Pianificazione e Controllo Attività

Transcript

1 Registro delle attività di trattamento KM CORPORATE SRL, riguardanti il trattamento: Descrizione del Trattamento: Pianificazione e Controllo Attività Il trattamento ha per oggetto la predisposizione e il controllo del rispetto nel tempo delle procedure aziendali. Individuazione degli obiettivi aziendali e loro monitoraggio per la valutazione dei risultati. In ottemperanza a quanto riportato nell art. 30 del Regolamento UE 2016/679, di seguito sono riportate tutte le informazioni che costituiscono il registro delle attività di trattamento svolte sotto la propria responsabilità da parte del Trattamento KM CORPORATE SRL. Il Titolare del Trattamento è KM CORPORATE SRL, i cui dati di contatto sono i seguenti: Titolare del Trattamento: KM CORPORATE SRL Sede: delle Pertiche PD, IT Contatti e recapiti: Persona contatto EMILIANO ORSI Cellulare Telefono PEC Sito Web MASTER@KMCORPORATE.COM KMCORPORATESRL@PEC.IT I dati personali oggetto del trattamento sono raccolti e trattati per le finalità riportate di seguito insieme alla base giuridica di riferimento: Finalità Dati trattati Base Giuridica Programmazione delle attività Codice fiscale ed altri numeri di identificazione personale; Nominativo, indirizzo o altri elementi di identificazione personale; Attività economiche, commerciali, finanziarie, assicurative; Ruolo ricoperto in azienda; Certificati di qualità professionali; Certificati di qualità prodotti Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi - Norma Unione Europea (GDPR 2016/679) Pagina 1

2 I dati personali raccolti afferiscono alle categorie di interessati la cui descrizione è riportata di seguito: Clienti o Utenti Personale dipendente Fornitori Interessati Consulenti e liberi professionisti, anche in forma associata I dati personali raccolti afferiscono alle categorie la cui descrizione è riportata di seguito: Categoria dato logia Codice fiscale ed altri numeri di identificazione personale Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale Dati comuni Attività economiche, commerciali, finanziarie, assicurative Ruolo ricoperto in azienda Certificati di qualità professionali Certificati di qualità prodotti Dati comuni Dati comuni Dati comuni Dati comuni I termini ultimi previsti per la cancellazione dei dati oggetto del trattamento sono determinati come segue: I Dati per la gestione del Contratto e di attività strumentali connesse saranno conservati dal Titolare nei propri archivi per i 10 anni successivi alla registrazione delle operazioni, come imposto dalla normativa vigente. Analogamente, i Dati per l'adempimento di obblighi necessari per la tutela in caso di contestazione o controversia, saranno conservati per 10 anni dalla cessazione del Contratto. Data di inizio del trattamento: 25/05/2018 AI fine di garantire la sicurezza del trattamento (art. 32 Regolamento UE 2016/679), sono state messe in atto adeguate misure tecniche e organizzative, la cui descrizione è di seguito riportata: Pagina 2

3 Monitoraggio stato apparecchiature Monitoraggio stato apparecchiature Contrasto del rischio Distruzione di apparecchiature o di supporti Controllo del corretto funzionamento dei sistemi informativi. Attivare una procedura per assicurare un controllo costante continuo di tutte le apparecchiature, prevedendo eventuali piani di manutenzione di sostituzione delle stesse. Firma Autore contromisura: Protezione dei locali con serrature di sicurezza Protezione dei locali con serrature di sicurezza Distruzione di apparecchiature o di supporti Protezione degli ambienti e possibile separazione aree di ammin. sviluppo, test e produzione. Attivare una procedura per proteggere le aree di sicurezza da appropriati controlli per l ingresso, atti ad assicurare che solo il personale autorizzato abbia il permesso di accedervi. Pagina 3

4 Firma Autore contromisura: Manutenzione periodica apparecchiature Manutenzione periodica apparecchiature Mancata manutenzione del sistema informativo Controllo del corretto funzionamento dei sistemi informativi. Attivare una procedura per assicurare un controllo costante continuo di tutte le apparecchiature, prevedendo eventuali piani di manutenzione di sostituzione delle stesse. Firma Autore contromisura: Impianto di climatizzazione Impianto di climatizzazione Polvere, corrosione o gelo Disposizione delle apparecchiature e loro protezione. Verifica che le apparecchiature siano state disposte e protette, al fine di ridurre i rischi derivanti dalle minacce e dai pericoli ambientali, oltre alle occasioni di accesso non autorizzato. Pagina 4

5 Firma Autore contromisura: Gruppo di continuità/stabilizzatore Gruppo di continuità/stabilizzatore Mancanza di alimentazione elettrica Messa in sicurezza dei dati. Verificare la presenza di UPS per verificare che, in caso di blackout, tutte le strumentazioni contenenti dati, necessarie all'attività e alla continuità aziendale, risultino ancora attive. Programmare un piano di controllo per la verifica della tenuta dei gruppi di continuità. Firma Autore contromisura: Gruppo di continuità/stabilizzatore Gruppo di continuità/stabilizzatore Pagina 5

6 Fenomeni meteorologici Garantire il funzionamento delle strumentazioni. Verificare la presenza di UPS per verificare che, in caso di blackout, tutte le strumentazioni contenenti dati, necessarie all'attività e alla continuità aziendale, risultino ancora attive. Programmare un piano di controllo per la verifica della tenuta dei gruppi di continuità. Firma Autore contromisura: Contenitori con chiave Contenitori con chiave Contrasto del rischio Furto di apparecchiature o documenti Messa in sicurezza della copia delle chiavi. Prevedere una sorta di cassaforte per la custodia sicura di una copia delle chiavi di accesso alla struttura e a zone importanti dell'organizzazione. Firma Autore contromisura: Pagina 6

