Protocollo per la Sicurezza Informatica

Transcript

1 Protocollo per la Sicurezza Informatica I sistemi e i servizi ICT di BancApulia sono esternalizzati presso la Capogruppo. BancApulia, in ogni caso, mantiene la responsabilità del controllo del servizio esternalizzato, rispettando quanto previsto dal seguente Protocollo. L importanza del presente Protocollo Il rispetto delle regole dettate dal Protocollo permette di prevenire la commissione dei reatipresupposto contenuti nelle seguenti famiglie: Indebita percezione di erogazioni, truffa in danno dello Stato o di un ente pubblico o per il conseguimento di erogazioni pubbliche e frode informatica in danno dello Stato o di un ente pubblico (art. 24, Decreto 231); Delitti informatici e trattamento illecito di dati (art. 24-bis, Decreto 231); Delitti di criminalità organizzata (art. 24-ter, Decreto 231); Concussione, induzione indebita a dare o promettere utilità e corruzione (art. 25, Decreto 231); Falsità in monete, in carte di pubblico credito, in valori di bollo e in strumenti o segni di riconoscimento (art. 25-bis, Decreto 231); Ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita, nonché autoriciclaggio (art. 25-octies, Decreto 231); Delitti in materia di violazione del diritto d autore (art. 25-novies, Decreto 231). Contenuto e struttura Il Protocollo detta prescrizioni dirette a prevenire condotte delittuose nell interesse o a vantaggio di BancApulia, attraverso comportamenti idonei a integrare, mediante azioni od omissioni, le fattispecie di reato, avendo presente che, su un piano generale e concreto, molti dei reati informatici possono non presentare il requisito indispensabile per la responsabilità amministrativa da reato ai sensi del Decreto 231. La configurazione della responsabilità amministrativa da reato ai sensi del Decreto 231, deve essere correlata al Modello 231 prescelto dal Gruppo in materia di sistemi informativi aziendali, che prevede per tutte le Società comprese nel perimetro di consolidamento, l esternalizzazione dei processi informatici a soggetti terzi, dotati di autonomia e indipendenza. Il rapporto di outsourcing informatico è regolato sulla base di un contratto che, nell affidare la gestione del servizio al SEC, scinde la responsabilità del governo della funzione decentrata spettante alla Capogruppo, dalla responsabilità della conduzione delle attività esternalizzate, spettante all Outsourcer. Sulla base dello schema organizzativo disciplinato dalla normativa prudenziale di vigilanza emanata dalla Banca d Italia, sono state adottate tutte le misure idonee a gestire consapevolmente i rischi associati all outsourcing informatico, in relazione: 1

2 alla definizione degli obiettivi, degli standard qualitativi e quantitativi attesi dai processi esternalizzati, in modo da verificare, sulla base di parametri predefiniti contrattualmente ( Service Level Agreement ), la qualità del servizio reso e le metodologie adottate nella prestazione dello stesso; alla valutazione e al controllo dell operato del fornitore, finalizzati ad accertare la preservazione dell integrità e della funzionalità dei sistemi di gestione allo scopo di evitare anomalie, irregolarità, disfunzioni o interruzioni del servizio, che possano integrare le fattispecie dei reati informatici da prevenire. La struttura del Protocollo è funzionale allo schema di outsourcing informatico diretto a garantire condizioni di sicurezza e correttezza nell amministrazione e nell utilizzo dei sistemi informativi esternalizzati, che si articola su due diversi livelli: Gestione dei Processi di Information Technology, che coinvolgono l Outsourcer; Gestione delle Attività di Controllo, peculiari del Presidio Informatico di Gruppo. Questa separazione di compiti e responsabilità consente un rafforzativo della prevenzione dai reati informatici, perché accanto alle misure proprie adottate dall Outsourcer, che è l unico depositario del know-how specialistico, si pongono i controlli esterni e di qualità esercitati dal Titolare della Funzione aziendale esternalizzata. Principi generali di prevenzione dei reati di criminalità informatica Al fine della prevenzione dei reati informatici previsti dal Decreto 231, è fatto espresso divieto ai Destinatari di: installare nella rete aziendale un proprio software che non rientri nello scopo per cui il sistema informatico è stato assegnato all utente per evitare che possa interrompere, danneggiare, manomettere, o impedire le comunicazioni informatiche aziendali; prestare o cedere a terzi qualsiasi apparecchiatura informatica senza la preventiva autorizzazione del Responsabile interno; trasferire all esterno e/o trasmettere file, documenti, o qualsiasi altra documentazione riservata di proprietà di BancApulia o di altre società facenti parte del Gruppo, se non per finalità strettamente attinenti allo svolgimento delle proprie mansioni e, comunque, previa autorizzazione del Responsabile interno; astenersi dall effettuare copie non autorizzate di dati o di software; utilizzare password di altri utenti aziendali, anche per l accesso ad aree protette in nome e per conto dello stesso, salvo espressa autorizzazione del responsabile dei Sistemi Informatici; alterare, contraffare, documenti informatici, pubblici o privati; accedere abusivamente al sistema informatico o telematico interno o di soggetti esterni; 2

