by Gianni Piero Perrone - 1

Transcript

1 by Gianni Piero Perrone - 1

2 TUTELA DEI DATI PERSONALI Il nuovo codice in vigore dal 1/01/ by Gianni Piero Perrone - 2

3 Entra in vigore il Codice in Materia di protezione dei Dati Personali G.U. 29 Luglio 2003 serie generale n. 174 Supplemento ordinario 123/L (Decreto Legislativo del 30/06/ ) by Gianni Piero Perrone - 3

4 E l insieme linsieme di regole per gestire nel rispetto degli individui i dati personali dei cittadini. Devono essere garantite nel massimo rigore le regole prestabilite by Gianni Piero Perrone - 4

5 Qualunque informazione relativa a: Persona Fisica Giuridica Ente o Associazione Identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero identificativo personale. by Gianni Piero Perrone - 5

6 Qualunque operazione o complesso di operazioni effettuate anche senza l ausilio di strumenti elettronici concernenti la: Raccolta Registrazione Organizzazione Conservazione Consultazione Elaborazione Modificazione Selezione Estrazione Raffronto Utilizzo Interconnessione Blocco Comunicazione Diffusione Cancellazione Distruzione dei dati se non registrati in una banca dati by Gianni Piero Perrone - 6

7 Garantire che i dati trattati vengano trattati solo per i motivi per cui vengono raccolti. Garantire la sicurezza dei dati trattati e cioè che non vengano persi, danneggiati o distrutti Garantire che i dati siano corretti e non eccedano al bisogno nell uso e nel tempo Rispondere in maniera esaustiva e tempestiva alle richieste degli interessati. by Gianni Piero Perrone - 7

8 Titolare Colui cui competono le decisioni in ordine alle modalità,finalità, strumenti, sicurezza Responsabile Incaricato Interessato Colui che è proposto al trattamento e supporta Il titolare Colui che effettua Il trattamento Colui a cui si riferiscono I dati by Gianni Piero Perrone - 8

9 by Gianni Piero Perrone - 9

10 Informatica Reti Legge Sistemi di sicurezza passiva Sistemi di sicurezza attiva Organizzazionea ione by Gianni Piero Perrone

11 Analisi Ricerca Percezione Interpretazione Problem solving by Gianni Piero Perrone

12 RESPONSABILITA SOSTANZA FORMA Garantisce la correttezza del trattamento Indica le regole di sicurezza Nomina l eventuale responsabile Istruisce gli eventuali incaricati Controlla i trattamenti Controlla gli incaricatii Verificare che i dati siano corretti Verificare che i dati siano usati solo per gli scopi Verificare che nessuno possa accedere ai dati Verificare la durata nel tempo dei dati Rispondere alle richieste del garante Rispondere alle richieste dell interessato by Gianni Piero Perrone

13 Unico riferimento normativo Unico riferimento tecnico Organizzazione specifica per tipologia Codici di deontologia by Gianni Piero Perrone

14 Differenze con la precedente normativa: by Gianni Piero Perrone

15 Trattamenti identificati Via telematica Registro interpellabile via internet by Gianni Piero Perrone

16 Recupero dati in tempi brevi Risposte e accessi in tempi brevi by Gianni Piero Perrone

17 Nuove misure minime Misure adeguate Obblighi documentali by Gianni Piero Perrone

18 Blocco dei trattamenti Inutilizzabilità dei dati by Gianni Piero Perrone

19 Inasprimento del reato amministrativo Inasprimento del reato penale by Gianni Piero Perrone

20 Impianto legislativo Obblighi di sicurezza Condizioni minime di sicurezza Misure adeguate Allegato tecnico Adeguamento continuo by Gianni Piero Perrone

