Provvedimenti del Garante della Privacy in merito al trattamento dei dati di traffico: Impatti Tecnici/Organizzativi e Verifiche di Compliance

Transcript

1 Provvedimenti del Garante della Privacy in merito al trattamento dei dati di traffico: Impatti Tecnici/Organizzativi e Verifiche di Compliance Roberto Apollonio, roberto.apollonio@h3g.it Sessione di Studio AIEA Roma, 10 Novembre 2010

2 Agenda 3 Italia Normativa di Riferimento Obiettivo e Scopo dell Audit Interno Ambito Piano di Lavoro Reporting 1

3 3 Italia Company Profile Primo operatore mobile al mondo ad aver lanciato i servizi UMTS su scala commerciale nel 2003, 3 Italia offre oggi un ampia gamma di servizi di comunicazione, Internet e TV in mobilità a oltre 9 milioni di clienti. 3 Italia, che nel 2009 ha registrato ricavi per 1, 647 miliardi di euro, è un azienda del Gruppo Hutchison Whampoa, compagnia tra le prime 500 nella classifica Fortune, una delle più grandi imprese quotate alla borsa di Hong Kong, operativa in 54 Paesi con 220 mila dipendenti e un fatturato di 38,71 miliardi di dollari nel Italia è all avanguardia nello sviluppo delle tecnologie mobili di nuova generazione e si è sempre distinta per l approccio innovativo e pioneristico che le ha permesso di raggiungere diversi primati: dopo l UMTS, nel 2006 ha lanciato la prima offerta commerciale HSDPA in Italia e ha implementato l HSUPA, standard che oggi permettono di accedere alla banda larga mobile con velocità di trasmissione dati fino a 21,6 Mbps in downlink e fino a 5,76 Mbps in uplink. 2

4 Agenda 3 Italia Normativa di Riferimento Obiettivo e Scopo dell Audit Interno Ambito Piano di Lavoro Reporting 3

5 Normativa di Riferimento Provvedimenti del Garante della Privacy a Carattere Generale 24/07/08 Sicurezza dei dati di traffico e successivi aggiornamenti Garante 4 Audit Formale Decreto Legislativo in Materia di Protezione dei Dati Personali 30/06/03 19/09/07 Codice in Materia di Protezione dei Dati Personali Disciplinare Tecnico in Materia di Misure Minime di Sicurezza Codice Allegato Tecnico Dlgs 196/03 All. B Dlgs 196/03 4

6 Provvedimento Garante Privacy del 24 Luglio 2008 Overview (1 di 2) Individua le modalità di trattamento dei dati di traffico telefonico e telematico sulla base delle finalità: fatturazione e accertamento/repressione reati Individua la tipologia di fornitori dei servizi tenuti a conservare i dati di traffico Definisce le modalità di conservazione dei dati di traffico e le finalità perseguibili Identifica le modalità di acquisizione dei dati di traffico Prescrive misure e accorgimenti per il trattamento dei dati di traffico in merito a: Sistemi di Autenticazione e di Autorizzazione, Conservazione Separata, Incaricati del Trattamento, Cancellazione dei Dati, Gestione dei Logs, Audit Interno (Rapporti Periodici) 5

7 Provvedimento Garante Privacy del 24 Luglio 2008 Overview (2 di 2) Strong Authentication Separazione delle funzioni Separazione fisica dati Designazione incaricati Cancellazione dei dati Audit trails & logs Audit annuale interno Documentazione Crittografia Prescrizioni: 1 2 3* 4 5 6* 7 8 9* Lett. a, (art.132) Lett. c, (art.123) Verifica condotta nel 2009, da ripetere annualmente Verifica per implementazioni con scadenza 15/12/09 Ambito: Tutti i sistemi contenenti dati di traffico acceduti per finalità di accertamento e/o repressione reati (art.132) o per finalità di fatturazione (art.123) Scadenze: Lett. a, art.132: 30 Aprile 2009, ad eccezione dei punti previsti con scadenza 15/12/09 Lett. c, art. 123: 15/12/2009 6

