CODICE RSI
TITOLO REGOLAMENTO PER UTILIZZO DEI SISTEMI INFORMATIVI AZIENDALI Rev. 01
Data 12/09/2018
CLASSIFICAZIONE - USO INTERNO / INTERNAL USE ONLY
Questo documento è proprietà di sedApta Group che se ne riserva tutti i diritti. Pagina 1 di 15
REGOLAMENTO PER UTILIZZO
DEI SISTEMI INFORMATIVI AZIENDALI
AZIENDA QUALIFICA NOME FIRMA
REDAZIONE
Tutte le aziende
RSI (QUA + ITA) BBEENNEEDDEETTTTAA CCUUTTTTIICCAA
SSIIMMOONNEE NNAASSOO
Tutte le aziende
Consulente Privacy Esterno
MMAATTTTIIAA CCAARRAAVVIINNAA
APPROVAZIONE
sedApta srl
Legale Rappresentante (DIR)
FFRRAANNCCEESSCCOO CCAAUUVVIINN
Hyla Soft SpA
Legale Rappresentante (DIR)
CCLLAAUUDDIIOO ZZIILLIICCHH
Aryosa Srl Legale Rappresentante AALLBBEERRTTOO GGRROOSSSSOO
Skillaware Srl Legale Rappresentante BBEENNEEDDEETTTTAA CCUUTTTTIICCAA
Novigo Srl Legale Rappresentante DDAAVVIIDDEE AANNGGHHIINNOOLLFFII
Atomos FT Srl Legale Rappresentante RROOBBEERRTTOO VVAACCCCAARROO
Sintec Srl Legale Rappresentante AALLBBEERRTTOO CCHHIINN
CODICE RSI
TITOLO REGOLAMENTO PER UTILIZZO DEI SISTEMI INFORMATIVI AZIENDALI Rev. 01
Data 12/09/2018
CLASSIFICAZIONE - USO INTERNO / INTERNAL USE ONLY
Questo documento è proprietà di sedApta Group che se ne riserva tutti i diritti. Pagina 2 di 15
INDICE:
1. PREMESSA..................................................................................................................................... 3 2. COMUNICAZIONI CON AS .................................................................................................................. 3 3. UTILIZZO DEL PERSONAL COMPUTER E DELLE MACCHINE VIRTUALI ................................................................ 4 4. UTILIZZO DELLA RETE DI SEDAPTA GROUP ............................................................................................. 6 5. GESTIONE DELLE CREDENZIALI DI ACCESSO ............................................................................................ 7 6. UTILIZZO DEI SUPPORTI MAGNETICI ..................................................................................................... 8 7. UTILIZZO DI PC PORTATILI ................................................................................................................ 9 8. NORME DI CARATTERE GENERALE ........................................................................................................ 9 9. USO DELLA POSTA ELETTRONICA ....................................................................................................... 11 10. USO DELLA RETE INTERNET E DEI RELATIVI SERVIZI ........................................................................... 14 11. CONTROLLI NAVIGAZIONE INTERNET ........................................................................................... 14 12. OSSERVANZA DELLE POSIZIONI IN MATERIA DI PRIVACY ....................................................................... 15 13. NON OSSERVANZA DELLA NORMATIVA ............................................................................................. 15 14. AGGIORNAMENTO E REVISIONE ..................................................................................................... 15
CODICE RSI
TITOLO REGOLAMENTO PER UTILIZZO DEI SISTEMI INFORMATIVI AZIENDALI Rev. 01
Data 12/09/2018
CLASSIFICAZIONE - USO INTERNO / INTERNAL USE ONLY
Questo documento è proprietà di sedApta Group che se ne riserva tutti i diritti. Pagina 3 di 15
1. Premessa La progressiva diffusione delle nuove tecnologie informatiche, ed in particolare il libero accesso alla rete Internet da
parte dei Personal Computer, espone sedApta Group a rischi di natura amministrativa e penale (Regolamento Europeo
679/2016 o RE 679/2016, conosciuto anche come General Data Protection Regulation GDPR), creando inoltre potenziali
problemi alla sicurezza e all’immagine dell’Azienda stessa.
Premesso quindi che l’utilizzo delle risorse informatiche e telematiche di sedApta Group deve sempre ispirarsi al
principio della diligenza e correttezza, comportamenti che sono propri del rapporto di lavoro, sedApta Group ha
adottato un regolamento interno, diretto ad evitare che attività svolte anche inconsapevolmente possano innescare
problemi o minacce alla Sicurezza nel trattamento dei dati.
Nel testo seguente, ovunque compare la sigla AS che sta per “Amministratore del Sistema”, si vuole intendere quel
gruppo di persone demandate dall’azienda a controllare ed amministrare i vari sistemi informatici in uso presso sedApta
Group, quali rete di server, sistema ERP, posta elettronica ed ogni altro dispositivo o sistema presente in sedApta Group.
Nel testo seguente, ovunque compaiono i termini “Utente” o “Incaricato” si intende tutto il personale dipendente e
non, che svolge operazioni di trattamento di qualsiasi tipologia di dati sui sistemi informativi, al fine di svolgere la propria
attività lavorativa.
