Documento programmatico sulla sicurezza dei dati

Transcript

1 STUDIO SESSA DR. SABATO Documento programmatico sulla sicurezza dei dati Copia rev. 7 del a cura del Dr. Sessa Sabato in forma: X CONTROLLATA (Copia soggetta ad aggiornamento) N. 01 NON CONTROLLATA (Copia trasmessa a titolo indicativo a validità limitata al solo giorno dell'assegnazione) Il Responsabile della Sicurezza sui Dati Il Titolare REV. 7 < >

2 Indice 1. Introduzione 1.1. Glossario di riferimento 1.2. Applicabilità 1.3. Revisione del documento 2. Tipologia dei dati trattati all interno dello studio 3. Organizzazione e responsabilità 3.1. Il Titolare 3.2. Il Responsabile del trattamento 3.3. Incaricati del trattamento 4. Prescrizioni di sicurezza 4.1. Locali dove avviene il trattamento dei dati 4.2. Struttura sistema informatico 4.3. Analisi dei rischi Rischi di intrusione in genere o riguardanti i dati cartacei o le apparecchiature informatiche Rischi riguardanti il mero sistema informatico 5. Misure individuate per garantire l integrità e la disponibilità dei dati 5.1. Misure per la sicurezza fisica Sicurezza d area Sicurezza degli archivi 5.2. Misure per la sicurezza informatica 5.3. Misure riguardanti gli aspetti organizzativi 6. Politiche di back up 7. Pianificazione attuazione e registrazione interventi formativi Pagina 2 di 41 Rev

3 ALLEGATI ALLEGATO A ALLEGATO B ALLEGATO C CENSIMENTO DATI E DOCUMENTI ANALISI DEI RISCHI PLANIMETRIA Pagina 3 di 41 Rev

4 1. Introduzione Scopo di questo documento è stabilire le misure di sicurezza organizzative, fisiche e logiche da adottare affinché siano rispettate gli obblighi, in materia di sicurezza, previste dal decreto legislativo numero 196 del 2003 (Codice in materia di protezione dei dati personali) e Allegato B della legge Disciplinare tecnico in materia di misure minime di sicurezza (di seguito legge sulla privacy o anche legge). Nel seguito i termini Titolare, Responsabile, Incaricato, Trattamento e Dato personale sono usati in conformità alle definizioni del decreto legislativo numero 196 del Il presente documento costituisce esplicitazione di quanto disposto dal decreto legislativo numero 196 del 30 giugno 2003, artt. da 33 a 36 e ALLEGATO B DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA per la protezione dei dati personali. Tiene conto, inoltre, dei recenti aggiornamenti apportati alla materia dai decreti legislativi numero 5, numero 69 e numero 83 del Cioè evidenzia le modalità individuate per: custodire e controllare i dati personali oggetto di trattamento, onde contenere nella misura più ampia possibile il rischio che i dati siano distrutti, dispersi anche accidentalmente; per attuare alcune misure indispensabili (minime), specificate tassativamente nel richiamato Allegato B. Pertanto, all interno delle varie sezioni di cui è composto, sono definiti: l elenco dei trattamenti di dati personali; la distribuzione dei compiti e responsabilità nella struttura; l analisi dei rischi relativi ai dati trattati; le misure da adottare per garantire l integrità e la disponibilità dei dati e la protezione delle aree e dei locali, quali: Pagina 4 di 41 Rev

5 i criteri tecnici ed organizzativi per la protezione delle aree e dei locali interessati dalle misure di salvaguardia; i criteri e le procedure per assicurare la sicurezza ed integrità dei dati durante il trattamento, la trasmissione, l archiviazione / conservazione; i criteri di separazione e / o cifratura per i dati personali idonei a rivelare lo stato di salute e la vita sessuale; le modalità da adottare per il recupero dei dati in seguito a distruzione o danneggiamento; la previsione della formazione sugli incaricati, sia per renderli edotti dei relativi rischi individuati e dei modi per prevenire i danni, sia per favorirne l apprendimento operativo; la descrizione dei criteri da adottare per garantire l adozione delle misure minime di sicurezza per i trattamenti svolti all esterno della struttura. Pagina 5 di 41 Rev

6 1.1 Glossario di riferimento Di seguito si riporta un glossario generico dei termini cui fa riferimento il legislatore nel Decreto legislativo numero 196 del Secondo il suddetto codice si intende per: a) trattamento, qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati; b) dato personale, qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; c) dati identificativi, i dati personali che permettono l'identificazione diretta dell'interessato; d) dati sensibili, i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale; e) dati giudiziari, i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del decreto del Presidente della Repubblica numero 313 del 2002, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale; f) titolare, la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza; Pagina 6 di 41 Rev

7 g) responsabile, la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali; h) incaricati, le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile; i) interessato, la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali; l) comunicazione, il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; m) diffusione, il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; n) dato anonimo, il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile; o) blocco, la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento; p) banca di dati, qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti; q) garante, l'autorità di cui all'articolo 153, istituita dalla legge 31 dicembre 1996, n Inoltre, si intende per: 1) comunicazione elettronica, ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico; Pagina 7 di 41 Rev