8 Agenda 3 Italia Normativa di Riferimento Obiettivo e Scopo dell Audit Interno Ambito Piano di Lavoro Reporting 7

9 Obiettivo e Scopo dell Audit In ottemperanza alle prescrizioni impartite dal Garante della Privacy con il Provvedimento del 24 Luglio 2008 e successivi aggiornamenti, l Audit Interno si prefige: Obiettivo Verificare sia lo stato di realizzazione per quanto previsto dal decreto alle scadenze prefissate sia l osservanza del personale a quanto disposto Scopo Rispondere a quanto richiesto dal Provvedimento alla lettera a) punto 7 delle disposizioni impartite L esito dell attività di Audit Interno deve essere: comunicato alle persone e agli organi legittimati ad adottare decisioni e ad esprimere, a vari livelli in base al proprio ordinamento interno, la volontà della Società; richiamato nell ambito del Documento Programmatico sulla Sicurezza (DPS) nel quale devono essere indicati gli interventi eventualmente necessari per adeguare le misure di sicurezza; messo, a richiesta, a disposizione del Garante o dell Autorità Giudiziara. 8

10 Agenda 3 Italia Normativa di Riferimento Obiettivo e Scopo dell Audit Interno Ambito Piano di Lavoro Reporting 9

11 Ambito Area: Chi: Cosa: 1. Applicazioni e Sistemi con dati di traffico e personali 1. Personale interno ed esterno 2. Personale tecnico 1. Procedure 2. Sistemi e Database 3. Archiviazione e cancellazione dai dati 4. Registrazione delle attività (log) Come: 1. Conduzione di interviste a persone selezionate 2. Reperimento documentazione di convalida e sua archiviazione in sicurezza 3. Valutazione e documentazione delle risultanze 4. Stesura rapporto finale con indicazione degli interventi nel caso di non conformità 5. Condivisione con il management degli esiti delle verifiche e inserimento nel DPS 10

12 Agenda 3 Italia Normativa di Riferimento Obiettivo e Scopo dell Audit Interno Ambito Piano di Lavoro Reporting 11

13 Piano di Lavoro 1. Individuare le parti del provvedimento (sezione/ambito) oggetto della verifica: Sezione a)dati di traffico trattati per esclusive finalità di accertamento e repressione reati (ai sensi degli artt. 17 e 132, comma 5, del Codice) c) Dati di traffico trattati per esclusive finalità di fatturazione (ai sensi degli artt. 17 e 123, comma 5, del Codice) Ambito 1 Autenticazione, Biometria e Registri Accessi 2 Gestione Utenze e Separazione dei Ruoli 3 Separazione fisica per Ambienti e Sistemi 4 Incaricati, Formazione e Diritti della Difesa 5 Conservazione e Cancellazione dei Dati 6 Controllo attività svolte dagli incaricati 7 Verifiche richieste dal Garante 8 Documentazione di Applicazioni, Sistemi e Rete 9 Utilizzo della crittografia per la protezione dei datc 1 Autenticazione, Strong Authentication e Registri degli Accessi 2 Gestione Utenze e Separazione dei Ruoli 3 Inibizione e Cancellazione dei Dati 4 Controllo attività svolte dagli incaricati 5 Documentazione di Applicazioni, Sistemi e Rete 12