Nella prassi quotidiana può accadere che un “Incaricato” sia chiamato a fornire assistenza su basi dati dei propri clienti
e quindi a trattare dati personali di terzi (per es. DB dei dipendenti dei clienti di sedApta Group, con i dati delle loro
presenze e/o dei loro accessi). Anche questi “Incaricati”, su specifica richiesta dei clienti, sono o saranno nominati
“Amministratore del Sistema”, ma si seguito, per distinguerli dagli “AS” di cui sopra, verranno indicati come “AS-
Support”.
2. Comunicazioni con AS Le richieste di supporto verso l’AS devono avvenire esclusivamente tramite lo strumento di ticketing messo a
disposizione dall’azienda scrivendo una email a [email protected].
L’utente che richiede il supporto in caso venga richiesto da AS deve eseguire il file c:/SedaptaIT-Helpdesk.exe
(Teamviewer) che consente, e quindi autorizza, l’accesso remoto per supporto da parte dell’AS.
Le comunicazioni di servizio su attività svolte sull’infrastruttura o sugli strumenti aziendali verranno emesse dall’AS
tramite strumento Bitrix su “Activity Stream” o qualora coinvolga una cerchia ristretta di persone via email o sistema di
ticketing.
CODICE RSI
TITOLO REGOLAMENTO PER UTILIZZO DEI SISTEMI INFORMATIVI AZIENDALI Rev. 01
Data 12/09/2018
CLASSIFICAZIONE - USO INTERNO / INTERNAL USE ONLY
Questo documento è proprietà di sedApta Group che se ne riserva tutti i diritti. Pagina 4 di 15
3. Utilizzo del personal computer, beni aziendali e delle macchine virtuali Il Personal Computer (PC) e i beni aziendali assegnati all’incaricato e le virtual machine a disposizione sono strumenti
di lavoro, ciascuno ne è responsabile.
Al momento della consegna dei beni aziendali, ad ogni incaricato, viene fatto firmare un modulo indicante tipologia,
marca, modello e seriale dei suddetti beni MR 02 P09 Assegnazione beni aziendali
Ogni utilizzo non inerente all’attività lavorativa può contribuire ad innescare disservizi, costi di manutenzione e
soprattutto, minacce alla sicurezza. L’accesso all’elaboratore è protetto da apposite credenziali di autenticazione (nome
utente e password) che devono essere custodite dall’incaricato con la massima diligenza e non divulgate per alcuna
ragione. Non è consentita l’attivazione della password di accensione (bios) senza preventiva autorizzazione da parte
dell’AS.
L’AS per l’espletamento delle sue funzioni, ha la facoltà in qualunque momento di accedere al Personal Computer o alle
virtual machine dell’incaricato o di un gruppo definito ed ai dati trattati da ciascun dipendente o dal gruppo, compresi
quelli che risiedono sui sistemi di memorizzazione di massa presenti sui Server. L’AS potrà accedere ai dati ed agli
strumenti informatici esclusivamente per permettere all’azienda, titolare del trattamento dati, al solo fine di garantire
l’operatività, la sicurezza del sistema ed il normale svolgimento dell’attività aziendale. Con il fine di fronteggiare le
minacce fin qui conosciute, si notifica che NON è consentito:
• introdurre negli appositi lettori qualsiasi tipo di supporto magnetico od ottico (CD-Rom, floppy disk, DVD, Pen-
Drive, etc.) di dubbia o sconosciuta provenienza, poiché sussiste il grave pericolo di introdurre Virus e Malware
informatici;
• Installare autonomamente programmi di dubbia o sconosciuta provenienza, in quanto sussiste il pericolo di
alterare la stabilità delle applicazioni dell’elaboratore, nonché quello di introdurre Virus informatici; In caso di
dubbio consultare l’AS.
• l’uso di programmi potenzialmente dannosi o installati tramite meccanismi che aggirino o che non rispettino il
sistema di licenziamento. L’inosservanza di questa disposizione, infatti, oltre al rischio di danneggiamenti del
sistema per incompatibilità con il software esistente, può esporre l’azienda a gravi responsabilità civili ed anche
penali in caso di violazione della normativa a tutela dei diritti d’autore sul software (D. Lgs. 518/92 sulla tutela
giuridica del software e L. 248/2000 nuove norme di tutela del diritto d’autore) che impone che qualsiasi
software presente nel sistema sia regolarmente licenziato ad uso dell’Azienda o comunque libero e quindi non
protetto dal diritto d’autore;
CODICE RSI
TITOLO REGOLAMENTO PER UTILIZZO DEI SISTEMI INFORMATIVI AZIENDALI Rev. 01
Data 12/09/2018
CLASSIFICAZIONE - USO INTERNO / INTERNAL USE ONLY
Questo documento è proprietà di sedApta Group che se ne riserva tutti i diritti. Pagina 5 di 15
• eseguire programmi o software che non necessitano di installazione (portable), proveniente da supporti di
memorizzazione di massa esterni o provenienti dalla rete Internet di dubbia o sconosciuta provenienza. Questi
Software infatti potrebbero avere al loro interno Virus, Malware e programmi atti a scardinare le misure di
sicurezza adottate da sedApta Group esponendola a rischi maggiori.
