Estratto documento DPS sulla Sicurezza

Le misure, già adottate e da adottare, per garantire l’integrità e la disponibilità dei dati.

Al fine di garantire l’integrità e la disponibilità dei dati sono previste le seguenti misure di sicurezza: La protezione di aree e locali L’accesso ai locali nei quali sono custoditi i supporti cartacei ed elettronici è consentito esclusivamente alle persone autorizzate... .

Al fine di evitare il rischio di distruzione, danneggiamento dei locali, con conseguente rischio di perdita o cancellazione dei dati, i locali sono dotati delle seguenti misure di sicurezza:

  • misure antincendio, conformi alle prescrizioni di cui al D. Lgs. 81/2008, successive modificazioni e leggi correlate;
  • procedure di emergenza (il personale è informato sulle procedure di emergenza antincendio, sul piano evacuazione, nonché sulle norme comportamentali relative all’introduzione di materiale infiammabile nei locali ove hanno luogo i trattamenti di dati personali – è nominato un responsabile dei servizi di prevenzione e protezione previsti dal d. Lgs. 81/2008, cui sono demandati i compiti di verifica periodica sullo stato di efficienza e di conformità dei dispositivi antincendio alle vigenti norma in materia);
  • estintori (i locali sono dotati di un sufficiente numero di estintori manuali con caratteristiche adeguate alla tipologia delle risorse da cautelare; gli estintori manuali sono collocati in posti visibili e facilmente raggiungibili);
  • gruppo di continuità dell’alimentazione elettrica (la continuità dell’alimentazione elettrica ai server e all’impianto di allarme è assicurata dalla presenza di gruppi di continuità elettrica (UPS) che entrano in funzione automaticamente in caso di black out e garantiscono l’alimentazione al sistema informatico presente presso il server aziendale per un periodo di circa 45 minuti);
  • impianto di condizionamento (gli ambienti dove si svolge il trattamento e l’elaborazione elettronica dei dati – il server – è provvisto di impianti di climatizzazione adeguati alle necessità).

Controllo degli accessi fisici

L’accesso dei dipendenti avviene tramite chiave e/o carta magnetica. Le vie di accesso dei dipendenti sono le seguenti:

  • scale condominiali

Tutti i visitatori occasionali, siano essi clienti, familiari di dipendenti o altro, sono sottoposti alle seguenti procedure:

  • identificazione verbale
  • verifica del dipendente/collaboratore da incontrare
  • accompagnamento in sala riunioni

L’accesso al CED è consentito solo al personale autorizzato con chiave magnetica.

La custodia e l’archiviazione di atti, documenti e supporti

Per quanto attiene al trattamento che è svolto dalla figura degli incaricati, questi ultimi sono edotti sulle loro mansioni e sui limiti che sono loro imposti.

Unitamente alla sottoscrizione della lettera di nomina dell’incaricato, è fornito un regolamento sulle norme di comportamento al quale dovranno attenersi tutti gli incaricati. All’interno di tale regolamento sono espressamente descritte le attività e le procedure alle quali gli incaricati dovranno attenersi.

Agli incaricati, pertanto, sono date istruzioni di accedere ai soli dati personali, la cui conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati.

Al fine di conservare, archiviare e custodire correttamente i dati ed i supporti nei quali i dati sono contenuti, tutti gli archivi contenenti dati personali cartacei sono protetti da accessi indesiderati o non autorizzati mediante la dislocazione nella stanza dove si svolgono le principali attività del trattamento.

Gli uffici sono dotati di armadi chiusi a chiave e di contenitori chiusi nei quali riporre la documentazione.

Tutti i supporti di memorizzazione rimovibili sono immagazzinati in ambienti sicuri. I supporti riguardanti informazioni particolari devono essere conservati in archivi ad accesso selezionato e collocati in modo da non essere esposti a potenziali pericoli.

Le misure logiche di sicurezza.