3 detenere e/o utilizzare abusivamente codici di accesso di società o soggetti concorrenti, pubblici o privati, al fine di acquisire informazioni riservate; svolgere attività di intercettazione, impedimento, interruzione di comunicazioni relative a un sistema informatico o telematico di soggetti pubblici o privati, al fine di acquisire informazioni riservate; modificare, cancellare, danneggiare, distruggere dati, informazioni, programmi di soggetti privati, o soggetti pubblici o comunque di pubblica utilità. Gestione dei Processi di Information Technology I Processi sensibili di Information Technology, individuati come di pertinenza dell Outsourcer, sono articolati nelle fasi di seguito descritte e per essi si rinvia alle regole, agli strumenti e ai presidi di controllo adottati dal SEC, con la finalità di assicurare un efficace azione di prevenzione e protezione dai reati informatici. In particolare: a) il Processo di gestione della sicurezza fisica e logica è strutturato secondo le seguenti fasi: analisi del rischio in materia di Information Technology e definizione dei requisiti di sicurezza informatica; gestione degli accessi informatici a soggetti autorizzati e servizi di sicurezza in tema di Information e Comunication Technology ; gestione normativa e architettura di sicurezza informatica; monitoraggio degli eventi di sicurezza informatica e gestione delle crisi di sicurezza dei dati e delle informazioni; progettazione e realizzazione degli interventi e delle soluzioni di sicurezza informatica; gestione della protezione di aree e locali ove si svolge l attività informatica; gestione della sicurezza dei sistemi periferici e dei siti secondari previsti dalle normative di legge o prudenziali vigenti in materia; b) il Processo di prevenzione delle frodi è strutturato secondo le seguenti fasi: monitoraggio dell evoluzione delle frodi informatiche e fisiche; definizione e presidio delle attività necessarie all intercettazione e alla soluzione delle azioni di potenziale minaccia all integrità del patrimonio informativo; gestione delle comunicazioni con le Forze dell Ordine e con le Autorità pubbliche di controllo; c) il Processo di gestione della progettazione & sviluppo e dell attivazione & supporto dei servizi IT è strutturato secondo le seguenti fasi: 3

4 progettazione, realizzazione e gestione delle soluzioni applicative e delle infrastrutture tecnologiche; erogazione dei servizi di Information Technology ; monitoraggio del funzionamento dei servizi erogati e gestione delle anomalie; assistenza all utente attraverso funzioni e/o attività di help desk e problem solving. d) il Processo di gestione della protezione dei dati e delle informazioni è strutturato secondo le seguenti fasi: definizione dei profili di accesso in ragione delle funzioni e del ruolo di amministratore del sistema ; previsione di autorizzazioni, abilitazioni e autenticazioni che regolano la gestione e l utilizzo dei dati e delle informazioni degli utenti; salvaguardia della riservatezza, integrità e disponibilità delle informazioni con riferimento specifico al trattamento dei dati personali. Gestione delle Attività di Controllo sui Processi IT Le Attività di Controllo sui Processi IT individuati come di pertinenza della Capogruppo, per il tramite del proprio presidio informatico sono articolate nelle fasi di seguito descritte e, pur se contestualizzate nell ambito del rapporto contrattuale utente-fornitore, svolgono un ruolo integrativo e rafforzativo dell azione di prevenzione e contrasto dei reati informatici. In particolare: a) il Processo di Controllo della gestione della sicurezza fisica e logica è strutturato secondo le seguenti fasi di verifica: determinazione degli obiettivi e delle strategie di sicurezza informatica attraverso una metodologia di analisi dei rischi in materia di Information Technology ; accertamento e monitoraggio del corretto e adeguato mantenimento dei livelli di sicurezza stabiliti; protezione e controllo delle aree fisiche destinate alla gestione dei sistemi informatici, allo scopo di evitare accessi non autorizzati, alterazioni, distrazioni o sottrazioni di asset informativi; identificazione e autenticazione dei codici personali degli utenti necessari ad assicurare standard qualitativi per la sicurezza dei dati e delle informazioni e il loro corretto utilizzo; controlli su un sistema di autorizzazione degli accessi ai dati e alle informazioni, che utilizzi anche tecniche crittografiche e/o di firma digitale per garantire la riservatezza e l integrità; b) il Processo di Controllo della prevenzione dalle frodi è strutturato secondo le seguenti fasi di verifica: 4