8 2) chiamata, la connessione istituita da un servizio telefonico accessibile al pubblico, che consente la comunicazione bidirezionale in tempo reale; 3) reti di comunicazione elettronica, i sistemi di trasmissione, le apparecchiature di commutazione o di instradamento e altre risorse che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, incluse le reti satellitari, le reti terrestri mobili e fisse a commutazione di circuito e a commutazione di pacchetto, compresa internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui sono utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato; 4) rete pubblica di comunicazioni, una rete di comunicazioni elettroniche utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico; 5) servizio di comunicazione elettronica, i servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazioni elettroniche, compresi i servizi di telecomunicazioni e i servizi di trasmissione nelle reti utilizzate per la diffusione circolare radiotelevisiva, nei limiti previsti dall'articolo 2, lettera c), della direttiva 2002 / 21 / CE del Parlamento europeo e del Consiglio del 7 marzo 2002; 6) abbonato, qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate; 7) utente, qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata; 8) dati relativi al traffico, qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione; Pagina 8 di 41 Rev

9 9) dati relativi all'ubicazione, ogni dato trattato in una rete di comunicazione elettronica che indica la posizione geografica dell'apparecchiatura terminale dell'utente di un servizio di comunicazione elettronica accessibile al pubblico; 10) servizio a valore aggiunto, il servizio che richiede il trattamento dei dati relativi al traffico o dei dati relativi all'ubicazione diversi dai dati relativi al traffico, oltre a quanto è necessario per la trasmissione di una comunicazione o della relativa fatturazione; 11) posta elettronica, messaggi contenenti testi, voci, suoni o immagini trasmessi attraverso una rete pubblica di comunicazione, che possono essere archiviati in rete o nell'apparecchiatura terminale ricevente, fino a che il ricevente non ne ha preso conoscenza; 12) ITSEC - Information security evaluation criteria, è un sistema di valutazione della sicurezza nel trattamento e nel controllo delle informazioni che vengono elaborate con strumenti informatici ed automatizzati. E stato introdotto nel 1992 dalla Commissione delle Comunità Europee (DGXIII) ed è stato utilizzato dagli stati per gestire la sicurezza nazionale secondo il concetto per il quale la riservatezza era considerata come la prevenzione dell accesso non autorizzato all informazione. ITSEC prevede un sistema di valutazione della sicurezza secondo sette livelli che vengono indicati con sigle: da C zero (C0) - nessuna sicurezza a C sei (C6) - massima sicurezza; 13) border manager, limiti prefissati alle mansioni che devono essere svolte da un amministratore; 14) need to know, è un principio generale sviluppato nella gestione dei sistemi di sicurezza secondo il quale i soggetti che devono compiere attività di trattamento di informazioni sono autorizzati a trattare i soli dati essenziali allo svolgimento del mansionario loro attribuito Si intende altresì per: I) misure minime, il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31; Pagina 9 di 41 Rev

10 II) strumenti elettronici, gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento; III) autenticazione informatica, l'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità; IV) credenziali di autenticazione, i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica; V) parola chiave, componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica; VI) profilo di autorizzazione, l'insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti; VII) sistema di autorizzazione, l'insieme degli strumenti e delle procedure che abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente. VIII) data log journal, compilato automaticamente da un elaboratore. Il data log permette di verificare analiticamente tutte le attività di elaborazione e di trattamento eseguite e di indicare il tempo in cui le stesse sono state effettuate. Se il sistema informatico è dotato di programmi che consentono l accesso attraverso parole chiave e / o codici identificativi personali, il data log journal permette anche di riferire l attività ed i tempi di svolgimento ai singoli soggetti che la eseguono. IX) accesso selezionato, da un punto di vista logistico, possibilità accordata ad individuati soggetti di ingresso in aree nelle quali si svolgono attività considerate a rischio (aree militarizzate); da un punto di vista logico - informatico abilitazione ad entrare e / o ad aprire determinate applicazioni o banche dati contenenti informazioni riservate; Pagina 10 di 41 Rev

11 X) area militarizzata, porzione di edificio o di ufficio dove si compiono attività pericolose di trattamento di dati la cui conoscenza è riservata ad una ristretta cerchia di operatori (Cfr. Need to know). XI) badge, è la tessera dotata di banda magnetica o di microprocessore che contiene i dati identificativi di un soggetto. Abbinata spesso all uso di una parola chiave è utilizzata, o inserendola o strisciandola in appositi lettori elettronici, per attivare una procedura di accesso a determinate aree fisiche o logiche di un sistema di sicurezza; XII) certificazione, articolo 1, comma 1, sub lettera aa) del decreto del Presidente della Repubblica numero 137 del 2003 che ha sostituito l articolo 1 del decreto del Presidente della Repubblica numero 445 del già articolo 1, comma 1 lettera h), del decreto del Presidente della Repubblica numero 513 del è il risultato della procedura informatica, applicata alla chiave pubblica rilevabile dai sistemi di validazione, mediante la quale si garantisce la corrispondenza biunivoca tra una chiave pubblica ed il soggetto titolare cui essa appartiene, si identifica quest ultimo e si attesta il periodo di attività della predetta chiave ed il termine di scadenza del relativo certificato, in ogni caso non superiore a tre anni; XIII) chiave biometrica, è la sequenza di codici informatici utilizzati nell ambito di meccanismi di sicurezza che impiegano metodi di verifica dell identità personale basati su specifiche caratteristiche fisiche dell utente; XIV) chiavi asimmetriche, è la coppia di chiavi crittografiche, una privata ed una pubblica, correlate tra loro, da utilizzarsi nell ambito dei sistemi di validazione o di cifratura di documenti informatici. Infine si intende per: A) scopi storici, le finalità di studio, indagine, ricerca e documentazione di figure, fatti e circostanze del passato; B) scopi statistici, le finalità di indagine statistica o di produzione di risultati statistici, anche a mezzo di sistemi informativi statistici; Pagina 11 di 41 Rev