• modificare le caratteristiche impostate sul proprio PC, salvo previa autorizzazione esplicita dell’AS (Es.
Disinstallare o disattivare antivirus, modificare le policy imposte dal dominio, aggirare i filtri imposti
dall’azienda, etc..).
Il PC deve essere spento ogni sera prima di lasciare gli uffici o in caso di assenze prolungate dall’ufficio. In ogni
caso lasciare un elaboratore incustodito connesso alla rete può essere causa di utilizzo da parte di terzi senza
che vi sia la possibilità di provarne in seguito l’indebito uso; per tanto, nel caso si dovesse lasciare lo strumento
incustodito, attivare lo screen saver con relativo blocco e richiesta password (premendo ctrl+alt+canc e poi
blocca il computer). Abilitare inoltre lo screensaver protetto da password con esecuzione automatica dopo 5
minuti di inattività.
• Particolare attenzione dovrà essere posta durante l’utilizzo di dispositivi esterni (come ad esempio
masterizzatori, modem, dischi esterni, IPOD, Fotocamere digitali, lettori MP3, chiavette USB, etc.), in quanto il
furto o la perdita di tali supporti è statisticamente molto elevato ed espone al rischio di perdita di dati o di
diffusione non consentita e incontrollata. Se autorizzato, ciascun utente deve prestare la massima attenzione
ai supporti di origine esterna, avvertendo immediatamente l’AS nel caso in cui vengano rilevati virus.
• Utilizzare il disco “C” locale e/o dischi locali o il “desktop” per memorizzare importanti file di lavoro, visto che
su tale disco non vengono eseguite procedure di salvataggio o back up dei dati
• La Condivisione di cartelle con accesso ad everyone sul proprio pc e sui Server o macchine virtuali a
disposizione. Software malevolo potrebbe utilizzare queste condivisioni per propagare l’infezione. La
condivisione di cartelle/directory è consentita solo temporaneamente e solo con utenti selezionati.
• Apportare modifiche hardware agli strumenti informativi (es: aggiungere/togliere hard disk e schede di
computer), salvo esplicita autorizzazione del Responsabile SW o del Responsabile SI.
Per lo stesso principio legato alla continuità operativa è proibito formattare, distruggere o rendere inutilizzabili gli
strumenti aziendali in dotazione se non preventivamente autorizzati dall’AS
CODICE RSI
TITOLO REGOLAMENTO PER UTILIZZO DEI SISTEMI INFORMATIVI AZIENDALI Rev. 01
Data 12/09/2018
CLASSIFICAZIONE - USO INTERNO / INTERNAL USE ONLY
Questo documento è proprietà di sedApta Group che se ne riserva tutti i diritti. Pagina 6 di 15
Tutti i Personal computer a disposizione dell’azienda devono essere muniti di antivirus, verificare quotidianamente
la presenza del software antivirus aziendale e lo stato dei relativi aggiornamenti. Verificare inoltre la corretta
esecuzione settimanale della scansione antivirus.
In nessun caso non autorizzato è consentito disinstallare o disabilitare anche temporaneamente l’antivirus. In caso
di problemi sullo stato degli aggiornamenti o su vulnerabilità contattare tempestivamente l’AS.
Verificare almeno una volta al mese che i pc e le Virtual machine a disposizione (Esempio ambienti Sviluppo, Test,
Demo, Customer Support, etc..) abbiano il software aggiornato, procedere con il loro aggiornamento nel caso sia
necessario.
In caso di dimissioni o comunque cessazione del rapporto di collaborazione tra l’incaricato e sedApta Group, è
assolutamente proibito eliminare dati utili al fine di continuità dell’attività lavorativa nel Personal Computer o
Notebook assegnato; è proibito altresì copiare dati aziendali su supporti esterni, o spedire dati aziendali all’esterno
dell’azienda e diffonderli al di fuori dell’operatività aziendale.
4. Utilizzo della rete di sedApta Group Le unità di rete sono aree di condivisione di informazioni strettamente professionali e non possono in alcun modo essere
utilizzate per scopi diversi. Gli utenti sono tenuti a salvare informazioni che riguardano la propria attività lavorativa nella
cartella denominata con il nome dell’area di appartenenza (es. amministrazione, commerciale, acquisti, etc.), o, in
alternativa nella cartella di natura “personale”, il cui accesso è consentito anche all’IT per attività relative alla sicurezza
esplicitate nel paragrafo precedente.
File potenzialmente pericolosi, di dubbia o sconosciuta provenienza, o che possano indurre a violazioni su diritti d’autore
o violazioni in generale non può essere dislocato, nemmeno per brevi periodi, né sulla cartella in condivisione né sulla
cartella per uso personale (per esempio Virtual Machine non autorizzate, fotografie, musica, film o filmati in genere,
ecc.).
Su queste unità di memorizzazione, vengono svolte regolari attività di controllo, amministrazione e di backup. L’AS può
in qualunque momento procedere alla rimozione di ogni file o applicazione che riterrà essere pericolosi per la sicurezza
sia dei PC degli utenti che delle unità di rete, informando l’utente sulle azioni eseguite. In nessun modo l’AS di sistema
è tenuto a ripristinare da BKP precedentemente eseguiti, informazioni di natura personale non pertinenti l’attività
lavorativa.