5 previsione di canali e modalità di comunicazione per la segnalazione tempestiva di incidenti e situazioni sospette allo scopo di minimizzare i rischi e i danni generati e poter prevenire comportamenti irregolari, anomali o inadeguati; interventi e forme di raccordo con il gestore del sistema per la disciplina delle modalità di comunicazione alle Forze dell Ordine e alle Autorità pubbliche di controllo; c) il Processo di Controllo della gestione della progettazione & sviluppo e dell attivazione & supporto dei servizi IT è strutturato secondo le seguenti fasi di verifica: previsione della separazione degli ambienti informatici di sviluppo, collaudo e produzione nei quali i sistemi e le applicazioni vengono installati, gestiti e manutenuti; predisposizione e conservazione della documentazione di sistema relativa alle configurazioni, personalizzazioni e procedure operative, funzionali al sicuro e corretto svolgimento delle attività informatiche; accertamento e monitoraggio sugli interventi di rimozione di sistemi, applicazioni e reti individuati come obsoleti ovvero sostituiti da nuove release aggiornate; controlli su procedure di pianificazione e gestione dei salvataggi di sistemi operativi, software, dati e informazioni, configurazioni di sistema; monitoraggio sulla gestione degli strumenti di hardware e di ogni asset informatico in dotazione, anche attraverso la definizione standard di custodia, utilizzo, riproduzione, distruzione e trasposto fisico dei supporti rimuovibili e dei PC per proteggerli da danneggiamenti, furti e usi non autorizzati; accertamento e controllo della tracciabilità dei processi decisori, anche ai fini di archiviazione e conservazione dei documenti inerenti agli iter decisionali, riguardanti le fasi di progettazione, sviluppo, manutenzione o cambiamento di sistemi, applicazioni e reti IT. d) il Processo di Controllo della gestione della protezione dei dati e delle informazioni è strutturato secondo le seguenti fasi di verifica: accertamento e monitoraggio tramite check list e altri tabulati, rilasciati o resi disponibili dal gestore del sistema, per controllare i profili di accesso, in ragione dei ruoli e delle funzioni esercitati all interno delle diverse componenti societarie, organizzative e funzionali del Gruppo; presidio delle contromisure individuate per la protezione dei dati gestiti dai sistemi informativi nel rispetto dei requisiti di riservatezza, integrità e disponibilità informativa, stabiliti in funzione degli ambiti e delle modalità di utilizzo dalle disposizioni di legge o dalla normativa interna e secondaria emanata dalle Autorità pubbliche di controllo; previsione di misure di sicurezza delle applicazioni informatiche in termini di installazione, gestione dell esercizio e delle emergenze, protezione dei codici, che assicurino la preservazione dei requisiti di privacy, integrità e disponibilità delle informazioni e dei dati trattati; 5