14 Piano di Lavoro 2. Individuare gli elementi di controllo per ognuna delle aree di verifica Ambito Test/Verifiche (ai sensi degli artt. 17 e 132, comma 5, del Codice) a.1 1. Adottare almeno due differenti tecnologie di autenticazione di cui una strong authentication 2. Basare una delle due tecnologie di autenticazione sull elaborazione di caratteristiche biometriche 3. Utilizzare la biometria per tutti gli addetti tecnici che accedono ai dati 4. Consentire l accesso in assenza di strong authentication ai doli addetti tecnci in circostanze legate a indifferibili interventi tecnici tenedo traccia in appositio registro degli accessi 5. Creare ed aggiornare costantemente il registro degli accessi 6. Predisporre un elenco nominativo dei soggetti tecnici abilitati all accesso a.2 1. Adottare procedure per la separare l assegnazione di credenziali rispetto alla gestione tecnica 2. Attribuire profili di accesso ai dati differenziando finalità di accertamento e repressione reati a.3 1. Adottare sistemi informatici (componenti elaborazione, immagazzinamaneto e storage) distinti fisicamente da quelli utilizzati per gestire dati di traffico anche per altre finalità 2. Conservare i dati traffico per un periodo non superiore ai 24 mesi dalla loro generazione solo se trattati per finalità di giustizia 3. Collocare le apparecchaiture e i sistemi utilizzati per il trattamento per finalità di giustizia all'interno di aree ad accesso selezionato e munite di dispositivi elettronici di controllo o di procedure di vigilanza che comportino la registrazione dei dati identificativi delle persone ammesse, con indicazione dei relativi riferimenti temporali. 4. Adottare una procedura di riconoscimento biometrico per il controllo degli accessi alle aree riservate contenenti i sistemi con dati di traffico 5. Assicurare la continuità del servizio di accesso ai dati entro i sette giorni 13

15 Piano di Lavoro 2. Individuare gli elementi di controllo per ognuna delle aree dell audit Ambito Test/Verifiche (ai sensi degli artt. 17 e 132, comma 5, del Codice) a.4 1. Designare specificamente gli incaricati 2. Documentare una periodica attività formativa 3. Conservare la documentazione comprovante l idonea verifica dell identità del richiedente a.5 1. Rendere i dati di traffico immediatamente non disponibili allo scadere dei termini 2. Cancellare o rendere anonimi nei tempi previsti dal Provvedimento i dati di traffico presenti nei sistemi, nei database e nei supporti di backup a.6 1. Adottare soluzioni informatiche idonee ad assicurare il controllo dettagliato ed efficae delle attività svolte sui dati di traffico da ciascun incaricato del trattamento 2. Raccogliere la registrazione, in un apposito audit log, delle operazioni compiute, direttamente o indirettamente, sui dati di traffico e sugli altri dati personali a essi connessi, sia per uso interattivo dei sistemi, sia per l'azione automatica di programmi informatici 3. Assicurare la completezza, l'immodificabilità, l'autenticità delle registrazioni contenute nei LOG con riferimento a tutte le operazioni di trattamento e a tutti gli eventi relativi alla sicurezza informatica sottoposti ad auditing 4. Adottare, per la registrazione dei dati di auditing, anche in forma centralizzata per ogni impianto di elaborazione o per datacenter, sistemi di memorizzazione su dispositivi non alterabili. 5. Adottare procedure informatiche, basate su tecnologie crittografiche, prima della scrittura dei dati o di raggruppamenti di dati 6. Assicurare la continuità del servizio di accesso ai dati entro i sette giorni 14

16 Piano di Lavoro 2. Individuare gli elementi di controllo per ognuna delle aree dell audit Ambito Test/Verifiche (ai sensi degli artt. 17 e 132, comma 5, del Codice) a.7 1. Svolgere, con cadenza almeno annuale, un attività di auditing interno 2. Verificare il processo di selezione degli incaricati 3. Demandare a un'unità organizzativa diversa la conduzione dell audit interno 4. Includere nei controlli anche verifiche: a posteriore a campione su eventuale allarme derivante da sistemi di Alerting e di Anomaly Detection sulla legittimità degli accessi ai dati sulla liceità degli accessi ai dati sull'integrità dei dati e delle procedure informatiche su l effettiva cancellazione dei dati 5. Documentare adeguatamente l'attività di controllo 6. Comunicare l'esito agli organi legittimati ad adottare decisioni 7. Richiamare l'audit nell'ambito del DPS 8. Indicare nel DPS gli interventi eventualmente necessari 9. Porre il rapporto di audit a disposizione del Garante o dell'autorità giudiziaria a.8 1. Documentare i sistemi informativi utilizzati 2. Comprendere nella descrizione quanto elencato dal provvedimento 3. Includere diagrammi di dislocazione delle applicazioni e dei sistemi 4. Aggiornare la documentazione con informazioni sui soggetti con legittimo diritto di accesso ai sistemi 15

