ICT Security & Privacy

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "ICT Security & Privacy"

Transcript

1 n.1 ICT Security & Privacy Incidenti di sicurezza: esperienza, gestione, notifica e legislazione di riferimento

2 INTRODUZIONE Security Breach Notification Reati di Criminalità Informatica (ex D.Lgs. n. 231/2001) PCI-DSS: Payment Card Industry Data Security Standard Direttiva UE per la protezione delle infrastrutture critiche...16

3 Introduzione Le moderne società operano in un contesto di mercato dinamico e globale che le ha portate ad evolvere i propri modelli di business. Al centro di questa trasformazione ci sono le informazioni, sempre più essenziali per una gestione proattiva di clienti e fornitori; i dati opportunamente aggregati e correlati dai sistemi di Business Intelligence sono utili per la progettazione e la vendita di prodotti servizi e sono necessari per comprendere i trend di mercato di medio e lungo periodo. La protezione dei dati e quindi un elemento centrale nella gestione integrata alla sicurezza basata su un attento presidio di processi, persone, infrastrutture e tecnologia. Un approccio integrato alla sicurezza e più in generale alla compliance non può prescindere da un puntuale processo di detection, monitoraggio e gestione degli incidenti di sicurezza, compresi quelli di tipo informatico. La gestione degli incidenti informatici e diventata quindi oggetto di discussione e dibattito non solo nel mondo delle imprese private ma anche di quelle pubbliche e degli enti regolatori a livello nazionale ed internazionale. Questo quaderno ha un duplice obiettivo; da una parte riassumere e sistematizzare la normativa gia in vigore per permettere una rapida consultazione a tutti i soci, dall altro inserire una descrizione delle normative in fase di approvazione a livello italiano ed internazionale che avranno un sicuro impatto sugli aspetti strategici, di governance e operativi della Security Aziendale. Il quaderno vuole quindi essere una guida per tutti i colleghi che debbono rapidamente conoscere requisiti normativi e best practices relative alla gestione e notifica degli incidenti di sicurezza che coinvolgono le informazioni. Autori del Quaderno Corradino Corradi e Michele Fabbri, Rocco Mammoliti e Emanuela Negro, Raoul Savastano e Andrea Mariotti, Vodafone Italia Telecom Italia Ernst & Young - Italia Un ringraziamento particolare a tutti i membri del gruppo di lavoro AIPSA sul tema ICT Security & Privacy che hanno contribuito agli approfondimenti ed alle analisi utili per la stesura di questo quaderno. GDL AIPSA - ICT SECURITY & PRIVACY Corradino Corradi Vodafone Italia Rocco Mammoliti Telecom Italia Raoul Savastano Ernst & Young Italia Elisabettta Longhi Crif Luca Rizzo Fastweb Angelo Berghella ACEA Massimo Cottafavi Reply Pasquale Mancino Alenia Aeronautica Eduardo Parisi Sicuritalia Questa pubblicazione è stata stampata grazie al contributo di Spike Reply AIPSA ICT Security & Privacy 1

4 1 Security Breach Notification Normative e procedure di gestione e notifica di eventi di data breach La diffusione del cybercrime a livello internazionale e la continua evoluzione dei mercati, degli obiettivi e delle tecniche di attacco rendono il fenomeno di difficile contrasto. Se fino al 2008 gli obiettivi dei criminali sono state le banche dati e i dati personali dei consumatori, nel 2009 gli attacchi avevano l obiettivo principale di sottrarre PIN e altri dati di accesso a servizi finanziari (es. conti correnti, carte di pagamento). I Clienti che rimangono vittima di una violazione dei propri dati personali hanno il diritto di essere informati su tali abusi, hanno il diritto ad avere informazioni sulle cause e sulle carenze di sicurezza che hanno favorito tali eventi e, soprattutto, sulle azioni che tutti gli attori in causa possono svolgere per mitigare gli impatti ed evitare che accadano nuovamente tali violazioni. 2 AIPSA ICT Security & Privacy

5 1.1 La normativa In America In molti stati americani la normativa sul Security Breach Notification è già operativa da diversi anni. Ad es., la California Security Breach Notification Law (SB 1396), in vigore dal 2003, sancisce il diritto per i cittadini di essere informati tempestivamente sulle violazioni dei loro dati personali e di essere istruiti e guidati nell applicazione delle misure di prevenzione e contrasto. La legge californiana ha avuto diffusione in quasi tutti gli Stati Uniti diventando uno stimolo per le aziende ad investire in sicurezza per utilizzare e proteggere i dati personali, migliorando l affidabilità dei fornitori di servizi. In Europa Il 13 novembre 2007 la Commissione della Comunità Europea ha presentato una proposta di modifica della direttiva 2002/58/CE relativa al trattamento dei dati personali ed alla tutela della vita privata nel settore delle comunicazioni elettroniche includendo: obbligo di notifica delle violazioni di sicurezza che comportano la perdita dei dati personali degli utenti o compromettono i dati stessi; rafforzamento delle disposizioni di attuazione relative alla sicurezza delle reti e delle informazioni; rafforzamento delle disposizioni di attuazione e controllo per far sì che, a livello dei singoli Stati membri, siano disponibili misure sufficienti di lotta nei confronti dei messaggi di posta elettronica indesiderata; precisazione che la direttiva si applica anche alle reti di comunicazione pubblica che supportano i dispositivi di raccolta dati e di identificazione. La proposta di modifica renderebbe operativo, nell ordinamento giuridico comunitario, un meccanismo analogo a quello già in vigore negli Stati Uniti previsto dalla California Security Breach Notification Law (SB 1396), anche se in ambito più ristretto, applicandosi soltanto ai fornitori di servizi di comunicazione accessibili al pubblico. Il Garante Europeo per la Privacy è intervenuto con un suo parere (2008/C 181/01) in cui ha espresso un giudizio globalmente positivo. Il 25 novembre 2009 è stata quindi emanata la direttiva 2009/136/CE recante importanti modifiche alla direttiva 2002/58/CE dirette a rafforzare la tutela della vita privata e della riservatezza dei dati attraverso un complesso di disposizioni più rigoroso in materia di sicurezza e meccanismi di controllo. In Italia In estrema sintesi si può rappresentare lo stato dell arte in Italia sul Data Breach come segue: c è l obbligo di notificazione ai Clienti dei data breaches occorsi nell esercizio di servizi di comunicazione elettronica (Dir. 2009/136/CE); vi sono diverse considerazioni ed orientamenti in favore di un estensione di tale obbligo a settori diversi dalle TLC (ad es. mondo bancario); il Garante Privacy italiano sta lavorando per recepire nel sistema normativo nazionale l obbligo di notificazione dei data breaches, ed è possibile che venga adottato un Provvedimento specifico. Gruppo AIPSA di lavoro ICT ICT Security Security & Privacy & Privacy 3

6 Il fornitore, appena viene a conoscenza di una violazione che comporta accidentalmente o in modo illecito la distruzione, la perdita, la rivelazione non autorizzata o laccesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio, deve notificarla allautorità nazionale. 1.2 Le novità introdotte dalla normativa europea sul Security Breach Notification Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico, oltre ad istituire una politica di sicurezza per il trattamento di dati personali, deve mettere in atto regolarmente le misure di: monitoraggio; prevenzione; correzione; attenuazione. Le autorità nazionali, al fine di difendere gli interessi dei cittadini, devono assicurare un elevato livello di protezione dei loro dati personali e della loro vita privata. Devono dotarsi pertanto di mezzi necessari per: disporre dei dati completi ed affidabili sugli incidenti di sicurezza che hanno compromesso i dati personali degli utenti; controllare le misure adottate dai fornitori; diffondere le best practices tra i fornitori. Il fornitore, appena viene a conoscenza di una violazione che comporta accidentalmente o in modo illecito la distruzione, la perdita, la rivelazione non autorizzata o l accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio, deve notificarla all autorità nazionale competente includendo: informazioni di dettaglio sulla violazione; le conseguenze della violazione; le misure proposte o adottate per porvi rimedio. 4 AIPSA ICT Security & Privacy

7 Saranno previste misure tecniche di attuazione riguardanti le circostanze, il formato, le procedure applicabili alle prescrizioni in materia di informazioni e comunicazioni ma che tengano conto anche degli interessi legittimi delle autorità giudiziarie e di polizia nei casi in cui una diffusione prematura rischi di ostacolare inutilmente l indagine sulle circostanze della violazione stessa. Il fornitore, pertanto, dovrà tenere una documentazione delle violazioni dei dati personali al fine di permettere l ulteriore analisi e valutazione da parte delle autorità nazionali competenti. Quando la violazione rischia di pregiudicare i dati personali o la vita privata di una persona, il fornitore deve darne comunicazione alla persona interessata. La comunicazione deve includere: la descrizione della natura della violazione; i contatti per ottenere maggiori informazioni; le misure raccomandate per attuare i possibili effetti pregiudizievoli della violazione. Se il fornitore dimostra all autorità di aver utilizzato tutte le opportune misure tecnologiche di protezione, non ha l obbligo della notifica all utente a meno che l autorità, valutando le ripercussioni negative della violazione stessa, obblighi il fornitore a farlo. Il mancato rispetto dell obbligo di comunicazione comporta provvedimenti o sanzioni specifiche. Quando la violazione rischia di pregiudicare i dati personali o la vita privata di una persona, il fornitore deve darne comunicazione alla persona interessata. Il mancato rispetto dellobbligo di comunicazione comporta provvedimenti o sanzioni specifiche. Non è ancora nota la data a partire dalla quale sarà obbligatorio in Italia il Security Breach Notification, che comunque non dovrebbe essere oltre i primi mesi del AIPSA ICT Security & Privacy 5