Per i trattamenti effettuati con strumenti elettronici (elaboratori, programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato), si adottano le seguenti misure:

  • realizzazione e gestione di un sistema di autenticazione informatica, che ha il fine di accertare l’identità delle persone, affinché ad ogni strumento elettronico possa accedere solo chi è autorizzato;
  • realizzazione e gestione di un sistema di autorizzazione, che ha il fine di circoscrivere le tipologie dei dati ai quali gli incaricati possono accedere, ed i trattamenti che possono effettuare, a quelli strettamente necessari per lo svolgimento delle proprie mansioni lavorative;
  • realizzazione e gestione di un sistema di protezione contro malfunzionamenti, attacchi informatici e programmi che contengono virus.

Per quanto attiene alla realizzazione e gestione di un sistema di autenticazione informatica, tale strumento è disposto al fine di disciplinare gli accessi.

I criteri del suddetto sistema di autenticazione sono i seguenti:

  • si associa un codice per l’identificazione dell’incaricato (username), attribuito da chi amministra il sistema, ad una password conosciuta solo dall’incaricato che provvederà ad elaborarla, modificarla periodicamente (6 mesi) e a mantenerla segreta;
  • la password deve essere composta da almeno sei caratteri, oppure, se ciò non fosse possibile, dal numero massimo di caratteri che possono essere supportati dal sistema;
  • la password non deve contenere riferimenti agevolmente riconducibili all’incaricato;
  • la password è composta da elementi alfanumerici, dei quali numerici in misura di almeno un carattere;
  • la password attribuita dall’amministratore di sistema deve essere immediatamente cambiata da parte dell’incaricato, comunque non oltre il primo accesso;
  • successivamente, ogni 6 mesi, la password viene cambiata ad opera dell’incaricato.

Nel caso in cui l’individuo perda la qualifica di incaricato, cessi il rapporto di lavoro, sospenda il rapporto di lavoro, muti le proprie mansioni all’interno della società e, in ogni caso, entro 6 mesi dal mancato utilizzo delle credenziali di autenticazione, queste ultime saranno disattivate.

Per quanto concerne la circoscrizione delle tipologie dei dati ai quali gli incaricati possono accedere, sono previste, all’interno del server, delle aree “pubbliche” alle quali possono accedere tutti gli incaricati del trattamento.Sono inoltre individuate delle aree che, pertinentemente alle tipologie di dati in esse contenute, risultano accessibili esclusivamente da alcuni incaricati.

A seguito della procedura di autenticazione, dunque, il profilo di ogni singolo incaricato consente operazioni ed accessi differenti, alcuni in condivisione, altri non.

Non sono in condivisione:

  • la cartella privata di ogni singolo individuo;
  • le cartelle del gruppo di lavoro di cui l’incaricato non fa parte.

In ogni caso, qualora dovessero venire meno le necessità di accesso da parte di un incaricato, la struttura degli accessi verrà tempestivamente modificata.

Per quanto attiene alla protezione degli strumenti e dei dati, sono adottate misure cautelative da intrusioni esterne che potrebbero portare tanto alla consultazione non autorizzata dei dati in possesso del Titolare, quanto alla cancellazione, modificazione dei dati stessi.

  • un aggiornamento degli antivirus;
  • un back up;
  • in caso di danneggiamento dei dati o degli strumenti elettronici, sono adottate idonee misure per garantirne il ripristino in tempi non superiori a 7 giorni.

In relazione al back up dei dati, è installato un sistema di back up che viene effettuato con frequenza giornaliera, su uno dei domain server. Le copie vengono conservate con le seguenti modalità: giornaliero.

Il back-up del server di rete viene effettuato automaticamente su l’altro domain server appositamente predisposto.

I criteri e le modalità di ripristino dei dati, in seguito a distruzione o danneggiamento.

Per garantire i dati dalla possibilità che siano colpiti da eventi dannosi che possano modificarli o distruggerli, sono previste idonee modalità al fine di operare il ripristino dei dati entro 7 giorni.

Ai fini di cui sopra, sono previste procedure di back up, attraverso le quali è periodicamente effettuata copia di tutti i dati presenti all’interno del sistema.