Travelex Data Protection & Privacy and Information Security Guidelines

Transcript

1 Nel corso del rapporto di lavoro con la Travelex, potrai venire in contatto con informazioni relative ai nostri clienti, partner e dipendenti. Il livello e la sensibilità delle informazioni varieranno a secondo del tuo ruolo. In ogni paese in cui Travelex opera, è in vigore ha una qualche forma di protezione dei dati o legge sulla Privacy. La complessità e le esigenze di queste leggi variano da paese a paese alcune sono molto severe e altre meno. Al fine di rendere più facile il rispetto di questi requisiti a livello globale, Travelex ha messo a punto una serie di politiche e norme che verranno applicate su tutte le informazioni personali processate. Ci saranno, naturalmente, alcune eccezioni che verranno gestite tramite delle Exception Standards, a seconda delle esigenze applicabili ad un determinato paese. Riceverai un appropriato training sulla protezione dei dati personali adatto al tuo ruolo. Di seguito alcune regole iniziali da tenere in considerazione: Cosa si intende per dati personali? Per dato personale si intende un qualsiasi dato in grado di identificare un individuo, oppure un dato che, aggiunto ad un altro, farà sì che un individuo venga identificato. Ciò include i file audio, CCTV (televisione a circuito chiuso), il database dei clienti, i documenti cartacei e i file personali. I dati personali, sono anche conosciuti come informazioni personali. Chi è Responsabile della protezione dei dati personali e della normativa privacy? Travelex, in quanto Titolare del trattamento, ha l obbligo giuridico di rispettare le leggi in materia di protezione dei dati personali. Questo obbligo giuridico si estende anche a coloro che entrano in contatto con i dati personali durante lo svolgimento del proprio lavoro. Cosa si intende per Protezione dei dati e Privacy? La maggior parte delle leggi definisce dei principi sulla base di quali le informazioni personali devono essere trattate. Il Trattamento include la raccolta, l uso, la conservazione, la divulgazione e la distruzione dei dati personali. 20 February 2013 Page 1

2 Quali sono i principi di Travelex? I dati personali devono essere: Trattati in modo lecito e onesto In conformità agli avvisi sulla Privacy, ai contratti di lavoro o termini e condizioni. Adeguati, pertinenti e non eccessivi Raccolti solo le finalità funzionali al servizio richiesto dal cliente o per facilitare le assunzioni. Accurati e aggiornati all occorrenza Dobbiamo assicurarci che le informazioni vengano raccolte in modo accurato e mantenute tali Utilizzati solo per lo scopo per il quale sono stati originariamente raccolti.. Non possiamo raccogliere informazioni personali per processare una transazione per poi utilizzarle per altri scopi, a meno che il cliente o il dipendente non abbiano espresso il proprio consenso. Conservati per il solo tempo necessario Le informazioni devono essere conservate per motivi di lavoro ed in linea con i requisiti di conservazione previsti dalla legge. Mantenuti in un luogo sicuro Le informazioni dovrebbero essere accessibili solo a coloro che ne hanno bisogno. I dati devono essere protetti quando vengono trasferiti, sia che vengano trasferiti dai clienti ai dipendenti, sia ai fornitori. Gestiti nel rispetto dei diritti dell individuo Ad esempio: i clienti hanno il diritto di accedere ai dati tenuti dalla Travelex in modo da poter correggere o modificare i dati precedentemente comunicati. Trasferiti solo alle persone autorizzate a riceverli Ad esempio: ai nostri fornitori che elaborano gli ordini o agli altri colleghi della Travelex che, per poter svolgere il loro lavoro, devono accedere a tali dati. In Europa, la normativa in materia di trasferimento dei dati verso gli altri Paesi è molto rigorosa. Qual è la tua Responsabilità come dipendente? Puoi raccogliere, usare o trattare i dati personali durante il corso della tua attività lavorativa, in conformità alle procedure e politiche emanate dal tuo reparto. Le informazioni personali devono essere utilizzate solo per lo svolgimento del tuo lavoro. Non devono essere trasferite a persone che non hanno il bisogno di riceverle. Inoltre, le informazioni ottenute dai clienti non devono essere oggetto di discussione nei luoghi pubblici come le mense o i luoghi di ristoro. Le richieste di informazioni da parte di terzi es: Forze di Polizia, Autorità, Guardia di Finanza, parenti o clienti etc. devono essere indirizzate all ufficio Compliance o al Responsabile del trattamento dei dati personali. I dipendenti che hanno, in modo intenzionale o per negligenza, causato una violazione delle norme sulla protezione dei dati personali, potranno essere soggetti a sanzioni disciplinari da parte della Travelex. 20 February 2013 Page 2