6 prevenzione da software dannosi, mediante l adozione di strumenti e infrastrutture tecnologiche adeguate, che prevedano l utilizzo e la diffusione di sistemi antivirus e modalità sicure per lo scambio e l acquisizione delle informazioni e dei dati tramite e connessioni ai siti web. Gestione delle risorse umane in ambito IT Nell ambito della gestione delle risorse umane la Società provvede all applicazione delle seguenti misure: a) una valutazione (prima dell'assunzione o della stipula di un contratto) dell'esperienza delle persone destinate a svolgere attività di sicurezza IT; b) l attuazione di specifiche attività di formazione e aggiornamenti periodici sulle procedure aziendali di sicurezza del sistema informatico per tutti i dipendenti e, dove rilevante, per i terzi; c) l obbligo di restituzione dei beni forniti per lo svolgimento dell'attività lavorativa (ad es. PC, telefoni cellulari, token di autenticazione, ecc.) per i dipendenti e i terzi al momento della conclusione del rapporto di lavoro e/o del contratto. La Società adempie alle prescrizioni del Garante per la protezione dei dati personali in tema di attribuzione delle funzioni di amministratore di sistema, con riferimento, in particolare, a quanto segue: la valutazione delle caratteristiche soggettive; le designazioni individuali; l elenco degli amministratori di sistema; i servizi in outsourcing (servizi forniti da terze parti anche interne al Gruppo); la verifica delle attività; la registrazione degli accessi. La Società definisce ruoli e responsabilità degli utenti interni ed esterni all azienda o operatori di sistema ai fini della sicurezza del sistema, e i connessi obblighi nell utilizzo del sistema informatico e delle risorse informatiche e telematiche (anche con riferimento all accesso a risorse telematiche in possesso di enti terzi la cui gestione del sistema di sicurezza ricade sulla parte terza stessa). Gestione dei controlli L accesso alle informazioni, al sistema informatico, alla rete, ai sistemi operativi e alle applicazioni viene sottoposto a controllo da parte della Società attraverso l adozione di misure selezionate in base alla tipologia dell apparato e alla catena tecnologica in esame, tra le quali: a) l autenticazione individuale degli utenti tramite codice identificativo dell utente e password o altro sistema di autenticazione sicura (valido per tutta la catena tecnologica ad eccezione degli apparati di misurazione e comunicazione); b) le autorizzazioni specifiche dei diversi utenti o categorie di utenti (valido per tutta la catena tecnologica ad eccezione degli apparati di misurazione e comunicazione); 6

7 c) procedimenti di registrazione e deregistrazione per accordare e revocare, in caso di cessazione o cambiamento del tipo di rapporto o dei compiti assegnati, l'accesso a tutti i sistemi e servizi informativi, anche di terzi (valido per tutta la catena tecnologica ad eccezione degli apparati di misurazione e comunicazione); d) la rivisitazione periodica dei diritti d'accesso degli utenti (valido per tutta la catena tecnologica ad eccezione degli apparati di misurazione e comunicazione); e) l accesso ai servizi di rete esclusivamente da parte degli utenti specificamente autorizzati e le restrizioni della capacità degli utenti di connettersi alla rete (anche se tali diritti permettono di connettersi a reti e dispositivi di terze parti, la cui gestione del sistema di sicurezza ricade sulla parte terza stessa). Sono raccomandabili inoltre le seguenti misure, sulle quali peraltro sono in corso nella Banca azioni di adeguamento per gradi: la chiusura di sessioni inattive dopo un limitato periodo di tempo (valido per le postazioni di lavoro e per le connessioni ad applicazioni, come ad esempio screen saver); controlli crittografici per la protezione delle informazioni e regolamentazione della gestione delle chiavi crittografiche al fine di evitare un uso non appropriato della firma digitale. La sicurezza del sistema informatico e telematico viene garantita da parte della Società attraverso l adozione di misure selezionate in base alla tipologia dell apparato e alla catena tecnologica in esame, tra le quali: a) le misure volte a garantire e monitorare la disponibilità degli elaboratori di informazioni (valido per tutte le applicazioni sulla base delle funzionalità di sicurezza disponibili e per i database e i sistemi operativi da esse sottese); b) la protezione da software pericoloso (es. worm e virus) (valido, sotto forma di antivirus per gli ambienti Microsoft sia client che server e di patch management per gli altri sistemi e apparati di comunicazione come router, switch e per apparati firewall); c) il backup di informazioni di uso centralizzato e del software applicativo ritenuto critico (valido per le applicazioni e database da esse sottese) nonché delle informazioni salvate nelle aree condivise centralizzate; d) la previsione e la disponibilità, anche per gli utenti finali, di strumenti di protezione volti a garantire la sicurezza nello scambio di informazioni critiche per il business aziendale e di carattere confidenziale anche con terzi; e) gli strumenti per effettuare: la registrazione delle attività eseguite sulle applicazioni, sui sistemi e sulle reti che abbiano diretto impatto sulla sicurezza o relative agli accessi alle risorse informatiche e telematiche; la registrazione delle attività effettuate dagli utenti verso l esterno della rete aziendale (es. traffico http); 7

