuità operativa qualora l’incaricato dotato

delle credenziali non sia reperibile o non sia più in organico sedApta Group.

6. Utilizzo dei supporti magnetici Tutti i supporti magnetici riutilizzabili (dischetti, cassette, CD e DVD riscrivibili, dispositivi USB, etc.) contenenti dati

sensibili e/o giudiziari devono essere trattati con particolare cautela onde evitare che il loro contenuto possa essere

recuperato ;una persona esperta potrebbe infatti recuperare i dati memorizzati anche dopo la loro cancellazione. I

supporti magnetici contenenti dati sensibili e/o giudiziari devono essere custoditi in appositi armadi chiusi a chiave.

CODICE RSI


Data 12/09/2018



7. Utilizzo di pc portatili Ogni lavoratore è responsabile del PC assegnatogli e deve custodirlo con diligenza sia durante gli spostamenti sia

durante l’utilizzo nel luogo di lavoro.

Ai PC portatili si applicano le regole di utilizzo previste per i PC connessi in rete (vedi punto 3), con particolare attenzione

alla rimozione di eventuali file elaborati sullo stesso prima della riconsegna. I PC portatili utilizzati all’esterno (per

convegni, fiere, etc.), in caso di allontanamento, devono essere custoditi in un luogo protetto, in quanto il loro

smarrimento o il loro furto rappresenta una perdita e/o una diffusione non controllata dei dati in essi contenuti.

Il PC portatile deve essere conservato in condizioni tecniche e funzionali ottimali, esso non deve essere adibito a funzioni

diverse da quelle per cui è stato costruito, né sottoposto a sollecitazioni anormali o superiori a quelle tecnicamente

ammesse. Presso l’Ufficio Risorse Umane è conservato l’elenco dei PC portatili dati in dotazione ai lavoratori.

8. Norme di carattere generale

• tutte le informazioni trattate all’interno dell’azienda devono essere di carattere aziendale, in linea con l’attività

lavorativa svolta;

• tutte le informazioni trattate all’interno dell’azienda sono di proprietà dell’azienda stessa (fatto salvo i dati

personali degli utenti stessi messi a disposizione dell’azienda per trattamenti specifici, oppure i dati personali di

altri soggetti che l’azienda è autorizzata a trattare);

• l’hardware, il software e tutti gli strumenti informativi dell’azienda, messi a disposizione degli utenti per lo

svolgimento dell’attività lavorativa, sono di proprietà dell’azienda stessa;

• tutti gli utenti sono responsabili del buon utilizzo/cura degli strumenti informativi da loro utilizzati;

• tutti gli utenti sono responsabili del trattamento dei dati per i quali sono incaricati in conformità a quanto riportato

nel seguente schema:

Per le informazioni aziendali pubbliche si definisce un unico livello di classificazione:

▪ informazioni di pubblico dominio.

Le informazioni aziendali non pubbliche si articolano in tre livelli di classificazione, ordinati secondo requisiti

di riservatezza via via più stringenti:

▪ informazioni per Uso interno

▪ informazioni Confidenziali

▪ informazioni Riservate esclusive

CODICE RSI


Data 12/09/2018



INFORMAZIONI DI PUBBLICO DOMINIO

Le informazioni aziendali classificate come Pubblico dominio sono informazioni visionabili e consultabili sia

da tutto il personale sedApta Group sia da personale esterno.

La diffusione non autorizzata, la perdita, la manomissione o l’uso indebito di un documento classificato come

Pubblico non comporta nessun rischio per l’azienda, per i suoi dipendenti o per terzi. L’archiviazione di tali

documenti non è soggetta a rigide regole di sicurezza.

L’eventuale distruzione di questi documenti avviene gettandoli nei contenitori per rifiuti.

Il responsabile della gestione delle informazioni Pubbliche si individua tra i seguenti livelli:

• Direzione aziendale (CEO)

• Responsabili di Funzione

INFORMAZIONI PER USO INTERNO

Le informazioni aziendali classificate ad Uso Interno sono informazioni visionabili e consultabili solo dal

personale interno sedApta Group.

La diffusione non autorizzata, la perdita, la manomissione o l’uso indebito di un documento classificato ad

Uso Interno, possono arrecare un danno sia all’azienda che ai suoi dipendenti.

L’archiviazione di tali documenti avviene ad opera degli utilizzatori che, a fine giornata lavorativa, conservano

i documenti cartacei o i supporti informatici in appositi archivi.

L’eventuale distruzione di questi documenti avviene stracciandoli e gettandoli nei contenitori per rifiuti. Le

modalità di distruzione dei supporti sono descritte nella Procedura P 10 «Gestione Operativa della Sicurezza».