8 2 Reati di Criminalità Informatica (ex D.Lgs. n. 231/2001 sanzioni interdittive e pecuniarie) La materia dei reati informatici è stata recentemente modificata dalla legge 48/2008 1, che ha introdotto nuove figure di reato informatico e l inasprimento di fattispecie incriminatrici già esistenti. In particolare, la legge 48/2008 ha aggiunto all impianto normativo del D.lgs 231/2001, l art 24 bis ( Delitti informatici e trattamento illecito dei dati ), ampliando, di fatto, le fattispecie di reato che possono generare la responsabilità amministrativa delle aziende. La legge 48/2008 ha aggiunto, allimpianto normativo del D.lgs 231/2001, lart 24 bis Delitti informatici e trattamento illecito dei dati, ampliando di fatto le fattispecie di reato che possono generare la responsabilità amministrativa delle aziende. 2.1 Considerazioni generali e case study Il nuovo articolo 24 bis del D. Lgs. 231/2001 ha esteso la responsabilità amministrativa delle persone giuridiche e degli enti alla quasi totalità dei reati informatici. Come specificato nella relazione di accompagnamento al disegno di legge, infatti, l introduzione di tale articolo risponde all esigenza di introdurre forme di responsabilità penale per le persone giuridiche anche con riferimento ai reati informatici più gravi. Alla luce dei presupposti applicativi del decreto, le aziende saranno considerate responsabili per i delitti informatici commessi nel loro interesse o a loro vantaggio da persone che rivestono funzioni di rappresentanza, amministrazione, direzione dell ente o di una sua unità organizzativa, ma anche da persone sottoposte alla loro direzione o vigilanza. 1 Legge 18 marzo 2008, n.48 recante Ratifica ed esecuzione della Convenzione del Consiglio d Europa sulla criminalità informatica, di Budapest del 23 novembre 2001, e norme di adeguamento dell ordinamento interno, pubblicata nella Gazzetta Ufficiale n. 80 del 4 aprile Supplemento ordinario n AIPSA ICT Security & Privacy

9 Le tipologie di reato informatico, quindi, interessano quei comportamenti illeciti posti in essere dai soggetti in posizione apicale o subordinata (dipendenti e/o collaboratori esterni), che utilizzano gli strumenti e le tecnologie informatiche/ telematiche aziendali per lo svolgimento delle normali attività lavorative. Le aziende o gli enti che utilizzano in maniera preponderante gli strumenti informatici e telematici, per lo svolgimento delle proprie attività e, in alcuni settori, per l erogazione di servizi, sono in maggior misura esposte ai suddetti comportamenti illeciti. In generale, è opportuno che siano implementate idonee strategie di prevenzione atte ad impedire la realizzazione dei reati informatici e ad escludere la responsabilità dell azienda nel caso di commissione dei reati. In questo scenario, nasce l esigenza di effettuare opportuni controlli e verifiche periodiche specialmente in quelle aree aziendali (es. gestione finanziaria, gestione clienti/fornitori, area ICT, ecc.) maggiormente esposte al rischio di commissione di reati informatici che possano determinare un interesse o un vantaggio economico per l azienda. Inoltre, alla luce dell integrazione apportata dalla L. 48/08 alla disciplina della responsabilità amministrativa degli enti, le aziende dovranno anche verificare che il loro stato in tema di ICT Security Governance & Management sia tale da poter consentire l attivazione dell esimente dalla responsabilità (ovvero della non responsabilità dell Azienda), previsto dal D.Lgs.231/2001, in caso di commissione di un delitto informatico al loro interno. In altri termini, si tratterà di verificare l esistenza di misure di sicurezza e di controllo preventive, idonee ad evitare la commissione dei reati informatici al loro interno, e provvedere all adeguamento dei propri modelli di organizzazione, gestione e controllo, laddove si rendesse necessario. In tal modo, in caso di presenza di reati informatici, le Aziende possono facilmente dimostrare la propria estraneità e la propria non responsabilità penale rispetto ai fatti accaduti. E opportuno che siano implementate idonee strategie di prevenzione atte ad impedire la realizzazione dei reati informatici e ad escludere la responsabilità dellazienda nel caso di commissione dei reati. La prevenzione dei crimini informatici deve quindi essere svolta attraverso adeguate contromisure organizzative, tecnologiche e normative; in via generale, anche se tali contromisure vanno adattate in modo specifico alla situazione peculiare dell Azienda interessata, dovrebbero essere previsti almeno i seguenti controlli di carattere generale: prevedere nel Codice Etico e nel Sistema Disciplinare aziendali specifiche indicazioni volte ad impedire la commissione dei reati informatici sia all interno dell ente, che tramite apparecchiature non soggette al controllo della stessa; fornire indicazioni normative e comportamentali (anche attraverso un Codice Comportamentale per la prevenzione dei crimini informatici) rivolte a tutto il personale aziendale per minimizzare il rischio di compimento, anche in maniera involontaria, di illeciti informatici; stabilire programmi di informazione, formazione e di sensibilizzazione rivolti al personale aziendale al fine di diffondere una chiara consapevolezza sui rischi derivanti da un utilizzo improprio delle risorse informatiche aziendali; prevedere un idoneo sistema di gestione incidenti ed un idoneo sistema di sanzioni disciplinari (o vincoli contrattuali nel caso di terze parti) a carico dei dipendenti (o soggetti terzi) che violino in maniera intenzionale i sistemi di controllo o le indicazioni comportamentali fornite; dotarsi di adeguati strumenti tecnologici atti a prevenire e/o impedire la realizzazione di illeciti informatici da parte dei dipendenti e in particolare di quelli appartenenti alle strutture aziendali ritenute più esposte al rischio. AIPSA ICT Security & Privacy 7

10 Anche se non è un obbligo esplicito del D.lgs 231, una efficace implementazione allinterno dellazienda di uno specifico Modello Organizzativo 231, prevede lesistenza di adeguate procedure di Incident Handling, di Escalation e di Reporting degli eventi di sicurezza; tali procedure, che implicano la messa in atto di un processo continuo di segnalazioni verso gli organismi interni (tipicamente gli Organismi di Vigilanza) e verso le Autorità competenti (tipicamente la Polizia delle Comunicazioni), sono garanzie fondamentali per rendere trasparente e con responsabilità ben definite il processo di gestione, utile anche ai fini di una possibile verifica o certificazione di terze parti. Il sistema di controllo per la prevenzione dei reati di criminalità informatica dovrà altresì basarsi, ove applicabili, sui seguenti principi generali ed accorgimenti: separazione dei ruoli che intervengono nelle attività chiave dei processi operativi esposti a rischio; tracciabilità degli accessi e delle attività svolte sui sistemi informatici che supportano i processi esposti a rischio; procedure e livelli autorizzativi da associarsi alle attività critiche dei processi operativi esposti a rischio; raccolta, analisi e gestione degli incidenti e di segnalazioni di fattispecie a rischio di reati informatici rilevati da soggetti interni e esterni all Azienda; procedure di escalation per la gestione di incidenti e di fattispecie a rischio di reato caratterizzate da elevata criticità e nella gestione dei rapporti con gli Enti Istituzionali. L ambito di applicazione dell art. 24 bis è tale da richiedere competenze tecniche ed esperienze specifiche ai fini dello svolgimento delle attività richieste per la compliance al d.lgs. 231/2001 (definizione delle possibili modalità di realizzazione dei reati, valutazione dei relativi rischi connessi alle carenze del sistema informatico, valutazione dell efficacia dei presidi esistenti e definizione delle azioni correttive/ integrative). E quindi utile valorizzare o raccomandare, anche ai fini 231, l aderenza generale di una organizzazione a framework e standard internazionalmente riconosciuti in tema di ICT Security Governance, Management & Compliance; tale aderenza è un elemento qualificante e di ausilio rispetto ai possibili presidi utilizzabili ai fini di una corretta implementazione di un adeguato sistema di controllo interno. 8 AIPSA ICT Security & Privacy

11 Alcuni standard internazionali o regolamentazioni nazionali che risultano utili al miglioramento dei sistemi di controllo interno sono ad esempio i seguenti: COBIT (Control Objectives for Information and related Technology); ISO (norma internazionale che fornisce i requisiti per un sistema di gestione della sicurezza delle informazioni); Codice Privacy (Codice in materia di protezione dei dati personali ed i Provvedimenti specifici del Garante Privacy). L authority negli ultimi due anni ha posto particolare enfasi agli aspetti di raccolta delle evidenze tramite opportuni strumenti di audit log e nel Provvedimento del 17 Gennaio 2008 (Sicurezza dei dati di traffico telefonico e telematico) ha imposto, ai soggetti giuridici in ambito al provvedimento stesso, attività di controllo periodico. I controlli devono comprendere anche verifiche a posteriori, a campione o su eventuale allarme derivante da sistemi di Alerting e di Anomaly Detection, sulla legittimità e liceità degli accessi ai dati effettuati dagli incaricati, sull integrità dei dati e delle procedure informatiche adoperate per il loro trattamento. L attività di controllo deve inoltre essere adeguatamente documentata, richiamata all interno del Documento Programmatico della Sicurezza e, a richiesta, messa a disposizione del Garante o dell autorità giudiziaria; PCI-DSS (Payment Card Industry Data Security Standard); regolamenti di settore per gli aspetti di sicurezza (es. Market Abuse, AGCOM, Sarbanes-Oxley, Basilea II, ecc.). AIPSA ICT Security & Privacy 9

