BOZZA. Regolamento per l utilizzo. dei servizi informatici aziendali. Data di applicazione

Transcript

1 Regolamento per l utilizzo dei servizi informatici aziendali Data di applicazione Redazione: U.O. Progettazione e Gestione dei Servizi Informatici e di Rete BOZZA 31/12/2011

2 Sommario 1. OGGETTO E CAMPO DI APPLICAZIONE RESPONSABILITA DEFINIZIONI DOCUMENTO DI RIFERIMENTO... Errore. Il segnalibro non è definito. 5. CONTENUTO INCARICO AL TRATTAMENTO DEI DATI PERSONALI IDENTIFICAZIONE DELL UTENTE CONFIGURAZIONI HARDWARE E SOFTWARE MODALITA DI PRESTAZIONE DEI SERVIZI BACKUP E ARCHIVIAZIONE PUBBLICAZIONE DI CONTENUTI E REALIZZAZIONE DI SITI PERSONALI CONNESSIONE A PROVIDER DIVERSI DA QUELLO AZIENDALE ACCESSO ALLA RETE VIA VPN O SISTEMI DI TUNNELING SERVIZIO DI POSTA ELETTRONICA ACCESSO ALLA RETE DA POSTAZIONI INTERNE CESSAZIONE DELLA DISPONIBILIT DEI SERVIZI INFORMATICI AZIENDALI DISMISSIONE ATTREZZATURE INFORMATICHE INFORMATIVA Finalita e modalita del trattamento: Comunicazione e diffusione Titolarità Diritti dell utente interessato DOCUMENTI COLLEGATI Alcuni esempi di applicazione del regolamento MODULISTICA Allegato Allegato Allegato Allegato Allegato

3 1. Premesse L'utilizzo delle risorse informatiche e telematiche aziendali, in applicazione di quanto disposto dagli artt e 2105 c.c., deve avvenire nell ambito del generale contesto di diligenza, fedeltà e correttezza che caratterizza il rapporto lavorativo fra l AUSL di Ravenna e i propri dipendenti e adottando tutte le cautele e le precauzioni necessarie per evitare le possibili conseguenze dannose alle quali un utilizzo non avveduto di tali strumenti può produrre, anche in considerazione della difficoltà di tracciare una netta linea di confine tra l attività lavorativa e la sfera personale e la vita privata del lavoratore e di terzi che interagiscono con quest ultimo. In tale contesto, il Garante ha emanato la Deliberazione n. 13 del 1 marzo 2007 Lavoro: le linee guida del Garante per posta elettronica e internet con la quale ha inteso prescrivere ai datori di lavoro alcune misure per conformare alle disposizioni vigenti il trattamento di dati personali effettuato per verificare il corretto utilizzo, nello svolgimento del rapporto di lavoro, della posta elettronica e della rete internet. Nel presente regolamento si tiene inoltre conto della direttiva 02 del 2009 del Dipartimento Funzione Pubblica della Presidenza del Consiglio dei Ministri. La progressiva diffusione delle nuove tecnologie informatiche, le maggiori possibilità di interconnessione tra computer e l aumento di informazioni trattate con strumenti elettronici aumentano infatti i rischi legati alla sicurezza e all integrità delle informazioni oltre alle conseguenti responsabilità previste dalla normativa vigente in materia. Il presente Regolamento è adottato al fine di richiamare le indicazioni e le misure necessarie e opportune per il corretto utilizzo nel rapporto di lavoro dei personal computer (fissi e portatili), dei dispositivi elettronici aziendali in generale, della posta elettronica e di internet, definendone le modalità di utilizzo nell ambito dell attività lavorativa e dando la massima diffusione alla cultura sulla sicurezza informatica. Le disposizioni e le prescrizioni qui indicate vanno affiancate e integrano quelle già previste nel Documento Programmatico sulla Sicurezza (DPS). In particolare, l utilizzo delle risorse e dei servizi informatici deve avvenire: - nel rispetto delle leggi e norme vigenti e in particolare delle leggi in materia di sicurezza, privacy, copyright, accesso e uso dei sistemi informatici e telematici; - nel rispetto dei diritti alla riservatezza e alla dignità come sanciti dallo Statuto dei lavoratori e dal Codice sulla privacy, al fine di garantire la massima efficienza delle risorse informatiche e del loro utilizzo; - nel rispetto delle norme e procedure lavorative generali definite dall AUSL di Ravenna - nel rispetto dei diritti degli altri utenti e di terzi. L AUSL deve provvedere a garantire un servizio continuativo, nel suo stesso interesse, e assicurare la riservatezza delle informazioni e dei dati, in maniera tale da evitare che comportamenti inconsapevoli possano innescare problemi o minacce alla sicurezza nel trattamento dei dati o diminuire l efficienza delle risorse informatiche. L Azienda USL di Ravenna riconosce il valore fondamentale dell utilizzo di strumenti di comunicazione sia nella comunicazione interna che con l utenza esterna, anche al fine di ridurre i tempi di risposta e di migliorare pertanto l efficienza del proprio operato. 