7 Sistema di allarme Sistema di allarme Contrasto del rischio Furto di apparecchiature o documenti Politiche di sicurezza. Verifica della presenza dei sistemi d'allarme, al fine di proteggere i dati custoditi da accessi non autorizzati, utilizzi impropri o manomissioni. Firma Autore contromisura: Manutenzione periodica apparecchiature Manutenzione periodica apparecchiature Guasto di apparecchiature Manutenzione di tutte le apparecchiature e pulizia dei locali. Attivare una politica di protezione per le apparecchiature, al fine di ridurre i rischi derivanti dalle minacce e dai pericoli ambientali, oltre che dagli accessi non autorizzati, dai malfunzionamenti della rete di comunicazione e da quel elettrica e da altri disservizi causati da malfunzionamenti dei servizi ausiliari. Pagina 7

8 Firma Autore contromisura: Backup dati Backup dati Guasto di apparecchiature Backup delle informazioni. Verifica dell'esistenza di copie di backup delle informazioni, del software e delle immagini dei sistemi e previsione, ove necessario, di test periodici, secondo una politica di backup concordata. Firma Autore contromisura: Certificazione impianto Certificazione impianto Guasto di apparecchiature Manutenzione e verifica delle apparecchiature e dei sistemi informativi. Attivare una procedura per assicurare e verificare costantemente il corretto funzionamento dell'impianto elettrico, richiedendo ad ogni controllo e verifica una certificazione di corretto funzionamento. Pagina 8

9 Firma Autore contromisura: Registrazione accessi Registrazione accessi Accessi esterni non autorizzati Assicurare l accesso agli utenti autorizzati ed evitare accessi non autorizzati a sistemi e servizi. Verificare se è stata definita, documentata ed aggiornata, una politica di controllo degli accessi sulla base dei requisiti di business e di sicurezza delle informazioni. Verificare se l'accesso è stato controllato da procedure di log sicure, quando richiesto dalle politiche di controllo degli accessi e degli accessi a sistemi e applicazioni. Firma Autore contromisura: Log file Log file Contrasto del rischio Accessi esterni non autorizzati Pagina 9

10 Assicurare l accesso agli utenti autorizzati e prevenire accessi non autorizzati a sistemi e servizi Verificare e programmare, assieme agli amministratori di sistema designati, una strategia per registrare tutti gli accessi ai sistemi. Data successiva verifica 25/02/2018 Firma Autore contromisura: Antivirus Antivirus Azione di virus informativi o di codici malefici Controlli contro malware, virus e attacchi informatici. Attuare un protocollo di controlli di individuazione, di prevenzione e di ripristino relativamente a malware, virus e attacchi informatici, congiuntamente ad un'adeguata attività di informazione degli utilizzatori, di backup delle informazioni e di aggiornamento continuo di antivirus e firewall (fisici o software), acquistati con licenza originale e con aggiornamenti continui. Firma Autore contromisura: Pagina 10

11 Antispam Antispam Contrasto del rischio Spamming o tecniche di sabotaggio Protezione contro minacce informatiche. Verifica e attuazione di un protocollo di analisi e controllo su un'adeguata protezione contro minacce esterne di tipo informatico, utilizzando software con licenza originale e aggiornamenti continui, se non periodici. Firma Autore contromisura: Formazione Formazione Spamming o tecniche di sabotaggio Consapevolezza, istruzione, formazione e addestramento sulla sicurezza delle informazioni. Sensibilizzare tutto il personale dell'organizzazione e, quando pertinente, i collaboratori, fornendo un adeguata sensibilizzazione, istruzione, formazione e addestramento e aggiornamenti periodici sulle politiche e procedure organizzative, in modo pertinente alla loro attività. Creare un processo disciplinare, formale e comunicato, per intraprendere provvedimenti nei confronti del personale che ha commesso una violazione della sicurezza delle informazioni. Pagina 11

12 Firma Autore contromisura: Log file Log file Contrasto del rischio Falsificazione diritti di accesso Assicurare l accesso agli utenti autorizzati e prevenire accessi non autorizzati a sistemi e servizi Verificare e programmare, assieme agli amministratori di sistema designati, una strategia per registrare tutti gli accessi ai sistemi. Firma Autore contromisura: Backup dati Backup dati Furto o copiatura software Pagina 12

13 Politica di backup di tutti i dati. Attuare periodicamente copie di backup delle informazioni, del software e delle immagini dei sistemi e quindi sottoposte a test periodici secondo una politica di backup concordata. Firma Autore contromisura: Autenticazione utenti Autenticazione utenti Uso non autorizzato di apparecchiature Limitare l accesso alle informazioni ed ai servizi di elaborazione delle informazioni. Fornire agli utenti solo degli accesi alle reti ed ai servizi di rete per il cui uso sono stati specificatamente autorizzati. Firma Autore contromisura: Formazione Formazione Pagina 13

14 Ignoranza procedure di gestione Consapevolezza, istruzione, formazione e addestramento sulla sicurezza delle informazioni. Sensibilizzare tutto il personale dell'organizzazione e, quando pertinente, i collaboratori, fornendo un adeguata sensibilizzazione, istruzione, formazione e addestramento e aggiornamenti periodici sulle politiche e procedure organizzative, in modo pertinente alla loro attività. Creare un processo disciplinare, formale e comunicato, per intraprendere provvedimenti nei confronti del personale che ha commesso una violazione della sicurezza delle informazioni. Firma Autore contromisura: Protezione dei locali con serrature di sicurezza Protezione dei locali con serrature di sicurezza Ingressi non autorizzati a locali/aree ad accesso ristretto Protezione degli ambienti e possibile separazione aree di ammin. sviluppo, test e produzione. Attivare una procedura per proteggere le aree di sicurezza da appropriati controlli per l ingresso, atti ad assicurare che solo il personale autorizzato abbia il permesso di accedervi. Pagina 14

15 Firma Autore contromisura: Assegnazione incarico Assegnazione incarico Accesso archivi dati comuni Politica di controllo degli accessi. Proteggere le aree di sicurezza tramite appropriati controlli per l ingresso, atti ad assicurare che solo il personale autorizzato abbia il permesso di accedervi. Attivare una politica di controllo degli accessi definita, documentata ed aggiornata, fornendo agli utenti solo gli accesi alle reti ed ai servizi di rete per il cui uso sono stati specificatamente autorizzati. Firma Autore contromisura: Procedura gestione chiavi Procedura gestione chiavi Contrasto del rischio Accesso archivi dati comuni Controllo degli accessi fisici alle varie aree. Pagina 15