3 Semplice regole da seguire: Assicurati che tutti i dati personali registrati su carta vengano archiviati in un luogo sicuro e tenuti sotto chiave quando non servono. Non lasciare incustodite le informazioni riservate sulla tua scrivania, sui mobili, nelle stampanti/fax, o sui banconi degli uffici visibili a terzi. Accertati di usare lo screen saver sul tuo PC e di proteggerlo con una password (Alt+Ctrl+Delete e Enter) quando ti allontani dalla scrivania. Esiste uno screen saver automatico che blocca il tuo computer dopo 15 minuti di inattività, anche se non dovresti far affidamento a questo metodo per mantenere i dati in sicurezza. Smaltisci le informazioni riservate in modo sicuro es: utilizzando l apposito distruggi documenti o gettando la carta in un cestino riservato. Non prendere appunti inappropriati sul sistema. Tutte le informazioni devono essere accurate e reali. Non dovrai mai discutere dei dettagli di un cliente o di un dipendente con chi non ha bisogno di ricevere queste informazioni. Incluso un collega o un famigliare/amico. Utilizza solo le informazioni dei clienti o dei dipendenti per scopi pertinenti al tuo lavoro. Le informazioni personali non devono mai essere rimosse dal luogo di lavoro senza il permesso di un tuo superiore. Carta di Credito I dati presenti sulle carte di credito, sono soggetti ad altri tipi di requisiti noti come PCI DSS (Payment Card Industry Data Security Standard). Si tratta di una serie di norme molto severe volte a proteggere i dati del titolare della carta e a prevenire, pertanto, l uso fraudolento degli stessi. Travelex deve aderire a questi standard al fine di non incorrere nelle sanzioni previste contrattualmente dai gestori delle carte, come la Visa e la Mastercard. Nel corso della nostra attività, raccogliamo informazioni dai nostri clienti al fine di effettuare per loro conto pagamenti in valuta estera e travellers cheques, ma anche dati relativi alle carte prepagate in valuta. Le 15 o 16 cifre presenti sulla carta di credito (stampate in lettere maiuscole sul fronte della carta) sono note come PAN (Primary Account Number). La politica della Travelex prevede che il PAN venga utilizzato esclusivamente per processare i pagamenti, ma che non venga MAI archiviato, trasmesso o divulgato. Ciò include la trascrizione del dato PAN su qualsiasi documento o la registrazione dello stesso. Inoltre, al fine di processare un pagamento, potremmo avere la necessità di raccogliere la data di scadenza e le 3 cifre di sicurezza (CVV codice di sicurezza del cliente). Questi dati sono noti come dati sensibili di autentificazione (SAD). Travelex non manterrà MAI il codice SAD nei propri sistemi, archivi o documenti. Riceverai informazioni aggiuntive specifiche per il tuo ruolo in merito al rispetto di tali norme. 20 February 2013 Page 3