1. OGGETTO E CAMPO DI APPLICAZIONE Questo regolamento ha per oggetto le norme per l accesso e l utilizzo dei seguenti servizi: 1) posta elettronica 2) rete Internet 3) Procedure e sistemi informativi aziendali 4) Attrezzature hardware aziendali di seguito indicati nel loro complesso come servizi informatici aziendali Questo regolamento è rivolto ai dipendenti dell Azienda U.S.L. di Ravenna ed ai collaboratori esterni espressamente autorizzati a compiere operazioni di trattamento per conto dell Azienda in virtù di qualsiasi tipologia di rapporto. 3

4 Il presente Regolamento contiene le disposizioni relative alle corrette modalità di utilizzo della rete informatica dell AUSL e di tutte le risorse informatiche, in conformità e nel rispetto di quanto previsto dalla specifica normativa di settore e dalle ulteriori disposizioni emanate dall AUSL. Gli strumenti informatici oggetto del presente Regolamento sono tutti i servizi e gli apparati di proprietà dell AUSL messi a disposizione degli Utenti al fine di permettere il quotidiano svolgimento delle proprie prestazioni lavorative. Essi sono essenzialmente individuabili nei computer, negli apparati removibili, nei sistemi di identificazione e di autenticazione informatica, Internet e negli strumenti di scambio di comunicazioni e file, nella posta elettronica e in qualsiasi altro programma e apparecchiatura informatica destinata a memorizzare o a trasmettere dati e informazioni. E responsabilità di tutti i soggetti che utilizzano gli strumenti informatici messi a disposizione, di applicare e rispettare puntualmente le disposizioni del presente Regolamento. Ferme restando le disposizioni normative in materia, e tutte le prescrizioni previste per il trattamento dei dati sensibili o giudiziari, il contenuto del presente Regolamento costituisce disposizione di servizio e deve considerarsi integrativo di quanto previsto dal Documento Programmatico sulla Sicurezza (DPS). Il presente Regolamento si applica a tutto il personale dipendente dell AUSL, senza distinzione di ruolo e/o livello, nonché a tutti i collaboratori a prescindere dal rapporto contrattuale con la stessa intrattenuto (collaboratori a progetto, stagisti e borsisti, liberi professionisti, collaboratori terzi, ecc.). Per qualsiasi dubbio relativo all applicazione pratica o all interpretazione autentica delle disposizione contenute nel presente Regolamento, è possibile rivolgersi al personale della u.o. Progettazione e gestione servizi informatici e di rete. 2. RESPONSABILITA Questo regolamento è redatto dalla U.O. Progettazione e Gestione dei Servizi Informatici e di Rete (da ora Sistema Informativo) ed è approvato con atto specifico dalla Direzione Generale, che ne è responsabile. Il documento, così come ogni sua modifica, è condiviso con la U.O. Affari Generali per gli aspetti di competenza e in ragione della attribuzione delle funzioni connesse all applicazione della normativa di riferimento in ambito aziendale. Il presente Regolamento entra in vigore alla data della sua approvazione, che avviene mediante Decreto del Direttore Generale, e sarà pubblicato sulla Intranet aziendale fornendo apposita comunicazione a tutto il personale. Il Regolamento potrà essere soggetto a revisione sulla base dell evoluzione normativa e tecnologica nonché sulla base delle nuove esigenze di sicurezza e di azioni correttive che si dovranno eventualmente intraprendere. Le eventuali revisioni apportate verranno approvate mediante Decreto del Direttore Generale e di tali revisioni sarà data tempestiva comunicazione ai dipendenti. 3. DEFINIZIONI Ai sensi del D.Lgs.196/03 e del Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 intitolato misure e accorgimenti prescritti ai Titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema, si intende per: "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati; 4