8 la protezione delle informazioni registrate (log) contro accessi non autorizzati; f) una verifica periodica/a evento dei log che registrano, per quanto rilevante ai fini della sicurezza, gli eventi, le attività degli utilizzatori e le eccezioni (valido per applicazioni e per apparati a diretto impatto sulla sicurezza perimetrale (proxy, firewall, IDS, router); g) le regole per la corretta gestione e custodia dei dispostivi di memorizzazione (ad es. PC, telefoni, chiavi USB, CD, hard disk esterni, ecc.). È raccomandabile inoltre, laddove possibile, il controllo che i cambiamenti effettuati agli elaboratori e ai sistemi (valido per le applicazioni e per apparati a diretto impatto sulla sicurezza perimetrale (proxy, firewall, IDS, router) non alterino i livelli di sicurezza; La Società: a) dispone l adozione di controlli al fine di prevenire accessi non autorizzati, danni e interferenze ai locali e ai beni in essi contenuti tramite la messa in sicurezza delle aree e delle apparecchiature con particolare attenzione ai locali dedicati ai centri di elaborazione dati gestiti direttamente; b) dispone l adozione di controlli al fine di prevenire danni e interferenze alle apparecchiature gestite direttamente che garantiscono la connettività e le comunicazioni; c) assicura l inventariazione degli asset aziendali (inclusi i database in essi contenuti) utilizzati ai fini dell operatività del sistema informatico e telematico. 8

9 Gestione di accessi, account e profili Deve essere prevista la definizione formale, individuale ed univoca, dei requisiti di autenticazione per l accesso ai dati, alle applicazioni ed alle risorse condivise. Devono essere definite apposite regole per la creazione e gestione delle password di accesso alla rete, alle applicazioni e a tutto il patrimonio informativo della Società compresi i sistemi critici o sensibili (ad esempio: lunghezza minima della password, regole di complessità, scadenza, ecc.). Devono essere individuate modalità specifiche per l assegnazione dell accesso remoto ai sistemi da parte di soggetti terzi, quali consulenti e fornitori. Gli accessi effettuati sugli applicativi dagli utenti devono essere oggetto di verifiche e, per il perimetro previsto dal garante della privacy, le applicazioni devono tener traccia delle modifiche ai dati compiute dagli utenti e devono essere attivati controlli che identificano variazioni di dati nei database nel rispetto della normativa sulla privacy. Devono essere individuate le modalità di generazione e protezione dei log delle attività sui sistemi. Deve essere previsto un sistema formale di autorizzazione e registrazione dell attribuzione, modifica e cancellazione dei profili di accesso ai sistemi, coerente con l operatività e le responsabilità assegnate. Devono essere previste procedure per l assegnazione e l utilizzo di privilegi speciali (amministratore di sistema, super user, ecc.). Devono essere eseguite verifiche periodiche dei profili utente al fine di convalidare il livello di responsabilità dei singoli con i privilegi concessi. Gestione dei sistemi hardware Deve essere prevista la compilazione e la manutenzione di un inventario aggiornato dell hardware in uso presso la Società e definite le responsabilità e le modalità operative in caso di implementazione e/o manutenzione di hardware. Gestione dei sistemi software Deve essere prevista la compilazione e manutenzione di un inventario aggiornato del software in uso presso la Società. Può essere utilizzato solo software formalmente autorizzato e certificato. A tal fine è raccomandabile, laddove possibile, l effettuazione, sui principali sistemi, di verifiche periodiche sui software installati e sulle memorie di massa dei sistemi in uso al fine di controllare la presenza di software. privi di regolare licenza, proibiti e/o potenzialmente nocivi. Per la manutenzione del software o a nuove implementazioni, deve essere prevista l esistenza di ambienti separati, isolati dagli ambienti operativi. Devono essere individuate modalità di controllo e test: 9