12 C) scopi scientifici, le finalità di studio e di indagine sistematica finalizzata allo sviluppo delle conoscenze scientifiche in uno specifico settore. Pagina 12 di 41 Rev

13 1.2 Applicabilità Il presente Documento programmatico sulla sicurezza dei dati si applica a tutta la struttura dello studio di consulenza ed agli eventuali rapporti con l esterno, in quanto interconnessi. Il contenuto deve essere divulgato e spiegato a tutti gli incaricati. La parte che riguarda gli eventuali dipendenti, collaboratori o praticanti deve essere divulgata e spiegata a cura dei diretti responsabili. Eventuali situazioni di deviazione accertate rispetto a quanto precisato nel presente documento dovranno essere rimosse nel più breve tempo possibile. Pagina 13 di 41 Rev

14 1.3 Revisione del documento Il presente documento è valido come sintesi delle revisioni precedenti ed in riferimento alla normativa attualmente vigente in materia perde l obbligo dell aggiornamento periodico, lasciando al Titolare la scelta di se e come aggiornarlo. Il documento attuale rappresenta il mezzo di comunicazione del Titolare per riassumere le tipologie e modalità di trattamento dati effettuate. Pagina 14 di 41 Rev

15 2. Tipologia di dati trattati all interno dello studio Le operazioni di trattamento effettuate nell ambito dello studio consistono essenzialmente: acquisizione e reperimento dei dati direttamente dalla persona interessata, presso terzi ovvero indirettamente; registrazione dei dati, cioè il loro inserimento in supporti informatici o cartacei; l elaborazione e trasmissione eventuale agli enti competenti; la modificazione dei dati registrati, in relazione a variazioni o nuove acquisizioni; la conservazione dei dati per tutto il tempo necessario agli scopi per i quali sono stati raccolti o successivamente trattati; la cancellazione o la distruzione dei dati, quando sono terminati gli scopi per cui sono stati inizialmente raccolti. Il Legislatore considera la categoria dei DATI PERSONALI, ovvero qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale, suddivisa nella seguente partizione: A) DATI IDENTIFICATIVI: ovvero tutte le informazioni relative a persona fisica (persona giuridica, ente od associazione) identificate o identificabili. Tali dati possono essere suddivisi nella fattispecie dello studio in oggetto: - dati comuni del personale e dei clienti, o di terzi ricavabili da fonti pubbliche, ad esempio quelli telefonici o di residenza tratti da elenchi consultabili liberamente, o i dati camerali; - dati comuni del personale dipendente o dei collaboratori, dei fornitori e dei clienti, o di terzi che vengono forniti previa comunicazione dell informativa, ad esempio la PARTITA I.V.A, la residenza, la data di nascita, il numero di telefono cellulare, il numero di telefono non inserito in elenchi, gli indirizzi e mail raccolti. B) DATI SENSIBILI: ovvero i dati che devono essere maggiormente tutelati relativi a razza o etnia, ad eventuali adesioni a partiti, organizzazioni a carattere religioso, politico, associazioni di categoria, nonché dati personali idonei a rilevare lo stato di salute e la vita sessuale del Pagina 15 di 41 Rev

16 singolo. Nella fattispecie si potrebbero configurare con i soli dati sensibili del personale dei clienti. Ma a livello cautelativo si ritiene debbano ricevere una particolare attenzione anche alcuni dati riguardanti i fornitori, quali ad esempio, il reddito percepito a seguito rapporti con lo studio, i clienti, per le prestazioni ricevute attraverso lo studio, nonché i soggetti terzi. C) DATI GIUDIZIARI: ovvero i dati personali idonei a rivelare provvedimenti di cui all articolo 3, comma 1, lettere da a) ad o) e da r)ad u), del decreto del Presidente della Repubblica numero 313 del 2002, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale. I dati trattati nell ambito dello Studio sono: dati identificativi di qualsiasi genere (fatture, estratti conto bancari o postali, cambiali e altri titoli di credito, visure e certificati della Camera di commercio; copie di atti di proprietà, atti costitutivi e modificativi di società, informazioni di carattere anagrafico, eccetera); dati sensibili o semisensibili di carattere economico e finanziario, forniti da clienti, privati o pubblici, al Titolare; dati giudiziari di cui all articolo 4, lettera e), del decreto legislativo numero 196 del 2003, conseguenti dalla normale attività di consulenza per società private, ma anche dalla collaborazione con Autorità giudiziaria; altri dati ed altra documentazione inerente atti e procedure strettamente legate al lavoro di consulenza effettuato all interno dello studio. E da sottolineare che lo studio non tratta dati di carattere sanitario / sensibile in formato digitale. La tipologia di dati su indicata è per la stragrande maggioranza su supporto cartaceo, archiviati in armadio dotato di serratura ed accessibile al solo Titolare. All interno dello studio è presente un unico computer portatile utilizzato per la redazione di documenti inerenti le attività dello studio e ad esclusivo accesso / utilizzo del Titolare; detto computer è per lo più utilizzato all interno della stanza adibita ad elaborazione - trasmissione dati. Pagina 16 di 41 Rev