12 A titolo di esempio, con riferimento al Code of Practices ISO 27001:2005, i punti di controllo specifici rilevanti ai fini della prevenzione dei suddetti reati sono riconducibili alle seguenti tipologie: ruoli e responsabilità di coloro che intervengono nelle attività strategiche associate ai processi aziendali più esposti a rischio reato; definizione di programmi di formazione e sensibilizzazione rivolti al personale aziendale al fine di diffondere maggiore consapevolezza sulle azioni da intraprendere nel caso in cui si rilevi un incidente di sicurezza a rischio di reato durante l espletamento delle proprie mansioni; modalità di accesso ai sistemi informatici aziendali mediante adeguate procedure di autorizzazione che prevedano, ad esempio, la concessione dei diritti di accesso ad un soggetto soltanto a seguito della verifica dell esistenza di effettive esigenze di accesso derivanti dalle mansioni aziendali che competono al ruolo ricoperto dal soggetto; esistenza di una procedura per il controllo degli accessi; separazione dei compiti e delle aree di responsabilità al fine di ridurre il rischio di utilizzo improprio dei beni dell organizzazione; tracciabilità degli accessi e delle attività critiche svolte tramite i sistemi informatici aziendali; esistenza di procedure per la segnalazione e la gestione di eventi relativi alla sicurezza; definizione e attuazione di un processo di autorizzazione della direzione per le strutture di elaborazione delle informazioni; esistenza di procedure di escalation che assicurano una tempestiva ed efficace gestione degli incidenti di sicurezza a rischio di reato; esistenza di procedure per garantire la riservatezza dei dati secondo quanto stabilito dalle normative vigenti; esistenza di misure volte a scoraggiare gli utenti dall utilizzare le strutture di elaborazione delle informazioni per scopi non appropriati; inclusione di requisiti di sicurezza delle informazioni negli accordi con terze parti che prevedano accesso, elaborazione, comunicazione o gestione delle informazioni e delle infrastrutture dell ente; effettuazione di verifiche, preliminari all assunzione, dei candidati all impiego, nonché di collaboratori esterni, proporzionali ai requisiti di business, alla classificazione delle informazioni che dovranno essere accedute; presenza di termini e condizioni nel contratto di lavoro che precisano le responsabilità in tema di trattamento delle informazioni. 10 AIPSA ICT Security & Privacy

13 3 PCI-DSS: Payment Card Industry Data Security Standard - Requisiti per la protezione delle informazioni relative alle carte di pagamento 3.1 Introduzione L incremento del volume di acquisti effettuati tramite carte di credito e di debito e lo sfruttamento, a fini illeciti, delle tecnologie e dei sistemi di pagamento, rende l ambito della sicurezza sui sistemi di pagamento sempre più importante. Il crimine informatico e relativa minaccia del furto d identità riducono la fiducia degli utenti e dei consumatori nella tecnologia in generale e nel commercio elettronico in particolare. Le grandi aziende che offrono servizi di pagamento on line o basate su carte di credito, gestiscono un elevato numero di transazioni annue con carte di pagamento; per questo motivo chi si occupa di sicurezza all interno delle organizzazioni si pone l obiettivo di: garantire un elevato livello di protezione delle informazioni relative alle carte di credito; censire i dati (cardholder data) definendo il perimetro all interno del quale tali dati sono gestiti; valutare la sicurezza delle applicazioni che utilizzano i dati delle carte, anche attraverso l analisi e la revisione del codice sorgente dei programmi; Crimine informatico e furto didentità riducono la fiducia degli utenti e dei consumatori nella tecnologia. avere delle opportune procedure di gestione degli incidenti e delle frodi, che permette di assicurare una corretta, tempestiva ed idonea applicazione delle contromisure di sicurezza previste; creare delle opportune sinergie sugli aspetti di sicurezza con i gestori di Carte di Credito e con i circuiti internazionali, utili anche ai fini di una corretta gestione (p.e. Service Provider come CartaSi e circuiti come VISA e Mastercard). AIPSA ICT Security & Privacy 11

14 3.2 Gli illeciti relativi alle carte Le possibili frodi relative alle carte di credito si dividono generalmente in due macro categorie: plastic fraud - si intendono tutte quelle tipologie di frode che interessano la carta in quanto tale, vale a dire nella sua dimensione materiale. In linea generale, il riferimento è ai casi di furto o contraffazione ai quali segue il riutilizzo della carta, appunto rubata o contraffatta, in transazioni face-toface, ossia in quelle transazioni che avvengono in presenza fisica delle due parti (consumatore e fornitore); CNP fraud - consiste nel furto dei dettagli relativi alla carta di credito (ad es. il nome del titolare, il numero di carta, la data di scadenza, il codice CVV), quindi in assenza del possessore titolare (CNP, Cardholder-Not-Present). (BOX). Nelle frodi sulle carte di credito la tecnica più diffusa è quella del furto didentità. La repressione delle frodi realizzate con carte di credito è assicurata in Italia dall art. 12 ex L. 197/91, dove sono punite tre fattispecie aventi ad oggetto le carte di credito o di pagamento o qualsiasi altro documento che abiliti al prelievo di denaro contante o all acquisto di beni o alla prestazione di servizi. Le tre fattispecie sono: 1. l utilizzazione indebita; 2. la contraffazione delle carte di credito; 3. la ricettazione delle carte di credito. La frode informatica rientra nell ambito dei crimini informatici meglio disciplinati con l approvazione della legge 48/2008 sul Cybercrime, e quindi anche nell ambito della responsabilità amministrativa delle Aziende ai fini del D.lgs 231. La frode informatica si distingue dalla truffa perché l attività fraudolenta dell agente investe non la persona (soggetto passivo), bensì il sistema informatico. Nelle frodi sulle carte di credito la tecnica più diffusa è quella del furto d identità con la quale si carpiscono informazioni riservate (numero di carta di credito, codice segreto, dati personali del titolare della carta). In particolare il phishing rappresenta la principale truffa sul furto di identità, basata su transazioni online non autorizzate dal titolare. 3.3 Lo standard PCI-DSS Il regolamento per la protezione dei dati Payment Card Industry (PCI) è stato creato dal raggruppamento dei principali circuiti di pagamento internazionali (American Express, Discover Financial Services, JCB, MasterCard Worldwide e Visa International, ecc.), con l intento comune di migliorare il livello di sicurezza nella gestione dei dati dei titolari di carte di credito/debito, nelle transazioni elettroniche e nella gestione di tutte le informazioni ad esse correlate. All interno di tale regolamentazione di sicurezza sono stati creati una serie di requisiti di protezione delle informazioni uniformi per tutte le marche di carte di credito. Questi requisiti sono quindi stati raccolti in uno Standard internazionale, noto come PCI- DSS (Payment Card Industry Data Security Standard) per diffondere e semplificare l applicazione delle idonee misure di protezione dei dati e rendere tali misure coerenti e omogenee a livello internazionale. 12 AIPSA ICT Security & Privacy

15 3.3.1 Attori coinvolti in una transazione Acquirer Issuer Soggetto indipendente che provvede alla gestione delle autorizzazioni con Carte appartenenti a circuiti di Credito o Debito nazionali/internazionali, in virtù di un rapporto (contratto) di convenzione in essere con l esercente. Soggetto che emette Carte di pagamento appartenenti a circuiti di Credito e Debito nazionali/ internazionali. E il soggetto che concede l autorizzazione al pagamento. Rete E responsabile dell interconnessione tra Acquirer ed Issuer e di norma viene referenziata come Rete dei Circuiti Internazionali (ad es. Visa, MasterCard). L accesso alla Rete viene gestito dal Circuito Internazionale di riferimento. Card holders Titolare della Carta di Credito/ Debito. Merchant Chi vende prodotti/servizi online. Payment gateway E un software che interpreta e gestisce l interfaccia tra protocolli di Internet e il sistema di comunicazione privato delle società di credito; è in grado di gestire la transazione tra un commerciante e l entità finanziaria che emette carte di pagamento Requisiti per la conformità agli standard PCI-DSS Lo standard PCI DSS è costituito da un elenco di requisiti di protezione espressi in termini di gestione, criteri, procedure, architettura di rete, progettazione di software e altre misure di tutela dei dati dei titolari di carta. Lo standard è organizzato in un gruppo di sei principi e dodici requisiti. Ogni requisito contiene sottorequisiti la cui osservanza richiede l implementazione di particolari processi, criteri o soluzioni tecnologiche. I criteri e i requisiti PCI DSS obbligano a: costruire e mantenere una rete sicura; proteggere i dati dei titolari delle carte; implementare un programma di gestione delle vulnerabilità; introdurre misure forti di controllo degli accessi ai dati; provvedere regolarmente al monitoring e al testing della rete; mantenere una policy per la sicurezza delle informazioni. Lo standard è organizzato in un gruppo di sei principi e dodici requisiti. AIPSA ICT Security & Privacy 13

16 Lo standard PCI- DSS costituisce un requisito generale per tutte quelle entità che gestiscono dati di titolari di carte di credito/debito. La conformità allo standard permette di minimizzare i rischi connessi alla sicurezza dei dati attraverso la protezione. Un beneficio immediato nelladozione dello standard PCI DSS da parte dei Merchant è quindi quello di pagare meno per le transazione e di avere, in caso di frodi, adeguate garanzie per la copertura della frode stessa e per evitare penali da parte dei circuiti internazionali. I requisiti PCI-DSS si applicano esclusivamente se nell ambito di una data organizzazione viene in qualche modo utilizzato il numero di carta di credito o PAN (Numero Account Primario), indipendentemente dal fatto se tale numero viene memorizzato, elaborato o trasmesso. In particolare sono comuni dati da proteggere i singoli campi della carta di credito, ovvero Data di scadenza, Codice di Sevizio e Nome del Titolare ; tuttavia, anche se singolarmente tali dati devono essere conformi ai requisiti PCI-DSS, nel caso in cui venissero memorizzati insieme al PAN, i requisiti di sicurezza da applicare al dato aggregato sono ben superiori e si arriva fino alla cifratura dei dati sui DB o in transito ed all utilizzo di meccanismi di tracciamento adeguato per tutte le fasi di gestione o trattamento dei dati. Tali requisiti di sicurezza si applicano a tutti i componenti del sistema, dove per componenti del sistema si intende qualunque componente, server o applicazione della rete, che faccia parte o sia collegato all ambiente dati in cui sono custodite le informazioni dei titolari delle carte o vengono trattati i dati sensibili utili per l autenticazione e l accesso all ambiente dati. 3.4 Perché è importante ottemperarvi Lo standard PCI-DSS costituisce un requisito generale per tutte quelle entità che gestiscono dati di titolari di carte di credito/debito. Per mantenere un rapporto commerciale sano e positivo con esse, le banche acquirenti (Acquirer) sono tenute a garantire che i loro operatori commerciali (Merchant) osservino tutte le regole di sicurezza e che i Clienti finali siano tutelati in maniera adeguata. Analogamente, gli operatori commerciali e i fornitori di servizi hanno la possibilità di dimostrare il loro livello di conformità allo standard in modo da consolidare il rapporto commerciale con le banche acquirenti, evitando responsabilità o penali dovute all inosservanza delle principali regole di sicurezza. L adozione dello standard PCI-DSS consente, in particolare, di: individuare eventuali rischi nelle procedure di archiviazione o trasmissione dei dati di carta dei clienti; fornire una procedura trasparente di intervento e correttiva nell affrontare eventuali incidenti; dimostrare ai clienti la seria considerazione per la sicurezza dei loro dati. La conformità allo standard permette inoltre, in generale, di minimizzare i rischi connessi alla sicurezza dei dati attraverso la protezione: dal rischio di responsabilità economiche (compresi i costi causati da eventuali frodi perpetrate ai danni di clienti a seguito della compromissione dei loro dati); dal rischio di spese di natura investigativa e legale; dal rischio di una pubblicità negativa da parte dei mezzi di informazione. 14 AIPSA ICT Security & Privacy