CODICE RSI
TITOLO REGOLAMENTO PER UTILIZZO DEI SISTEMI INFORMATIVI AZIENDALI Rev. 01
Data 12/09/2018
CLASSIFICAZIONE - USO INTERNO / INTERNAL USE ONLY
Questo documento è proprietà di sedApta Group che se ne riserva tutti i diritti. Pagina 7 di 15
Costituisce buona regola la periodica (almeno ogni sei mesi) pulizia degli archivi, con cancellazione dei file obsoleti o
inutili. Particolare attenzione deve essere prestata alla duplicazione dei dati, è infatti assolutamente da evitare
un’archiviazione ridondante.
Le credenziali d’ingresso alla rete ed ai programmi sono segrete e vanno gestite secondo le procedure impartite. È
assolutamente proibito entrare nella rete e nei programmi con altri nomi utente diversi dal proprio se non
espressamente autorizzati dall’AS ed esclusivamente per specifici scopi (Es. Demo).
Le richieste di abilitazione all’accesso remoto alla rete aziendale tramite VPN o altri metodi di connessione remota deve
essere effettuate via ticket e preventivamente autorizzata dal responsabile del richiedente.
Non è consentito l’accesso alla rete aziendale via VPN o altri meccanismi di connessione remota da dispositivi personali
o dispositivi non aziendali se non espressamente autorizzati dall’AS.
In caso di dimissioni o comunque cessazione del rapporto di collaborazione tra l’incaricato e sedApta Group, è
assolutamente proibito eliminare dati e informazioni presenti nelle cartelle sopra specificate; è proibito altresì copiare
dati aziendali su supporti esterni, o spedire dati aziendali all’esterno dell’azienda e diffonderli al di fuori dell’operatività
aziendale.
Al fine di ottimizzare l’utilizzo di risorse aziendali e minimizzare il rischio di violazioni, verificare periodicamente la
presenza di risorse obsolete (Es. Virtual Machine, cartelle condivise, etc..) all’interno del proprio ambiente di lavoro ed
avvisare tempestivamente l’AS nel caso in cui sia possibile eliminare o dismettere qualche risorsa.
5. Gestione delle credenziali di accesso All’accensione del PC l’utente ha accesso alla rete ed al PC stesso solo usando le credenziali di autenticazione (nome
utente + password) che gli sono state fornite. È obbligatorio procedere alla modifica delle password a cura dell’incaricato
al primo utilizzo e successivamente almeno ogni sei mesi; per i PC disposti al trattamento dei dati sensibili, almeno ogni
tre mesi. In ottemperanza al disposto legislativo di cui sopra, e ove tecnicamente predisposti, i vari sistemi propongono
in automatico il periodo utile per effettuare il cambio della password. Trascorso tale periodo senza che l’utente abbia
ottemperato alla richiesta del sistema, le credenziali d’accesso saranno disattivate; occorre in tal caso rivolgersi all’AS
per la riattivazione.
Le password possono essere modificate in modo autonomo dall’utente secondo le seguenti disposizioni;
• devono essere composte da almeno otto caratteri;
CODICE RSI
TITOLO REGOLAMENTO PER UTILIZZO DEI SISTEMI INFORMATIVI AZIENDALI Rev. 01
Data 12/09/2018
CLASSIFICAZIONE - USO INTERNO / INTERNAL USE ONLY
Questo documento è proprietà di sedApta Group che se ne riserva tutti i diritti. Pagina 8 di 15
• nella password ci devono essere almeno una lettera maiuscola, almeno una lettera minuscola e almeno un
carattere alfanumerico;
• devono essere sostituite in tempi non superiori ai 6 mesi.
• non devono contenere riferimenti agevolmente riconducibili all’incaricato (per es. nomi propri di familiari, date
di nascita, personaggi noti al pubblico, etc.), (RE 679/2016);
• non è possibile inserire password precedentemente utilizzate ed il sistema automaticamente ne controlla il
contenuto;
Le password devono essere immediatamente sostituite nel caso si sospetti che le stesse abbiano perso la necessaria
segretezza. Qualora l’utente venisse a conoscenza delle password di altro utente, è tenuto a darne immediata notizia
all’AS. In nessun caso è ammessa la condivisione di credenziali di autenticazione personali, tranne che queste siano state
create appositamente per uso condiviso o per uso tecnico di manutenzione del sistema (rivolgersi sempre all’AS in caso
di dubbi).
È assolutamente proibito, per gli incaricati che ne hanno possibilità, eliminare o disabilitare in ogni momento la propria
utenza.
Occorre garantire la continuità operativa qualora l’incaricato dotato delle credenziali non sia reperibile o non sia più in
organico sedApta Group.
Le credenziali di accesso a siti esterni o portali Internet (per es. portali fornitori, pubbliche amministrazioni, portali
istituzionali, ecc.) devono essere depositate presso l’AS per garantire la continuità operativa qualora l’incaricato dotato
delle credenziali non sia reperibile o non sia più in organico sedApta Group.