17 II Titolare assicura che il programma di sicurezza sia adeguatamente sviluppato, realizzato e mantenuto aggiornato e conforme alla legge sulla privacy e alle prescrizioni del presente documento, opereranno in modo da: - minimizzare la probabilità di appropriazione, danneggiamento o distruzione anche non voluta di apparecchiature informatiche o archivi informatici o cartacei contenenti dati personali; - minimizzare la probabilità di accesso, comunicazione o modifiche non autorizzate alle informazioni personali; - minimizzare la probabilità che i trattamenti dei dati personali siano modificati senza autorizzazione. Il Titolare, inoltre, si impegna a rispettare tutte le cautele e prescrizioni previste dalla normativa vigente attenendosi, quando emanate, alle linee guida, ai pareri ed ai provvedimenti. Nello specifico si hanno, allo stato, per acquisite, in particolar modo, le linee guida in materia di trattamento di dati personali da parte dei consulenti tecnici e dei periti ausiliari del giudice e del pubblico ministero, emanate nel Pagina 17 di 41 Rev

18 3 Organizzazione e responsabilità 3.1 Il Titolare Cognome e nome : SESSA SABATO Sede del trattamento: Via Ruggiero da Benevento, numero 9 Partita I.V.A: Codice fiscale: SSS SBT 63P18 D390K Attività esercitata: Dottore commercialista e Revisore contabile Settore di attività: Il Titolare del trattamento opera sia con organizzazioni private fornendo consulenza in relazione all attività esercitata ed all occorrenza occupansi della redazione di perizie d ufficio e di parte. Allo stato il Titolare del trattamento è l unica figura nominata all interno dello studio cui sono affidate informazioni relative all attività dello studio stesso, ivi comprese le informazioni di carattere economico - finanziario relative a clienti. Il Titolare ha le seguenti responsabilità: - propone le procedure per la sicurezza dei dati e ne verifica le necessità di aggiornamento; - amministra la sicurezza informatica dell'intero sistema; - effettua periodici controlli e verifiche in merito al rispetto delle prescrizioni contenute nel presente documento programmatico sulla sicurezza; - valuta periodicamente il livello di rischio di sicurezza dei dati. Tra i compiti che la legge assegna al Titolare, peraltro non delegabili, è prevista sia la vigilanza sul rispetto da parte degli eventuali Responsabili delle proprie istruzioni, sia la puntuale osservanza delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. Pagina 18 di 41 Rev

19 3.2 Il Responsabile del trattamento Il Responsabile del trattamento dei dati personali, ai fini della sicurezza, ha le seguenti responsabilità: - promuovere lo sviluppo, la realizzazione ed il mantenimento dei programmi di sicurezza contenuti nel presente Documento programmatico sulla sicurezza dei dati personali; - informare il Titolare del trattamento sulle non corrispondenze con le norme di sicurezza nonché su eventuali incidenti; - promuovere lo svolgimento di un continuo programma di addestramento degli Incaricati del trattamento e mantenere attivo un programma di controllo e monitoraggio della corrispondenza con le regole di sicurezza; - promuovere e garantire l esecuzione del programma di audit. Allo stato la figura del responsabile del trattamento non è presente all interno dello studio in oggetto, essendo il Titolare, come indicato in precedenza, l unico responsabile delle pratiche oggetto di consulenza. Pagina 19 di 41 Rev

20 3.3 Incaricati del trattamento Gli Incaricati del trattamento dei dati personali, con specifico riferimento alla sicurezza, hanno le seguenti responsabilità: - svolgere le attività previste dai trattamenti secondo le prescrizioni contenute nel presente Documento programmatico sulla sicurezza e le direttive del Responsabile; - non modificare i trattamenti esistenti o introdurre nuovi trattamenti senza l esplicita autorizzazione del responsabile del trattamento; - rispettare e far rispettare le norme di sicurezza per la protezione dei dati personali; - informare il Responsabile in caso di incidente di sicurezza che coinvolga dati personali. Allo stato non esiste all interno dello studio la presenza di impiegati, collaboratori o praticanti. Pagina 20 di 41 Rev

21 4. Prescrizioni di sicurezza 4.1 Locali dove avviene il trattamento dei dati La sede sociale è sita in Via Ruggiero da Benevento n.9 (Benevento). La zona in esame è caratterizzata dalla presenza di più edifici a destinazione residenziale e commerciale meglio descritta nella tabella sottostante: Accesso Recinzione Cortile / aiuole Parcheggi esclusivi Cancelli d accesso Illuminazione esterna Piani fuori terra Piani interrati Accessi all immobile Tipologia accessi Sistema di Videosorveglianza Sistema generale di allarme Strada comunale di normale viabilità SI SI NO SI Si Si No Unico mediante cancello elettrico e porta di accesso blindata Unico, dotato di porta blindata Assente Presente sistema antintrusione volumetrico Il trattamento dei dati avviene nei soli uffici, sia con mezzi manuali, su supporti cartacei, sia con mezzi informatici. Tutti i documenti dello studio sono custoditi e conservati dal Titolare. I locali sono muniti di protezione fisica da eventuali tentativi di sottrazioni, accesso non autorizzato o manomissione dei dati trattati. L accesso allo studio è dotato di unico accesso servito da porta blindata le cui chiavi sono in possesso del Titolare. Pagina 21 di 41 Rev