Il responsabile della gestione delle informazioni Uso Interno si individua tra i seguenti livelli:



INFORMAZIONI CONFIDENZIALI

Le informazioni aziendali classificate Confidenziali sono informazioni visionabili e consultabili solo dai

Responsabili di Funzione di sedApta Group individuati dalla Direzione aziendale (CEO).

La diffusione non autorizzata, la perdita, la manomissione o l’uso indebito possono arrecare danni gravi

all’azienda, ai suoi dipendenti e/o a terzi.

L’archiviazione di tali documenti avviene ad opera dei Responsabili di Funzione che, a fine giornata lavorativa,

conservano i documenti cartacei in un archivio sottochiave (armadio o cassettiera) all’interno del proprio

ufficio.

CODICE RSI


Data 12/09/2018



Nel caso le informazioni Confidenziali risiedano nei sistemi informatici, l’accesso all’area contenente questi

documenti è autorizzata mediante policy definita dal proprietario dell’informazione.

L’eventuale distruzione di documenti cartacei avviene adoperando un’apparecchiatura adeguata (il distruggi

documenti). Le modalità di distruzione dei supporti sono descritte nella Procedura P 10 «Gestione Operativa

della Sicurezza».

Il responsabile della gestione delle informazioni Confidenziali si individua tra i seguenti livelli:



INFORMAZIONI RISERVATE ESCLUSIVE

Le informazioni aziendali classificate come Riservate Esclusive sono informazioni visionabili e consultabili solo

dalla Direzione aziendale (CEO) e dalle persone da lui indicate ed autorizzate.

La diffusione non autorizzata, la perdita, la manomissione o l’uso indebito possono arrecare danni gravissimi,

all'azienda, ai suoi dipendenti e/o a terzi.

L’archiviazione di tali documenti avviene ad opera della Direzione aziendale (CEO) che, a fine giornata

lavorativa, conserva i documenti cartacei in un archivio sottochiave (armadio o cassettiera) all’interno del

proprio ufficio. Nel caso le informazioni Riservate Esclusive risiedano nei sistemi informatici, l’accesso all’area

contenete questi documenti è autorizzata mediante policy definita dalla Direzione aziendale (CEO).

L’eventuale distruzione di documenti cartacei avviene adoperando un’apparecchiatura adeguata (distruggi

documenti). Le modalità di distruzione dei supporti sono descritte nella P 10 «Gestione Operativa della

Sicurezza».

Il Il responsabile della gestione delle informazioni Riservate Esclusive è esclusivamente la Direzione aziendale

(CEO).

9. Uso della posta elettronica

LA CASELLA DI POSTA ELETTRONICA ASSEGNATA DALL’AZIENDA ALL’UTENTE È UNO STRUMENTO DI LAVORO.

sedApta Group mette a disposizione del lavoratore, per consentirgli di svolgere al meglio la propria attività, una o più

caselle di posta elettronica che rimane nella disponibilità dell’azienda. Le persone assegnatarie di tali caselle di posta

elettronica sono responsabili del corretto utilizzo delle stesse.

CODICE RSI


Data 12/09/2018



Si sollecita all’uso della email aziendale solo per attività inerenti al proprio lavoro.

La casella di posta deve essere mantenuta in ordine, cancellando documenti inutili e soprattutto allegati ingombranti.

Si consiglia l’uso delle cassette postali on line, ricordando che l’email non deve costituire archivio di dati originali, ma

solo archivio delle comunicazioni eseguite.

È vietato registrarsi con l’indirizzo di posta elettronica aziendale a siti o servizi non inerenti l’attività lavorativa.

Per la trasmissione di file all’interno di sedApta Group è possibile utilizzare la posta elettronica, prestando attenzione

alla dimensione degli allegati. Per ricevere o inviare file di particolari dimensioni rivolgersi all’AS. Si consiglia in ogni

caso, ove possibile ed internamente all’azienda, di trasmettere solo il link ad una posizione sui server aziendali

raggiungibile dal vostro(i) corrispondente(i) interno(i).

È obbligatorio controllare i file allegati di posta elettronica prima del loro utilizzo, non eseguire download di file eseguibili

(.EXE) o documenti da siti Web o Ftp non conosciuti.

Leggere le mail con attenzione, soprattutto quelle che si riferiscono a pagamenti. Nel dubbio fare verifiche con mezzi

diversi (per es. il telefono, oppure un’altra email).

Controllare bene il mittente delle email, soprattutto se si risponde direttamente senza digitare ogni volta l'indirizzo per

intero: un dettaglio, anche solo una lettera, potrebbe fare la differenza.

È buona norma, almeno per le comunicazioni sensibili, non rispondere tramite “reply” alle email ma immettere

l’indirizzo del mittente tramite rubrica.