17 3.5 Le conseguenze dell inosservanza In caso di inosservanza dello standard PCI-DSS da parte degli operatori commerciali, le società di carte di credito/debito hanno la facoltà di imporre sanzioni agli istituti bancari loro membri che, a loro volta, possono richiedere gli indennizzi agli operatori o Merchant inadempienti. Le sanzioni sono severe e vanno da sanzioni pecuniarie rilevanti fino al peggiore dei casi in cui gli operatori commerciali perdono la facoltà di elaborare le operazioni con carte di credito dei clienti. Sono altresì possibili altre conseguenze oltre alle sanzioni: la perdita dei dati dei titolari di carte di credito, accidentale o attraverso un furto, può anche comportare azioni legali da parte dei suddetti titolari, arrecando cattiva pubblicità e, di conseguenza, una perdita di business. Le aziende, inoltre, sono obbligate a informare le autorità di legge e devono offrire servizi gratuiti di protezione delle carte di credito/ debito ai soggetti potenzialmente coinvolti. 3.6 Obbligo di detection e notifica di violazioni di sicurezza dei dati delle carte Anche nel caso della sicurezza dei dati di carta di credito subentrano sia gli obblighi ed i vincoli delle responsabilità contrattuali e amministrative dell Azienda (ai sensi del D.lgs 231), sia le responsabilità penali degli amministratori o dei soggetti incaricati (derivanti, in caso di abusi, da possibili presenze di trattamento illecito di dati personali, di frodi o di crimini informatici). Quindi, nel caso in cui una Azienda gestisce transazioni con carte di credito dei clienti, deve ottemperare alle più idonee misure di sicurezza e protezione dei dati trattati; come riferimento per tali misure si possono prendere quelle definite dallo standard PCI, standard cui non è comunque obbligatorio ottemperare, ma lo sono le contromisure di protezione da esso identificate. In ogni caso valgono sempre le indicazioni di prevenzione per evitare ogni possibile trattamento illecito di dati personali, ogni forma di illeciti informatici (ai sensi della Normativa sulla Privacy e della Lg. 48/2008 sui crimini informatici). Risulta quindi, anche nel caso del trattamento di dati di carta di credito, rilevante l esistenza di adeguate procedure di Incident Handling, di Escalation e di Reporting degli eventi di sicurezza e di possibili casi di frodi; tali procedure sono indispensabili per l eventuale certificazione PCI-DSS dell organizzazione, e risultano fondamentali per rendere trasparente e con responsabilità ben definite il processo di gestione, utile anche ai fini di una possibile verifica o certificazione di terze parti. Procedure di Incident Handling, di Escalation e di Reporting degli eventi di sicurezza sono indispensabili per leventuale certificazione PCI-DSS dell organizzazione. AIPSA ICT Security & Privacy 15

18 4 Direttiva UE per la protezione delle infrastrutture critiche Le aziende si trovano in questi ultimi anni a dover fronteggiare situazioni che richiedono lattivazione di nuovi processi interni per rafforzare la protezione degli asset e delle informazioni aziendali e per gestire le situazioni di emergenza in cui possono incorrere. 4.1 Introduzione Attentati terroristici, disastri naturali, blackout energetici, attacchi informatici e altri eventi che minacciano la nostra società sono sempre più all ordine del giorno. Le aziende si trovano in questi ultimi anni a dover fronteggiare situazioni quasi sconosciute in precedenza, che richiedono l attivazione di nuovi processi interni sia per rafforzare la protezione degli asset e delle informazioni aziendali sia per gestire le situazioni di emergenza in cui possono incorrere. Tale problematica è stata ulteriormente rafforzata dall emanazione della Direttiva 2008/114/CE del Consiglio dell Unione Europea relativa all individuazione e protezione delle Infrastrutture Critiche Europee (ICE), ovvero quelle infrastrutture il cui eventuale danneggiamento o distruzione avrebbe un impatto significativo su più Stati dell Unione Europea. La Direttiva Europea si propone pertanto i seguenti obiettivi: identificare e censire le infrastrutture critiche di interesse europeo e, conseguentemente, quelle di rilevanza nazionale; garantire la protezione delle infrastrutture critiche individuate attraverso la definizione di idonee misure e strumenti operativi. 4.2 Contenuti normativi La Direttiva Europea 2008/114/CE dovrà essere recepita da ogni Stato Membro entro dicembre 2010 e stabilisce una serie di procedure e azioni per l individuazione 16 AIPSA ICT Security & Privacy

19 e la protezione delle Infrastrutture Critiche Europee, individuando le parti coinvolte e attribuendo specifiche responsabilità. Allo stato attuale, i settori individuati dalla Direttiva per l analisi delle IC sono quelli dell Energia e dei Trasporti, ma riconosce la necessità di estendere in futuro (già dal 2011) la lista dei settori critici, ed assegna la priorità al settore dell Information and Communication Technology (ICT). L attuazione della Direttiva comporta quindi una serie di adempimenti sia nei confronti dei Paesi Membri (Istituzioni), sia nei confronti dei Proprietari/Operatori di ICE: Adempimenti per gli Stati Membri in cui sono ubicate le ICE istituire un Organismo Nazionale Competente e nominare un Punto di Contatto Unico per garantire il coordinamento delle attività relative alle ICE; definire l approccio metodologico per l individuazione e l analisi delle infrastrutture critiche di interesse europeo; indicare i criteri per designare e valutare la criticità delle infrastrutture critiche ed i criteri per valutare ex ante le loro interdipendenze ( effetti domino ); identificare le possibili infrastrutture critiche nazionali ed europee; formulare proposte e richieste di designazione di ICE verso altri Stati Membri; gestire le richieste di designazione di ICE identificate in Italia dagli altri Stati Membri; designare le ICE situate nel territorio nazionale; eseguire un analisi dei rischi a livello nazionale per valutare le minacce e vulnerabilità riguardanti le ICE situate nel proprio territorio; gestire i rapporti con la Commissione Europea e con i Proprietari/Operatori di Infrastrutture Critiche nazionali ed europei; censire e validare i Piani di Sicurezza predisposti dai Proprietari/Operatori per garantire la protezione delle ICE. La Direttiva è finalizzata alla definizione di linee guida comuni per garantire la protezione delle infrastrutture nonché la valorizzazione della qualità minima dei servizi essenziali per il benessere della popolazione, la sicurezza nazionale ed il buon funzionamento del Sistema Paese. Adempimenti per i Proprietari/Operatori di ICE nominare un Funzionario di Collegamento in materia di sicurezza dell infrastruttura critica che agisca come punto di riferimento con l Organismo Nazionale Competente; predisporre un Piano di Sicurezza dell Operatore (PSO) in cui identificare i beni dell infrastruttura critica e le soluzioni in atto o in corso di implementazione per la loro protezione; individuare le componenti che costituiscono l infrastruttura critica europea; eseguire un analisi dei rischi sull infrastruttura critica che comprenda le minacce, le vulnerabilità e l impatto potenziale per ogni componente; identificare, selezionare e prioritizzare le contromisure da implementare per garantire la sicurezza dell ICE; gestire operativamente il Piano di Sicurezza dell Operatore. E importante sottolineare come attualmente la Direttiva non contiene nessuna disposizione obbligatoria nei confronti degli Stati Membri e nei confronti degli Operatori proprietari delle ICE, ma è principalmente finalizzata alla definizione di linee guida comuni per garantire la protezione delle infrastrutture che caratterizzano la qualità della vita dei cittadini nonché la valorizzazione della qualità minima dei servizi essenziali per il benessere della popolazione, la sicurezza nazionale ed il buon funzionamento del Sistema Paese. AIPSA ICT Security & Privacy 17

20 AIPSA Piazzale R. Morandi, Milano C.F Partita Iva Tel. e Fax

Comunicazione informativa sul Modello 231 e Codice Etico. MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO AI SENSI DEL D.Lgs. 8 GIUGNO 2001 N.

Comunicazione informativa sul Modello 231 e Codice Etico. MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO AI SENSI DEL D.Lgs. 8 GIUGNO 2001 N. Comunicazione informativa sul Modello 231 e Codice Etico MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO AI SENSI DEL D.Lgs. 8 GIUGNO 2001 N. 231 MODELLO DI ORGANIZZAZIONE Con la disciplina dettata dal

Dettagli

Vista la deliberazione del Consiglio Direttivo dell Autorità d Informazione Finanziaria del 27 ottobre 2011 EMANA. Premessa

Vista la deliberazione del Consiglio Direttivo dell Autorità d Informazione Finanziaria del 27 ottobre 2011 EMANA. Premessa ISTRUZIONE N.1 IN MATERIA DI ORGANIZZAZIONE, PROCEDURE E CONTROLLI INTERNI VOLTI A PREVENIRE L UTILIZZO DEGLI ENTI VIGILATI A FINI DI RICICLAGGIO E DI FINANZIAMENTO DEL TERRORISMO Il Presidente dell Autorità

Dettagli

CODICE DI COMPORTAMENTO. Per il Personale Coinvolto nelle Attività di Trasporto, Stoccaggio e Distribuzione del Gas Naturale

CODICE DI COMPORTAMENTO. Per il Personale Coinvolto nelle Attività di Trasporto, Stoccaggio e Distribuzione del Gas Naturale 1111 CODICE DI COMPORTAMENTO Per il Personale Coinvolto nelle Attività di Trasporto, Stoccaggio e Distribuzione del Gas Naturale INDICE 1 INTRODUZIONE...4 La separazione funzionale nel settore energetico...