16 Attivare un protocollo di gestione degli accessi fisici mediante chiavi: soggetti autorizzati al possesso delle stesse, chiavi in loro possesso e momento di utilizzo, in modo tale da proteggere più ambienti. Studio di eventuali procedure per il miglioramento della sicurezza. Firma Autore contromisura: Sistemi antincendio Sistemi antincendio Incendio Disposizione delle apparecchiature e loro protezione. Verifica della gestione di un piano per proteggere le apparecchiature dai rischi di incendio derivanti dalle minacce e dai pericoli ambientali, dai malfunzionamenti alla rete elettrica di alimentazione e da altri disservizi causati da malfunzionamenti dei servizi ausiliari. Il piano deve verificare la corretta manutenzione per assicurare la loro continua disponibilità e integrità. Firma Autore contromisura: Certificazione impianto Pagina 16

17 Certificazione impianto Cortocircuito Manutenzione e verifica delle apparecchiature e dei sistemi informativi. Attivare una procedura per assicurare e verificare costantemente il corretto funzionamento dell'impianto elettrico, richiedendo ad ogni controllo e verifica una certificazione di corretto funzionamento. Firma Autore contromisura: San Giorgio delle Pertiche, 25/08/2018 Firma del Trattamento KM CORPORATE SRL Pagina 17

18 Registro delle attività di trattamento KM CORPORATE SRL, riguardanti il trattamento: Descrizione del Trattamento: AZ02 - Acquisti Il trattamento ha per oggetto le attività di ricerca e selezione dei fornitori per stipula dei contratti di fornitura di beni e/o servizi necessari all'attività. Il controllo del livello delle prestazioni rese in termini di puntualità, precisione e degli altri dati caratterizzanti la fornitura di beni e/o servizi. In ottemperanza a quanto riportato nell art. 30 del Regolamento UE 2016/679, di seguito sono riportate tutte le informazioni che costituiscono il registro delle attività di trattamento svolte sotto la propria responsabilità da parte del Trattamento KM CORPORATE SRL. Il Titolare del Trattamento è KM CORPORATE SRL, i cui dati di contatto sono i seguenti: Titolare del Trattamento: KM CORPORATE SRL Sede: delle Pertiche PD, IT Contatti e recapiti: Persona contatto EMILIANO ORSI Cellulare Telefono PEC Sito Web MASTER@KMCORPORATE.COM KMCORPORATESRL@PEC.IT I dati personali oggetto del trattamento sono raccolti e trattati per le finalità riportate di seguito insieme alla base giuridica di riferimento: Finalità Dati trattati Base Giuridica Pagina 1

19 Attività di acquisto di beni o servizi Codice fiscale ed altri numeri di identificazione personale; Nominativo, indirizzo o altri elementi di identificazione personale; Dati di contatto (numero di telefono, , ecc.); Dati sul comportamento, profili di utenti, consumatori, contribuenti, ecc.; Attività economiche, commerciali, finanziarie e assicurative Il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso - Norma Unione Europea (GDPR 2016/679) I dati personali raccolti afferiscono alle categorie di interessati la cui descrizione è riportata di seguito: Fornitori Interessati I dati personali raccolti afferiscono alle categorie la cui descrizione è riportata di seguito: Categoria dato logia Codice fiscale ed altri numeri di identificazione personale Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale Dati comuni Dati di contatto (numero di telefono, , ecc.) Dati sul comportamento, profili di utenti, consumatori, contribuenti, ecc. Attività economiche, commerciali, finanziarie e assicurative Dati comuni Dati comuni Dati comuni I dati personali raccolti sono stati o saranno inviati ai destinatari o alle categorie di destinatari riportati di seguito: Categorie di destinatari: Consulenti e liberi professionisti in forma singola o associata, Banche e istituti di credito I termini ultimi previsti per la cancellazione dei dati oggetto del trattamento sono determinati come segue: 5 anni a decorrere dalla data di cessazione del contratto (art codice civile che prevede la prescrizione di 5 anni) Data di inizio del trattamento: 25/08/2018 Pagina 2

20 AI fine di garantire la sicurezza del trattamento (art. 32 Regolamento UE 2016/679), sono state messe in atto adeguate misure tecniche e organizzative, la cui descrizione è di seguito riportata: Monitoraggio stato apparecchiature Monitoraggio stato apparecchiature Contrasto del rischio Distruzione di apparecchiature o di supporti Controllo del corretto funzionamento dei sistemi informativi. Attivare una procedura per assicurare un controllo costante continuo di tutte le apparecchiature, prevedendo eventuali piani di manutenzione di sostituzione delle stesse. Firma Autore contromisura: Protezione dei locali con serrature di sicurezza Protezione dei locali con serrature di sicurezza Distruzione di apparecchiature o di supporti Protezione degli ambienti e possibile separazione aree di ammin. sviluppo, test e produzione. Attivare una procedura per proteggere le aree di sicurezza da appropriati controlli per l ingresso, atti ad assicurare che solo il personale autorizzato abbia il permesso di accedervi. Pagina 3

21 Firma Autore contromisura: Manutenzione periodica apparecchiature Manutenzione periodica apparecchiature Mancata manutenzione del sistema informativo Controllo del corretto funzionamento dei sistemi informativi. Attivare una procedura per assicurare un controllo costante continuo di tutte le apparecchiature, prevedendo eventuali piani di manutenzione di sostituzione delle stesse. Firma Autore contromisura: Impianto di climatizzazione Impianto di climatizzazione Polvere, corrosione o gelo Pagina 4

22 Disposizione delle apparecchiature e loro protezione. Verifica che le apparecchiature siano state disposte e protette, al fine di ridurre i rischi derivanti dalle minacce e dai pericoli ambientali, oltre alle occasioni di accesso non autorizzato. Firma Autore contromisura: Gruppo di continuità/stabilizzatore Gruppo di continuità/stabilizzatore Mancanza di alimentazione elettrica Messa in sicurezza dei dati. Verificare la presenza di UPS per verificare che, in caso di blackout, tutte le strumentazioni contenenti dati, necessarie all'attività e alla continuità aziendale, risultino ancora attive. Programmare un piano di controllo per la verifica della tenuta dei gruppi di continuità. Firma Autore contromisura: Pagina 5