Allarmarsi quando avviene un cambio repentino di IBAN, soprattutto quando il cliente o il fornitore chiede di agire

velocemente, in segreto e su canali paralleli.

Controllare periodicamente se sul proprio account di posta sono impostate regole di inoltro della posta verso un altro

indirizzo.

Nel caso venissero ricevute email da un indirizzo non inerente l’attività lavorativa o con contenuti che ritenete sospetti,

procedete pure alla cancellazione diretta messaggio, senza aprirne il contenuto.

È assolutamente vietato inviare catene telematiche (o di Sant’Antonio). Se si dovessero ricevere messaggi di tale tipo,

provvedete alla loro cancellazione; non si devono in alcun caso attivare gli allegati di tali messaggi.

In caso di assenza o irreperibilità dell’utente, l’azienda si riserva il diritto di consultare la vs. posta elettronica per motivi

esclusivamente legati all’attività lavorativa, ed al solo fine di garantire continuità operativa. Per gestire al meglio le

vostre assenze, è richiesto l’uso del messaggio automatico di fuori sede, nel quale devono essere riportati nome e

recapito della persona o dell’ufficio che di fatto svolge le vostre veci durante la vostra assenza. In caso di assenze

CODICE RSI


Data 12/09/2018



prolungate e programmate, si invitano i responsabili di funzione a proporre una lettura condivisa della posta della

persona assente; per richiederla il responsabile di funzione dovrà segnalarlo all’AS, indicando per iscritto (è sufficiente

un’email) il nome della persona assente, il periodo di assenza ed il nome della persona a cui autorizzare l’accesso alla

posta.

Ogni volta che questa operazione venisse adottata, la persona assente dovrà essere informata al suo rientro delle azioni

eseguite a seguito della lettura della sua posta elettronica. Si suggerisce all’incaricato che ha eseguito queste azioni, di

mettere sempre in copia conoscenza la persona assente.

In caso di assenze programmate e/o prolungate nel tempo (per esempio il periodo di maternità), si dovrà pianificare il

trattamento della posta elettronica con il proprio responsabile di funzione; è comunque consigliabile inserire l’opzione

di “out of office” indicando nel contempo le modalità per raggiungere altri destinatari al mittente che ne avesse bisogno.

La casella di posta elettronica assegnata resterà attiva per tutta la durata del rapporto lavorativo.

Salvo differenti accordi tra le parti, al termine del rapporto di lavoro la casella di posta viene disattivata; l’azienda si

riserva comunque facoltà di tenerla attiva per un ulteriore periodo non superiore ai 30 gg, a garanzia della continuità

operativa. Nel caso in cui arrivasse un’email dall’esterno indirizzata all’account aziendale dell’utente non più in sedApta

Group, in automatico verrà inviata un’email al mittente con l’informazione che tale utente non è più in organico sedApta

Group ed i riferimenti del nuovo incaricato. In nessun caso l’azienda potrà rispondere all’email in arrivo a nome

dell’incaricato non più in organico.

Nel caso di cessazione del rapporto di lavoro l’incaricato non potrà mai cancellare il proprio archivio di posta, visto che

è e resta nella disponibilità dell’azienda.

Il back up delle informazioni contenute nelle email archiviate su server è a cura dell’azienda ed avviene a cadenza

giornaliera; il back up delle informazioni contenute nelle email archiviate su disco locale, deve essere svolto a cura

dell’incaricato che ne concorderà le modalità con l’IT.

Non è consentito, salvo apposita autorizzazione, configurare gli account aziendali o scaricare informazioni relativa

all’azienda sul telefono privato.

Ogni utente deve inserire nella propria firma la seguente dicitura in materia di privacy:

INFORMATIVA SULLA PRIVACY Ai sensi del Regolamento Europeo 679/2016 (o RE 679/2016), conosciuto anche come General Data Protection Regulation (GDPR), si precisa che le informazioni contenute in questo messaggio e nei suoi eventuali allegati sono riservate e per uso esclusivo del destinatario. Nessuno, all'infuori dello stesso, può copiare o distribuire il messaggio, o parte di esso, a terzi. Chiunque riceva questo messaggio per errore, è pregato di distruggerlo e di informare il mittente. PRIVACY NOTICE

CODICE RSI


Data 12/09/2018



According to the UE Regulation 679/2016 (or RE 679/2016), also known as General Data Protection Regulation (GDPR), this document and its attachments are confidential and intended for the named addresse(es) only. If you are not the intended recipient of this message, any use or dissemination of this email is prohibited. If you have received this document by mistake, please notify the sender and destroy immediately all physical and/or electronic copies

10. Uso della rete internet e dei relativi servizi

Il PC abilitato alla navigazione in Internet costituisce uno strumento aziendale necessario allo svolgimento della propria attività lavorativa

La navigazione su internet deve sempre rispettare le regole definite dall’azienda nella configurazione dei propri firewall

o comunicate attraverso questo regolamento o altre specifiche comunicazioni, in ogni caso non è consentita la

navigazione su internet su siti potenzialmente dannosi o comunque che possano indurre l’azienda al rischio si sanzioni

di natura amministrativa o penale.