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

ORGANISMO DI VIGILANZA

ORGANISMO DI VIGILANZA ALLEGATO 3 ORGANISMO DI VIGILANZA 12 1. Il decreto 231/01 e l istituzione dell OdV Come noto il Decreto 231/01 ha introdotto una nuova forma di responsabilità delle persone giuridiche per alcuni tipi di

Dettagli

CODICE DI COMPORTAMENTO PER IL PERSONALE COINVOLTO NELL ATTIVITA DI DISTRIBUZIONE E MISURA DEL GAS NATURALE. ACSM-AGAM Reti Gas Acqua S.r.l.

CODICE DI COMPORTAMENTO PER IL PERSONALE COINVOLTO NELL ATTIVITA DI DISTRIBUZIONE E MISURA DEL GAS NATURALE. ACSM-AGAM Reti Gas Acqua S.r.l. CODICE DI COMPORTAMENTO PER IL PERSONALE COINVOLTO NELL ATTIVITA DI DISTRIBUZIONE E MISURA DEL GAS NATURALE ACSM-AGAM Reti Gas Acqua S.r.l. Approvato dal CdA del 15 ottobre 2010 2 INDICE Preambolo...4

Dettagli

Consulenza sul Documento Programmatico sulla Sicurezza in ottemperanza al nuovo Testo Unico sulla Privacy

Consulenza sul Documento Programmatico sulla Sicurezza in ottemperanza al nuovo Testo Unico sulla Privacy GP&A Srl Via Seprio, 2 20149 Milano Phone: 02/45.49.53.73 Fax: 02/45.49.53.74 Email: info@gpa.it Consulenza sul Documento Programmatico sulla Sicurezza in ottemperanza al nuovo Testo Unico sulla Privacy

Dettagli

CODICE DI COMPORTAMENTO

CODICE DI COMPORTAMENTO CODICE DI COMPORTAMENTO Per il personale coinvolto nelle attività di distribuzione dell energia elettrica e del gas naturale Rev. 03 del 21/12/2015 Il presente Codice di Comportamento è stato elaborato

Dettagli

FONDAZIONE PIEMONTESE PER LA RICERCA SUL CANCRO - ONLUS. Modello di organizzazione, gestione e controllo ai sensi del D. Lgs.

FONDAZIONE PIEMONTESE PER LA RICERCA SUL CANCRO - ONLUS. Modello di organizzazione, gestione e controllo ai sensi del D. Lgs. FONDAZIONE PIEMONTESE PER LA RICERCA SUL CANCRO - ONLUS Modello di organizzazione, gestione e controllo ai sensi del D. Lgs. 231/2001 MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO AI SENSI DEL D. LGS.

Dettagli

Manomissioni Le linee di intervento adottate dal Consorzio BANCOMAT. Roma, 3 Novembre 2011

Manomissioni Le linee di intervento adottate dal Consorzio BANCOMAT. Roma, 3 Novembre 2011 Manomissioni Le linee di intervento adottate dal Consorzio BANCOMAT Roma, 3 Novembre 2011 Agenda Scenario di riferimento Metodologia di contrasto adottata dal Consorzio BANCOMAT Tipologie Manomissioni

Dettagli

CODICE DI COMPORTAMENTO

CODICE DI COMPORTAMENTO CODICE DI COMPORTAMENTO Per il personale coinvolto nelle attività di distribuzione e misura del gas naturale Rev. 01 del 10.06.2015 Il presente Codice di Comportamento è stato elaborato per assicurare

Dettagli

Documento Programmatico sulla Sicurezza delle Informazioni. Ver. 1.00

Documento Programmatico sulla Sicurezza delle Informazioni. Ver. 1.00 Documento Programmatico sulla Sicurezza delle Informazioni Ver. 1.00 20 Ottobre 1998 InfoCamere S.C.p.A. Documento Programmatico sulla Sicurezza delle Informazioni Indice 1. Introduzione...3 2. Principi

Dettagli

Avv. Carlo Autru Ryolo

Avv. Carlo Autru Ryolo Gestione della responsabilità amministrativa L'apparato organizzativo della D.Lgs. 231/01 e il Sistema di Gestione della Responsabilità Amministrativa L'APPARATO ORGANIZZATIVO DELLA D.LGS. 231/01 Disciplina

Dettagli

Il Sistema di Gestione della Sicurezza e Salute sul Lavoro OHSAS 18000:2007 e il Modello di Organizzazione e Controllo secondo il D.Lgs.

Il Sistema di Gestione della Sicurezza e Salute sul Lavoro OHSAS 18000:2007 e il Modello di Organizzazione e Controllo secondo il D.Lgs. Convegno ASACERT Il Sistema di Gestione della Sicurezza e Salute sul Lavoro OHSAS 18000:2007 e il Modello di Organizzazione e Controllo secondo il D.Lgs. 231/01 Centro Congressi Relaisfranciacorta 20 marzo

Dettagli

CNIPA. "Codice privacy" Il Documento Programmatico di Sicurezza. 26 novembre 2007. Sicurezza dei dati

CNIPA. Codice privacy Il Documento Programmatico di Sicurezza. 26 novembre 2007. Sicurezza dei dati CNIPA "Codice privacy" 26 novembre 2007 Sicurezza dei dati Quando si parla di sicurezza delle informazioni, i parametri di riferimento da considerare sono: Integrità Riservatezza Disponibilità 1 I parametri

Dettagli

VERONA, 20 Settembre 2010. Ing. Flavia Lepore Senior Inspector HSE. - Copyright Bureau Veritas

VERONA, 20 Settembre 2010. Ing. Flavia Lepore Senior Inspector HSE. - Copyright Bureau Veritas Il modello di Organizzazione, Gestione e Controllo ai sensi del D.Lgs 231/01 e il reato connesso ad omicidio o lesioni personali gravi e gravissime in violazione di norme sulla prevenzione degli infortuni

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

PCI DSS ISTRUZIONI OPERATIVE

PCI DSS ISTRUZIONI OPERATIVE PCI DSS ISTRUZIONI OPERATIVE ver febbraio 2014 COS E IL PCI SSC (SECURITY STANDARD COUNCIL) L'organizzazione è stata fondata da Visa, Inc., MasterCard Worldwide, American Express, Discover Financial Services

Dettagli

La nuova disciplina in materia di tutela della privacy (D.Lgs. 30.6.2003 n. 196) Principali novità

La nuova disciplina in materia di tutela della privacy (D.Lgs. 30.6.2003 n. 196) Principali novità La nuova disciplina in materia di tutela della privacy (D.Lgs. 30.6.2003 n. 196) Principali novità INDICE 1 Il nuovo Codice sulla privacy... 2 2 Ambito di applicazione... 2 3 Soggetti coinvolti dal trattamento

Dettagli

Matteo Colombo Esperto in materia di Privacy e D.Lgs. 231/2001, Amministratore Delegato di Labor Project

Matteo Colombo Esperto in materia di Privacy e D.Lgs. 231/2001, Amministratore Delegato di Labor Project Matteo Colombo Esperto in materia di Privacy e D.Lgs. 231/2001, Amministratore Delegato di Labor Project IL MANUALE È AD USO ESCLUSIVO DEI CORSISTI: NE È VIETATA LA RIPRODUZIONE 1 Il D.Lgs. 231/01 Il D.Lgs.

Dettagli

Università degli Studi di Udine. Modalità e limiti di utilizzo della rete telematica dell Università di Udine

Università degli Studi di Udine. Modalità e limiti di utilizzo della rete telematica dell Università di Udine Università degli Studi di Udine Modalità e limiti di utilizzo della rete telematica dell Università di Udine Gruppo di lavoro istituito il 16 aprile 2004 con decreto rettorale n. 281 Pier Luca Montessoro,

Dettagli

PROTOCOLLO INTERNO PER LA PREVENZIONE DEI REATI INFORMATICI Approvato. Data. Rev C.d.A 02/01/2012

PROTOCOLLO INTERNO PER LA PREVENZIONE DEI REATI INFORMATICI Approvato. Data. Rev C.d.A 02/01/2012 . PROT. 8 Pag 1/7 PROTOCOLLO INTERNO PER LA PREVENZIONE DEI REATI E DEL TRATTAMENTO ILLECITO DEI DATI, PER LA PREVENZIONE DEI DELITTI IN MATERIA DI VIOLAZIONE DEL DIRITTO D AUTORE E DEI DELITTI CONTRO

Dettagli

Privacy policy. Obiettivo dell avviso

Privacy policy. Obiettivo dell avviso Privacy policy Obiettivo dell avviso La presente Privacy Policy ha lo scopo di descrivere le modalità di gestione del Sito web: http://www.reteivo.eu (di seguito anche il Sito ), in riferimento al trattamento

Dettagli

ACAM Ambiente S.p.A.

ACAM Ambiente S.p.A. ACAM Ambiente S.p.A. Modello di organizzazione e controllo ex D.Lgs. 231/2001 Delitti informatici e trattamento illecito dei dati Approvato con determinazione A.U. del 23.12.2014 1/11 Sommario 1. Ambito

Dettagli

ALLEGATO C AREE DI ATTIVITA A RISCHIO REATO, REATI ASSOCIABILI E PRESIDI ORGANIZZATIVI

ALLEGATO C AREE DI ATTIVITA A RISCHIO REATO, REATI ASSOCIABILI E PRESIDI ORGANIZZATIVI Realizzazione di programmi di formazione e di servizi a favore del personale finanziati con contributi pubblici Area di attività a rischio diretto con riferimento ai Corruzione pubblica 1 Truffa in danno

Dettagli

TAVOLI DI LAVORO 231 PROGRAMMA DEI LAVORI. PLENUM Consulting Group S.r.l.