21 L'art. 13 del D.Lgs. 196/2003 stabilisce l'obbligo per chi raccoglie e trattatt dai personali di fornire l'informativa all'interessato (ossia alla persona cui si riferiscono i dati personali). Le informazioni che devono essere fornite, in forma orale o scritta, all'interessato al momento della raccolta dei dati personali sono: le finalità e modalità del trattamento; l'obbligatorietà o meno del rilascio dei dati e le conseguenze del rifiuto di fornirli; i soggetti a cui possono essere comunicati o che possono venirne a conoscenza; i dirittiitti riconosciuti i dalla legge all'interessato; t le generalità del titolare e del/i responsabile/i del trattamento dei dati personali. Nel caso di raccolta e trattamento di dati sensibili e/o giudiziari, l'informativa deve fare espresso riferimento alla normativa che prevede gli obblighi o i compiti in base alla quale è effettuato il trattamento. L'informativa relativa all'attività di competenza di ogni Struttura amministrativa del è affissa e disponibile presso le sedi delle Strutture stesse. L'informativa relativa ai singoli procedimenti o istanze è contenuta t oallegata alla modulistica predisposta. by Gianni Piero Perrone

22 Esempi Normale di Pisa Dati sensibili by Gianni Piero Perrone

23 by Gianni Piero Perrone

24 by Gianni Piero Perrone

25 by Gianni Piero Perrone

26 by Gianni Piero Perrone

27 by Gianni Piero Perrone

28 by Gianni Piero Perrone

29 by Gianni Piero Perrone

30 by Gianni Piero Perrone

31 by Gianni Piero Perrone

32 COSA E' IL DPSS: E' l'unico documento in grado di attestare l'adeguamento della struttura alla normativa. Il DPSS è un manuale di pianificazione della sicurezza dei dati in azienda. In ogni caso si tratta di un consistente piano per la sicurezza dei dati, un manuale scritto ed avente data certa a prova formale dell'adeguamento sostenuto. SCOPO DEL DPSS: descrivere la situazione attuale (analisi dei rischi, distribuzione dei compiti, misure approntate, distribuzione delle responsabilità ecc.) ed il percorso di adeguamento prescelto dalla struttura per adeguarsi alla normativa privacy. TEMPI DI STESURA DEL DPSS: il documento programmatico richiede una attenta valutazione della situazione aziendale e dei trattamenti effettuati. Per questo motivo itempi di stesura del DPSS variano da tre settimane a due mesi. PRECISAZIONI: il documento deve avere data certa e deve essere aggiornato annualmente. Il testo unico impone come data per la redazione e l'aggiornamento il 31 marzo di ogni anno. Una copia del DPSS deve essere custodita presso la sede per essere consultabile e deve essere esibita in caso di controlli. by Gianni Piero Perrone

33 by Gianni Piero Perrone

34 by Gianni Piero Perrone

35 by Gianni Piero Perrone

36 by Gianni Piero Perrone

37

38 Ciclo della sicurezza Plan Definizione del SGS (Sistema di Gestione della Sicurezza) Act Manutenzione e migliorie Metodo Operativo Plan-Do Do-Check Check-Act At Do Realizzazione e esercizio SGS Check Monitoraggio e revisione by Gianni Piero Perrone

39 DO consiste nell'attuazione e nel funzionamento delle azioni pianificate secondo le tempistiche definite dalla pianificazione ACT consiste nel riesame e nella riedizione della politica della sicurezza e/o della pianificazione per recepire gli obbiettivi raggiunti e le difficoltà incontrate nei precedenti step. Tale fase rappresenta il punto di arrivo del primo ciclo PLAN - DO - CHECK - ACT by Gianni Piero Perrone

40 Adottare un SGS significa disporre di uno strumento per: - conoscere e mantenere sotto controllo gli aspetti della sicurezza connessi alle attività svolte; - individuare le prescrizioni legali cogenti e recepirle correttamente e te ed integralmente; e te; - stabilire e mantenere precise responsabilità; - adottare le procedure necessarie per la gestione operativa della sicurezza ed il monitoraggio dei fattori di rischio - individuare e soddisfare le necessità e gli obblighi di formazione; - mirare alla riduzione al minimo possibile dei rischi aziendali, coinvolgendo le parti interessate nel processo di miglioramento by Gianni Piero Perrone