22 Il locale utilizzato per archivio è indipendente e protetto da porta con serratura che risulta essere sempre chiusa e le cui chiavi sono ad esclusivo utilizzo del Titolare. Inoltre, si aggiunge che la gestione dell archivio cartaceo è affidata al Titolare che utilizza per la custodita un armadio con serratura di sicurezza. L accesso allo studio è consentito solo al personale interno, allo stato solo il Titolare, ovvero, in casi eccezionali, previa autorizzazione del Titolare, è previsto l accesso a consulenti esterni o parti interessate. Tutta la documentazione gestita dallo studio è conservata negli archivi e data base presenti nello studio. Pagina 22 di 41 Rev

23 4.2 Struttura sistema informatico Lo studio come strutture hardware è dotata di un computer portatile, nel quale sono conservati ed elaborati i dati dei clienti ed altri dati di competenza, essendo gli stessi trattati in modalità cartacea e per lo più salvati su supporti di memorizzazione mobile, quali floppy o hard disk mobile, eccetera. L insieme degli archivi cartacei e digitali rappresenta la totalità dei dati trattati all interno dello studio. Il computer utilizza come sistema operativo Windows, software di protezione antivirus e non risulta collegato direttamente alla rete internet. 4.3 Analisi dei rischi Pagina 23 di 41 Rev

24 I rischi ai quali possono essere soggetti i dati trattati all interno dello studio nell ambito dell esercizio della propria normale attività, possono essere tutti quelli indicati nell articolo 31 del decreto legislativo numero 196 del 2003, vale a dire: - la distruzione o la perdita, anche accidentale; - l accesso non autorizzato; - il trattamento non consentito; - il trattamento non conforme alle finalità per le quali è avvenuta la raccolta dei dati personali. Per evitare o ridurre al minimo tutti questi rischi lo studio deve attuare una serie di misure di sicurezza, di carattere organizzativo, fisico e logico, che riguardano: - le operazioni stesse di trattamento dei dati che vengono effettuate; - la vigilanza dei luoghi, apparecchiature di trattamento e custodia degli stessi dati personali; - il controllo della loro integrità, e costituiscono argomento di sezioni successive. Di seguito, invece, viene rappresentata l analisi di dettaglio rischi attuali per i dati gestiti. Pagina 24 di 41 Rev

25 4.3.1 Rischi di intrusione in genere e riguardanti i dati cartacei e le apparecchiature informatiche Per quanto indicato appare verosimile che si sia applicata una sufficiente diligenza, data la posizione della sede, in pieno centro urbano ed adiacente palazzine residenziali, nell impedire l accesso di estranei sia a ufficio chiuso che durante le ore di lavoro. La conservazione dei dati cartacei avviene, infatti, mediante archiviazione in cartelle cliente o fornitore od ente d interfaccia, e raccoglitori / classificatori relativi, e questi sono contenuti in armadi dotati di chiusura con chiave ai quali hanno accesso soltanto gli incaricati. Per il resto: la posta ovvero i fax in entrata da smistare sono visionati direttamente dal Titolare; i fax sono inviati mediante apparecchio tradizionale e per la trasmissione si è predisposta nel frontespizio del messaggio un apposita dicitura idonea a tutelare eventuali dati personali contenuti nel documento; pari cure sono poste per il trattamento di ogni altro documento (mai lasciato a vista se applicabile, ad esempio nelle operazioni di fotocopiatura è procurata la distruzione delle fotocopie mal riuscite). Le apparecchiature, poi, sono gestite con l accortezza del buon padre di famiglia e lo schermo del computer non è mai rivolti verso terzi. Per le precauzioni adoperate (protezioni fisiche dei locali e delle postazioni di lavoro; protezioni da sovracorrenti; impostazioni di screen saver e spegnimento automatico; accortezze ed abitudini consolidate quali il regolare spegnimento a fine giornata lavorativa, eccetera), si ritiene non sussistano rischi, se non in caso di potenziali calamità naturali, eventi anomali aventi origine da cause non prevedibili ed incendi. Pagina 25 di 41 Rev

26 4.3.2 Rischi riguardanti il mero funzionamento del sistema informatico E indispensabile l analisi puntuale dei rischi cui è direttamente esposto il sistema informativo automatizzato ovvero occorre individuare gli elementi del sistema informativo automatizzato (SIA) che necessitano di protezione e le minacce cui gli stessi possono essere sottoposti, tenendo conto del fattore tecnologico e del fattore umano. In merito si è operato come a seguito indicato: Risorse hardware - CPU - terminale - workstation - P.C. - stampante - disk drive - linee di comunicazione Rischi - malfunzionamenti dovuti a guasti - malfunzionamenti dovuti a sabotaggi - malfunzionamenti dovuti ad eventi naturali - malfunzionamenti dovuti a furti e intercettazioni Risorse software - Sistema operativi - Software di base - Software applicativi - Gestori di basi di dati Pagina 26 di 41 Rev