23 Gruppo di continuità/stabilizzatore Gruppo di continuità/stabilizzatore Fenomeni meteorologici Garantire il funzionamento delle strumentazioni. Verificare la presenza di UPS per verificare che, in caso di blackout, tutte le strumentazioni contenenti dati, necessarie all'attività e alla continuità aziendale, risultino ancora attive. Programmare un piano di controllo per la verifica della tenuta dei gruppi di continuità. Firma Autore contromisura: Contenitori con chiave Contenitori con chiave Contrasto del rischio Furto di apparecchiature o documenti Messa in sicurezza della copia delle chiavi. Prevedere una sorta di cassaforte per la custodia sicura di una copia delle chiavi di accesso alla struttura e a zone importanti dell'organizzazione. Pagina 6

24 Firma Autore contromisura: Sistema di allarme Sistema di allarme Contrasto del rischio Furto di apparecchiature o documenti Politiche di sicurezza. Verifica della presenza dei sistemi d'allarme, al fine di proteggere i dati custoditi da accessi non autorizzati, utilizzi impropri o manomissioni. Firma Autore contromisura: Manutenzione periodica apparecchiature Manutenzione periodica apparecchiature Guasto di apparecchiature Manutenzione di tutte le apparecchiature e pulizia dei locali. Attivare una politica di protezione per le apparecchiature, al fine di ridurre i rischi derivanti dalle minacce e dai pericoli ambientali, oltre che dagli accessi non autorizzati, dai malfunzionamenti della rete di comunicazione e da quel elettrica e da altri disservizi causati da malfunzionamenti dei Pagina 7

25 servizi ausiliari. Firma Autore contromisura: Backup dati Backup dati Guasto di apparecchiature Backup delle informazioni. Verifica dell'esistenza di copie di backup delle informazioni, del software e delle immagini dei sistemi e previsione, ove necessario, di test periodici, secondo una politica di backup concordata. Firma Autore contromisura: Certificazione impianto Certificazione impianto Guasto di apparecchiature Pagina 8

26 Manutenzione e verifica delle apparecchiature e dei sistemi informativi. Attivare una procedura per assicurare e verificare costantemente il corretto funzionamento dell'impianto elettrico, richiedendo ad ogni controllo e verifica una certificazione di corretto funzionamento. Firma Autore contromisura: Registrazione accessi Registrazione accessi Accessi esterni non autorizzati Assicurare l accesso agli utenti autorizzati ed evitare accessi non autorizzati a sistemi e servizi. Verificare se è stata definita, documentata ed aggiornata, una politica di controllo degli accessi sulla base dei requisiti di business e di sicurezza delle informazioni. Verificare se l'accesso è stato controllato da procedure di log sicure, quando richiesto dalle politiche di controllo degli accessi e degli accessi a sistemi e applicazioni. Firma Autore contromisura: Pagina 9

27 Log file Log file Contrasto del rischio Accessi esterni non autorizzati Assicurare l accesso agli utenti autorizzati e prevenire accessi non autorizzati a sistemi e servizi Verificare e programmare, assieme agli amministratori di sistema designati, una strategia per registrare tutti gli accessi ai sistemi. Data successiva verifica 25/02/2018 Firma Autore contromisura: Antivirus Antivirus Azione di virus informativi o di codici malefici Controlli contro malware, virus e attacchi informatici. Attuare un protocollo di controlli di individuazione, di prevenzione e di ripristino relativamente a malware, virus e attacchi informatici, congiuntamente ad un'adeguata attività di informazione degli utilizzatori, di backup delle informazioni e di aggiornamento continuo di antivirus e firewall (fisici o software), acquistati con licenza originale e con aggiornamenti continui. Pagina 10

28 Firma Autore contromisura: Antispam Antispam Contrasto del rischio Spamming o tecniche di sabotaggio Protezione contro minacce informatiche. Verifica e attuazione di un protocollo di analisi e controllo su un'adeguata protezione contro minacce esterne di tipo informatico, utilizzando software con licenza originale e aggiornamenti continui, se non periodici. Firma Autore contromisura: Formazione Formazione Spamming o tecniche di sabotaggio Consapevolezza, istruzione, formazione e addestramento sulla sicurezza delle informazioni. Pagina 11

29 Sensibilizzare tutto il personale dell'organizzazione e, quando pertinente, i collaboratori, fornendo un adeguata sensibilizzazione, istruzione, formazione e addestramento e aggiornamenti periodici sulle politiche e procedure organizzative, in modo pertinente alla loro attività. Creare un processo disciplinare, formale e comunicato, per intraprendere provvedimenti nei confronti del personale che ha commesso una violazione della sicurezza delle informazioni. Firma Autore contromisura: Log file Log file Contrasto del rischio Falsificazione diritti di accesso Assicurare l accesso agli utenti autorizzati e prevenire accessi non autorizzati a sistemi e servizi Verificare e programmare, assieme agli amministratori di sistema designati, una strategia per registrare tutti gli accessi ai sistemi. Firma Autore contromisura: Backup dati Pagina 12

30 Backup dati Furto o copiatura software Politica di backup di tutti i dati. Attuare periodicamente copie di backup delle informazioni, del software e delle immagini dei sistemi e quindi sottoposte a test periodici secondo una politica di backup concordata. Firma Autore contromisura: Autenticazione utenti Autenticazione utenti Uso non autorizzato di apparecchiature Limitare l accesso alle informazioni ed ai servizi di elaborazione delle informazioni. Fornire agli utenti solo degli accesi alle reti ed ai servizi di rete per il cui uso sono stati specificatamente autorizzati. Firma Autore contromisura: Pagina 13