10 per lo sviluppo di nuovo software, qualora affidato in outsourcing, per le modifiche o gli interventi di manutenzione apportati da personale interno o da provider esterni. Gestione degli accessi fisici ai siti ove risiedono le infrastrutture IT Devono essere implementate misure di sicurezza fisica dei siti ove risiedono le infrastrutture individuando le modalità di vigilanza, la frequenza, le responsabilità, il processo di reporting delle violazioni/effrazioni dei locali tecnici o delle misure di sicurezza, le contromisure da attivare. Deve essere prevista la definizione delle credenziali fisiche di accesso ai siti ove risiedono i sistemi informativi e le infrastrutture IT quali, a titolo esemplificativo, codici di accesso, token authenticator, pin, badge, valori biometrici e la tracciabilità degli stessi. Gestione e sicurezza della documentazione in formato digitale Deve essere implementato un sistema di gestione delle chiavi a sostegno dell uso delle tecniche crittografiche per la generazione, distribuzione, revoca ed archiviazione delle chiavi. Sono raccomandabili inoltre, laddove possibili, controlli per la protezione delle chiavi da possibili modifiche, distruzioni, utilizzi non autorizzati. Deve essere regolamentato l utilizzo della firma digitale nei documenti disciplinandone responsabilità, livelli autorizzativi, regole di adozione di sistemi di certificazione, eventuale utilizzo ed invio dei documenti, modalità di archiviazione e distruzione degli stessi. Back-up Devono essere effettuate attività di back up per ogni rete di telecomunicazione, sistema hardware o applicazione software, definendo la frequenza dell attività, le modalità, il numero di copie ed il periodo di conservazione dei dati. Gestione degli incidenti Il trattamento degli incidenti e dei problemi relativi alla sicurezza informatica include: a) l adozione di canali gestionali per la comunicazione degli incidenti e problemi (relativamente a tutta la catena tecnologica); b) la registrazione, conservazione e analisi periodica degli incidenti e problemi, singoli e ricorrenti e l individuazione della root cause e delle azioni preventive (relativamente a tutta la catena tecnologica); c) la gestione dei problemi che hanno generato uno o più incidenti, fino alla loro soluzione definitiva (relativamente a tutta la catena tecnologica). La Società assicura lo svolgimento di attività di monitoraggio/verifica periodica dell efficacia e operatività del sistema di gestione della sicurezza informatica sia in ambito applicativo che in 10

11 ambito infrastrutturale, adottando le misure di verifica definite in base alle diverse categorie tecnologiche. La Società adempie alle prescrizioni del Garante per la protezione dei dati personali in tema di attribuzione delle funzioni di amministratore di sistema, con riferimento, in particolare, a quanto segue: a) la valutazione delle caratteristiche soggettive; b) le designazioni individuali; c) l elenco degli amministratori di sistema; d) i servizi in outsourcing (servizi forniti da terze parti anche interne al Gruppo); e) la verifica delle attività; f) la registrazione degli accessi. Impedimento alla modifica La Società deve assicurare che la modifica dei contenuti diffusi attraverso la rete sia consentita solo ai soggetti specificamente preposti e avvenga in conformità alle policy aziendali che regolano l attività della funzione nella quale essi operano. Esistenza di filtri La Società deve assicurare l istituzione e l operatività costante di dispositivi tecnologici che impediscono a tutti i soggetti apicali e sottoposti con la sola esclusione di quelli a ciò specificamente autorizzati per ragioni tecniche l accesso a siti internet o l utilizzo di altri strumenti che consentano lo scambio e la condivisione di contenuti tra utenti, o che presentino contenuti pedo-pornografici. Monitoraggio È raccomandabile, laddove possibile, il monitoraggio dell utilizzo di internet da parte di tutti i soggetti apicali e sottoposti sul luogo di lavoro compatibilmente con le vigenti disposizioni in materia di tutela della riservatezza dei lavoratori - compresa l immissione o acquisizione di contenuti mediante utilizzo della rete aziendale o esterna. Tale monitoraggio deve essere operato anche attraverso l adozione di dispositivi di verifica dei volumi caricati (upload) o scaricati (download) con fissazione di apposite soglie di segnalazione automatica. Devono essere monitorati i volumi di trasferimento di messaggi di posta elettronica o di file che per dimensioni o caratteristiche potrebbero contenere opere dell ingegno protette. Programmi per elaborare in formato eseguibile e codici di attivazione La Società assicura che i programmi utilizzati dai soggetti apicali e sottoposti non siano diffusi in formato eseguibile senza regolari codici di attivazione per le licenze degli stessi, con la sola esclusione dei soggetti a ciò specificamente autorizzati per ragioni tecniche. 11