27 Rischi - errori involontari contenuti nelle procedure che possono anche consentire ad utenti non autorizzati - esecuzione di operazioni riservate - presenza di codice malizioso, inserito volontariamente nell applicazione al fine di svolgere operazioni non autorizzate o per danneggiare il programma Supporti di memorizzazione Sono i supporti su cui vengono tenute le copie dei software installati, dei file di log e dei back up. Rischi - distruzione o alterazione ad opera di eventi naturali - distruzione o alterazione ad opera di azioni accidentali o intenzionali - deterioramento nel tempo - inaffidabilità del mezzo fisico - evoluzione tecnologica del mercato Personale operativo / incaricati Ci si riferisce essenzialmente agli operatori, addetti alla manutenzione ed ai consulenti. Rischi - furto d informazioni - scarsa consapevolezza in materia di sicurezza o alterazione dei dati per motivi di rivalsa nei confronti della direzione Pagina 27 di 41 Rev

28 Archivio dati Si tratta del contenuto degli archivi / data - base, dati di transito, copie storiche, file di log, eccetera. Rischi - accesso non autorizzato - modifiche deliberate o accidentali - diffusione accidentale Resta comunque da sottolineare alla luce dei precedenti rischi segnalati che la struttura informatica elementare, presenza di unico elaboratore e per di più in modalità off line, è organizzata in modo tale da attenuarli parzialmente, ed in alcuni casi da escluderli totalmente. Pagina 28 di 41 Rev

29 5. Misure individuate per garantire l integrità e la disponibilità dei dati Le attività di sviluppo delle adottate e / o da adottare, riguardano le seguenti aree: sicurezza fisica sicurezza informatica sicurezza organizzativa Pagina 29 di 41 Rev

30 5.1 Misure per la sicurezza fisica I requisiti di sicurezza fisica ineriscono: - protezione delle aree - protezione degli archivi sono osservati in funzione delle dimensioni e dell organizzazione del Sistema Informativo. Nella fattispecie ne sono scaturite misure che si evincono dai due sottoparagrafi seguenti. Pagina 30 di 41 Rev

31 5.1.1 Sicurezza di area Al termine dell orario di lavoro l ingresso dello Studio professionale è chiuso a chiave. Circa la protezione dei locali, si ritiene che non debba sussistere ulteriore protezione dei locali adibiti a posto di lavoro, se si ricorda anche la divisione su riportata relativa alla presenza di ambiente, totalmente privo di dati, adibito all eventuale accesso di soggetti esterni. I locali contenenti dati su supporti cartacei sono ubicati in modo tale che il Titolare possa rilevare a vista il tentativo di accesso da parte di persone estranee e, di conseguenza, impedirne l accesso stesso. L ubicazione di stampanti ed apparecchi telefax tradizionali non consente ad esterni di leggere od asportare eventualmente documenti non ancora prelevati dal personale. La sicurezza d area ha il compito di prevenire accessi fisici non autorizzati, danni o interferenze con lo svolgimento dei servizi. Le contromisure si riferiscono alle protezioni perimetrali dei siti, ai controlli fisici all accesso, alla sicurezza degli archivi e delle attrezzature informatiche rispetto a danneggiamenti accidentali o intenzionali, alla protezione fisica dei supporti. Come si evince da quanto descritto in precedenza i locali, presentano adeguate protezioni di sicurezza relative a possibili intrusioni dall esterno che possono avvenire soprattutto fuori dall orario di lavoro quando i locali non sono presidiati. Tali protezioni consistono in: - Sistema di allarme antintrusione - Porta d ingresso blindata. - Sicurezza delle apparecchiature hardware Pagina 31 di 41 Rev

32 La sicurezza delle apparecchiature è riconducibile da un lato alle protezioni da danneggiamenti accidentali o intenzionali e dall altro alla sicurezza degli impianti di alimentazione, nonché alle protezioni da rischi di intrusione relative ai vari luoghi già descritte. Anche la manutenzione dell hardware rientra in questa area, come anche la protezione da manomissione o furti. Il posizionamento sopraelevato delle unità operative riduce notevolmente il rischio di danneggiamento derivante da eventuali allagamenti. Riscontrasi quindi già adottate sostanzialmente le misure individuate. Pagina 32 di 41 Rev

33 5.1.2 Sicurezza degli archivi La presenza degli archivi all interno dello studio è tutelata da vari mezzi di sicurezza che sono da associare ed aggiungere ai già citati mezzi utilizzati per la sicurezza d area. Nello specifico si ha che: ogni posto di lavoro ove opera un incaricato del trattamento dati è dotato almeno di un contenitore, (cassetto, armadio) con serratura efficiente e sicura, in cui raccogliere le banche di dati personali, sensibili e non, di pertinenza contenute in contenitori adeguati e / o schedari; i locali che contengono banche di dati personali (sensibili e non) e gli strumenti informatici sono protetti da porte adeguate con serratura efficiente e sicura. E stato, inoltre, disposto che qualsiasi documento per archiviazione venga inserito in cartelline non trasparenti, ed inoltre, qualsiasi documento che il personale dello studio consegni ai clienti o ad altri soggetti esterni autorizzati sia inserito in apposite buste o cartelline non trasparenti. Non è ammessa la consegna a persone non autorizzate dal titolare o dal responsabile del trattamento dei dati, stampe, tabulati, elenchi, rubriche e materiale riguardante i dati oggetto del trattamento. Sono state attuate misure anche in relazione alla custodia dei supporti di memorizzazione removibili, utilizzati per il back up dati. Il luogo di conservazione non è sottoposto all azione diretta di agenti chimici, fonti di calore, campi magnetici, intrusione ed atti vandalici, incendi, allagamento. Pagina 33 di 41 Rev