5 trattamento informatico, trattamento effettuato con l ausilio di strumenti elettronici; dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; "dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato; "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale; "dati giudiziari", i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.p.r. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale; "titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza; "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali; in riferimento al trattamento dei dati con strumenti elettronici particolare rilevanza assume il responsabile del trattamento dei dati informatici e telematici, di cui al punto successivo; responsabile del trattamento dati informatici e telematici ( denominato D.I.T.), per le sue specifiche competenze è identificato nel Responsabile della Struttura Semplice Informatica e Innovazione Tecnologica. Le competenze del Responsabile di cui sopra riguardano l attività di controllo e gestione degli impianti di elaborazione o di sue componenti, di basi di dati, di reti, di apparati di sicurezza e di sistemi di software complessi (nella misura in cui consentono di intervenire su dati), l individuazione e attuazione di tutte le procedure fisiche, logiche e organizzative per tutelare la sicurezza e la riservatezza nel trattamento dei dati informatici. Il Responsabile del trattamento dati informatici e telematici designa, per iscritto, gli amministratori di sistema, previa individuazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. "incaricati", le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile; amministratore di sistema, la persona fisica dedicata alla gestione e alla manutenzione di impianti di elaborazione o di sue componenti e tutte le figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati personali, quali gli amministratori di basi di dati, di reti informatiche, di apparati di sicurezza e di sistemi di software complessi, nella misura in cui consentano di intervenire sui dati personali; soggetti che, pur non essendo preposti ordinariamente a operazioni implicanti una comprensione del dominio applicativo (significato dei dati, formato delle rappresentazioni e semantica delle funzioni), possono, nelle loro consuete attività, essere concretamente responsabili di specifiche fasi lavorative comportanti elevate criticità rispetto alla protezione dei dati personali; Vanno considerati a tutti gli effetti alla stregua di trattamenti di dati personali il salvataggio dei dati (backup/recovery), l organizzazione dei flussi di rete, la gestione dei supporti di 5

6 memorizzazione e la manutenzione hardware, anche quando non consultati in chiaro dall amministratore. "interessato", la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali; utente, soggetto che accede e utilizza i servizi e gli strumenti del sistema informatico dell Agenzia; "comunicazione", il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal Responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; "dato anonimo", il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile; "banca di dati", qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti; "comunicazione elettronica", ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico. Sono escluse le informazioni trasmesse al pubblico tramite una rete di comunicazione elettronica, come parte di un servizio di radiodiffusione, salvo che le stesse informazioni siano collegate ad un abbonato o utente ricevente, identificato o identificabile; "reti di comunicazione elettronica", i sistemi di trasmissione, le apparecchiature di commutazione o di instradamento e altre risorse che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, incluse le reti satellitari, le reti terrestri mobili e fisse a commutazione di circuito e a commutazione di pacchetto, compresa Internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui sono utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato; "rete pubblica di comunicazioni", una rete di comunicazioni elettroniche utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico; "misure minime", il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31; risorse informatiche : i server; le wokstation, i personal computer, i notebook e qualsiasi altra tipologia di elaboratore elettronico; le stampanti, i plotter, i fotocopiatori; tutti gli strumenti informatici interconnessi con la rete; gli apparati i rete; tutto il software e i dati acquisiti o prodotti da parte degli utenti o di terzi autorizzati; file di qualsiasi natura, archivi di dati anche non strutturati e applicazioni informatiche. servizi informatici aziendali, posta elettronica, rete Internet, sistemi informativi aziendali e computer aziendali; "credenziali di autenticazione", i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l' autenticazione informatica; 6

7 "parola chiave (password)", componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica; "firma digitale", un particolare tipo di firma elettronica qualificata, basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro. 4. CONTENUTO 4.1. INCARICO AL TRATTAMENTO DEI DATI PERSONALI I servizi informatici aziendali sono strumenti di lavoro forniti dall Azienda. Ai fini dell applicazione del presente regolamento, per utenti si intendono i dipendenti dell Azienda ed i collaboratori esterni autorizzati i quali, in qualità di incaricati del trattamento dei dati personali, devono attenersi alle istruzioni impartite con l atto di designazione a incaricato del trattamento. Per quanto concerne l utilizzo dei servizi informatici aziendali, gli utenti devono inoltre attenersi alle istruzioni di seguito specificate. I dati possono essere trattati limitatamente alle operazioni indispensabili per l esercizio delle funzioni degli utenti. Per accedere ai servizi informatici aziendali il nuovo utente dovrà fornire i propri dati personali, prendere visione del presente regolamento e compilare il modulo (Allegato 1) Richiesta di abilitazione alle procedure aziendali IDENTIFICAZIONE DELL UTENTE L utilizzo dei servizi informatici aziendali richiede, da parte di tutti gli utenti, le credenziali di autenticazione, che consentono il superamento di una procedura di autenticazione relativa a uno specifico servizio informatico o a un insieme di servizi. I dipendenti hanno in automatico, salvo diversa disposizione del responsabile, la creazione del loro utente di dominio che gli permette, tramite l inserimento di una password (la password scade ogni 90 giorni e deve essere lunga almeno 8 caratteri alfanumerici), di autentificarsi sui computer aziendali e di avere accesso a internet e alla posta elettronica. Il personale che non essendo assunto non ha l attribuzione di una matricola aziendale (volontari, stagisti, ecc ) per avere accesso al dominio aziendale tramite una userid dovrà compilare il modulo Richiesta di abilitazione al Dominio Aziendale (Allegato 2) firmato dal Responsabile della struttura organizzativa a cui l utente appartiene. Il Direttore della Unità Operativa Amministrazione del personale attiva d ufficio la procedura per la richiesta di abilitazione dei neoassunti al sistema di consultazione del cartellino marcatempo e dei dati stipendiali. Le credenziali di autenticazione consistono in un codice di identificazione personale (userid) ed una parola chiave segreta (password) oppure in un dispositivo di firma digitale in possesso e uso esclusivo dell utente, associato a una parola chiave segreta (PIN). Sia nel caso di disattivazione delle credenziali di autenticazione che nel caso in cui l utente si dimentichi la propria password, per riottenere l accesso ai servizi l utente dovrà compilare nuovamente il modulo Richiesta di abilitazione appropriato (Allegato 1 o Allegato 2) e consegnarlo al Sistema Informativo firmato dal Responsabile della struttura organizzativa a cui l utente appartiene. La password non potrà essere ceduta a terzi, neppure temporaneamente e dovrà essere mantenuta segreta. Qualsiasi azione svolta sotto l autorizzazione offerta dalle credenziali di autenticazione sarà attribuita in termini di responsabilità all utente titolare di tali credenziali, salvo che l utente dia prova di illecito utilizzo della sua autorizzazione da parte di terzi. Non è possibile utilizzare codici di accesso anonimi nelle applicazioni, salvo casi eccezionali dovuti a problemi tecnico/amministrativi, valutati e autorizzati dal Sistema Informativo L utente deve conservare la password con la massima riservatezza e con la massima diligenza. La password deve essere composta da almeno otto caratteri, non deve essere 7