6. Utilizzo dei supporti magnetici Tutti i supporti magnetici riutilizzabili (dischetti, cassette, CD e DVD riscrivibili, dispositivi USB, etc.) contenenti dati
sensibili e/o giudiziari devono essere trattati con particolare cautela onde evitare che il loro contenuto possa essere
recuperato ;una persona esperta potrebbe infatti recuperare i dati memorizzati anche dopo la loro cancellazione. I
supporti magnetici contenenti dati sensibili e/o giudiziari devono essere custoditi in appositi armadi chiusi a chiave.
CODICE RSI
TITOLO REGOLAMENTO PER UTILIZZO DEI SISTEMI INFORMATIVI AZIENDALI Rev. 01
Data 12/09/2018
CLASSIFICAZIONE - USO INTERNO / INTERNAL USE ONLY
Questo documento è proprietà di sedApta Group che se ne riserva tutti i diritti. Pagina 9 di 15
7. Utilizzo di pc portatili Ogni lavoratore è responsabile del PC assegnatogli e deve custodirlo con diligenza sia durante gli spostamenti sia
durante l’utilizzo nel luogo di lavoro.
Ai PC portatili si applicano le regole di utilizzo previste per i PC connessi in rete (vedi punto 3), con particolare attenzione
alla rimozione di eventuali file elaborati sullo stesso prima della riconsegna. I PC portatili utilizzati all’esterno (per
convegni, fiere, etc.), in caso di allontanamento, devono essere custoditi in un luogo protetto, in quanto il loro
smarrimento o il loro furto rappresenta una perdita e/o una diffusione non controllata dei dati in essi contenuti.
Il PC portatile deve essere conservato in condizioni tecniche e funzionali ottimali, esso non deve essere adibito a funzioni
diverse da quelle per cui è stato costruito, né sottoposto a sollecitazioni anormali o superiori a quelle tecnicamente
ammesse. Presso l’Ufficio Risorse Umane è conservato l’elenco dei PC portatili dati in dotazione ai lavoratori.
8. Norme di carattere generale
• tutte le informazioni trattate all’interno dell’azienda devono essere di carattere aziendale, in linea con l’attività
lavorativa svolta;
• tutte le informazioni trattate all’interno dell’azienda sono di proprietà dell’azienda stessa (fatto salvo i dati
personali degli utenti stessi messi a disposizione dell’azienda per trattamenti specifici, oppure i dati personali di
altri soggetti che l’azienda è autorizzata a trattare);
• l’hardware, il software e tutti gli strumenti informativi dell’azienda, messi a disposizione degli utenti per lo
svolgimento dell’attività lavorativa, sono di proprietà dell’azienda stessa;
• tutti gli utenti sono responsabili del buon utilizzo/cura degli strumenti informativi da loro utilizzati;
• tutti gli utenti sono responsabili del trattamento dei dati per i quali sono incaricati in conformità a quanto riportato
nel seguente schema:
Per le informazioni aziendali pubbliche si definisce un unico livello di classificazione:
▪ informazioni di pubblico dominio.
Le informazioni aziendali non pubbliche si articolano in tre livelli di classificazione, ordinati secondo requisiti
di riservatezza via via più stringenti:
▪ informazioni per Uso interno
▪ informazioni Confidenziali
▪ informazioni Riservate esclusive
CODICE RSI
TITOLO REGOLAMENTO PER UTILIZZO DEI SISTEMI INFORMATIVI AZIENDALI Rev. 01
Data 12/09/2018
CLASSIFICAZIONE - USO INTERNO / INTERNAL USE ONLY
Questo documento è proprietà di sedApta Group che se ne riserva tutti i diritti. Pagina 10 di 15
INFORMAZIONI DI PUBBLICO DOMINIO
Le informazioni aziendali classificate come Pubblico dominio sono informazioni visionabili e consultabili sia
da tutto il personale sedApta Group sia da personale esterno.
La diffusione non autorizzata, la perdita, la manomissione o l’uso indebito di un documento classificato come
Pubblico non comporta nessun rischio per l’azienda, per i suoi dipendenti o per terzi. L’archiviazione di tali
documenti non è soggetta a rigide regole di sicurezza.
L’eventuale distruzione di questi documenti avviene gettandoli nei contenitori per rifiuti.
Il responsabile della gestione delle informazioni Pubbliche si individua tra i seguenti livelli:
• Direzione aziendale (CEO)
• Responsabili di Funzione
INFORMAZIONI PER USO INTERNO
Le informazioni aziendali classificate ad Uso Interno sono informazioni visionabili e consultabili solo dal
personale interno sedApta Group.
La diffusione non autorizzata, la perdita, la manomissione o l’uso indebito di un documento classificato ad
Uso Interno, possono arrecare un danno sia all’azienda che ai suoi dipendenti.
L’archiviazione di tali documenti avviene ad opera degli utilizzatori che, a fine giornata lavorativa, conservano
i documenti cartacei o i supporti informatici in appositi archivi.
L’eventuale distruzione di questi documenti avviene stracciandoli e gettandoli nei contenitori per rifiuti. Le
modalità di distruzione dei supporti sono descritte nella Procedura P 10 «Gestione Operativa della Sicurezza».
