Documento Programmatico sulla Sicurezza

Transcript

1 Documento Programmatico sulla Sicurezza Indice degli argomenti trattati: Finalità del documento Inventario dei beni da proteggere Elenco dei trattamenti di dati personali gestiti Distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dati Analisi sintetica dei rischi che incombono sui dati Misure di sicurezza adottate Formazione Modalità di aggiornamento del documento programmatico per la sicurezza Allegati Istruzioni sintetiche per la selezione e gestione delle password Scheda di esempio per la conservazione delle credenziali di accesso Nomina del Responsabile del trattamento dei dati personali Nomina degli Incaricati del trattamento dei dati personali PROT. N. 78/2014 DEL 31/03/2014 Documento Programmatico sulla Sicurezza 2013 Pagina 1 di 8

2 Finalità del documento L'Ordine dei Farmacisti di Brescia (di seguito "Ordine" o "Ente") nell'ambito dei suoi compiti istituzionali tratta dati personali, sensibili e giudiziari. Il presente Documento Programmatico sulla Sicurezza è redatto, ai sensi degli articoli 33 e seguenti del d.lgs. 196/2003 e secondo le previsioni dell'allegato B a tale decreto, per definire e descrivere le politiche di sicurezza adottate dall'ente in materia di trattamento di dati personali ed I criteri organizzativi seguiti per la loro attuazione e per fornire idonee informazioni a riguardo anche a parti terze. Inventario dei beni da proteggere Le informazioni fomite di seguito sono valutate utile supporto per fornire informazioni idonee a valutare la politica di sicurezza perseguita dall'ente. Quest'ultimo ha attualmente sede in Brescia, Via A. Grandi, 18 (primo piano) e dispone di un sistema informatico composto da numero 3 (tre) elaboratori: 1 (uno) server 2 (quattro) postazioni (PC) destinate al personale dipendente 1 (uno) portatile nella disponibilità del Presidente dell'ordine La dotazione software degli elaboratori è rappresentata da dotazione standard comprensiva di sistema operativo, eventuale gestionale/i intemo/i, software di produttività personale (office automation), antivirus e software secondario legato al funzionamento della postazione stessa, alla navigazione in internet e alla gestione della posta elettronica. Il trattamento dei dati avviene attraverso gli strumenti elettronici interni (PC) collegati in rete fra loro e/o mediante collegamenti alla rete intranet. La macchina server, contenitore primario dei dati informatici trattati, è sita in apposito locale con accesso riservato in via esclusiva al personale incaricato. Le postazioni destinate ai dipendenti sono da loro accessibili mediante credenziali personalizzate. Il portatile in dotazione al Presidente dell'ordine permane negli uffici dell'ordine sotto diretto controllo del personale presente. Con riferimento all'ubicazione fisica dei supporti di memorizzazione delle copie di sicurezza, l'ente, tenendo conto dell'analisi dei punti a seguire, ha ritenuto di provvedere alla custodia presso dispositivi NAS (Network Attached Storage) posizionati in ambiente appositamente predisposto e sicuro. Responsabile della gestione verifica e conservazione di tali supporti è la sig.ra Belotti Donata. I supporti cartacei contenenti dati personali sono conservati in apposito locale così come meglio specificato nei punti a seguire. Documento Programmatico sulla Sicurezza 2013 Pagina 2 di 8

3 Elenco dei trattamenti di dati personali gestiti Categoria dei dati trattati e soggetti a cui si riferiscono Finalità del trattamento Modalità di trattamento Luogo di custodia dei dati in aggiunta alla sede dell Ente Dati personali degli iscritti all Albo ricavato dall interessato o da dati di altri Ordini Espletamento delle funzioni istituzionali dell Ordine Gli archivi sono sia in formato elettronico che cartaceo Equitalia Servizi S.p.a. Via Benedetto Croce, 122/ Roma; Studiofarma Srl, Via Brixia Zust, Brescia; Equitalia Servizi S.p.a. Via Benedetto Croce, 122/ Roma; Dati giudiziari degli iscritti all Albo ricavato dall interessato o da dati di altri Ordini Equitalia Servizi S.p.a. Via Benedetto Croce, 122/ Roma; Equitalia Servizi S.p.a. Via Benedetto Croce, 122/ Roma; Dati sensibili degli iscritti all Albo ricavato dall interessato o da dati di altri Ordini Dati personali del personale dipendente Dati giudiziari del personale dipendente Dati sensibili del personale dipendente Dati personali dei fornitori e dei consulenti Gestione del rapporto di lavoro, reperibilità corrispondenza, gestione ai fini fiscali e previdenziali Gestione del rapporto di fornitura e di consulenza, reperibilità corrispondenza. Gestione a fini fiscali e previdenziali Gli archivi sono sia in formato elettronico che cartaceo Gli archivi sono sia in formato elettronico che cartaceo Nessun trattamento eterno Dott. Antonio Capezzuto, via Moretto, Brescia; Synergie Italia Spa, filiale di Brescia Via Cremona, 180, Brescia Nessun trattamento eterno Dott. Antonio Capezzuto, via Moretto, Brescia; Synergie Italia Spa, filiale di Brescia Via Cremona, 180, Brescia Studio Legale Associato degli avvocati F. Cavallaro, C. Duchi, Q. Lombardo Largo Augusto, Milano Documento Programmatico sulla Sicurezza 2013 Pagina 3 di 8