8 banale né contenere riferimenti facilmente riconducibili all utente. E modificata da quest ultimo al primo utilizzo e successivamente almeno ogni tre mesi. L utente non deve lasciare incustodita o facilmente accessibile la postazione di lavoro, una volta collegata al sistema, e deve disattivare la connessione qualora si debba allontanare dalla postazione di lavoro. Non deve rendere facilmente accessibili informazioni concernenti la sua password. Dopo sei mesi di non utilizzo dei servizi, o nel caso in cui l utente perda la qualità che gli consentiva di accedere ai servizi informatici aziendali, le credenziali di autenticazione vengono disattivate. In quest ultimo caso, i messaggi di posta elettronica in giacenza vengono eliminati. L utente si impegna a comunicare immediatamente al Sistema Informativo l eventuale furto, smarrimento, perdita ovvero appropriazione a qualsivoglia titolo da parte di terzi della password o del dispositivo di firma digitale. Nel caso di prolungata assenza dell utente e in caso di urgenza, qualora si renda necessario accedere alla posta elettronica o alla postazione di lavoro con le credenziali dell utente, a giudizio del responsabile dell unità operativa, quest ultimo chiederà l abilitazione in modo esplicito e formale al Sistema Informativo. Al proprio rientro in servizio l'utente potrà richiedere al Sistema Informativo di ottenere copia della richiesta di abilitazione formulata dal proprio responsabile ed il relativo periodo di utilizzo CONFIGURAZIONI HARDWARE E SOFTWARE Le stazioni di lavoro utente (PC) vengono predisposte e configurate per il corretto uso dei servizi informatici aziendali dal Sistema Informativo L utente si impegna a mantenere la corretta configurazione della stazione di lavoro che utilizza. Un inventario dell'hardware e del software presenti sui personal computer è eseguito in modo automatico all accensione di ogni singola stazione. L elenco dei prodotti hardware e software rilevati è disponibile presso il Sistema Informativo. Il Sistema Informativo quando possibile esegue aggiornamenti e installazioni di software sulle stazioni di lavoro tramite la rete aziendale. Nel caso in cui sia necessario installare programmi informatici anche gratuiti, oppure scaricarli dalla rete, l utente dovrà formulare una richiesta al Sistema Informativo che provvederà a valutarne la conformità agli standard aziendali ed eventualmente a consegnarli al richiedente. Nel caso venissero trovati software non forniti o autorizzati dal Sistema Informativo, questi verranno cancellati e segnalati al dirigente di riferimento. E vietato connettere qualunque dispositivo (personal computer, portatili, stampanti ecc..) alla rete aziendale se non fornito o comunque autorizzato dal Sistema Informativo. Nel caso venissero trovate attrezzature non fornite o autorizzate dal Sistema Informativo, queste verranno scollegate e segnalate alla Direzione Generale. I documenti elaborati tramite strumenti di office automation che contengono dati personali devono essere ospitati sui server centrali e resi fruibili agli utenti tramite meccanismi di condivisione. Per tale fine è stato predisposto un sistema informatico (DFS) che mette spazio server a disposizione di ogni singolo utente. In generale è vietata la condivisione diretta fra PC di cartelle che contengono dati personali. Solo in situazioni di particolari problematiche tecniche, dopo una richiesta scritta, su autorizzazione del Sistema Informativo, potranno essere attivate condivisioni fra PC MODALITA DI PRESTAZIONE DEI SERVIZI L Azienda si impegna a fornire continuità ai servizi informatici, riservandosi la possibilità d interromperli per le manutenzioni ordinarie. Qualora possibile le interruzioni saranno comunicate agli utenti. La manutenzione alle stazioni di lavoro viene effettuata mediante sistemi software di manutenzione remota, per mezzo dei quali i tecnici di manutenzione possono prendere via rete il controllo del personal computer ed operare come se fossero in loco. 8