34 5.2 Misure per la sicurezza informatica Il campo di applicazione della Sicurezza logica informatica riguarda principalmente la protezione dell informazione, e di conseguenza di dati, applicazioni, sistemi e reti, sia in relazione al loro corretto funzionamento ed utilizzo, sia in relazione alla loro gestione e manutenzione nel tempo. Le contromisure di Sicurezza logica sono quindi da intendersi come l insieme di misure di sicurezza di carattere tecnologico - Information and communication technology - e di natura procedurale ed organizzativa che concorrono nella realizzazione del livello di sicurezza da raggiungere. Sotto questo aspetto si avverte all interno dello studio la corretta applicazione delle procedure disposte per l organizzazione del back up settimanale dei dati, in modo da proteggere gli stessi dal rischio della morte fisica delle memorie di massa e la positiva scelta di utilizzare un gruppo di continuità per sopperire ad eventuali black out della rete elettrica. I supporti di memorizzazione contenenti file, che a loro volta contengono dati personali, saranno riutilizzati esclusivamente previa formattazione del floppy stesso, in modo da impedire la lettura dei precedenti. I suddetti supporti contenenti dati, prima della c.d. formattazione, saranno custoditi in armadi con serratura. E poi predisposto che le singole macchine espletino un controllo di accesso e di identificazione utente attraverso password. Il personale incaricato, inoltre è stato preventivamente informato sulle precauzioni da utilizzare nell utilizzo e gestione di questo particolare strumento di identificazione: Pagina 34 di 41 Rev

35 evitare di scegliere nomi di congiunti e relative date di nascita, poiché sono abitualmente utilizzate per forzare la protezione da parte di chi né è o può venirne a conoscenza facilmente; evitare di usare nomi elencati su dizionari italiani o stranieri; il meccanismo di catalogazione e cifratura delle password è noto e sono disponibili interi dizionari, in forma elettronica, per tentare di violare il sistema informatico prescelto mediante procedura automatizzata; scegliere una combinazione di caratteri alfa - numerici (lettere e numeri), che creino una sigla facilmente memorizzabile dall utente; memorizzare la password evitando di scriverla, è una garanzia per mantenerne l integrità. Per meglio gestire il sistema dal punto di vista della sicurezza dati sarà cura del Titolare garantire l ottimizzazione ed assicurare la sensibilizzazione dei vari incaricati eventuali per quanto riguarda le funzioni di sicurezza che il sistema dovrà garantire su tutte le piattaforme ed a tutti i livelli di elaborazione, quali: autenticazione, controllo accessi, eccetera; nonché le modalità tecniche attraverso le quali è possibile realizzare i servizi di sicurezza, quali: cifratura, firma digitale, meccanismi per il controllo degli accessi, integrità dei dati, meccanismi per l autenticazione, e così via. Pagina 35 di 41 Rev

36 5.3 Misure riguardanti gli aspetti organizzativi Accanto all adozione delle precedenti misure di sicurezza di area e tecnologiche illustrate, è necessario, come più volte richiamato, vengano definite una serie di norme e procedure miranti a regolamentare gli aspetti organizzativi del processo di sicurezza, che riguardano principalmente: la definizione di ruoli, compiti e responsabilità per la questione di tutte le fasi del processo Sicurezza; connessa a tale tipologia d intervento è l aggiornamento annuale della formale individuazione dell ambito del trattamento consentito ai singoli incaricati, ove variato, o da modificare, anche parzialmente; l adozione di specifiche procedure che vadano a completare e rafforzare le contromisure tecnologiche adottate attraverso i controlli operativi e sulla consistenza e affidabilità degli apparati. E prescritto, poi, che detti allegati vengano aggiornati annualmente. a) Attività connesse al trattamento dei dati in genere - ricognizione delle banche dati, classificazione delle banche dati contenenti dati sensibili e dei dati relativi ai provvedimenti di cui all articolo 686 del codice di procedura civile; - individuazione per ogni banca dati di ubicazione e conservazione specifica con l adozione di misure di sicurezza d area; - individuazione, raggruppandoli secondo criteri relativi all organizzazione, dei trattamenti e relativi compiti in osservanza misure di sicurezza individuate ed attribuite; b) Attività ulteriori connesse al trattamento dei dati con strumenti elettronici o comunque automatizzati ed operazioni di manutenzione software / hardware Pagina 36 di 41 Rev

37 - attuazione delle misure per la sicurezza informatica, in uno alle misure riguardanti gli aspetti organizzativi; - prassi da seguire, qualora lo studio si dovesse avvalere per servizi di manutenzione hardware e / o software di imprese private che comportano idonea valutazione iniziale di possesso requisiti tecnici; - lettera di incarico preliminare con richiesta di riservatezza, identificazione ed autorizzazione propedeutiche alle relative operazioni. Pagina 37 di 41 Rev