Il responsabile della gestione delle informazioni Uso Interno si individua tra i seguenti livelli:
• Direzione aziendale (CEO)
• Responsabili di Funzione
INFORMAZIONI CONFIDENZIALI
Le informazioni aziendali classificate Confidenziali sono informazioni visionabili e consultabili solo dai
Responsabili di Funzione di sedApta Group individuati dalla Direzione aziendale (CEO).
La diffusione non autorizzata, la perdita, la manomissione o l’uso indebito possono arrecare danni gravi
all’azienda, ai suoi dipendenti e/o a terzi.
L’archiviazione di tali documenti avviene ad opera dei Responsabili di Funzione che, a fine giornata lavorativa,
conservano i documenti cartacei in un archivio sottochiave (armadio o cassettiera) all’interno del proprio
ufficio.
CODICE RSI
TITOLO REGOLAMENTO PER UTILIZZO DEI SISTEMI INFORMATIVI AZIENDALI Rev. 01
Data 12/09/2018
CLASSIFICAZIONE - USO INTERNO / INTERNAL USE ONLY
Questo documento è proprietà di sedApta Group che se ne riserva tutti i diritti. Pagina 11 di 15
Nel caso le informazioni Confidenziali risiedano nei sistemi informatici, l’accesso all’area contenente questi
documenti è autorizzata mediante policy definita dal proprietario dell’informazione.
L’eventuale distruzione di documenti cartacei avviene adoperando un’apparecchiatura adeguata (il distruggi
documenti). Le modalità di distruzione dei supporti sono descritte nella Procedura P 10 «Gestione Operativa
della Sicurezza».
Il responsabile della gestione delle informazioni Confidenziali si individua tra i seguenti livelli:
• Direzione aziendale (CEO)
• Responsabili di Funzione
INFORMAZIONI RISERVATE ESCLUSIVE
Le informazioni aziendali classificate come Riservate Esclusive sono informazioni visionabili e consultabili solo
dalla Direzione aziendale (CEO) e dalle persone da lui indicate ed autorizzate.
La diffusione non autorizzata, la perdita, la manomissione o l’uso indebito possono arrecare danni gravissimi,
all'azienda, ai suoi dipendenti e/o a terzi.
L’archiviazione di tali documenti avviene ad opera della Direzione aziendale (CEO) che, a fine giornata
lavorativa, conserva i documenti cartacei in un archivio sottochiave (armadio o cassettiera) all’interno del
proprio ufficio. Nel caso le informazioni Riservate Esclusive risiedano nei sistemi informatici, l’accesso all’area
contenete questi documenti è autorizzata mediante policy definita dalla Direzione aziendale (CEO).
L’eventuale distruzione di documenti cartacei avviene adoperando un’apparecchiatura adeguata (distruggi
documenti). Le modalità di distruzione dei supporti sono descritte nella P 10 «Gestione Operativa della
Sicurezza».
Il Il responsabile della gestione delle informazioni Riservate Esclusive è esclusivamente la Direzione aziendale
(CEO).
9. Uso della posta elettronica
LA CASELLA DI POSTA ELETTRONICA ASSEGNATA DALL’AZIENDA ALL’UTENTE È UNO STRUMENTO DI LAVORO.
sedApta Group mette a disposizione del lavoratore, per consentirgli di svolgere al meglio la propria attività, una o più
caselle di posta elettronica che rimane nella disponibilità dell’azienda. Le persone assegnatarie di tali caselle di posta
elettronica sono responsabili del corretto utilizzo delle stesse.
CODICE RSI
TITOLO REGOLAMENTO PER UTILIZZO DEI SISTEMI INFORMATIVI AZIENDALI Rev. 01
Data 12/09/2018
CLASSIFICAZIONE - USO INTERNO / INTERNAL USE ONLY
Questo documento è proprietà di sedApta Group che se ne riserva tutti i diritti. Pagina 12 di 15
Si sollecita all’uso della email aziendale solo per attività inerenti al proprio lavoro.
La casella di posta deve essere mantenuta in ordine, cancellando documenti inutili e soprattutto allegati ingombranti.
Si consiglia l’uso delle cassette postali on line, ricordando che l’email non deve costituire archivio di dati originali, ma
solo archivio delle comunicazioni eseguite.
È vietato registrarsi con l’indirizzo di posta elettronica aziendale a siti o servizi non inerenti l’attività lavorativa.
Per la trasmissione di file all’interno di sedApta Group è possibile utilizzare la posta elettronica, prestando attenzione
alla dimensione degli allegati. Per ricevere o inviare file di particolari dimensioni rivolgersi all’AS. Si consiglia in ogni
caso, ove possibile ed internamente all’azienda, di trasmettere solo il link ad una posizione sui server aziendali
raggiungibile dal vostro(i) corrispondente(i) interno(i).
È obbligatorio controllare i file allegati di posta elettronica prima del loro utilizzo, non eseguire download di file eseguibili
(.EXE) o documenti da siti Web o Ftp non conosciuti.
Leggere le mail con attenzione, soprattutto quelle che si riferiscono a pagamenti. Nel dubbio fare verifiche con mezzi
diversi (per es. il telefono, oppure un’altra email).