9 Solo nel caso di mancata soluzione del problema in modalità remota, viene effettuato un intervento in loco. L'utente può verificare l'attività effettuata da remoto dal tecnico rimanendo presso la postazione; inoltre, il tecnico, su richiesta, può lasciare visibile sul desktop del personal computer un messaggio con identificativo del tecnico stesso. Gli interventi sono eseguiti da personale identificato ed autorizzato dal Sistema Informativo. Per migliorare la qualità o la sicurezza dei servizi e dei sistemi informatici attualmente predisposti, l Azienda valuterà con attenzione eventuali osservazioni, suggerimenti ed indicazioni che gli utenti faranno pervenire al Sistema Informativo BACKUP E ARCHIVIAZIONE Il Sistema Informativo provvede al salvataggio dei dati, registrati sui server dalle procedure aziendali, tramite sistemi di backup centralizzato, mentre non si occupa del backup dei dati presenti sui singoli PC sia per le difficoltà tecnico-organizzative che questo comporta sia per l enorme quantità di spazio di storage che questo richiederebbe. E responsabilità dell utente effettuare il salvataggio dei dati sensibili memorizzati localmente sul proprio Personal Computer. Il Sistema Informativo a questo scopo fornisce l infrastruttura.hardware (chiavi USB, masterizzatori, hard disk rimovibili e spazio disco su server) per la gestione di documenti quali presentazioni, elaborazioni statistiche o documentazione di procedure. Per utilizzare i supporti rimovibili l utente dovrà fornire i propri dati personali, prendere visione del presente regolamento e compilare il modulo (Allegato 3) Richiesta di supporti rimovibili. Il modulo dovrà essere consegnato al Sistema Informativo, firmato dal Responsabile della struttura organizzativa a cui l utente appartiene. L utente deve conservare i supporti rimovibili con la massima diligenza e non deve lasciare incustoditi o facilmente accessibili tali supporti. L utente risponde della perdita e della diffusione dei dati memorizzati. L utente si impegna a comunicare immediatamente al proprio Responsabile e a denunciare all autorità giudiziaria l eventuale furto o smarrimento di detti supporti rimovibili contenenti dati riservati. Copia della denuncia deve essere inviata al Sistema Informativo. Ogni responsabilità derivante dall utilizzo di supporti rimovibili e dei dati in essi contenuti, da parte di persone non autorizzate, sarà attribuita all utente a cui il supporto è stato consegnato. Le istruzioni del presente articolo si applicano anche ai supporti rimovibili di consumo (CD e DVD scrivibili ) non forniti dal Sistema Informativo PUBBLICAZIONE DI CONTENUTI E REALIZZAZIONE DI SITI PERSONALI L utente non è autorizzato in alcun caso a produrre ed a pubblicare siti Web personali o della struttura di appartenenza mediante la rete aziendale. Ogni eventuale necessità di realizzare siti Web personali o di struttura mediante rete aziendale dovrà essere espressamente autorizzata dalla Direzione Generale. E fatto divieto agli utenti di utilizzare il logo aziendale nei siti personali senza autorizzazione della Direzione Generale. E fatto divieto agli utenti di inserire nei siti personali collegamenti (link) al sito aziendale senza autorizzazione della Direzione Generale. Si applicano in ogni caso le norme dei Codici deontologici professionali. E fatto assoluto divieto di realizzare funzioni di hosting CONNESSIONE A PROVIDER DIVERSI DA QUELLO AZIENDALE E vietato l utilizzo di accessi internet mediante Internet Provider diversi da quello scelto ufficialmente dalla Azienda e la connessione di stazioni di lavoro aziendali alle reti di detti Provider, anche con abbonamenti privati. 9