4 Distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dati La struttura organizzativa dell'ente è composta dagli Organi Direttivi dell'ordine e dal suo personale dipendente e di supporto. La tabella di cui al punto precedente individua gli eventuali consulenti esterni che il titolare del trattamento ha ritenuto necessario coinvolgere nell'attività di gestione dati. La composizione degli Organi Direttivi è basata su leggi dello Stato e regolamenti, specificatamente il d.lgs. 233/1946 del Capo Provvisorio dello Stato, il DPR 221/1950 e il regolamento interno approvato dalla Federazione Nazionale degli Ordini dei Farmacisti in attuazione dell'art. 35 del DPR 221/1950. Il trattamento dei dati ha luogo in funzione della compilazione, tenuta e pubblicazione degli Iscrìtti all'albo e per l'esercizio del potere disciplinare nei confronti degli Iscritti all'albo. Titolari del trattamento, con accesso completo ai dati personali trattati sia in forma cartacea che digitale, sono: il Presidente dell'ordine, il Dott. Francesco Rastrelli (Verona, 06/07/1963) il Vicepresidente dell'ordine, Dott. Giuliano Loardi (Cadogno, 08/05/1955) il Segretario dell'ordine, il Dott. Stefano Ferretti (Brescia, 19/02/1955) il Tesoriere dell'ordine, la Dott.ssa Giuseppina Ingardi (Gambara, 28/09/1943) il Consigliere dell'ordine, la Dott.ssa Rosa Elena Albini Albini (Montichiari, 07/02/1958) il Consigliere dell'ordine, il Dott. Luigi Austoni (Brescia, 14/10/1973) il Consigliere dell'ordine, la Dott.ssa Paola Bellegrandi (Brescia, 24/09/1963) il Consigliere dell'ordine, la Dott.ssa Daniela Pattini (Casal Buttano, 22/04/1956) il Consigliere dell'ordine, il Dott. Giovanni Putelli (Breno, 11/03/1968) il Revisore dei Conti dell'ordine, il Dott. Pietro Aronica (Canicattì, 18/12/1964) il Revisore dei Conti dell'ordine, il Dott. Gianluigi Bravi (Brescia, 13/10/1970) il Revisore dei Conti dell'ordine, la Dott.ssa Alessandra Spaetti (Darfo Boario Terme, 02/02/1972) il Revisore dei Conti dell'ordine, il Dott. Nicola Portesi (Busto Arsizio, 20/06/1969) In considerazione dell'esperienza, capacità ed affidabilità espresse, tali da offrire idonea garanzia del pieno rispetto delle disposizioni in materia di trattamento, l'ente nella persona del Presidente, designa mediante autonomo provvedimento, il Dott. Stefano Ferretti, Segretario dell Ordine (Brescia, 19/02/1955), quale Responsabile del trattamento ai sensi dell'art. 29 del d.lgs. 196/2003. Documento Programmatico sulla Sicurezza 2013 Pagina 4 di 8