31 Formazione Formazione Ignoranza procedure di gestione Consapevolezza, istruzione, formazione e addestramento sulla sicurezza delle informazioni. Sensibilizzare tutto il personale dell'organizzazione e, quando pertinente, i collaboratori, fornendo un adeguata sensibilizzazione, istruzione, formazione e addestramento e aggiornamenti periodici sulle politiche e procedure organizzative, in modo pertinente alla loro attività. Creare un processo disciplinare, formale e comunicato, per intraprendere provvedimenti nei confronti del personale che ha commesso una violazione della sicurezza delle informazioni. Firma Autore contromisura: Protezione dei locali con serrature di sicurezza Protezione dei locali con serrature di sicurezza Ingressi non autorizzati a locali/aree ad accesso ristretto Protezione degli ambienti e possibile separazione aree di ammin. sviluppo, test e produzione. Attivare una procedura per proteggere le aree di sicurezza da appropriati controlli per l ingresso, atti ad assicurare che solo il personale autorizzato abbia il permesso di accedervi. Pagina 14

32 Firma Autore contromisura: Assegnazione incarico Assegnazione incarico Accesso archivi dati comuni Politica di controllo degli accessi. Proteggere le aree di sicurezza tramite appropriati controlli per l ingresso, atti ad assicurare che solo il personale autorizzato abbia il permesso di accedervi. Attivare una politica di controllo degli accessi definita, documentata ed aggiornata, fornendo agli utenti solo gli accesi alle reti ed ai servizi di rete per il cui uso sono stati specificatamente autorizzati. Firma Autore contromisura: Procedura gestione chiavi Procedura gestione chiavi Contrasto del rischio Accesso archivi dati comuni Pagina 15

33 Controllo degli accessi fisici alle varie aree. Attivare un protocollo di gestione degli accessi fisici mediante chiavi: soggetti autorizzati al possesso delle stesse, chiavi in loro possesso e momento di utilizzo, in modo tale da proteggere più ambienti. Studio di eventuali procedure per il miglioramento della sicurezza. Firma Autore contromisura: Sistemi antincendio Sistemi antincendio Incendio Disposizione delle apparecchiature e loro protezione. Verifica della gestione di un piano per proteggere le apparecchiature dai rischi di incendio derivanti dalle minacce e dai pericoli ambientali, dai malfunzionamenti alla rete elettrica di alimentazione e da altri disservizi causati da malfunzionamenti dei servizi ausiliari. Il piano deve verificare la corretta manutenzione per assicurare la loro continua disponibilità e integrità. Firma Autore contromisura: Pagina 16

34 Certificazione impianto Certificazione impianto Cortocircuito Manutenzione e verifica delle apparecchiature e dei sistemi informativi. Attivare una procedura per assicurare e verificare costantemente il corretto funzionamento dell'impianto elettrico, richiedendo ad ogni controllo e verifica una certificazione di corretto funzionamento. Firma Autore contromisura: San Giorgio delle Pertiche, 25/08/2018 Firma del Trattamento KM CORPORATE SRL Pagina 17

35 Registro delle attività di trattamento KM CORPORATE SRL, riguardanti il trattamento: Descrizione del Trattamento: AZ03 - Controllo di Gestione Il trattamento ha per oggetto l'esecuzione dei processi di contabilità analitica, la cui applicazione consente di ottenere una generale valutazione dell attività aziendale nonché l'interpretazione delle prestazioni di gestione. La conseguente produzione di relazioni, documenti, rapporti periodici che consentono la disamina dello stato dell impresa e del suo andamento economico-finanziario nel corso del tempo. In ottemperanza a quanto riportato nell art. 30 del Regolamento UE 2016/679, di seguito sono riportate tutte le informazioni che costituiscono il registro delle attività di trattamento svolte sotto la propria responsabilità da parte del Trattamento KM CORPORATE SRL. Il Titolare del Trattamento è KM CORPORATE SRL, i cui dati di contatto sono i seguenti: Titolare del Trattamento: KM CORPORATE SRL Sede: delle Pertiche PD, IT Contatti e recapiti: Persona contatto EMILIANO ORSI Cellulare Telefono PEC Sito Web MASTER@KMCORPORATE.COM KMCORPORATESRL@PEC.IT I dati personali oggetto del trattamento sono raccolti e trattati per le finalità riportate di seguito insieme alla base giuridica di riferimento: Finalità Dati trattati Base Giuridica Pagina 1

36 Servizi di controllo interno Codice fiscale ed altri numeri di identificazione personale; Nominativo, indirizzo o altri elementi di identificazione personale; Attività economiche, commerciali, finanziarie e assicurative; Lavoro (occupazione attuale, precedente, curriculum, ecc.); Ruolo ricoperto in azienda Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi - Norma Unione Europea (GDPR 2016/679) I dati personali raccolti afferiscono alle categorie di interessati la cui descrizione è riportata di seguito: Clienti o Utenti Personale dipendente Interessati Consulenti e liberi professionisti, anche in forma associata Fornitori I dati personali raccolti afferiscono alle categorie la cui descrizione è riportata di seguito: Categoria dato logia Codice fiscale ed altri numeri di identificazione personale Dati comuni Nominativo, indirizzo o altri elementi di identificazione personale Dati comuni Attività economiche, commerciali, finanziarie e assicurative Lavoro (occupazione attuale, precedente, curriculum, ecc.) Ruolo ricoperto in azienda Dati comuni Dati comuni Dati comuni I termini ultimi previsti per la cancellazione dei dati oggetto del trattamento sono determinati come segue: 10 anni a decorrere dalla data di cessazione dei contratti (art codice civile che prevede la conservazione per 10 anni delle scritture contabili; art. 22 del D.P.R. 29 Settembre 1973, n.600) Data di inizio del trattamento: 25/08/2018 AI fine di garantire la sicurezza del trattamento (art. 32 Regolamento UE 2016/679), sono Pagina 2