TAVOLI DI LAVORO 231 PROGRAMMA DEI LAVORI. PLENUM Consulting Group S.r.l. TAVOLI DI LAVORO 231 PROGRAMMA DEI LAVORI N. 1559 UNI EN ISO 9001:2008 PLENUM Consulting Group S.r.l. Via San Quintino, 26/A 10121 TORINO -ITALY Tel +39 011 812 47 05 Fax +39 011 812 70 70 E-mail: plenum@plenum.it

Dettagli

PARTE SPECIALE Sezione II. Reati informatici

PARTE SPECIALE Sezione II. Reati informatici PARTE SPECIALE Sezione II Reati informatici PARTE SPECIALE Sezione II Sommario 1.Le fattispecie dei Reati Presupposto (Art. 24 bis del D. Lgs. 231/01)... 3 2.Processi Sensibili... 5 3.Regole generali...

Dettagli

Banche e Sicurezza 2015

Banche e Sicurezza 2015 Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso

Dettagli

Mappa dei rischi elaborata sulla base dell analisi del contesto e della valutazione dell ambiente di controllo

Mappa dei rischi elaborata sulla base dell analisi del contesto e della valutazione dell ambiente di controllo sulla base dell analisi del contesto e della valutazione dell ambiente di Pag. di NUMERO EDIZIONE DATA MOTIVAZIONE 6/09/204 Adozione ALLEGATO Mappa dei rischi ALLEGATO Mappa dei rischi elaborata sulla

Dettagli

Gestione dei dati e della sicurezza e conformità

Gestione dei dati e della sicurezza e conformità Gestione dei dati e della sicurezza e conformità Milano, 18 aprile 2013 Valentina Binasco L attuale quadro normativo: un breve ripasso il Codice Privacy (D. Lgs. 196/03): riunisce in unico contesto la

Dettagli

Fornitori d Eccellenza

Fornitori d Eccellenza Fornitori d Eccellenza Dal 1994 Consulenza e Formazione Aziendale www.gestaonline.it Sistemi gestionali Sicurezza sul lavoro Ambiente Modelli 231 Direzione aziendale La nostra missione è quella di aiutare

Dettagli

REGOLAMENTO AZIENDALE SULLA TUTELA DELLA PRIVACY

REGOLAMENTO AZIENDALE SULLA TUTELA DELLA PRIVACY REGOLAMENTO AZIENDALE SULLA TUTELA DELLA PRIVACY Art. 1 Oggetto Il presente regolamento disciplina gli interventi diretti alla tutela della privacy in ambito sanitario. Esso si attiene alle disposizioni

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

1/2 (e non può comunque essere superiore ad Euro 103.291,38)

1/2 (e non può comunque essere superiore ad Euro 103.291,38) FAQ sul MOG 1. Che cos è il D. Lgs. 231/2001? Il D. Lgs. 231/2001 entrato in vigore il 4 luglio 2001, individua le disposizioni normative concernenti la disciplina della responsabilità amministrativa delle

Dettagli

AQM incontra le imprese 27 Gennaio 2012

AQM incontra le imprese 27 Gennaio 2012 ucci UTILIZZO DI FINANZIAMENTI INAIL SISTEMI DI GESTIONE PER LA SICUREZZA, MODELLI 231 SEMPLIFICATI PER LA PREVENZIONE DEI REATI SULLA SICUREZZA AQM incontra le imprese 27 Gennaio 2012 AGENDA Il Bando

Dettagli

ELENCO DEGLI ADEMPIMENTI RICHIESTI A TITOLARI DEL TRATTAMENTO PRIVATI DALLA NORMATIVA PRIVACY.

ELENCO DEGLI ADEMPIMENTI RICHIESTI A TITOLARI DEL TRATTAMENTO PRIVATI DALLA NORMATIVA PRIVACY. ELENCO DEGLI ADEMPIMENTI RICHIESTI A TITOLARI DEL TRATTAMENTO PRIVATI DALLA NORMATIVA PRIVACY. Il presente documento ha lo scopo di illustrare gli adempimenti di natura legale e di natura tecnico-informatica

Dettagli

D.Lgs. 231 e reati informatici, strumenti e modelli di controllo integrati

D.Lgs. 231 e reati informatici, strumenti e modelli di controllo integrati INFORMATION RISK MANAGEMENT D.Lgs. 231 e reati informatici, strumenti e modelli di controllo integrati Convegno AIEA Roma, 3 marzo 2010 ADVISORY Agenda Introduzione Il D.Lgs. 231/2001 I reati informatici

Dettagli

Modello di organizzazione gestione e controllo ai sensi del D.Lgs 231/2001

Modello di organizzazione gestione e controllo ai sensi del D.Lgs 231/2001 Modello di organizzazione gestione e controllo ai sensi del D.Lgs 231/2001 Parte Speciale Sezione Delitti informatici e trattamento illecito di dati ELENCO DELLE REVISIONI REV. DATA NATURA DELLE MODIFICHE

Dettagli

WWW.BERTINIASSICURAZIONI.IT

WWW.BERTINIASSICURAZIONI.IT WWW.BERTINIASSICURAZIONI.IT NOTE LEGALI E PRIVACY POLICY Vers.1.0 INTRODUZIONE Lo scopo delle Note Legali e della Privacy Policy è quello di garantire all Utente di poter verificare in piena trasparenza

Dettagli

Nufarm Italia S.r.l MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO. ai sensi del D.Lgs. n. 231/2001

Nufarm Italia S.r.l MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO. ai sensi del D.Lgs. n. 231/2001 Nufarm Italia S.r.l MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO ai sensi del D.Lgs. n. 231/2001 Il presente documento ha lo scopo di illustrare il Modello di Organizzazione, Gestione e Controllo adottato

Dettagli

REGOLE DI COMPORTAMENTO

REGOLE DI COMPORTAMENTO REGOLE DI COMPORTAMENTO Missione e valori La Finprest Srl, agente in attività finanziaria con iscrizione BANCA D ITALIA nr. A7739, opera nel settore del credito al consumo mediante concessione di finanziamenti

Dettagli

INDIVIDUAZIONE E VALUTAZIONE DEI RISCHI

INDIVIDUAZIONE E VALUTAZIONE DEI RISCHI RHRG00 INDIVIDUAZIONE E VALUTAZIONE DEI RISCHI Rev. 01 2014.10.20 Pagine 10 Pagina 1 RHRG00 REVISIONE 01 INDIVIDUAZIONE E VALUTAZIONE DEI RISCHI RAVENNA HOLDING S.P.A. Via Trieste, 90/A - 48122 Ravenna

Dettagli

Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi

Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi 3 Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi 1. Premessa Il Sistema di Controllo Interno e di Gestione dei Rischi di Fiat S.p.A. (la Società ) costituisce elemento

Dettagli

La norma UNI EN ISO 14001:2004

La norma UNI EN ISO 14001:2004 La norma COS È UNA NORMA La normazione volontaria Secondo la Direttiva Europea 98/34/CE del 22 giugno 1998: "norma" è la specifica tecnica approvata da un organismo riconosciuto a svolgere attività normativa

Dettagli

Il Decreto 231: quadro di riferimento e guida interpretativa - seconda parte

Il Decreto 231: quadro di riferimento e guida interpretativa - seconda parte S.A.F. SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO SISTEMI DI COMPLIANCE E DECRETO LEGISLATIVO 231 DEL 2001 Il Decreto 231: quadro di riferimento e guida interpretativa - seconda parte Stefano Bonetto e Francesco

Dettagli

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono

Dettagli

CODI CE DI COMPORTAMENTO PER IL PERSONALE COINVOLTO NELLE ATTIVITA DI DISTRIBUZIONE E MISURA DEL GAS NATURALE

CODI CE DI COMPORTAMENTO PER IL PERSONALE COINVOLTO NELLE ATTIVITA DI DISTRIBUZIONE E MISURA DEL GAS NATURALE CODI CE DI COMPORTAMENTO PER IL PERSONALE COINVOLTO NELLE ATTIVITA DI DISTRIBUZIONE E MISURA DEL GAS NATURALE INDICE 1. INTRODUZIONE... 3 1.1 La separazione funzionale nel settore energetico... 3 1.2 Il

Dettagli

L'Antiriciclaggio: Evoluzione normativa Pagina 1 di 8. a cura di. Data Ufficio E-learning. Gruppo Data Ufficio Spa

L'Antiriciclaggio: Evoluzione normativa Pagina 1 di 8. a cura di. Data Ufficio E-learning. Gruppo Data Ufficio Spa L'Antiriciclaggio: Evoluzione normativa Pagina 1 di 8 M.1 L'ANTIRICICLAGGIO Evoluzione normativa a cura di Data Ufficio E-learning Gruppo Data Ufficio Spa L'Antiriciclaggio: Evoluzione normativa Pagina

Dettagli

Compliance aziendale Ex D.lgs. 231/01

Compliance aziendale Ex D.lgs. 231/01 Compliance aziendale Ex D.lgs. 231/01 Consultec Srl Cos è il D.Lgs. n. 231/01 Il D.Lgs. n. 231/2001 ha introdotto nel nostro ordinamento il principio della responsabilità amministrativa delle persone giuridiche

Dettagli

GESTIONE DEI FINANZIAMENTI

GESTIONE DEI FINANZIAMENTI 1 GESTIONE DEI FINANZIAMENTI Documento redatto da: Reparto Funzione Nome Firma Data Organismo di Vigilanza Organismo di Vigilanza Approvato dal Consiglio di Amministrazione in data 13 maggio 2010 2 INDICE

Dettagli

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Davide Lizzio CISA CRISC Venezia Mestre, 26 Ottobre 2012 Informazioni Aziendali: Il processo di

Dettagli

LINEE GUIDA PER LA PREDISPOSIZIONE DEL DOCUMENTO DI PROGETTO DEL SISTEMA DI GIOCO

LINEE GUIDA PER LA PREDISPOSIZIONE DEL DOCUMENTO DI PROGETTO DEL SISTEMA DI GIOCO ALLEGATO A LINEE GUIDA PER LA PREDISPOSIZIONE DEL DOCUMENTO DI PROGETTO DEL SISTEMA DI GIOCO Premessa Il documento di progetto del sistema (piattaforma) di gioco deve tener conto di quanto previsto all

Dettagli

Privacy Policy di questo sito

Privacy Policy di questo sito Privacy Policy di questo sito Con il presente avviso Key Word S.r.l. di seguito KEY WORD Vi informa sulle modalità di gestione del sito web accessibile per via telematica a partire dall indirizzo https://www.energyfeedback.it

