DPA - Data Processing Agreement

DPA

Disposizioni generali

Medidas de seguridad

Tutela dei diritti degli interessati

Disposizioni finali

Ficha técnica

Misure di protezione adottate dal responsabile del trattamento

A) Misure organizzative
A-1) Adozione di una politica sulla gestione della sicurezza delle informazioni e di una politica per la tutela dei dati personali in conformità alla normativa privacy, basate sull’analisi del rischio, al fine di garantire la riservatezza, disponibilità ed integrità dei dati personali a tutela dei diritti e libertà degli interessati;
A-2) Procedure di accesso alle strutture fisiche, debitamente protette, solo a soggetti autorizzati previo idoneo riconoscimento;
A-3) Policy e Disciplinari utenti: Vengono applicate dettagliate policy e disciplinari, ai quali tutta l’utenza con accesso ai servizi informatici deve conformarsi a garanzia della sicurezza dei sistemi;
A-4) Autorizzazione accessi logici – Tutti i sistemi informatici sono accessibili solo con profili di accesso per quanto necessario alla mansione svolta. I profili di autorizzazione sono individuati e configurati preventivamente all’accesso;
A-5) Presente una procedura di gestione degli incidenti collegata a strumenti tecnici di monitoraggio dei sistemi cui è proposto personale specializzato, con individuazione, in caso di incidente, degli interventi da predisporre secondo un ordine logicamente determinato, con lo scopo di garantire il ripristino dei servizi nel più breve tempo possibile, nonché verificarne le conseguenze, redigere un report, dal cui esito dipendono ulteriori misure di protezione, ferma in ogni caso la verifica dell’adeguatezza dei sistemi di protezione predisposti;
A-6) Procedura di gestione dell’assistenza – Gli interventi di assistenza vengono gestiti mediante una procedura che verifichi l’autenticità della richiesta ed eroghi il supporto contenendo al minimo il trattamento dati personali, tramite personale debitamente formato e strumenti tecnici rispetosi degli standard di sicurezza. Anche tramite un servizio di ticket system messo a disposizione del CLIENTE, sarà sempre possibile sapere il dettaglio dell’intervento, durata, data e l’operatore (tramite un codice univoco a lui assegnato), nonché verificare, da parte del responsabile del trattamento, l’autenticità della richiesta di supporto;
A-7) In ogni caso i livelli di accesso ai sistemi del CLIENTE per fornire assistenza tecnica saranno assegnati solo ad alcuni dipendenti specificamente autorizzati con credenziali di autenticazione conformi a standard internazionali;
A-8) Impegno alla riservatezza per iscritto di tutti i dipendenti prima di accedere ai sistemi;
A-9) Cada colaborador solo podrá tratar la información para la que haya sido autorizado en relación con las funciones desempeñadas y debidamente capacitado, mediante actualizaciones periódicas, para tratar los datos con la máxima confidencialidad y seguridad, en cumplimiento de la legislación de privacidad;
A-10) Regolamento interno per i dipendenti, circa l’utilizzo degli strumenti informatici e sui potenziali controlli del datore di lavoro;
A-11) Procedure di protezione contro attacchi tramite social engineering con collegata specifica formazione del personale;
A-12) Procedure per la scelta dei fornitori adeguati incentrate sulla verifica di qualità, sicurezza e conformità alla normativa vigente dei beni o servizi offerti;
A-13) Procedura di verifica della necessità di una DPIA, Valutazione d'impatto sulla protezione dei dati in relazione ai sistemi informatici utilizzati in base alla normativa privacy;
A-14) Data Breach – Esiste una procedura per la gestione degli incidenti che possa incidere sui dati personali, basata sulla distribuzione dei ruoli secondo competenza, verifica del potenziale pregiudizio (presunto o accertato), gestione delle contromisure nonché le modalità di condivisione con il CLIENTE delle informazioni relative alle violazioni di dati personali e per l’adozione degli adempimenti connessi previsti dalla normativa privacy;
A-15) Procedure per lo smaltimento della documentazione analogica e dei sistemi informatici potenzialmente contenenti informazioni, tramite idonei strumenti (quali distruggi documenti e ditte certificate nello smaltimento);
A-16) Aggiornamento delle misure organizzative che saranno verificate ogni sei mesi;
B) Medidas técnicas
B-1) Credenziali di autenticazione – L’accesso ai sistemi si basa esclusivamente su credenziali di autenticazione univoche, basate su un PIN o chiave di accesso riservate e con misure di sicurezza conformi a standard internazionali;
B-2) Gestione password di accesso secondo best practise, basate sulla lunghezza, complessità, scadenza, robustezza affidate a soggetti debitamente istruiti circa il suo utilizzo e conservazione;
B-3) Administradores del Sistema - Para los usuarios con rol de Administradores del Sistema, cuyas funciones se le atribuyen con nominaciones específicas y por escrito, se implementa un sistema de gestión de logs no alterable, debidamente configurado para rastrear las actividades realizadas y permitir el seguimiento posterior a verificar la regularidad de las transacciones. Luego se activa un procedimiento para verificar el trabajo de los administradores del sistema como parte del plan de seguridad de la información desarrollado internamente y para el cumplimiento de la legislación de privacidad y también con el propósito de mejorar las medidas de protección;
B-4) Uso de sistemas de encriptación basados ​​en algoritmos y protocolos informáticos que cumplan con los estándares internacionales;
B-5) IDS/IPS Intrusion Detection System e Intrusion Prevention System quali sistemi di rilevamento delle intrusioni, per individuare in anticipo attacchi informatici;
B-6) Adozione di sistemi Firewall quali componenti di difesa perimetrale delle reti informatiche ed a tutela delle linee di comunicazione;
B-7) Antivirus e Malware aggiornati con cadenza periodica contro il rischio di intrusione e dell'azione illecita di programmi;
B-8) Sistemi di logging al fine del monitoraggio dei sistemi, conservazione degli eventi accaduti ed identificazione degli accessi;
B-9) Sistemi di backup & restore, con relativa procedura di gestione;
B-10) Business continuity per la resilienza dei sistemi in caso di incidente;
B-11) Vulnerability Assessment & Penetration Test – Vengono eseguite periodicamente attività di analisi delle vulnerabilità dei sistemi sia in relazione agli ambiti infrastrutturali sia a quelli applicativi, nonché eseguiti Penetration Test con cadenza periodica, ipotizzando diversi scenari di attacco, con l’obiettivo di verificare il livello di sicurezza di applicazioni/sistemi/reti e quindi sulla base dei relativi report, migliorare le misure di sicurezza;
B-12) Scelta DATA CENTER con standard TIER 4;
B-13) Aggiornamento constante dei sistemi informatici, delle misure tecniche, al variare della tecnologia e con costante verifica secondo tempistiche prestabilite nonché verifica costante, presso fonti affidabili, dei problemi di sicurezza dei prodotti e servizi informatici in uso per l’update relativo.

Note Legali

Informaciones del documento

Titolo del documento: DPA
Versión del documento: V.1.2
Fecha de la última modificación: 19/11/2024