DPA - Data Processing Agreement

DPA

Disposizioni generali

Misure di sicurezza

Tutela dei diritti degli interessati

Disposizioni finali

Scheda tecnica

Misure di protezione adottate dal responsabile del trattamento

A) Misure organizzative
A-1) Adozione di una politica sulla gestione della sicurezza delle informazioni e di una politica per la tutela dei dati personali in conformità alla normativa privacy, basate sull’analisi del rischio, al fine di garantire la riservatezza, disponibilità ed integrità dei dati personali a tutela dei diritti e libertà degli interessati;
A-2) Procedure di accesso alle strutture fisiche, debitamente protette, solo a soggetti autorizzati previo idoneo riconoscimento;
A-3) Policy e Disciplinari utenti: Vengono applicate dettagliate policy e disciplinari, ai quali tutta l’utenza con accesso ai servizi informatici deve conformarsi a garanzia della sicurezza dei sistemi;
A-4) Autorizzazione accessi logici – Tutti i sistemi informatici sono accessibili solo con profili di accesso per quanto necessario alla mansione svolta. I profili di autorizzazione sono individuati e configurati preventivamente all’accesso;
A-5) Presente una procedura di gestione degli incidenti collegata a strumenti tecnici di monitoraggio dei sistemi cui è proposto personale specializzato, con individuazione, in caso di incidente, degli interventi da predisporre secondo un ordine logicamente determinato, con lo scopo di garantire il ripristino dei servizi nel più breve tempo possibile, nonché verificarne le conseguenze, redigere un report, dal cui esito dipendono ulteriori misure di protezione, ferma in ogni caso la verifica dell’adeguatezza dei sistemi di protezione predisposti;
A-6) Procedura di gestione dell’assistenza – Gli interventi di assistenza vengono gestiti mediante una procedura che verifichi l’autenticità della richiesta ed eroghi il supporto contenendo al minimo il trattamento dati personali, tramite personale debitamente formato e strumenti tecnici rispetosi degli standard di sicurezza. Anche tramite un servizio di ticket system messo a disposizione del CLIENTE, sarà sempre possibile sapere il dettaglio dell’intervento, durata, data e l’operatore (tramite un codice univoco a lui assegnato), nonché verificare, da parte del responsabile del trattamento, l’autenticità della richiesta di supporto;
A-7) In ogni caso i livelli di accesso ai sistemi del CLIENTE per fornire assistenza tecnica saranno assegnati solo ad alcuni dipendenti specificamente autorizzati con credenziali di autenticazione conformi a standard internazionali;
A-8) Impegno alla riservatezza per iscritto di tutti i dipendenti prima di accedere ai sistemi;
A-9) Ogni dipendente può trattare solo le informazioni per i quali è stato autorizzato in relazione alle mansioni svolte nonché debitamente formato, mediante aggiornamenti periodici, per trattare i dati con la massima riservatezza e sicurezza, nel rispetto della normativa privacy;
A-10) Regolamento interno per i dipendenti, circa l’utilizzo degli strumenti informatici e sui potenziali controlli del datore di lavoro;
A-11) Procedure di protezione contro attacchi tramite social engineering con collegata specifica formazione del personale;
A-12) Procedure per la scelta dei fornitori adeguati incentrate sulla verifica di qualità, sicurezza e conformità alla normativa vigente dei beni o servizi offerti;
A-13) Procedura di verifica della necessità di una DPIA, Valutazione d'impatto sulla protezione dei dati in relazione ai sistemi informatici utilizzati in base alla normativa privacy;
A-14) Data Breach – Esiste una procedura per la gestione degli incidenti che possa incidere sui dati personali, basata sulla distribuzione dei ruoli secondo competenza, verifica del potenziale pregiudizio (presunto o accertato), gestione delle contromisure nonché le modalità di condivisione con il CLIENTE delle informazioni relative alle violazioni di dati personali e per l’adozione degli adempimenti connessi previsti dalla normativa privacy;
A-15) Procedure per lo smaltimento della documentazione analogica e dei sistemi informatici potenzialmente contenenti informazioni, tramite idonei strumenti (quali distruggi documenti e ditte certificate nello smaltimento);
A-16) Aggiornamento delle misure organizzative che saranno verificate ogni sei mesi;
B) Misure tecniche
B-1) Credenziali di autenticazione – L’accesso ai sistemi si basa esclusivamente su credenziali di autenticazione univoche, basate su un PIN o chiave di accesso riservate e con misure di sicurezza conformi a standard internazionali;
B-2) Gestione password di accesso secondo best practise, basate sulla lunghezza, complessità, scadenza, robustezza affidate a soggetti debitamente istruiti circa il suo utilizzo e conservazione;
B-3) Amministratori di Sistema – Per gli utenti con ruolo di Amministratori di Sistema, le cui mansioni sono attribuite con atti di nomina specifici ed in forma scritta, è implementato un sistema di log management non alterabile debitamente configurato per tracciare le attività svolte e consentire il monitoraggio successivo per la verifica della regolarità delle operazioni. E’ attiva poi una procedura per la verifica dell’operato degli amministratori di sistema nell’ambito del piano di sicurezza delle informazioni elaborato internamente e per la conformità rispetto alla normativa sulla privacy ed anche al fine del miglioramento delle misure di protezione;
B-4) Utilizzo di sistemi di cifratura basati su algoritmi e protocolli informatici conformi a standard internazionali;
B-5) IDS/IPS Intrusion Detection System e Intrusion Prevention System quali sistemi di rilevamento delle intrusioni, per individuare in anticipo attacchi informatici;
B-6) Adozione di sistemi Firewall quali componenti di difesa perimetrale delle reti informatiche ed a tutela delle linee di comunicazione;
B-7) Antivirus e Malware aggiornati con cadenza periodica contro il rischio di intrusione e dell'azione illecita di programmi;
B-8) Sistemi di logging al fine del monitoraggio dei sistemi, conservazione degli eventi accaduti ed identificazione degli accessi;
B-9) Sistemi di backup & restore, con relativa procedura di gestione;
B-10) Business continuity per la resilienza dei sistemi in caso di incidente;
B-11) Vulnerability Assessment & Penetration Test – Vengono eseguite periodicamente attività di analisi delle vulnerabilità dei sistemi sia in relazione agli ambiti infrastrutturali sia a quelli applicativi, nonché eseguiti Penetration Test con cadenza periodica, ipotizzando diversi scenari di attacco, con l’obiettivo di verificare il livello di sicurezza di applicazioni/sistemi/reti e quindi sulla base dei relativi report, migliorare le misure di sicurezza;
B-12) Scelta DATA CENTER con standard TIER 4;
B-13) Aggiornamento constante dei sistemi informatici, delle misure tecniche, al variare della tecnologia e con costante verifica secondo tempistiche prestabilite nonché verifica costante, presso fonti affidabili, dei problemi di sicurezza dei prodotti e servizi informatici in uso per l’update relativo.

Note Legali

Informazioni documento

Titolo del documento: DPA
Versione del documento: V.1.2
Data di ultima modifica: 19/11/2024