Dettagli

Comune di Medicina Provincia di Bologna REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA

Comune di Medicina Provincia di Bologna REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA Comune di Medicina Provincia di Bologna REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA Approvato con Delibera del Consiglio Comunale n.125 del 28/09/2015 1 INDICE Articolo 1 Oggetto pag. 3 Articolo

Dettagli

Nome modulo: VIGENTI DISPOSIZIONI DI LEGGE IN MATERIA DI TUTELA DEI DATI E DI CRIMINALITÀ INFORMATICA ANCHE EUROPEE

Nome modulo: VIGENTI DISPOSIZIONI DI LEGGE IN MATERIA DI TUTELA DEI DATI E DI CRIMINALITÀ INFORMATICA ANCHE EUROPEE NOME LEZIONE: INTRODUZIONE Il Codice privacy è entrato in vigore il 1 gennaio 2004 e riunisce in un unico contesto la legge 675/1996 e gli altri decreti legislativi in materia, i regolamenti e i codici

Dettagli

RESPONSABILITÀ DI IMPRESA (D.L. 231/01) E PRIVACY AREA LAZIO E AREA MARCHE

RESPONSABILITÀ DI IMPRESA (D.L. 231/01) E PRIVACY AREA LAZIO E AREA MARCHE RESPONSABILITÀ DI IMPRESA (D.L. 231/01) E PRIVACY AREA LAZIO E AREA MARCHE D&D srl offre servizi di consulenza per la responsabilità d impresa (D. Lgs. n. 231/01) e la privacy agli Enti, alle PMI e alle

Dettagli

Travelex Data Protection & Privacy and Information Security Guidelines

Travelex Data Protection & Privacy and Information Security Guidelines Nel corso del rapporto di lavoro con la Travelex, potrai venire in contatto con informazioni relative ai nostri clienti, partner e dipendenti. Il livello e la sensibilità delle informazioni varieranno

Dettagli

Legge 3 agosto 2007, n. 123. Prime indicazioni applicative. Ai Signori Direttori degli SPISAL delle Aziende ULSS del Veneto LORO SEDI

Legge 3 agosto 2007, n. 123. Prime indicazioni applicative. Ai Signori Direttori degli SPISAL delle Aziende ULSS del Veneto LORO SEDI Legge 3 agosto 2007, n. 123. Prime indicazioni applicative. Ai Signori Direttori degli SPISAL delle Aziende ULSS del Veneto LORO SEDI Facendo seguito alla informativa trasmessa dalla scrivente Direzione

Dettagli

Notifica trattamento di dati personali: ultime precisazioni per privati e professionisti ( Garante Privacy, parere 23.04.2004 )

Notifica trattamento di dati personali: ultime precisazioni per privati e professionisti ( Garante Privacy, parere 23.04.2004 ) Notifica trattamento di dati personali: ultime precisazioni per privati e professionisti ( Garante Privacy, parere 23.04.2004 ) A ridosso del termine previsto per la notifica, il Garante per la protezione

Dettagli

TURISMO TORINO E PROVINCIA CODICE ETICO

TURISMO TORINO E PROVINCIA CODICE ETICO TURISMO TORINO E PROVINCIA CODICE ETICO INDICE INTRODUZIONE AL CODICE ETICO E AMBITO DI APPLICAZIONE... 3 PRINCIPI E NORME DI RIFERIMENTO... 4 ART. 1 PRINCIPI GENERALI... 4 ART. 2 PRINCIPIO DI LEGALITA

Dettagli

INFORMATIVA PER I CLIENTI

INFORMATIVA PER I CLIENTI INFORMATIVA PER I CLIENTI INFORMATIVA AI SENSI DELL'ART. 13 DEL D. LGS. 196/2003 ( Codice in materia di protezione dei dati personali o anche Codice Privacy ) I) Finalità e Modalità del trattamento cui

Dettagli

COMUNE DI FLORIDIA REGOLAMENTO COMUNALE. Provincia di Siracusa APPROVATO DAL CONSIGLIO COMUNALE PER L INSTALLAZIONE E L UTILIZZO DEI SISTEMI DI

COMUNE DI FLORIDIA REGOLAMENTO COMUNALE. Provincia di Siracusa APPROVATO DAL CONSIGLIO COMUNALE PER L INSTALLAZIONE E L UTILIZZO DEI SISTEMI DI COMUNE DI FLORIDIA Provincia di Siracusa REGOLAMENTO COMUNALE PER L INSTALLAZIONE E L UTILIZZO DEI SISTEMI DI VIDEOSORVEGLIANZA SUL TERRITORIO DI FLORIDIA APPROVATO DAL CONSIGLIO COMUNALE CON VERBALE N.4

Dettagli

http://it.linkedin.com/in/marialberto Napoli 07/06/2013 - Alberto Mari (Sicev 265 - Apco CMC 0512-A)

http://it.linkedin.com/in/marialberto Napoli 07/06/2013 - Alberto Mari (Sicev 265 - Apco CMC 0512-A) 1 Seminario Aggiornamento Valutatori SICEV Intervento Dai Sistemi di Gestione al Modello di Organizzazione, Gestione e Controllo secondo il DLgs. 231/2001 Napoli 07/06/2013 - Alberto Mari (Sicev 265 -

Dettagli

NOTE LEGALI E PRIVACY POLICY

NOTE LEGALI E PRIVACY POLICY WWW.CELLASHIRLEY.COM NOTE LEGALI E PRIVACY POLICY Vers.1.0 INTRODUZIONE Lo scopo delle Note Legali e della Privacy Policy è quello di garantire all Utente di poter verificare in piena trasparenza le attività

Dettagli

NOTE LEGALI E PRIVACY POLICY WWW.SITGROUP.IT

NOTE LEGALI E PRIVACY POLICY WWW.SITGROUP.IT NOTE LEGALI E PRIVACY POLICY WWW.SITGROUP.IT Vers.1/2013 INTRODUZIONE Lo scopo delle Note Legali e della Privacy Policy è quello di garantire all Utente di poter verificare in piena trasparenza le attività

Dettagli

Servizio Organizzazione e Sistemi Informativi. Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio

Servizio Organizzazione e Sistemi Informativi. Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio Servizio Organizzazione e Sistemi Informativi Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio Marco Tempra Campione d Italia, 18 giugno 2012 Banca Popolare di Sondrio Fondata nel

Dettagli

Allegato al Codice di Condotta del Gruppo Ricoh valevole per Ricoh Italia Srl ai fini del D. Lgs 231/2001

Allegato al Codice di Condotta del Gruppo Ricoh valevole per Ricoh Italia Srl ai fini del D. Lgs 231/2001 Allegato al Codice di Condotta del Gruppo Ricoh valevole per Ricoh Italia Srl ai fini del D. Lgs 231/2001 Allegato al Codice Comportamento Aziendale.docV. 1.1 del 01/07/2013 1 Introduzione Il Codice di

Dettagli

DECRETO LEGISLATIVO 231/01

DECRETO LEGISLATIVO 231/01 DECRETO LEGISLATIVO 231/01 Il Decreto Legislativo 231/2001 ha introdotto per la prima volta nell ordinamento giuridico italiano il principio della responsabilità amministrativa delle persone giuridiche

Dettagli

Circolare Informativa

Circolare Informativa Circolare Informativa Spett. Clienti, Loro Sedi Treviso, il 7 marzo 2010 RESPONSABILITÀ AMMINISTRATIVA PER LE SOCIETÀ DI CAPITALI EX D.LGS. N.231/2001 CERTIFICAZIONE SICUREZZA AZIENDALE OHSAS 18001 Ricordiamo

Dettagli

REATI DI RICETTAZIONE, RICICLAGGIO E IMPIEGO DI DENARO

REATI DI RICETTAZIONE, RICICLAGGIO E IMPIEGO DI DENARO MODELLO DI ORGANIZZAZIONE GESTIONE E CONTROLLO ai sensi del D.lgs 8 giugno 2001 n. 231 Parte Speciale E REATI DI RICETTAZIONE, RICICLAGGIO E IMPIEGO DI DENARO di Fujitsu Technology Solutions S.p.A. Vers.

Dettagli

generalità 2 importanza del miglioramento continuo 2 Impegno professionale 2 Rispetto delle persone 2 Integrità 2 Lealtà 3 Partecipazione 3

generalità 2 importanza del miglioramento continuo 2 Impegno professionale 2 Rispetto delle persone 2 Integrità 2 Lealtà 3 Partecipazione 3 Codice etico Allegato del Modello di Organizzazione e di Gestione articolo 25-septies e articolo 25 undecies del D.Lgs. 231/01 20/01/2012 Approvato dal Consiglio di Amministrazione SOMMARIO generalità

Dettagli

PCI-DSS. Sicurezza dei dati delle carte di pagamento

PCI-DSS. Sicurezza dei dati delle carte di pagamento PCI-DSS Sicurezza dei dati delle carte di pagamento Torino, 19 Aprile 2012 Agenda PCI Council e Standard collegati Storia e life-cycle della PCI-DSS Applicabilità, soggetti e ruoli Adempimenti, "incentivi"

Dettagli

REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA NELLE AREE DI COMPETENZA DELLA COMUNITA VALSUGANA E TESINO

REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA NELLE AREE DI COMPETENZA DELLA COMUNITA VALSUGANA E TESINO REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA NELLE AREE DI COMPETENZA DELLA COMUNITA VALSUGANA E TESINO Approvato con deliberazione dell Assemblea della Comunità n. 5 del 10.02.2014 1 REGOLAMENTO

Dettagli

Manuale Informativo. Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali

Manuale Informativo. Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali Manuale Informativo Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali INDEX Il D.Lgs. 196/2003 Termini e Fondamenti Gli attori Organizzazione e Responsabilità

Dettagli

Modello di Organizzazione Gestione e Controllo ex D.Lgs. n. 231/2001

Modello di Organizzazione Gestione e Controllo ex D.Lgs. n. 231/2001 Studio Bolzoni Modello di Organizzazione Gestione e Controllo ex D.Lgs. n. 231/2001 Introduzione Il decreto legislativo 8 giugno 2001, n. 231 ha introdotto nell ordinamento italiano la responsabilità degli