5 Il personale dipendente e di supporto, incaricato del trattamento, è individuato sulla base delle specifiche individuate dal Manuale "Sistema Qualità - Ufficio dell'ordine - Gestione della attività e organizzazione del lavoro". Il trattamento dei dati ha luogo in funzione della gestione amministrativa e contabile, della gestione e tenuta dell'albo professionale, della predisposizione di certificati di prestato servizio professionale, della gestione del tirocinio professionale, della gestione delle pratiche ECM e della gestione, tenuta e aggiornamento della bacheca. Incaricati del trattamento, con accesso completo ai dati personali trattati sia in forma cartacea che digitale, sono: la Sig.ra Donata Belotti in qualità di dipendente (Cevo, 07/07/1962) la Sig.ra Mariachiara Zulli in qualità di amministrativa (Brescia, 21/09/1981) Analisi sintetica dei rischi che incombono sui dati Ad un livello generale sono state individuate le seguenti principali minacce alla sicurezza dei dati gestiti dall'ente suddivise in tre macrocategorie. Per ciascuna minaccia, tra parentesi, è indicato il grado di rischio individuato secondo il seguente schema: A = alto B = basso EE = molto elevato M = medio MA = medio/alto MB = medio/basso Calamità naturali Minacce intenzionali Minacce involontarie Terremoto (B) Incendio (MA) Fulmine (B) Inondazione (B) Sottrazione credenziali (B) Accessi non autorizzati (B) Virus informatici (MA) Furto di dati e attrezzature (M) Intercettazione dati (M) Comportamenti sleali e fraudolenti (B) Black out elettrico (B) Malfunzionamenti nei software (B) Malfunzionamenti hardware (B) Errori umani nell'utilizzo del sistema (B) Disattenzione o incuria (M) In riferimento alla sicurezza dei dati personali gestiti l'ente si pone i seguenti obbiettivi: Obiettivo: riservatezza integrità disponibilità Cosa significa: I dati devono essere accessibili solo alle persone autorizzate I dati devono essere protetti da modificazioni e danneggiamenti I dati devono essere accessibili alle persone autorizzate Attraverso l'implementazione di una serie di misure di sicurezza, esposte in dettaglio nei successivi paragrafi, si vuole ridurre le vulnerabilità presenti, raggiungendo un livello di rischio valutato accettabile. In sintesi: Tutelare l'obiettivo: riservatezza integrità disponibilità significa: Ridurre il rischio che persone non autorizzate possano accedere alle informazioni Ridurre il rischio che le informazioni siano non volutamente modificate o cancellate Ridurre il rischio di non poter accedere anche se autorizzati alle informazioni Documento Programmatico sulla Sicurezza 2013 Pagina 5 di 8

6 Misure di sicurezza adottate Protezione delle aree e dei locali rilevanti ai fini della loro custodia e accessibilità: I dati trattati dall'ente in forma cartacea sono conservati unicamente in apposito locale adibito ad archivio con accesso esclusivo riservato al personale autorizzato. La documentazione è conservata in armadi non metallici chiusi mediante serratura la cui chiave è conservata dal Responsabile del trattamento nella cassaforte sita nei locali dell'ente. Il materiale cartaceo è costituito dai fascicoli personali degli iscritti all'albo, fascicoli contenenti i dati personali dell'iscritto e l'elenco degli eventuali provvedimenti disciplinari adottati verso di lui dall'ordine in aggiunta alle informazioni di carattere giudiziario che lo riguardano. Gestione strumenti elettronici I dati trattati dall'ente in forma digitale sono conservati unicamente nella macchina server presente nella sede dell'ente. Apposite precauzioni tecniche sono state predisposte al fine di salvaguardare l'integrità dei dati trattati e la loro conservazione. La manutenzione degli strumenti elettronici sia a livello hardware sia a livello software è affidata alla società Punto Farma, Via A. Grandi, 18, Brescia. Ogni intervento di manutenzione avviene rigorosamente nei locali dell'ente alla presenza del Responsabile del trattamento. Backup dati Al fine di garantire non solo l'integrità, ma anche la pronta disponibilità dei dati, l'ente si è dotato di strumenti e procedure di backup. É stato scelto un NAS (Network Attached Storage) come strumento di backup principale. Tutti i dati personali gestiti con strumenti elettronici nell'azienda vengono inclusi nella procedura di backup. La frequenza con cui vengono effettuate le copie di sicurezza è giornaliera. Il ripristino dei dati può essere operato per il tramite dell'azienda fornitrice del servizio di assistenza hardware e software in un tempo non superiore ai 7 (sette) giorni. Antivirus e aggiornamento sistema operativo e dei software utilizzati correntemente dall'ente L'Ente si è dotato di un software antivirus adeguato, AVG Internet Sicurity, installato su tutti gli strumenti elettronici in dotazione all'azienda. L'aggiornamento del prodotto antivirus installato è continuo ed eseguito automaticamente tramite una funzionalità resa disponibile dal prodotto stesso. L'antivirus in oggetto controlla in Documento Programmatico sulla Sicurezza 2013 Pagina 6 di 8