12 Operatività su banche dati È raccomandabile, laddove possibile, che l estrazione, la copia, il salvataggio e la stampa su qualunque supporto d informazioni contenute in banche dati sia precluso mediante adozione di idonei dispositivi tecnologici e strumenti organizzativi a tutti i soggetti apicali e sottoposti con la sola esclusione di quelli a ciò specificamente autorizzati per ragioni tecniche. Tale previsione non risulta applicabile alle banche dati che siano prodotte e commercializzate con espressa concessione di tali facoltà in virtù della loro natura di strumenti di diffusione di determinati contenuti informativi. Servizi criptati La Società monitora che la trasmissione e diffusione di servizi criptati avvenga in conformità all accordo con il legittimo distributore. Dispositivi di decodificazione La Società cura che l acquisizione e utilizzo di dispositivi di decodificazione avvenga in conformità alle caratteristiche tecniche e modalità di impiego di detti apparati previsti da una prescrizione aziendale emanata al fine di prevenire l accesso ad un servizio criptato senza il pagamento del canone dovuto ovvero in maniera difforme dalle condizioni convenute con il fornitore del servizio. Gestione dell utilizzo dei sistemi informativi che si interconnettono o utilizzano software esterni Nell ambito della gestione del processo relativo all utilizzo di sistemi informativi che si interconnettono con sistemi esterni: Deve essere tenuto, a carico dell IT, il censimento aggiornato dei sistemi esterni, della Pubblica Amministrazione e non, cui gli utenti e le procedure informatiche interne accedono. Deve essere regolamentato l accesso ai sistemi informativi di BancApulia ed esterni. In particolare: Accesso ai sistemi solo mediante identificazione dell utente; Istruzioni agli utenti in merito alle appropriate modalità di creazione, aggiornamento e custodia della chiave di accesso personale e della password; Attribuzione al singolo utente/amministratore delle sole credenziali di accesso a sistemi interni ed esterni e dei soli profili autorizzativi necessari allo svolgimento del proprio lavoro; Censimento per ciascun sistema degli amministratori e degli utenti che sono autorizzati ad accedere e dei relativi profili di autorizzazione. Monitoraggio dell utilizzo dei sistemi informativi attraverso sistemi per la registrazione degli accessi logici. Corretto uso delle risorse IT e dell accesso ad Internet; 12

13 Filtri che blocchino l accesso a siti dal contenuto illecito (ad esempio siti dal contenuto pedopornografico) o che abilitino il solo accesso a determinati siti dal contenuto lecito; responsabilizzazione del singolo utente al corretto utilizzo e all appropriata conservazione delle risorse informatiche assegnate, che devono essere utilizzate esclusivamente per l espletamento della propria attività e assoluto divieto di connettersi e/o scaricare dati a/da siti web che siano da considerarsi illeciti (ad esempio, siti che promuovano o appoggino movimenti terroristici o sovversivi o che effettuino attività di pirateria informatica, di pedopornografia ovvero che violino le norme dettate in materia di copyright e di proprietà intellettuale); procedure per il ripristino delle attività operative del Sistema Informativo a causa di eventi accidentali che ne impediscano il corretto funzionamento. È raccomandabile inoltre, laddove possibile, il divieto di modifica delle configurazioni standard di software e hardware aziendale. Le norme di comportamento stabilite nelle regolamentazioni interne per l utilizzo dei sistemi informativi di BancApulia devono essere applicate dal personale di BancApulia anche quando accede a sistemi informativi esterni o opera sui sistemi informativi dei clienti. Deve essere tenuto il censimento aggiornato dei sistemi esterni, della Pubblica Amministrazione e non, cui gli utenti e le procedure informatiche interne accedono. Prevenzione reati diritto d autore La Società assicura che la modifica dei contenuti diffusi attraverso la rete sia consentita solo ai soggetti specificamente preposti e avvenga in conformità alle policy aziendali che regolano l attività della funzione nella quale essi operano. La Società assicura l istituzione e l operatività costante di dispositivi tecnologici che impediscono a tutti i soggetti apicali e sottoposti con la sola esclusione di quelli a ciò specificamente autorizzati per ragioni tecniche l accesso a siti internet o l utilizzo di altri strumenti che consentano lo scambio e la condivisione di contenuti tra utenti. La Società assicura che i programmi per elaboratore utilizzati dai soggetti apicali e sottoposti non siano diffusi in formato eseguibile e che non siano distribuiti agli utilizzatori di detti programmi i codici di attivazione per le licenze degli stessi, con la sola esclusione dei soggetti a ciò specificamente autorizzati per ragioni tecniche. Tale previsione non risulta applicabile alle banche dati che siano prodotte e commercializzate con espressa concessione di tali facoltà in virtù della loro natura di strumenti di diffusione di determinati contenuti informativi. I presidi di controllo relativi al controllo degli accessi, gestione delle comunicazioni e dell operatività, sicurezza nell acquisizione, sviluppo e manutenzione del sistema informatico (o della componente informatica presente nel servizio) e/o delle componenti tecniche connesse con il sistema previsti nell ambito della prevenzione dei delitti informatici di cui al relativo capitolo di 13

