ALLEGATO 1 – MISURE DI SICUREZZA
| Misure organizzative | Descrizione |
| Istruzioni e autorizzazioni del trattamento dei dati personali | Appositi contratti in essere con dipendenti, consulenti, fornitori |
| Istruzioni e autorizzazioni a sub-responsabili del trattamento dei dati personali | Nomine a sub-responsabili in linea con quanto previsto dal GDPR |
| Mappatura e designazione Amministratori di Sistema | Sussiste elenco aggiornato tenuto da Openview di amministratori di sistema interni ed esterni |
| Adozione procedure interne relative al trattamento di dati personali | Organigramma privacy, privacy policy e DPA |
| Pianificazione formazione del personale in materia privacy | Formazione effettuata con cadenza regolare |
| Altro (specificare) |
| Misure di sicurezza informatica | Descrizione |
| Pseudonimizzazione | La pseudonimizzazione dei dati è una feature “by design”. La cancellazione è una operazione
effettuabile su richiesta. |
| Cifratura | Adottiamo pratiche di crittografia rigorose per la protezione dei dati. Tutti i dati trasferiti all’esterno dell’organizzazione, nonché quelli archiviati su supporti rimovibili e dischi rigidi dei computer portatili, sono crittografati. L’accesso remoto richiede terminali criptati o servizi VPN, mentre per il trasferimento dei file sono obbligatori la crittografia Wi-Fi e SFTP. I dati vengono crittografati sia in transito che a riposo, a seconda della loro classificazione, con chiavi gestite a livello centrale, e gli individui sono responsabili della crittografia dei dati “sensibili” prima del trasferimento. In generale, diamo priorità a pratiche solide di crittografia e gestione delle chiavi per una sicurezza ottimale. |
| Misure di backup dei dati | Utilizziamo prevalentemente tecnologie cloud, quindi il backup dei dati è compito dei nostri fornitori cloud. Abbiamo scelto fornitori in grado di garantire la disponibilità, la replica dei dati e il backup. Le macchine virtuali sono salvate nel cloud, mentre i dati nelle database delle macchine virtuali vengono copiati quotidianamente nel server di file. Utilizziamo un altro provider cloud per documenti interni che garantisce un ambiente replicato e con backup. Infine, il codice sorgente è conservato in un sistema di versioning, anche questo salvaguardato con backup. |
| Piano di disaster recovery | Il nostro Piano di Disaster Recovery prevede la creazione di un evento di sicurezza nel nostro Sistema di Gestione della Sicurezza delle Informazioni (ISMS). Questo evento viene valutato per minimizzare qualsiasi compromissione della disponibilità, integrità o riservatezza delle informazioni e prevenire ulteriori incidenti. Se l’incidente riguarda dati dei clienti, il contatto principale deve essere informato immediatamente e si attiva un piano di risposta stabilendo le necessità di notifica alle autorità competenti, in linea con le policy ISMS. |
| Gruppo di continuità/Generatore | Demandata ad IBM Cloud |
| Sistemi di alerting data breach | In caso di eventi legati alla sicurezza delle informazioni, assegniamo un responsabile per gestire l’incidente, che si occupa di ristabilire un livello normale di sicurezza, raccogliere prove, svolgere analisi forensi di sicurezza, comunicare l’incidente al CISO, CEO e Responsabile delle comunicazioni e gestire eventuali debolezze di sicurezza emerse. Una volta risolto l’incidente, l’evento viene impostato come “Recensione e Apprendimento” per permettere un’analisi post-incidente. |
| Pianificazione penetration test | Eseguiamo test di penetrazione indipendenti annuali, o più frequentemente in caso di cambiamenti rilevanti, secondo gli standard riconosciuti per i servizi erogati. Ove richiesto dai contratti dei clienti, vengono effettuati ulteriori test di penetrazione. Lezioni apprese o miglioramenti consigliati vengono poi integrati in tutti i servizi al cliente. |
| Pianificazione vulnerability assessment | Periodico gestito in fase di Continuous Integration |
| Sistemi di autenticazione informatica | Nella piattaforma l’’utente si autentica mediante username e password.