10 4.8. ACCESSO ALLA RETE VIA VPN O SISTEMI DI TUNNELING Accessi alla rete dati dell AUSL Ravenna via VPN o meccanismi di tunneling analoghi sono vietati, a meno di casi particolari da coordinarsi con il Sistema Informativo dell AUSL Ravenna. Sono consentiti singoli tunnel VPN da parte di utenti autorizzati per permettere l accesso da reti esterne. L autorizzazione da parte del Sistema Informativo per l accesso VPN verrà concessa alle richieste con le seguenti finalità: Assistenza software/sistemistica da parte di ditte esterne Assistenza software/sistemistica da parte di personale dell AUSL Ravenna Personale dell AUSL Ravenna avente in dotazione computer portatili di proprietà dell azienda Enti esterni all azienda che necessitano dell utilizzo di procedure aziendali La richiesta da parte del personale dell AUSL Ravenna o dell ente/ditta esterna interessato al servizio dovrà pervenire al Sistema Informativo che provvederà a valutare la coerenza con le finalità sopra descritte riservandosi di approvare o meno l accesso alla rete dati aziendale. In seguito all approvazione dell accesso, il richiedente dovrà compilare in tutte le sue parti il relativo modulo (allegato 4) inviandolo per posta elettronica all indirizzo indicato nell allegato stesso. Non saranno presi in considerazione moduli compilati parzialmente od inoltrati tramite mezzo diverso da posta elettronica. In seguito alla ricezione del modulo il Sistema Informativo dell AUSL Ravenna provvederà a fornire il software e le istruzioni necessarie all attivazione della VPN. Ulteriori modifiche alla configurazione di VPN già in uso andranno inoltrate all indirizzo mail indicato nel modulo. Ogni utilizzo inappropriato dell accesso VPN fornito comporterà il suo immediato blocco. Il mancato utilizzo da parte del richiedente della connessione VPN per un periodo superiore ai 6 mesi comporterà l eliminazione automatica della VPN SERVIZIO DI POSTA ELETTRONICA Tutti i dipendenti dell Azienda USL di Ravenna hanno la possibilità di utilizzare una casella di posta elettronica ( ) personale creata al momento dell assunzione. Le credenziali di accesso a tale casella sono quelle di dominio. Per le caselle generiche, ad esempio quelle relative a segreterie o reparti, la creazione avverrà in modo manuale compilando il modulo apposito Richiesta di posta elettronica ( ) riferita ad ambito organizzativo (allegato 5) Ad eccezione delle comunicazioni provenienti dalla Direzione Generale e dalle Strutture che utilizzano i servizi messi a disposizione dal sistema di gestione del protocollo informatico, è raccomandato l invio di messaggi ad un massimo di 50 indirizzi di alla volta, per evitare sovraccarichi del server. La posta elettronica è uno strumento di lavoro pertanto sono vietate tecniche di mail spamming quali ad esempio l invio, da parte di un utente, a tutti i dipendenti, di messaggi d auguri, soprattutto se contengono allegati, inoltre è buona norma utilizzare la posta elettronica aziendale solo per fini lavorativi. L invio massivo di comunicazioni a liste di distribuzione aziendali, extra aziendali o di azioni equivalenti può essere effettuato esclusivamente dal Sistema Informativo, tramite la casella di sisinfo@ausl.ra.it e sarà sottoposto all approvazione del Direttore del Sistema Informativo nonché delle strutture aziendali preposte alla comunicazione interna ed esterna ACCESSO ALLA RETE DA POSTAZIONI INTERNE Gli accessi alla rete aziendale devono avvenire tramite le prese di rete installate e testate dal Servizio Tecnico. Qualora in un locale servissero urgentemente più prese di rete, dopo aver fatto tale richiesta e in attesa che il servizio Tecnico porti tali prese, è possibile farsi installare temporaneamente un replicatore di porte (switch) richiedendolo al Call Center (6752) del Sistema Informativo. Nel caso venissero trovate attrezzature di rete non fornite o autorizzate dal Sistema Informativo, queste verranno scollegate e segnalate alla Direzione Generale. E fatto divieto di installare e utilizzare access point per connessioni wireless, che non siano stati forniti e configurati dal Sistema Informativo. 10