37 state messe in atto adeguate misure tecniche e organizzative, la cui descrizione è di seguito riportata: Monitoraggio stato apparecchiature Monitoraggio stato apparecchiature Contrasto del rischio Distruzione di apparecchiature o di supporti Controllo del corretto funzionamento dei sistemi informativi. Attivare una procedura per assicurare un controllo costante continuo di tutte le apparecchiature, prevedendo eventuali piani di manutenzione di sostituzione delle stesse. Firma Autore contromisura: Protezione dei locali con serrature di sicurezza Protezione dei locali con serrature di sicurezza Distruzione di apparecchiature o di supporti Protezione degli ambienti e possibile separazione aree di ammin. sviluppo, test e produzione. Attivare una procedura per proteggere le aree di sicurezza da appropriati controlli per l ingresso, atti ad assicurare che solo il personale autorizzato abbia il permesso di accedervi. Pagina 3

38 Firma Autore contromisura: Manutenzione periodica apparecchiature Manutenzione periodica apparecchiature Mancata manutenzione del sistema informativo Controllo del corretto funzionamento dei sistemi informativi. Attivare una procedura per assicurare un controllo costante continuo di tutte le apparecchiature, prevedendo eventuali piani di manutenzione di sostituzione delle stesse. Firma Autore contromisura: Impianto di climatizzazione Impianto di climatizzazione Polvere, corrosione o gelo Pagina 4

39 Disposizione delle apparecchiature e loro protezione. Verifica che le apparecchiature siano state disposte e protette, al fine di ridurre i rischi derivanti dalle minacce e dai pericoli ambientali, oltre alle occasioni di accesso non autorizzato. Firma Autore contromisura: Gruppo di continuità/stabilizzatore Gruppo di continuità/stabilizzatore Mancanza di alimentazione elettrica Messa in sicurezza dei dati. Verificare la presenza di UPS per verificare che, in caso di blackout, tutte le strumentazioni contenenti dati, necessarie all'attività e alla continuità aziendale, risultino ancora attive. Programmare un piano di controllo per la verifica della tenuta dei gruppi di continuità. Firma Autore contromisura: Gruppo di continuità/stabilizzatore Pagina 5

40 Gruppo di continuità/stabilizzatore Fenomeni meteorologici Garantire il funzionamento delle strumentazioni. Verificare la presenza di UPS per verificare che, in caso di blackout, tutte le strumentazioni contenenti dati, necessarie all'attività e alla continuità aziendale, risultino ancora attive. Programmare un piano di controllo per la verifica della tenuta dei gruppi di continuità. Firma Autore contromisura: Contenitori con chiave Contenitori con chiave Contrasto del rischio Furto di apparecchiature o documenti Messa in sicurezza della copia delle chiavi. Prevedere una sorta di cassaforte per la custodia sicura di una copia delle chiavi di accesso alla struttura e a zone importanti dell'organizzazione. Pagina 6

41 Firma Autore contromisura: Sistema di allarme Sistema di allarme Contrasto del rischio Furto di apparecchiature o documenti Politiche di sicurezza. Verifica della presenza dei sistemi d'allarme, al fine di proteggere i dati custoditi da accessi non autorizzati, utilizzi impropri o manomissioni. Firma Autore contromisura: Manutenzione periodica apparecchiature Manutenzione periodica apparecchiature Guasto di apparecchiature Manutenzione di tutte le apparecchiature e pulizia dei locali. Attivare una politica di protezione per le apparecchiature, al fine di ridurre i rischi derivanti dalle minacce e dai pericoli ambientali, oltre che dagli accessi non autorizzati, dai malfunzionamenti della rete di comunicazione e da quel elettrica e da altri disservizi causati da malfunzionamenti dei servizi ausiliari. Pagina 7

42 Firma Autore contromisura: Backup dati Backup dati Guasto di apparecchiature Backup delle informazioni. Verifica dell'esistenza di copie di backup delle informazioni, del software e delle immagini dei sistemi e previsione, ove necessario, di test periodici, secondo una politica di backup concordata. Firma Autore contromisura: Certificazione impianto Certificazione impianto Guasto di apparecchiature Pagina 8

43 Manutenzione e verifica delle apparecchiature e dei sistemi informativi. Attivare una procedura per assicurare e verificare costantemente il corretto funzionamento dell'impianto elettrico, richiedendo ad ogni controllo e verifica una certificazione di corretto funzionamento. Firma Autore contromisura: Registrazione accessi Registrazione accessi Accessi esterni non autorizzati Assicurare l accesso agli utenti autorizzati ed evitare accessi non autorizzati a sistemi e servizi. Verificare se è stata definita, documentata ed aggiornata, una politica di controllo degli accessi sulla base dei requisiti di business e di sicurezza delle informazioni. Verificare se l'accesso è stato controllato da procedure di log sicure, quando richiesto dalle politiche di controllo degli accessi e degli accessi a sistemi e applicazioni. Firma Autore contromisura: Log file Pagina 9

44 Log file Contrasto del rischio Accessi esterni non autorizzati Assicurare l accesso agli utenti autorizzati e prevenire accessi non autorizzati a sistemi e servizi Verificare e programmare, assieme agli amministratori di sistema designati, una strategia per registrare tutti gli accessi ai sistemi. Data successiva verifica 25/02/2018 Firma Autore contromisura: Antivirus Antivirus Azione di virus informativi o di codici malefici Controlli contro malware, virus e attacchi informatici. Attuare un protocollo di controlli di individuazione, di prevenzione e di ripristino relativamente a malware, virus e attacchi informatici, congiuntamente ad un'adeguata attività di informazione degli utilizzatori, di backup delle informazioni e di aggiornamento continuo di antivirus e firewall (fisici o software), acquistati con licenza originale e con aggiornamenti continui. Pagina 10

45 Firma Autore contromisura: Antispam Antispam Contrasto del rischio Spamming o tecniche di sabotaggio Protezione contro minacce informatiche. Verifica e attuazione di un protocollo di analisi e controllo su un'adeguata protezione contro minacce esterne di tipo informatico, utilizzando software con licenza originale e aggiornamenti continui, se non periodici. Firma Autore contromisura: Formazione Formazione Spamming o tecniche di sabotaggio Consapevolezza, istruzione, formazione e addestramento sulla sicurezza delle informazioni. Pagina 11