7 automatico ogni file scaricato dalla rete o dalla posta elettronica o letto da supporti esterni quali CD-ROM o chiavette USB. L'aggiornamento della dotazione software è periodicamente curata dell'azienda fornitrice del servizio di assistenza hardware e software. Gruppo di continuità, firewall e sistemi di anti intrusione L'Ente si è dotato di un gruppo di continuità al fine di proteggere la macchina server da sbalzi di tensione ed interruzioni dell'alimentazione elettrica. Sistema di identificazione e autenticazione L'azienda ha attivato ed è correntemente funzionante un sistema d'autenticazione per ognuno degli incaricati che trattano dati personali. È stato attribuito un codice identificativo (usemame, user ID) strettamente personale per l'utilizzazione degli strumenti elettronici del sistema informatico dell'ente. I codici identificativi sono frequentemente aggiornati, inserendo quelli dei nuovi incaricati e cancellando quelli degli incaricati non più autorizzati. (I sistema di autenticazione prevede l'utilizzo di parole chiave (password) sia a livello di sistema operativo sia a livello di singola applicazione. Il Responsabile del trattamento è incaricato della gestione delle password nell'azienda. Viene segnalato agli incaricati che la lunghezza della password da utilizzare non deve essere inferiore ad otto caratteri, salvo limitazioni tecniche nei software in uso. Si sollecita l'incaricato che riceve una password a modificarla al primo utilizzo. L'incaricato deve segnalare al Responsabile del trattamento la sua password in uso, quest'ultimo l'annota su un registro cartaceo conservato in apposita cassaforte in dotazione all'ente. Viene segnalato ad ogni incaricato la necessità di cambiare la password almeno ogni mesi 6 (sei). Sono vietate credenziali di autenticazione (username e password) condivise fra più persone. Le credenziali di autenticazione vengono immediatamente revocate in caso di provvedimenti disciplinari o quando si presentano situazioni che possono compromettere la sicurezza. Sono state consegnate istruzioni scritte agli incaricati in merito alle modalità di gestione e di custodia delle password, in caso di prolungata assenza dell'incaricato, il Responsabile del trattamento è autorizzato a rivelare la password in uso per assicurare la disponibilità dei dati e degli strumenti elettronici. La visualizzazione della password sullo schermo dei personal computer è impedita da tutti i software in uso. Documento Programmatico sulla Sicurezza 2013 Pagina 7 di 8

8 Trattamenti di dati personali affidati all'esterno della struttura dell'ente I soggetti indicati nel paragrafo "Elenco dei trattamenti di dati personali gestiti nell'azienda" hanno rilasciato dichiarazione di conformità alle misure minime di sicurezza della loro struttura all'atto della stipula del loro contratto di collaborazione con l'ente. La documentazione relativa a tali dichiarazioni è conservata presso l'archivio cartaceo dell'ente. I dati personali condivisi con i soggetti incaricati devono essere gestiti limitatamente all'espletamento dell'incarico affidato e fino alla cessazione, per qualsiasi causa, del relativo incarico. Formazione L'Ente riconosce l'importanza della formazione dei suoi componenti riguardo le tematiche della sicurezza, come elemento significativo di riduzione dei rischi al proprio sistema informativo e s'impegna a promuovere momenti formativi, in particolare al momento dell'ingresso in servizio o al momento di cambiamenti di mansioni di tali soggetti o all'introduzione di nuovi strumenti elettronici che abbiano impatto sul trattamento dei dati personali. Si prevedono interventi formativi nel corso dell'anno volti all'aggiornamento del know-how già maturato nel corso degli anni passati. Modalità aggiornamento del documento programmatico per la sicurezza II Responsabile del trattamento è il soggetto preposto all'aggiornamento e alla custodia del documento programmatico per la sicurezza. Il documento in oggetto non deve rimanere statico ma deve essere aggiornato ogni volta che vi siano cambiamenti significativi nell'ente impattanti sulle misure minime di sicurezza. In ogni caso ogni anno entro il 31 marzo, il responsabile del trattamento dovrà procedere alla completa revisione del documento in oggetto; Il documento resta a disposizione per la sua consultazione presso la sede dell'ente. Brescia, 31 marzo 2014 Il titolare del trattamento Il Presidente Dott. Francesco Rastrelli Documento Programmatico sulla Sicurezza 2013 Pagina 8 di 8