17 Piano di Lavoro 2. Individuare gli elementi di controllo per ognuna delle aree dell audit Ambito Test/Verifiche (ai sensi degli artt. 17 e 132, comma 5, del Codice) a.9 1. Proteggere i dati di traffico trattati per esclusive finalità di giustizia con tecniche crittografiche 2. Adottare soluzioni che rendano le informazioni residenti nelle basi di dati a servizio delle applicazioni informatiche utilizzate per i trattamenti, non intelligibili a chi non disponga di diritti di accesso e profili di autorizzazione idonei, ricorrendo a forme di cifratura od offuscamento di porzioni dei data base o degli indici o ad altri accorgimenti tecnici basati su tecnologie crittografiche 3. Utilizzare protocolli di comunicazione sicuri basati su tecniche crittografiche, o comunque evitando il ricorso alla trasmissione in chiaro dei dati, per tutti i flussi di trasmissione dei dati di traffico tra sistemi informatici 16

18 Piano di Lavoro 2. Individuare gli elementi di controllo per ognuna delle aree dell audit Ambito Test/Verifiche (ai sensi degli artt. 17 e 123, comma 5, del Codice) c.1 1. Adottare almeno due differenti tecnologie di autenticazione di cui una con strong authentication 2. Consentire l accesso in assenza di strong authentication ai doli addetti tecnci in circostanze legate a indifferibili interventi tecnici tenedo traccia in appositio registro degli accessi 3. Creare ed aggiornare costantemente il registro degli accessi 4. Predisporre un elenco nominativo dei soggetti tecnici abilitati all accesso c.2 1. Adottare procedure per la separare l assegnazione di credenziali rispetto alla gestione tecnica 2. Attribuire profili di accesso ai dati differenziando finalità di accertamento e repressione reati c.3 1. Rendere i dati di traffico immediatamente non disponibili allo scadere dei termini previsti 2. Cancellare o rendere anonimi, nei tempi previsti dal provvedimento, i dati di traffico presenti nei data base, nei sistemi di elaborazione e nei supporti per backup c.4 1. Generare i log di controllo per tutte le attività svolte sui dati 2. Generare log anche per accesso ai singoli elementi d informazione 3. Includere la registrazione, in un apposito audit log, delle operazioni compiute, direttamente o indirettamente, sui dati di traffico e sugli altri dati personali a essi connessi sia per uso interattivo dei sistemi sia tramite l azione automatica di programmi informatici 4. Garantire l integrità e l autenticità dei log 5. Garantire che i dati dei log, anche centralizzati, non siano modificabili 6. Firmare i dati prima della registrazione 17

19 Piano di Lavoro 2. Individuare gli elementi di controllo per ognuna delle aree dell audit Ambito TestVerifiche (ai sensi degli artt. 17 e 123, comma 5, del Codice) c.5 1. Documentare i sistemi informativi utilizzati 2. Comprendere nella descrizione quanto elencato dal provvedimento 3. Includere diagrammi di dislocazione delle applicazioni e dei sistemi 4. Aggiornare documentazione anche con informazioni di dettaglio per i soggetti con legittimo diritto di accesso ai sistemi 18