Controllare bene il mittente delle email, soprattutto se si risponde direttamente senza digitare ogni volta l'indirizzo per
intero: un dettaglio, anche solo una lettera, potrebbe fare la differenza.
È buona norma, almeno per le comunicazioni sensibili, non rispondere tramite “reply” alle email ma immettere
l’indirizzo del mittente tramite rubrica.
Allarmarsi quando avviene un cambio repentino di IBAN, soprattutto quando il cliente o il fornitore chiede di agire
velocemente, in segreto e su canali paralleli.
Controllare periodicamente se sul proprio account di posta sono impostate regole di inoltro della posta verso un altro
indirizzo.
Nel caso venissero ricevute email da un indirizzo non inerente l’attività lavorativa o con contenuti che ritenete sospetti,
procedete pure alla cancellazione diretta messaggio, senza aprirne il contenuto.
È assolutamente vietato inviare catene telematiche (o di Sant’Antonio). Se si dovessero ricevere messaggi di tale tipo,
provvedete alla loro cancellazione; non si devono in alcun caso attivare gli allegati di tali messaggi.
In caso di assenza o irreperibilità dell’utente, l’azienda si riserva il diritto di consultare la vs. posta elettronica per motivi
esclusivamente legati all’attività lavorativa, ed al solo fine di garantire continuità operativa. Per gestire al meglio le
vostre assenze, è richiesto l’uso del messaggio automatico di fuori sede, nel quale devono essere riportati nome e
recapito della persona o dell’ufficio che di fatto svolge le vostre veci durante la vostra assenza. In caso di assenze
CODICE RSI
TITOLO REGOLAMENTO PER UTILIZZO DEI SISTEMI INFORMATIVI AZIENDALI Rev. 01
Data 12/09/2018
CLASSIFICAZIONE - USO INTERNO / INTERNAL USE ONLY
Questo documento è proprietà di sedApta Group che se ne riserva tutti i diritti. Pagina 13 di 15
prolungate e programmate, si invitano i responsabili di funzione a proporre una lettura condivisa della posta della
persona assente; per richiederla il responsabile di funzione dovrà segnalarlo all’AS, indicando per iscritto (è sufficiente
un’email) il nome della persona assente, il periodo di assenza ed il nome della persona a cui autorizzare l’accesso alla
posta.
Ogni volta che questa operazione venisse adottata, la persona assente dovrà essere informata al suo rientro delle azioni
eseguite a seguito della lettura della sua posta elettronica. Si suggerisce all’incaricato che ha eseguito queste azioni, di
mettere sempre in copia conoscenza la persona assente.
In caso di assenze programmate e/o prolungate nel tempo (per esempio il periodo di maternità), si dovrà pianificare il
trattamento della posta elettronica con il proprio responsabile di funzione; è comunque consigliabile inserire l’opzione
di “out of office” indicando nel contempo le modalità per raggiungere altri destinatari al mittente che ne avesse bisogno.
La casella di posta elettronica assegnata resterà attiva per tutta la durata del rapporto lavorativo.
Salvo differenti accordi tra le parti, al termine del rapporto di lavoro la casella di posta viene disattivata; l’azienda si
riserva comunque facoltà di tenerla attiva per un ulteriore periodo non superiore ai 30 gg, a garanzia della continuità
operativa. Nel caso in cui arrivasse un’email dall’esterno indirizzata all’account aziendale dell’utente non più in sedApta
Group, in automatico verrà inviata un’email al mittente con l’informazione che tale utente non è più in organico sedApta
Group ed i riferimenti del nuovo incaricato. In nessun caso l’azienda potrà rispondere all’email in arrivo a nome
dell’incaricato non più in organico.
Nel caso di cessazione del rapporto di lavoro l’incaricato non potrà mai cancellare il proprio archivio di posta, visto che
è e resta nella disponibilità dell’azienda.
Il back up delle informazioni contenute nelle email archiviate su server è a cura dell’azienda ed avviene a cadenza
giornaliera; il back up delle informazioni contenute nelle email archiviate su disco locale, deve essere svolto a cura
dell’incaricato che ne concorderà le modalità con l’IT.
Non è consentito, salvo apposita autorizzazione, configurare gli account aziendali o scaricare informazioni relativa
all’azienda sul telefono privato.
Ogni utente deve inserire nella propria firma la seguente dicitura in materia di privacy:
INFORMATIVA SULLA PRIVACY Ai sensi del Regolamento Europeo 679/2016 (o RE 679/2016), conosciuto anche come General Data Protection Regulation (GDPR), si precisa che le informazioni contenute in questo messaggio e nei suoi eventuali allegati sono riservate e per uso esclusivo del destinatario. Nessuno, all'infuori dello stesso, può copiare o distribuire il messaggio, o parte di esso, a terzi. Chiunque riceva questo messaggio per errore, è pregato di distruggerlo e di informare il mittente. PRIVACY NOTICE
CODICE RSI
TITOLO REGOLAMENTO PER UTILIZZO DEI SISTEMI INFORMATIVI AZIENDALI Rev. 01
Data 12/09/2018
CLASSIFICAZIONE - USO INTERNO / INTERNAL USE ONLY
Questo documento è proprietà di sedApta Group che se ne riserva tutti i diritti. Pagina 14 di 15
According to the UE Regulation 679/2016 (or RE 679/2016), also known as General Data Protection Regulation (GDPR), this document and its attachments are confidential and intended for the named addresse(es) only. If you are not the intended recipient of this message, any use or dissemination of this email is prohibited. If you have received this document by mistake, please notify the sender and destroy immediately all physical and/or electronic copies
10. Uso della rete internet e dei relativi servizi
Il PC abilitato alla navigazione in Internet costituisce uno strumento aziendale necessario allo svolgimento della propria attività lavorativa
La navigazione su internet deve sempre rispettare le regole definite dall’azienda nella configurazione dei propri firewall
o comunicate attraverso questo regolamento o altre specifiche comunicazioni, in ogni caso non è consentita la
navigazione su internet su siti potenzialmente dannosi o comunque che possano indurre l’azienda al rischio si sanzioni
di natura amministrativa o penale.