46 Sensibilizzare tutto il personale dell'organizzazione e, quando pertinente, i collaboratori, fornendo un adeguata sensibilizzazione, istruzione, formazione e addestramento e aggiornamenti periodici sulle politiche e procedure organizzative, in modo pertinente alla loro attività. Creare un processo disciplinare, formale e comunicato, per intraprendere provvedimenti nei confronti del personale che ha commesso una violazione della sicurezza delle informazioni. Firma Autore contromisura: Log file Log file Contrasto del rischio Falsificazione diritti di accesso Assicurare l accesso agli utenti autorizzati e prevenire accessi non autorizzati a sistemi e servizi Verificare e programmare, assieme agli amministratori di sistema designati, una strategia per registrare tutti gli accessi ai sistemi. Firma Autore contromisura: Backup dati Pagina 12

47 Backup dati Furto o copiatura software Politica di backup di tutti i dati. Attuare periodicamente copie di backup delle informazioni, del software e delle immagini dei sistemi e quindi sottoposte a test periodici secondo una politica di backup concordata. Firma Autore contromisura: Autenticazione utenti Autenticazione utenti Uso non autorizzato di apparecchiature Limitare l accesso alle informazioni ed ai servizi di elaborazione delle informazioni. Fornire agli utenti solo degli accesi alle reti ed ai servizi di rete per il cui uso sono stati specificatamente autorizzati. Firma Autore contromisura: Pagina 13

48 Formazione Formazione Ignoranza procedure di gestione Consapevolezza, istruzione, formazione e addestramento sulla sicurezza delle informazioni. Sensibilizzare tutto il personale dell'organizzazione e, quando pertinente, i collaboratori, fornendo un adeguata sensibilizzazione, istruzione, formazione e addestramento e aggiornamenti periodici sulle politiche e procedure organizzative, in modo pertinente alla loro attività. Creare un processo disciplinare, formale e comunicato, per intraprendere provvedimenti nei confronti del personale che ha commesso una violazione della sicurezza delle informazioni. Firma Autore contromisura: Protezione dei locali con serrature di sicurezza Protezione dei locali con serrature di sicurezza Ingressi non autorizzati a locali/aree ad accesso ristretto Protezione degli ambienti e possibile separazione aree di ammin. sviluppo, test e produzione. Attivare una procedura per proteggere le aree di sicurezza da appropriati controlli per l ingresso, atti ad assicurare che solo il personale autorizzato abbia il permesso di accedervi. Pagina 14

49 Firma Autore contromisura: Assegnazione incarico Assegnazione incarico Accesso archivi dati comuni Politica di controllo degli accessi. Proteggere le aree di sicurezza tramite appropriati controlli per l ingresso, atti ad assicurare che solo il personale autorizzato abbia il permesso di accedervi. Attivare una politica di controllo degli accessi definita, documentata ed aggiornata, fornendo agli utenti solo gli accesi alle reti ed ai servizi di rete per il cui uso sono stati specificatamente autorizzati. Firma Autore contromisura: Procedura gestione chiavi Procedura gestione chiavi Contrasto del rischio Accesso archivi dati comuni Pagina 15

50 Controllo degli accessi fisici alle varie aree. Attivare un protocollo di gestione degli accessi fisici mediante chiavi: soggetti autorizzati al possesso delle stesse, chiavi in loro possesso e momento di utilizzo, in modo tale da proteggere più ambienti. Studio di eventuali procedure per il miglioramento della sicurezza. Firma Autore contromisura: Sistemi antincendio Sistemi antincendio Incendio Disposizione delle apparecchiature e loro protezione. Verifica della gestione di un piano per proteggere le apparecchiature dai rischi di incendio derivanti dalle minacce e dai pericoli ambientali, dai malfunzionamenti alla rete elettrica di alimentazione e da altri disservizi causati da malfunzionamenti dei servizi ausiliari. Il piano deve verificare la corretta manutenzione per assicurare la loro continua disponibilità e integrità. Firma Autore contromisura: Pagina 16

51 Certificazione impianto Certificazione impianto Cortocircuito Manutenzione e verifica delle apparecchiature e dei sistemi informativi. Attivare una procedura per assicurare e verificare costantemente il corretto funzionamento dell'impianto elettrico, richiedendo ad ogni controllo e verifica una certificazione di corretto funzionamento. Firma Autore contromisura: San Giorgio delle Pertiche, 25/08/2018 Firma del Trattamento KM CORPORATE SRL Pagina 17

52 Registro delle attività di trattamento KM CORPORATE SRL, riguardanti il trattamento: Descrizione del Trattamento: AZ04 - Accettazione Il trattamento ha per oggetto le attività di accettazione delle materie prime e delle altre merci ricevute dai fornitori. Attività di controllo sulla congruità tra gli ordini di fornitura e le corrispondenti merci ricevute. Attività di smistamento delle merci ricevute nei reparti aziendali per le successive esigenze di produzione, stoccaggio o commercializzazione. In ottemperanza a quanto riportato nell art. 30 del Regolamento UE 2016/679, di seguito sono riportate tutte le informazioni che costituiscono il registro delle attività di trattamento svolte sotto la propria responsabilità da parte del Trattamento KM CORPORATE SRL. Il Titolare del Trattamento è KM CORPORATE SRL, i cui dati di contatto sono i seguenti: Titolare del Trattamento: KM CORPORATE SRL Sede: delle Pertiche PD, IT Contatti e recapiti: Persona contatto EMILIANO ORSI Cellulare Telefono PEC Sito Web MASTER@KMCORPORATE.COM KMCORPORATESRL@PEC.IT I dati personali oggetto del trattamento sono raccolti e trattati per le finalità riportate di seguito insieme alla base giuridica di riferimento: Finalità Dati trattati Base Giuridica Pagina 1

53 Accettazione delle merci Nominativo, indirizzo o altri elementi di identificazione personale Il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso - Norma Unione Europea (GDPR 2016/679) I dati personali raccolti afferiscono alle categorie di interessati la cui descrizione è riportata di seguito: Fornitori Interessati I dati personali raccolti afferiscono alle categorie la cui descrizione è riportata di seguito: Categoria dato logia Nominativo, indirizzo o altri elementi di identificazione personale Dati comuni I termini ultimi previsti per la cancellazione dei dati oggetto del trattamento sono determinati come segue: 5 anni a decorrere dalla data di cessazione del contratto (art codice civile che prevede la prescrizione di 5 anni) Data di inizio del trattamento: 25/08/2018 AI fine di garantire la sicurezza del trattamento (art. 32 Regolamento UE 2016/679), sono state messe in atto adeguate misure tecniche e organizzative, la cui descrizione è di seguito riportata: Monitoraggio stato apparecchiature Monitoraggio stato apparecchiature Contrasto del rischio Distruzione di apparecchiature o di supporti Pagina 2