41 by Gianni Piero Perrone

42

43 Gli applicativi devono gestire dati mai rintracciabili bl direttamente Un dato anonimo garantisce l'interessato by Gianni Piero Perrone

44 Dato anonimo Reparto infettivi Ricoverati: 3 femmine 1 maschio Reparto infettivi Ricoverati: 3 femmine 1 maschio Due esempi rilevamento del dato Siero positivi: 1 femmina 1 maschio Siero positivi: il paziente letto 15 by Gianni Piero Perrone

45 CodiceCOD Patologia Decodifica Patologia 2 S sovrappeso 3 C colesterolo 4 D diabete 5 I ipertensione i 6 C Cardiopatia Nome Cognome Codice COD Patologia Mario Rossi 2 S Luca Bianchi 3 C Enrico Verdi 4 D Gilio Berti 5 I Luigi Radi 6 C by Gianni Piero Perrone

46 Word Excel Access Outlook by Gianni Piero Perrone

47 Certificazione del software utilizzato by Gianni Piero Perrone

48 Rischi di diffusione Comune Luoghi a rischio Aree di attesa Bar Anagrafe Sportelli Comportamenti Commenti tra incaricati Documenti Pratiche su scrivania Il Responsabile vigila sui luoghi e comportamenti relazionando regolarmente by Gianni Piero Perrone

49 Condivisione dati Chi riceve è? Il mezzo è? Autorizzato Conosciuto Autorizzato Sicuro L'interlocutore non incaricato DEVE essere esplicitamente autorizzato by Gianni Piero Perrone

50 ACCESSO L'accesso ai dati ( sistema di accreditamento ) è regolamentato dall'allegato allegato B Il trattamentocon tt t strumenti ti informatici i è consentitoagli incaricati dotati di credenziali di autenticazione by Gianni Piero Perrone

51 ACCESSO La credenziale di autenticazione consente il superamento di una procedura di autenticazione relativa ad uno specifico trattamento o insieme di trattamenti tt ti by Gianni Piero Perrone

52 BIOS SISTEMA Applicativo by Gianni Piero Perrone

53 ACCESSO TRAMITE ACCOUNT Credenziale di autenticazione Codice di identificazione dell'incaricato USERID Chiave riservata PASSWORD Conosciuta solamente dall'incaricato Dispositivo di autenticazione in possesso e duso d'uso esclusivo dell'incaricato Caratteristica biometrica dell'incaricato by Gianni Piero Perrone

54 ACCESSO Credenziale di autenticazione Applicazioni CREDENZIALE 1 Incaricato A CREDENZIALE 2 CREDENZIALE 3 Trattamento T1 Trattamento T2 Trattamento T3 Trattamento T4 by Gianni Piero Perrone

55 ACCESSO ISTRUZIONI Ad ogni incaricato sono impartite istruzioni Per il mantenimento della segretezza della componente riservata Reati contestabili Verso chi divulga Verso chi utilizza by Gianni Piero Perrone

56 8 caratteri ACCESSO LA PASSWORD Caratteristiche parte riservata NO parole o informazioni riconducibili all'incaricato Modificata dall'incaricato al primo utilizzo Successivamente ogni 3/6 mesi by Gianni Piero Perrone

57 ACCESSO Caratteristiche identificativo incaricato Assegnato ad un solo incaricato; neppure in tempi diversi Sistema di memorizzazione i intelligente t by Gianni Piero Perrone

58 ACCESSO DISATTIVAZIONE Le credenziali non utilizzate da almeno sei mesi sono disattivate t Escluse quelle dedicate alla manutenzione tecnica Sono disattivate anche in caso di perdita di qualità che consente l'accesso ai dati by Gianni Piero Perrone

59 SICUREZZA ACCESSO Sono impartite istruzioni per evitare di lasciare incustodito e accessibile lo strumento elettronico durante le sessioni di accesso Licenziamento per giusta causa by Gianni Piero Perrone

60 COSA PROTEGGERE Di rete Strumenti Di servizio Di I/O Banche dati Analogiche Digitali by Gianni Piero Perrone

61 PERICOLO DI PERDITA COPIA DEI DATI BACKUP LOCALE Tipologie CENTRALIZZAZIONE INTRANET CONSERVAZIONE LUOGO SICURO LUOGO DIVERSO by Gianni Piero Perrone