Non è consentito all’utente lo scarico di software sconosciuti o di dubbia provenienza prelevati da siti Internet, se non
esplicitamente autorizzati dall’AS.
È vietata ogni forma di registrazione a siti i cui contenuti non siano legati all’attività lavorativa.
11. Controlli navigazione INTERNET Presso l’azienda sono installati e operativi strumenti per il controllo della navigazione Internet, in particolare firewall
dotati di content filtering ed antivirus. Tali strumenti sono impiegati attualmente per applicare regole di esclusione,
ossia per impedire che la navigazione verso Internet vada su siti non strettamente collegati all’ambiente di lavoro per
esempio siti di natura pornografica, terroristica, armi, e/o altre categorie considerate non necessarie per lo svolgimento
della propria mansione.
Gli strumenti sono configurati per impedire la navigazione su siti di categorie non consentite. Nel caso un utente tenti
di accedere a questo genere di siti, lo strumento ne impedisce la connessione visualizzando all’utente un messaggio di
negato accesso.
L’azienda ha facoltà in ogni istante di impedire la navigazione verso siti specifici o verso intere categorie di siti. Il content
filtering del firewall è connesso con un data base gestito dal produttore contenente tutte le categorie dei siti internet a
livello mondiale; l’aggiornamento di questo data base comporta sia l’inserimento di nuove categorie di siti che
l’eventuale spostamento di un sito da una categoria ad un'altra. sedApta Group, consentendo o meno la navigazione su
determinate categorie, si adegua alla categorizzazione eseguita dal produttore.
CODICE RSI
TITOLO REGOLAMENTO PER UTILIZZO DEI SISTEMI INFORMATIVI AZIENDALI Rev. 01
Data 12/09/2018
CLASSIFICAZIONE - USO INTERNO / INTERNAL USE ONLY
Questo documento è proprietà di sedApta Group che se ne riserva tutti i diritti. Pagina 15 di 15
L’AS è stato deputato dalla direzione al controllo ed alla programmazione di tali strumenti, pertanto l’AS, gestendo il
content filtering avrà accesso ai prospetti riepilogativi dello stesso. In tali prospetti e possibile visualizzare data e ora di
accesso al sito visitato, nome del sito visitato e indirizzo IP del client, ma non il nome dell’utente.
Solo nel caso in cui si verifichino attacchi da Internet, abusi nell’utilizzo della rete o della posta elettronica, navigazioni
non consentite, sedApta Group si riserva, previa comunicazione, di controllare tali informazioni ed eventualmente
introdurre ulteriori strumenti di controllo per comprendere la natura dei problemi ed adottare provvedimenti volti alla
loro eliminazione.
Nel caso in cui gli abusi nell’uso degli strumenti persistano, sedApta Group, dando previa comunicazione alla generalità
degli utenti, si riserva la facoltà di eseguire controlli più invasivi in un periodo limitato e comunicato agli utenti, che
permettano anche di identificare i nominativi degli utenti, che potranno anche comportare l’adozione di provvedimenti
di carattere disciplinare ai sensi del CCNL.
Nel caso in cui, tra gli abusi, venissero rilevate attività particolarmente gravi da essere considerate reato (per esempio
verso siti che sfuggono ai controlli indicati e che siano di natura pedopornografica, terroristica o comunque che portino
l’azienda al rischio si sanzioni di natura amministrativa o penale) sedApta Group si riserva facoltà di assumere controlli
di natura difensiva senza seguire la procedura indicata.
12. Osservanza delle posizioni in materia di privacy È obbligatorio attenersi alle disposizioni in materia di Privacy e di misure di sicurezza, come indicato nella lettera di
designazione di incaricato del trattamento dei dati, ai sensi del GDPR-Regolamento Europeo 679/16.
13. Non osservanza della normativa Il mancato rispetto o la violazione delle regole contenute nel presente regolamento sono perseguibili con
provvedimenti disciplinari ai sensi del vigente CCNL Metalmeccanico nonché con le azioni civili e penali disposte dalla
legge.
14. Aggiornamento e revisione Il presente regolamento è visionabile dalla Intranet aziendale.
Tutti gli utenti possono proporre, quando ritenuto necessario, integrazioni al presente Regolamento.
Le proposte verranno esaminate dalla Direzione.
Top Related