14 Parte Speciale del Modello sono applicati dalla Società anche ai fini della prevenzione dei reati di cui al presente capitolo. La Società monitora che la ritrasmissione e diffusione di servizi criptati avvenga in conformità all accordo con il legittimo distributore. La Società cura che l acquisizione e utilizzo di dispositivi di decodificazione avvenga in conformità alle caratteristiche tecniche e modalità di impiego di detti apparati previsti da una prescrizione aziendale emanata al fine di prevenire l accesso ad un servizio criptato senza il pagamento del canone dovuto ovvero in maniera difforme dalle condizioni convenute con il fornitore del servizio. Trattamento dati relativi alla P.A. Sono assolutamente vietate le pratiche finalizzate a comunicare informazioni false, errate o comunque manipolate, anche in forma elettronica, mediante l alterazione di dati o programmi informatici, allo scopo di inficiare il processo decisorio e/o di valutazione della Pubblica Amministrazione, procurando così vantaggi non dovuti alla Società e danni ingiusti allo Stato, agli altri enti pubblici, all Unione Europea (sul punto si veda nel dettaglio il Protocollo Relazioni Esterne, Rapporti con la Pubblica Amministrazione). L utilizzo di sistemi informativi aziendali per espletare gli adempimenti verso gli Enti della Pubblica Amministrazione, che prevedano il ricorso a software forniti dagli enti pubblici ovvero la connessione diretta con gli stessi, deve avvenire assicurando protocolli di sicurezza fisica e di sicurezza informatica, secondo gli standard e le best practice in uso sul mercato e nel sistema. Con riguardo alla prevenzione dai reati commessi tramite l utilizzo di procedure e sistemi informatici, avute presenti le soluzioni offerte dalle più avanzate tecnologie acquisite nel settore, anche per il tramite dell outsourcer informatico SEC di Padova, sono adottate password personali che limitano l accesso al sistema a determinate fasi dell operazione e che, nello stesso tempo, consentano l identificazione del soggetto cui l operazione, o una sua fase rilevante, può essere imputata. Sono previsti strumenti di registrazione e controllo, giornalieri o comunque periodici, delle operazioni compiute per il tramite di sistemi elettronici, in modo da poter avere sempre riscontro della correttezza delle procedure seguite e della coerenza interna delle diverse fasi operative del processo aziendale con la Pubblica Amministrazione. Viene introdotta la previsione di predisporre reports, sottoscritti dagli incaricati intervenuti per la Società, relativamente ad incontri di affari con soggetti in rappresentanza della Pubblica Amministrazione, delle Comunità Europee o degli Stati esteri. Il funzionario o dirigente che ha condotto le trattative con la Pubblica Amministrazione non può concorrere al processo di formazione delle decisioni né partecipare all iter deliberativo dell Organo decisorio competente in materia. É prevista la definizione dei ruoli e delle responsabilità nonché la formalizzazione di deleghe interne, da conservare agli atti, per i soggetti che partecipano o intervengono al processo di istruttoria delle domande di ammissione ai contributi pubblici e nella gestione dei rapporti precontrattuali con gli Enti della Pubblica Amministrazione. 14

15 Le azioni commerciali verso la Pubblica Amministrazione sono svolte da strutture separate da quelle che gestiscono l erogazione di servizi o prodotti contrattualizzati, con affidamento della fase di perfezionamento dell accordo al Responsabile della struttura competente in base all oggetto del contratto o a soggetti appositamente abilitati. Per l attività di sviluppo commerciale e di individuazione di opportunità di business con la Pubblica Amministrazione, i sistemi premianti e incentivanti devono risultare coerenti con i principi e le regole contenute nel Protocollo e nel Codice etico e di comportamento, anche prevedendo meccanismi correttivi in caso di eventuali comportamenti devianti. Devono infine essere previste disposizioni interne che impongono, sul posto di lavoro, il corretto utilizzo degli strumenti informatici e di telefonia fissa e mobile a uso aziendale, con divieti di accesso e/o ricezione di materiale pedopornografico, di connessione con siti internet e con chat line illegali o di dubbia finalità rilevanti rispetto ai reati presupposto. 15