Non è consentito all’utente lo scarico di software sconosciuti o di dubbia provenienza prelevati da siti Internet, se non

esplicitamente autorizzati dall’AS.

È vietata ogni forma di registrazione a siti i cui contenuti non siano legati all’attività lavorativa.

11. Controlli navigazione INTERNET Presso l’azienda sono installati e operativi strumenti per il controllo della navigazione Internet, in particolare firewall

dotati di content filtering ed antivirus. Tali strumenti sono impiegati attualmente per applicare regole di esclusione,

ossia per impedire che la navigazione verso Internet vada su siti non strettamente collegati all’ambiente di lavoro per

esempio siti di natura pornografica, terroristica, armi, e/o altre categorie considerate non necessarie per lo svolgimento

della propria mansione.

Gli strumenti sono configurati per impedire la navigazione su siti di categorie non consentite. Nel caso un utente tenti

di accedere a questo genere di siti, lo strumento ne impedisce la connessione visualizzando all’utente un messaggio di

negato accesso.

L’azienda ha facoltà in ogni istante di impedire la navigazione verso siti specifici o verso intere categorie di siti. Il content

filtering del firewall è connesso con un data base gestito dal produttore contenente tutte le categorie dei siti internet a

livello mondiale; l’aggiornamento di questo data base comporta sia l’inserimento di nuove categorie di siti che

l’eventuale spostamento di un sito da una categoria ad un'altra. sedApta Group, consentendo o meno la navigazione su

determinate categorie, si adegua alla categorizzazione eseguita dal produttore.

CODICE RSI


Data 12/09/2018



L’AS è stato deputato dalla direzione al controllo ed alla programmazione di tali strumenti, pertanto l’AS, gestendo il

content filtering avrà accesso ai prospetti riepilogativi dello stesso. In tali prospetti e possibile visualizzare data e ora di

accesso al sito visitato, nome del sito visitato e indirizzo IP del client, ma non il nome dell’utente.

Solo nel caso in cui si verifichino attacchi da Internet, abusi nell’utilizzo della rete o della posta elettronica, navigazioni

non consentite, sedApta Group si riserva, previa comunicazione, di controllare tali informazioni ed eventualmente

introdurre ulteriori strumenti di controllo per comprendere la natura dei problemi ed adottare provvedimenti volti alla

loro eliminazione.

Nel caso in cui gli abusi nell’uso degli strumenti persistano, sedApta Group, dando previa comunicazione alla generalità

degli utenti, si riserva la facoltà di eseguire controlli più invasivi in un periodo limitato e comunicato agli utenti, che

permettano anche di identificare i nominativi degli utenti, che potranno anche comportare l’adozione di provvedimenti

di carattere disciplinare ai sensi del CCNL.

Nel caso in cui, tra gli abusi, venissero rilevate attività particolarmente gravi da essere considerate reato (per esempio

verso siti che sfuggono ai controlli indicati e che siano di natura pedopornografica, terroristica o comunque che portino

l’azienda al rischio si sanzioni di natura amministrativa o penale) sedApta Group si riserva facoltà di assumere controlli

di natura difensiva senza seguire la procedura indicata.

12. Osservanza delle posizioni in materia di privacy È obbligatorio attenersi alle disposizioni in materia di Privacy e di misure di sicurezza, come indicato nella lettera di

designazione di incaricato del trattamento dei dati, ai sensi del GDPR-Regolamento Europeo 679/16.

13. Non osservanza della normativa Il mancato rispetto o la violazione delle regole contenute nel presente regolamento sono perseguibili con

provvedimenti disciplinari ai sensi del vigente CCNL Metalmeccanico nonché con le azioni civili e penali disposte dalla

legge.

14. Aggiornamento e revisione Il presente regolamento è visionabile dalla Intranet aziendale.

Tutti gli utenti possono proporre, quando ritenuto necessario, integrazioni al presente Regolamento.

Le proposte verranno esaminate dalla Direzione.

RSI - Regolamento per l'utilizzo dei sistemi …Translate this page · CODICE RSI TITOLO...

Documents

Transcript of RSI - Regolamento per l'utilizzo dei sistemi …Translate this page · CODICE RSI TITOLO...