Dettagli

LA COMPLIANCE FISCALE NELLE BANCHE: IMPATTO SUI MODELLI DI ORGANIZZAZIONE, GESTIONE E CONTROLLO

LA COMPLIANCE FISCALE NELLE BANCHE: IMPATTO SUI MODELLI DI ORGANIZZAZIONE, GESTIONE E CONTROLLO Focus on LA COMPLIANCE FISCALE NELLE BANCHE: IMPATTO SUI MODELLI DI ORGANIZZAZIONE, GESTIONE E CONTROLLO Aprile 2016 www.lascalaw.com www.iusletter.com Milano Roma Torino Bologna Firenze Ancona Vicenza

Dettagli

measures to ensure a high common level of network and information security across the Union 3

measures to ensure a high common level of network and information security across the Union 3 Legislazione CYBER SECURITY: il nuovo ordine esecutivo del Presidente americano Obama e la recente proposta di direttiva UE Network and Information Security (NIS) Marcoccio Gloria Diritto.it La sicurezza

Dettagli

Allegato del Modello di Organizzazione e di Gestione (D. Lgs. 8 giugno 2001, n. 231 e art. 30 del D. Lgs. 9 aprile 2008, n.81)

Allegato del Modello di Organizzazione e di Gestione (D. Lgs. 8 giugno 2001, n. 231 e art. 30 del D. Lgs. 9 aprile 2008, n.81) Sommario 2 3 6 8 Principi di comportamento Principi d azione Rispetto della legalità Rispetto della salute e della sicurezza sul lavoro Rispetto dell ambiente e della collettività Rapporti con fornitori

Dettagli

Piano Anticorruzione It.City S.p.A.

Piano Anticorruzione It.City S.p.A. Piano Anticorruzione It.City S.p.A. 2014 2016 Indice Premessa... 2 Organizzazione... 4 Referenti... 5 Compiti operativi dei Referenti... 7 Aree di rischio... 8 I Controlli... 9 La Trasparenza... 10 Codice

Dettagli

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI COMUNE DI BRESCIA REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI Adottato dalla Giunta Comunale nella seduta del 26.3.2003 con provvedimento n. 330/11512 P.G. Modificato

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 4 Marco Fusaro KPMG S.p.A. 1 CobiT Obiettivi del CobiT (Control Objectives

Dettagli

GLI ADEGUATI ASSETTI ORGANIZZATIVI

GLI ADEGUATI ASSETTI ORGANIZZATIVI D.LGS. 231/2001: ADEMPIMENTI NELL AMBITO DELLA COMPLIANCE AZIENDALE Torino, 1 dicembre 2011 GLI ADEGUATI ASSETTI ORGANIZZATIVI Convegno «D.lgs 231/2001» - Torino, 01 dicembre 2011 Centro Congressi Villa

Dettagli

PRIVACY-VIDEOSORVEGLIANZA

PRIVACY-VIDEOSORVEGLIANZA Circolare n. 1/08 del 20 novembre 2008* PRIVACY-VIDEOSORVEGLIANZA Riferimenti normativi La forma di sorveglianza legata all utilizzo di sistemi di ripresa delle immagini, definita videosorveglianza, è

Dettagli

MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO. DI TRENITALIA S.p.A. Sintesi

MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO. DI TRENITALIA S.p.A. Sintesi MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO DI TRENITALIA S.p.A. Sintesi Luglio 2014 Il Consiglio di Amministrazione di Trenitalia S.p.A. ha approvato con delibera del 23 febbraio 2005 il Modello di

Dettagli

L'anno il giorno del mese di, nella sede municipale del Comune di Nome_Ente

L'anno il giorno del mese di, nella sede municipale del Comune di Nome_Ente CONVENZIONE FRA IL COMUNE DI NOME_ENTE E PUBBLICHE AMMINISTRAZIONI O GESTORI DI PUBBLICO SERVIZIO, PER L'ACCESSO IN CONSULTAZIONE DELLA BANCA DATI DELL ANAGRAFE DELLA POPOLAZIONE L'anno il giorno del mese

Dettagli

Comune di San Martino Buon Albergo Provincia di Verona

Comune di San Martino Buon Albergo Provincia di Verona Comune di San Martino Buon Albergo Provincia di Verona REGOLAMENTO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (Approvato con deliberazione di Consiglio Comunale n. 32 del 12/05/2009) Sommario Art. 1.

Dettagli

FONDAZIONE TERZO PILASTRO ITALIA E MEDITERRANEO CODICE ETICO FONDAZIONE TERZO PILASTRO - ITALIA E MEDITERRANEO 1/9 VIA M. MINGHETTI 17 00187 ROMA

FONDAZIONE TERZO PILASTRO ITALIA E MEDITERRANEO CODICE ETICO FONDAZIONE TERZO PILASTRO - ITALIA E MEDITERRANEO 1/9 VIA M. MINGHETTI 17 00187 ROMA FONDAZIONE TERZO PILASTRO ITALIA E MEDITERRANEO VIA M. MINGHETTI 17 00187 ROMA Tel. 0039.06.97625591 Fax. 0039.06.98380693 mail: fondazione@fondazioneterzopilastro.it CODICE ETICO 1/9 Sommario 1.Generalità...

Dettagli

La protezione dei dati personali

La protezione dei dati personali La protezione dei dati personali PER GLI ENTI NO-PROFIT Comitato di Gestione per il Fondo Speciale per il Volontariato Provincia Autonoma di Bolzano Alto Adige Presidenza Ufficio Affari di Gabinetto I

Dettagli

Consulenza Civile e Penale alle aziende Consulenza penale alle aziende ex D.lgs. 231/01

Consulenza Civile e Penale alle aziende Consulenza penale alle aziende ex D.lgs. 231/01 Consulenza Civile e Penale alle aziende Consulenza penale alle aziende ex D.lgs. 231/01 1) L attivita legale esterna- Outsorcing D impresa Un azienda all avanguardia per migliorare la propria produttività

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

Regolamento al trattamento dati per la piattaforma "Sofia" e Misure di Sicurezza adottate

Regolamento al trattamento dati per la piattaforma Sofia e Misure di Sicurezza adottate Regolamento al trattamento dati per la piattaforma "Sofia" e Pagina 1 di 10 INDICE 1. Definizioni 3 2. Individuazione dei tipi di dati e di operazioni eseguibili 4 3. Titolare del trattamento, oneri informativi

Dettagli

Modelli Organizzativi di controllo e di gestione ex D.Lgs. 231/01

Modelli Organizzativi di controllo e di gestione ex D.Lgs. 231/01 Studio Porcaro Commercialisti Modelli Organizzativi di controllo e di gestione ex D.Lgs. 231/01 La responsabilità amministrativa dipendente da reato delle persone giuridiche Studio Porcaro Commercialisti

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

PROTOCOLLO D INTESA REGIONE CAMPANIA COMANDO REGIONALE CAMPANIA DELLA GUARDIA DI FINANZA

PROTOCOLLO D INTESA REGIONE CAMPANIA COMANDO REGIONALE CAMPANIA DELLA GUARDIA DI FINANZA PROTOCOLLO D INTESA TRA REGIONE CAMPANIA E COMANDO REGIONALE CAMPANIA DELLA GUARDIA DI FINANZA AI FINI DEL COORDINAMENTO DEI CONTROLLI E DELLO SCAMBIO DI INFORMAZIONI IN MATERIA DI FINANZIAMENTI DEI FONDI

Dettagli

NOTE LEGALI E PRIVACY POLICY

NOTE LEGALI E PRIVACY POLICY WWW.CASATASSO.COM NOTE LEGALI E PRIVACY POLICY Vers.1.0 INTRODUZIONE Lo scopo delle Note Legali e della Privacy Policy è quello di garantire all Utente di poter verificare in piena trasparenza le attività

Dettagli

Regolamento per la gestione delle segnalazioni di illeciti da parte dei dipendenti dell Università degli Studi di Milano e della relativa tutela

Regolamento per la gestione delle segnalazioni di illeciti da parte dei dipendenti dell Università degli Studi di Milano e della relativa tutela Regolamento per la gestione delle segnalazioni di illeciti da parte dei dipendenti dell Università degli Studi di Milano e della relativa tutela Art. 1 Finalità e oggetto 1. Il presente Regolamento è emesso

Dettagli

Provincia di Lucca ****************** REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA SUL TERRITORIO COMUNALE

Provincia di Lucca ****************** REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA SUL TERRITORIO COMUNALE COMUNE FOSCIANDORA Provincia di Lucca ****************** REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA SUL TERRITORIO COMUNALE Approvato dal Consiglio Comunale con deliberazione n. 25 in data 13/07/2010

Dettagli

LINEE GUIDA PER LA PREDISPOSIZIONE DEL DOCUMENTO DI PROGETTO DEL SISTEMA DI GIOCO

LINEE GUIDA PER LA PREDISPOSIZIONE DEL DOCUMENTO DI PROGETTO DEL SISTEMA DI GIOCO ALLEGATO A LINEE GUIDA PER LA PREDISPOSIZIONE DEL DOCUMENTO DI PROGETTO DEL SISTEMA DI GIOCO Premessa Il documento di progetto del sistema (piattaforma) di gioco deve tener conto di quanto previsto all

Dettagli

Data Privacy Policy. Novembre 2013. Pagina 1 di 10

Data Privacy Policy. Novembre 2013. Pagina 1 di 10 Data Privacy Policy Novembre 2013 Pagina 1 di 10 INDICE I) PRINCIPI... 3 1 Obiettivi... 3 2 Requisiti e Standards minimi... 3 3 Ruoli e Responsabilità... 4 4 Consapevolezza e formazione... 5 5 Processi

Dettagli

Consorzio Polizia Locale Valle Agno

Consorzio Polizia Locale Valle Agno REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA MOBILE EFFETTUATA DAL CONSORZIO DI POLIZIA LOCALE VALLE AGNO NEI TERRITORI COMUNALI DI VALDAGNO, RECOARO TERME, CORNEDO VICENTINO E CASTELGOMBERTO

Dettagli