38 6. Politiche di back up Il Titolare, al verificarsi di eventi che provochino la distruzione od il danneggiamento dei dati personali contenuti nelle banche dati del sistema informatico, provvederà senza ritardo a ripristinare la funzionalità delle banche dati utilizzando le copie di back up, se possibile. Qualora si tratti di supporti diversi da quelli informatizzati, si provvederà al ripristino mediante le copie eventualmente disponibili in archivio o ristampate se correlate a dati informatici, ovvero duplicate ad hoc dall originale a mezzo canali e prassi consentite. Al verificarsi di un tale evento chiaramente si risalirà alle cause per le azioni correttive del caso, ad esempio: - sostituzione delle componenti tecnologiche hardware che hanno provocato l interruzione; - se l evento è accaduto a causa di una vulnerabilità del sistema, installazione della patch correttiva della vulnerabilità individuata; - se l anomalia verificata è attribuibile a cattive conoscenze / applicazione delle procedure, indizione di una sessione formativa straordinaria, ed eventuale provvedimento sanzionatorio. Pagina 38 di 41 Rev

39 7. Pianificazione, attuazione e registrazione interventi formativi In precedenza sono stati individuati, e descritti, i dati da proteggere, e dedotte le regole e comportamenti da adottare per garantirne l integrità e disponibilità, che includono gli adempimenti minimi prescritti dal decreto legislativo numero 196 del 2003, per dati personali, sensibili e giudiziari: - per il caso di trattamento cartaceo: o procedure per la gestione e la custodia di atti e documenti o analisi del rischio o assunzione delle misure minime di sicurezza in conformità al codice o formazione del personale sui temi della sicurezza - nell ipotesi di trattamento con elaboratori elettronici: o dotazione del sistema di strumenti autenticazione e procedure per la gestione delle credenziali di autenticazione o attuazione di misure di protezione degli elaboratori rispetto al trattamento illecito o dei dati e ad accessi non consentiti o effettuazione di procedure per il backup dei dati ed il loro ripristino o adozione di tecniche di cifratura per i dati sensibili / giudiziari o formazione periodica del personale preposto al trattamento dei dati e di quello addetto ai sistemi informativi. Ciò affermato, nella presente sezione si tratterà esplicitamente degli interventi formativi. Premesso che il Titolare ha avuto formazione ad hoc nell ambito dell elaborazione del presente documento, avvenuta con intervento di consulente esterno, lo stesso Titolare, in sintonia con i contenuti del decreto legislativo in questione, si è impegnato a promuovere a Pagina 39 di 41 Rev

40 tutti i livelli la divulgazione dei principi della Sicurezza dei dati, attraverso mirato programma di informazione e formazione. L eventuale personale sarà informato da parte del Titolare: su diritti ed obblighi connessi al trattamento dei dati in sicurezza, nel rispetto della privacy; sulla organizzazione aziendale scaturente. Il Titolare, in conformità alle disposizioni del decreto legislativo di riferimento opererà parimenti nei confronti di terzi esterni. La formazione avverrà almeno in occasione: dell'assunzione; del trasferimento o cambiamento di mansioni; dell'introduzione di nuove prassi di lavoro o di nuove sistemi informatici / tecnologie; di deficienze riscontrate in sede di verifica dell effettiva applicazione e dell efficacia delle misure predefinite. Tenderà a far conoscere che: gli elaboratori elettronici possono, per la parte hardware degli strumenti, essere interessati da mal funzionamenti, dovuti a guasti causali o per difettosa manutenzione, corti circuiti, allagamenti e incendi / furti; gli apparati di rete possono essere esposti a rischio di indebite intercettazioni o alterazioni della trasmissione di dati; i software ed i sistemi operativi possono essere stati progettati incompleti o installati non correttamente, erroneamente o dolosamente, consentendo ad utenti non autorizzati l esecuzione di operazioni, oppure permettendo operazioni non autorizzate sul sistema o danneggiamenti al software, ovvero consentendo attacchi non distruttivi, il cui obiettivo è rendere il software inutilizzabile agli altri utenti del sistema; Pagina 40 di 41 Rev

41 le documentazioni cartacee sono minacciate dall essere distrutte e / o alterate ad opera di eventi naturali, da azioni accidentali e di comportamenti intenzionali; i supporti di memorizzazione, su cui vengono tenute le copie dei software installati, dei file di log, dei back up e dei dati personali, sono soggetti, oltre che ad alterazioni e distruzioni per eventi naturali, accidentali o di malintenzionati, anche al deterioramento o a difetti di costruzione che ne compromettono il funzionamento; e cosi via. Pertanto, la formazione degli incaricati deve: essere volta alla conoscenza dell uso degli strumenti per ben affrontare le tematiche sulla sicurezza di trattamento dei dati personali; poter dare precise spiegazioni sui comportamenti e misure di sicurezza da adottare nelle operazioni di trattamento, una volta spiegata quale è la natura ed il contenuto dei dati identificativi, sensibili e giudiziari; fornire istruzioni per l ordinaria operatività in sicurezza - accessi, collegamenti internet ed invio di e mail, trasmissioni di fax, informative da esibire per richiedere consenso, backup, eccetera - e per l emergenza, quale il ripristino dati in caso di distruzione; in ultima analisi far comprendere che gli incaricati hanno un ruolo fondamentale in quanto, essendo quelli più vicini al trattamento dei dati, sono quelli più esposti a diffonderli, alterarli involontariamente o provocarne la perdita, ma sono anche quelli che più di altri possono con le loro indicazioni segnalare i veri rischi che incombono sui dati. Le sedute formative su menzionate, per incaricati futuri eventuali, avverranno attraverso appositi corsi effettuati tramite personale interno (Titolare) od esterno (Consulenti - Enti abilitati). Il Titolare provvederà alla idonea pianificazione ed alla adeguata eventuale registrazione. Pagina 41 di 41 Rev