4 Informazioni sulla sicurezza Oltre alle informazioni personali, potrai entrare in contatto con informazioni aziendali della Travelex (note anche come proprietà intellettuali). Queste informazioni sono riservate e non devono essere condivise al di fuori della Travelex o tra i dipendenti che non hanno la necessità di venirne a conoscenza per poter svolgere il proprio lavoro. La sicurezza della rete Travelex è assicurata da molteplici protezioni mirate alla confidenzialità e all integrità delle informazioni raccolte; tali informazioni sono disponibili solo quando necessario. Queste protezioni si estendono a: Scansione degli allegati di posta elettronica e gli URL in modo da garantire che i malware (come virus, Trojan etc ) non entrino in rete. Scansione delle mail in uscita dalla rete Travelex in modo da garantire che i numeri delle carte di credito non siano inclusi nei testi delle mail o negli allegati. Al fine di rinforzare la politica sull utilizzo del servizio internet, la Travelex registrerà i dati utilizzati durante la navigazione. Non dovrai cercare, recuperare, visualizzare, scaricare o diffondere qualsiasi informazione o grafica che risulterà indecente, illegale, o che potrebbe danneggiare gruppi di persone o di individui. Travelex ha attivato un sistema di filtri per impedire l accesso a determinati siti. Queste protezioni si estendono a (seguito) I controlli sui sistemi e sulle applicazioni implementati in modo tale da monitorare gli accessi e le modifiche che vengono effettuate alle informazioni. Il controllo degli accessi dovuti al ruolo il permesso verrà accordato solo ai dipendenti che per il loro lavoro hanno bisogno dell accesso ai dati I piani di continuità manageriale ampliati in modo da assicurare che la Travelex, in caso di calamità naturale o di altri disastri, possa continuare a svolgere la propria attività; servire i propri clienti e proteggere i propri dipendenti. Nell eventualità di un incidente, ti verranno fornite specifiche informazioni in merito al tuo ruolo l uso delle telecamere a circuito chiuso, per prevenire e rilevare reati e per aiutare la persecuzione dei trasgressori. Il livello di utilizzo delle telecamere può variare a seconda del Paese e dell ambiente. Ad esempio, la copertura delle telecamere è molto più ampia negli uffici in cui vengono custoditi i valori, a differenza di un normale ufficio di lavoro. Controllo degli accessi potresti ricevere una scheda di accesso che ti consentirà di accedere a determinati uffici e sedi, in linea con il tuo ruolo. 20 February 2013 Page 4

5 Informazioni sulle regole di sicurezza da seguire: Non rivelare la tua password a nessuno, anche se ti viene richiesto. L unica eccezione a questa regola potrebbe avere luogo quando l IT help desk necessita di accedere al tuo computer per risolvere un problema o per eseguire un installazione. In questo caso, potrai fornire la password, ma la dovrai cambiare subito dopo. Non scrivere la password da nessuna parte. Prova ad impostare una password facile da ricordare, ma difficile per chiunque altro da indovinare. Evita i nomi visto che sono facili da craccare. Blocca sempre la tua postazione di lavoro quando la lasci. Ogni utente sarà responsabile dell attività svolta con i propri nome utente e password. Se ritieni che la tua password sia stata compromessa, cambiala immediatamente ed informa il tuo superiore o l IT help desk. Non installare giochi o altri dati sul tuo portatile/pc. Incluso Itunes e altre applicazioni che non sono state autorizzate dalla Travelex. Se hai dei dubbi chiama il servizio IT Segnala immediatamente al dipartimento IT la perdita della carta di accesso, computer portatile, telefono o qualsiasi altro apparecchio Travelex. Ciò consentirà a loro di distruggere i dati in esso contenuti evitando che gli stessi vengano compromessi. Assicurati che ogni visitatore sia scortato durante tutta la sua permanenza presso i locali della Travelex. Non permettere l entrata di nessun visitatore nei locali della Travelex senza aver prima verificato le sue credenziali ed il motivo della visita. I dipendenti che intenzionalmente o per negligenza causeranno dei danni (o danni potenziali) al network della Travelex attraverso la mancata applicazione delle politiche aziendali, potranno essere soggetti a sanzioni disciplinari. 20 February 2013 Page 5