54 Controllo del corretto funzionamento dei sistemi informativi. Attivare una procedura per assicurare un controllo costante continuo di tutte le apparecchiature, prevedendo eventuali piani di manutenzione di sostituzione delle stesse. Firma Autore contromisura: Protezione dei locali con serrature di sicurezza Protezione dei locali con serrature di sicurezza Distruzione di apparecchiature o di supporti Protezione degli ambienti e possibile separazione aree di ammin. sviluppo, test e produzione. Attivare una procedura per proteggere le aree di sicurezza da appropriati controlli per l ingresso, atti ad assicurare che solo il personale autorizzato abbia il permesso di accedervi. Firma Autore contromisura: Manutenzione periodica Pagina 3

55 apparecchiature Manutenzione periodica apparecchiature Mancata manutenzione del sistema informativo Controllo del corretto funzionamento dei sistemi informativi. Attivare una procedura per assicurare un controllo costante continuo di tutte le apparecchiature, prevedendo eventuali piani di manutenzione di sostituzione delle stesse. Firma Autore contromisura: Impianto di climatizzazione Impianto di climatizzazione Polvere, corrosione o gelo Disposizione delle apparecchiature e loro protezione. Verifica che le apparecchiature siano state disposte e protette, al fine di ridurre i rischi derivanti dalle minacce e dai pericoli ambientali, oltre alle occasioni di accesso non autorizzato. Firma Autore contromisura: Pagina 4

56 Gruppo di continuità/stabilizzatore Gruppo di continuità/stabilizzatore Mancanza di alimentazione elettrica Messa in sicurezza dei dati. Verificare la presenza di UPS per verificare che, in caso di blackout, tutte le strumentazioni contenenti dati, necessarie all'attività e alla continuità aziendale, risultino ancora attive. Programmare un piano di controllo per la verifica della tenuta dei gruppi di continuità. Firma Autore contromisura: Gruppo di continuità/stabilizzatore Gruppo di continuità/stabilizzatore Fenomeni meteorologici Garantire il funzionamento delle strumentazioni. Pagina 5

57 Verificare la presenza di UPS per verificare che, in caso di blackout, tutte le strumentazioni contenenti dati, necessarie all'attività e alla continuità aziendale, risultino ancora attive. Programmare un piano di controllo per la verifica della tenuta dei gruppi di continuità. Firma Autore contromisura: Contenitori con chiave Contenitori con chiave Contrasto del rischio Furto di apparecchiature o documenti Messa in sicurezza della copia delle chiavi. Prevedere una sorta di cassaforte per la custodia sicura di una copia delle chiavi di accesso alla struttura e a zone importanti dell'organizzazione. Firma Autore contromisura: Sistema di allarme Sistema di allarme Contrasto del rischio Pagina 6

58 Furto di apparecchiature o documenti Politiche di sicurezza. Verifica della presenza dei sistemi d'allarme, al fine di proteggere i dati custoditi da accessi non autorizzati, utilizzi impropri o manomissioni. Firma Autore contromisura: Manutenzione periodica apparecchiature Manutenzione periodica apparecchiature Guasto di apparecchiature Manutenzione di tutte le apparecchiature e pulizia dei locali. Attivare una politica di protezione per le apparecchiature, al fine di ridurre i rischi derivanti dalle minacce e dai pericoli ambientali, oltre che dagli accessi non autorizzati, dai malfunzionamenti della rete di comunicazione e da quel elettrica e da altri disservizi causati da malfunzionamenti dei servizi ausiliari. Firma Autore contromisura: Pagina 7

59 Backup dati Backup dati Guasto di apparecchiature Backup delle informazioni. Verifica dell'esistenza di copie di backup delle informazioni, del software e delle immagini dei sistemi e previsione, ove necessario, di test periodici, secondo una politica di backup concordata. Firma Autore contromisura: Certificazione impianto Certificazione impianto Guasto di apparecchiature Manutenzione e verifica delle apparecchiature e dei sistemi informativi. Attivare una procedura per assicurare e verificare costantemente il corretto funzionamento dell'impianto elettrico, richiedendo ad ogni controllo e verifica una certificazione di corretto funzionamento. Pagina 8

60 Firma Autore contromisura: Registrazione accessi Registrazione accessi Accessi esterni non autorizzati Assicurare l accesso agli utenti autorizzati ed evitare accessi non autorizzati a sistemi e servizi. Verificare se è stata definita, documentata ed aggiornata, una politica di controllo degli accessi sulla base dei requisiti di business e di sicurezza delle informazioni. Verificare se l'accesso è stato controllato da procedure di log sicure, quando richiesto dalle politiche di controllo degli accessi e degli accessi a sistemi e applicazioni. Firma Autore contromisura: Log file Log file Contrasto del rischio Accessi esterni non autorizzati Assicurare l accesso agli utenti autorizzati e prevenire accessi non autorizzati a sistemi e servizi Pagina 9

61 Verificare e programmare, assieme agli amministratori di sistema designati, una strategia per registrare tutti gli accessi ai sistemi. Data successiva verifica 25/02/2018 Firma Autore contromisura: Antivirus Antivirus Azione di virus informativi o di codici malefici Controlli contro malware, virus e attacchi informatici. Attuare un protocollo di controlli di individuazione, di prevenzione e di ripristino relativamente a malware, virus e attacchi informatici, congiuntamente ad un'adeguata attività di informazione degli utilizzatori, di backup delle informazioni e di aggiornamento continuo di antivirus e firewall (fisici o software), acquistati con licenza originale e con aggiornamenti continui. Firma Autore contromisura: Antispam Antispam Pagina 10