62 by Gianni Piero Perrone

63 PERICOLI DI DANNEGGIAMENTO Errore Umano Hardware Cancellazione Storage - Disco Inserimento errato Impianto Sovrapposizione by Gianni Piero Perrone

64 PERICOLI DI DIFFUSIONE Interni Esterni Colleghi Utenti Collaboratori Fornitori Media Enti by Gianni Piero Perrone

65 PERICOLI DI INFEZIONI VIRALI Supporti esterni PEN DRIVE Altre periferiche Internet Navigazione Posta by Gianni Piero Perrone

66 by Gianni Piero Perrone

67 by Gianni Piero Perrone

68 Evitare quello che non si conosce Leggere bene quello che ci appare davanti Non aver fretta di cliccare Se non si è sicuri contattare un responsabile Non cliccare mai su allegati di posta senza la certezza di provenienza Non cliccare sulle immagini delle Non disattivare le protezioni by Gianni Piero Perrone

69 Microsoft ci avvisa I programmi hanno estensione exe La posta deve essere di provenienza sicura Fermarsi al minimo sospetto Antivirus ma anche antidialer e spyware by Gianni Piero Perrone

70 Siamo spiati Pulizia periodica dei temporanei by Gianni Piero Perrone

71 Non facciamoci ingannare Si può verificare la provenienza by Gianni Piero Perrone

72 by Gianni Piero Perrone

73 Impostare la Navigazione Il browser Le permission Il sito? Pulizia periodica Navigare vuol dire esporsi by Gianni Piero Perrone

74 Impostare la Navigazione by Gianni Piero Perrone

75 by Gianni Piero Perrone

76 Firewall Antivirus Antispam Antidialer Comportamenti corretti: Seguire le regole per evitare guai by Gianni Piero Perrone

77 Programmi freeware: by Gianni Piero Perrone

78 by Gianni Piero Perrone

79 by Gianni Piero Perrone

80 FIRMA DIGITALE La firma digitale é un informazione che viene aggiunta ad un documento informatico al fine f di garantirne integrità e provenienza. Può essere utilizzata per autenticare una qualunque sequenza di simboli binari, indipendentemente dal loro significato. Il processo di firma digitale richiede che l'utente effettui unaserie di azioni preliminari necessarie e alla a predisposizione p o e delle e chiavi a utilizzate dal sistema st di crittografia a a su cui il meccanismo di firma si basa; in particolare occorre: la registrazione dell'utente presso un Autorit Autorità di Certificazione (AC), la generazione di una coppia di chiaviks e Kp, la certificazione della chiave pubblica Kp, la registrazione della chiave pubblica Kp. La firma viene i apposta, con il processo schematicamente h i t mostratonella t Figura 1, mediante una sequenza di tre operazioni: generazione dell'impronta del documento da firmare generazione della firma mediante cifratura dell'impronta apposizione della firma al documento. by Gianni Piero Perrone

81 by Gianni Piero Perrone

82 by Gianni Piero Perrone

83 Meglio veloce ma non complicato by Gianni Piero Perrone

84 by Gianni Piero Perrone

85 Un ottimo AntiVirus Free Uno strumento free per la rimozione dei pericolosi RootKit Uno dei migliori FireWall in circolazione (con anche una versione free per uso personale) Un sistema semplice (anche per neofiti) per navigare anonimi in rete Un sistema avanzato per navigare anonimi in rete Crittografia semplice ma potente! Semplice software per analizzare i programmi in esecuzione sul vostro PC Posta elettronica sicura [ non come Outlook :-) ] e con un ottimo filtro AntiSpam by Gianni Piero Perrone

86 Link ad alcuni facsimili Link ad alcune FAQ e precisazioni by Gianni Piero Perrone

87 TUTTO I TESTO COMPLETO IN FORMATO PDF p g g p ndex.jsp by Gianni Piero Perrone