Per i dipendenti ogni sistema correlato è protetto da sistemi di autenticazione sempre tramite username e password e all’occorrenza anche otp su telefono. |
| Firewall | Le configurazioni del firewall software devono bloccare tutte le connessioni in entrata con connessioni permesse specificate su base di lista bianca. |
| Programmi antivirus | Utilizziamo software anti-virus affidabili sui dispositivi dei dipendenti e i documenti caricati online vengono analizzati per verificarne la presenza di virus. Se sospettiamo o confermiamo un’infezione da malware, l’utente deve disconnettere immediatamente la macchina dalla rete e segnalare l’evento di sicurezza. |
| Patching/Programmazione aggiornamenti software | La nostra azienda dispone di una politica per gestire e controllare adeguatamente le modifiche alle risorse informatiche, inclusi sistemi, reti, processi o componenti. Questa politica prevede l’esecuzione di una valutazione dell’impatto e del rischio, la documentazione dettagliata delle modifiche e dei risultati associati, l’approvazione di ciascuna modifica da parte di una terza parte e l’implementazione delle modifiche da parte del personale autorizzato, previa adeguata prova e approvazione da parte degli stakeholder. In caso di modifiche di emergenza, sono presenti procedure specifiche per garantire un adeguato controllo, autorizzazione e documentazione. |
| Sistema di registrazione eventi | Tramite IBM Cloud |
| Sistema di registrazione log Amministratori di Sistema | Tramite IBM Cloud |
| Protocolli di sicurezza per la trasmissione dei dati | La nostra politica prevede il trasferimento di dati solo se necessari per specifiche finalità aziendali tramite metodi preferenziali ovvero HTTPS e SFTP, che assicurano una connessione criptata. L’uso di email, FTP o supporti fisici è meno privilegiato a causa dei loro minori standard di sicurezza. Inoltre, qualsiasi trasferimento di dati personali deve essere coperto da un accordo di trasferimento. |
| Strumenti di portabilità dei dati personali | L’applicazione consente di scaricare puntualmente i documenti gestiti. Il download massivo dei documenti e dei relativi metadati (in formato excel/csv) è disponibile on demand. |
| Sistemi di cancellazione automatizzata dei dati personali trattati | La cancellazione è una operazione effettuabile su richiesta. |
| Valutazioni in termini di Privacy by Design dei prodotti forniti/utilizzati per il trattamento dei dati personali | a) Approccio proattivo non reattivo, prevenire per correggere: ossia anticipare e prevenire gli eventi invasivi/lesivi della privacy prima che essi accadano;
b) Privacy come impostazione di default: realizzare il massimo livello di privacy, assicurando che i dati personali siano automaticamente protetti in un qualunque sistema IT o di pratica commerciale; c) Privacy incorporata nella progettazione; d) Sicurezza dell’intero ciclo-vita di un sistema e dei dati; e) Visibilità e trasparenza costante verso l’interessato/utente e centralità dell’utente. |
| Altro (specificare) |
|
Misure di sicurezza fisica
|
Descrizione
|
| Sistemi antintrusione fisici (allarmi) | Demandata ad IBM Cloud |
| Sistemi di guardiania/sorveglianza | Demandata ad IBM Cloud |
| Videosorveglianza | Demandata ad IBM Cloud |
| Controllo accessi sale server | Demandata ad IBM Cloud |
| Sistemi biometrici | Demandata ad IBM Cloud |
| Armadi con serratura | Demandata ad IBM Cloud |
| Locali chiusi a chiave | Demandata ad IBM Cloud |
| Sistema antincendio | Demandata ad IBM Cloud |
| Altro (specificare) |