20 Piano di Lavoro 3. Definire il team di lavoro e la Governance Coinvolgere nel team di lavoro tutte le componenti aziendali a supporto delle attività di verifica, quali ad esempio: Divisione Tecnica Legale Privacy Sicurezza Human Resources Individuare un comitato che detti i tempi della verifica, coordini le attività, si faccia carico di supportare adeguatamente e facilitare il superamento di eventuali situazioni di stallo Assegnare e condividere in maniera chiara e inequivocabile ruoli e responsabilità all interno del team di lavoro Fissare momenti di condivisione dei risultati della verifica 19

21 Piano di Lavoro 4. Definire e condividere il Piano di Lavoro Individuare e condividere il dettaglio di un piano di lavoro con tutte le strutture aziendali coinvolte nella verifica Condividere eventuali test e modalità di conduzione per i quali è opportuna, ancor prima che necessaria, l autorizzazione di dipartimenti interni (es. Human Resources, Security, Privacy, Legal) Richiedere alle strutture interessate tutta la documentazione necessaria e le eventuali estrazioni dati allineate/sincrone alla steassa data Formalizzare e condividere un Gantt di progetto affinchè si possa tenere traccia e seguire lo sviluppo temporale della verifica 20

22 Agenda 3 Italia Normativa di Riferimento Obiettivo e Scopo dell Audit Interno Ambito Piano di Lavoro Reporting 21

23 Reporting Executive Summary Predisporre documentazione di sintesi per il Management illustrando: le criticità che necessitano di interventi di rimedio i punti di compliance rilevati le responsabilità e i tempi concordati con le strutture per il rientro dalle criticità le attività che necessitano interventi economici Report di dettaglio Predisporre un report che, per ogni criticità rilevata, riporti una scheda di dettaglio comprensiva delle seguenti sezioni: un identificativo univoco la descrizione della criticità corredata di eventuali dati e riscontri oggettivi la raccomandazione per l eliminazione del rischio e il pieno rientro nella compliance della normativa Sezione di commento per il management ove indicare le azioni di rimedio individuate, i tempi e le responsabilità 22

24 Esempio (1) di Executive Summary Full Compliant Some issues under resolution Relevant issues not yet addressed Audit Exit Meeting dd/mm Criticità Status Open Closed Id. Aree Oggetto di Verifica H M L Autenticazione, Biometria e a Registri Accessi a.2 Separazione dei Ruoli 1 1 Actual dd/mm Criticità Status Open Closed H M L 3 2 a.3 a.4 a.5 a.6 Separazione fisica per Ambienti e Sistemi Incaricati, Formazione e Diritti della Difesa Conservazione e Cancellazione dei Dati Controllo attività svolte dagli incaricati a.7 Verifiche richieste dal Garante a.8 a.9 Documentazione di Applicazioni, Sistemi e Rete Utilizzo della crittografia per la protezione dei dati Totali Nota 1) - I numeri in tabella sono a titolo di esempio e non riconducibili alla realtà di 3 Italia 24

25 Esempio di Scheda di dettaglio Id. Pr. Rilevazione Raccomandazioni / Commenti del Management / Status a) 1.4 Consentire l accesso in assenza di strong authentication ai soli addetti tecnici in circostanze legate ad indifferibili interventi tenendo traccia in apposito registro degli accessi 2 [1/2/3] Descrizione Xxxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxxx Xxx xxxxxxxxx xxxx xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx Xxxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxxx Xxx xxxxxxxxx xxxx xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx Raccomandazione Xxxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxxx Xxx xxxxxxxxx xxxx xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx Commento del Management Xxxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxxx Xxx xxxxxxxxx xxxx xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx Responsabilità Xxxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxxx Xxx xxxxxxxxx xxxx xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx Xxxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxxx Xxx xxxxxxxxx xxxx xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx Attachments: Stato [Closed] / [Partially Implemented] / [In Progress] / [Planned] / [To be Scheduled]... Data di Completamento dd / mm / yy file 1 file 2 file 3 Follow up al dd/mm/yy Xxxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxxx Xxx xxxxxxxxx xxxx xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx 25