ICT Security & Privacy

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "ICT Security & Privacy"

Transcript

1 n.1 ICT Security & Privacy Incidenti di sicurezza: esperienza, gestione, notifica e legislazione di riferimento

2 INTRODUZIONE Security Breach Notification Reati di Criminalità Informatica (ex D.Lgs. n. 231/2001) PCI-DSS: Payment Card Industry Data Security Standard Direttiva UE per la protezione delle infrastrutture critiche...16

3 Introduzione Le moderne società operano in un contesto di mercato dinamico e globale che le ha portate ad evolvere i propri modelli di business. Al centro di questa trasformazione ci sono le informazioni, sempre più essenziali per una gestione proattiva di clienti e fornitori; i dati opportunamente aggregati e correlati dai sistemi di Business Intelligence sono utili per la progettazione e la vendita di prodotti servizi e sono necessari per comprendere i trend di mercato di medio e lungo periodo. La protezione dei dati e quindi un elemento centrale nella gestione integrata alla sicurezza basata su un attento presidio di processi, persone, infrastrutture e tecnologia. Un approccio integrato alla sicurezza e più in generale alla compliance non può prescindere da un puntuale processo di detection, monitoraggio e gestione degli incidenti di sicurezza, compresi quelli di tipo informatico. La gestione degli incidenti informatici e diventata quindi oggetto di discussione e dibattito non solo nel mondo delle imprese private ma anche di quelle pubbliche e degli enti regolatori a livello nazionale ed internazionale. Questo quaderno ha un duplice obiettivo; da una parte riassumere e sistematizzare la normativa gia in vigore per permettere una rapida consultazione a tutti i soci, dall altro inserire una descrizione delle normative in fase di approvazione a livello italiano ed internazionale che avranno un sicuro impatto sugli aspetti strategici, di governance e operativi della Security Aziendale. Il quaderno vuole quindi essere una guida per tutti i colleghi che debbono rapidamente conoscere requisiti normativi e best practices relative alla gestione e notifica degli incidenti di sicurezza che coinvolgono le informazioni. Autori del Quaderno Corradino Corradi e Michele Fabbri, Rocco Mammoliti e Emanuela Negro, Raoul Savastano e Andrea Mariotti, Vodafone Italia Telecom Italia Ernst & Young - Italia Un ringraziamento particolare a tutti i membri del gruppo di lavoro AIPSA sul tema ICT Security & Privacy che hanno contribuito agli approfondimenti ed alle analisi utili per la stesura di questo quaderno. GDL AIPSA - ICT SECURITY & PRIVACY Corradino Corradi Vodafone Italia Rocco Mammoliti Telecom Italia Raoul Savastano Ernst & Young Italia Elisabettta Longhi Crif Luca Rizzo Fastweb Angelo Berghella ACEA Massimo Cottafavi Reply Pasquale Mancino Alenia Aeronautica Eduardo Parisi Sicuritalia Questa pubblicazione è stata stampata grazie al contributo di Spike Reply AIPSA ICT Security & Privacy 1

4 1 Security Breach Notification Normative e procedure di gestione e notifica di eventi di data breach La diffusione del cybercrime a livello internazionale e la continua evoluzione dei mercati, degli obiettivi e delle tecniche di attacco rendono il fenomeno di difficile contrasto. Se fino al 2008 gli obiettivi dei criminali sono state le banche dati e i dati personali dei consumatori, nel 2009 gli attacchi avevano l obiettivo principale di sottrarre PIN e altri dati di accesso a servizi finanziari (es. conti correnti, carte di pagamento). I Clienti che rimangono vittima di una violazione dei propri dati personali hanno il diritto di essere informati su tali abusi, hanno il diritto ad avere informazioni sulle cause e sulle carenze di sicurezza che hanno favorito tali eventi e, soprattutto, sulle azioni che tutti gli attori in causa possono svolgere per mitigare gli impatti ed evitare che accadano nuovamente tali violazioni. 2 AIPSA ICT Security & Privacy

5 1.1 La normativa In America In molti stati americani la normativa sul Security Breach Notification è già operativa da diversi anni. Ad es., la California Security Breach Notification Law (SB 1396), in vigore dal 2003, sancisce il diritto per i cittadini di essere informati tempestivamente sulle violazioni dei loro dati personali e di essere istruiti e guidati nell applicazione delle misure di prevenzione e contrasto. La legge californiana ha avuto diffusione in quasi tutti gli Stati Uniti diventando uno stimolo per le aziende ad investire in sicurezza per utilizzare e proteggere i dati personali, migliorando l affidabilità dei fornitori di servizi. In Europa Il 13 novembre 2007 la Commissione della Comunità Europea ha presentato una proposta di modifica della direttiva 2002/58/CE relativa al trattamento dei dati personali ed alla tutela della vita privata nel settore delle comunicazioni elettroniche includendo: obbligo di notifica delle violazioni di sicurezza che comportano la perdita dei dati personali degli utenti o compromettono i dati stessi; rafforzamento delle disposizioni di attuazione relative alla sicurezza delle reti e delle informazioni; rafforzamento delle disposizioni di attuazione e controllo per far sì che, a livello dei singoli Stati membri, siano disponibili misure sufficienti di lotta nei confronti dei messaggi di posta elettronica indesiderata; precisazione che la direttiva si applica anche alle reti di comunicazione pubblica che supportano i dispositivi di raccolta dati e di identificazione. La proposta di modifica renderebbe operativo, nell ordinamento giuridico comunitario, un meccanismo analogo a quello già in vigore negli Stati Uniti previsto dalla California Security Breach Notification Law (SB 1396), anche se in ambito più ristretto, applicandosi soltanto ai fornitori di servizi di comunicazione accessibili al pubblico. Il Garante Europeo per la Privacy è intervenuto con un suo parere (2008/C 181/01) in cui ha espresso un giudizio globalmente positivo. Il 25 novembre 2009 è stata quindi emanata la direttiva 2009/136/CE recante importanti modifiche alla direttiva 2002/58/CE dirette a rafforzare la tutela della vita privata e della riservatezza dei dati attraverso un complesso di disposizioni più rigoroso in materia di sicurezza e meccanismi di controllo. In Italia In estrema sintesi si può rappresentare lo stato dell arte in Italia sul Data Breach come segue: c è l obbligo di notificazione ai Clienti dei data breaches occorsi nell esercizio di servizi di comunicazione elettronica (Dir. 2009/136/CE); vi sono diverse considerazioni ed orientamenti in favore di un estensione di tale obbligo a settori diversi dalle TLC (ad es. mondo bancario); il Garante Privacy italiano sta lavorando per recepire nel sistema normativo nazionale l obbligo di notificazione dei data breaches, ed è possibile che venga adottato un Provvedimento specifico. Gruppo AIPSA di lavoro ICT ICT Security Security & Privacy & Privacy 3

6 Il fornitore, appena viene a conoscenza di una violazione che comporta accidentalmente o in modo illecito la distruzione, la perdita, la rivelazione non autorizzata o laccesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio, deve notificarla allautorità nazionale. 1.2 Le novità introdotte dalla normativa europea sul Security Breach Notification Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico, oltre ad istituire una politica di sicurezza per il trattamento di dati personali, deve mettere in atto regolarmente le misure di: monitoraggio; prevenzione; correzione; attenuazione. Le autorità nazionali, al fine di difendere gli interessi dei cittadini, devono assicurare un elevato livello di protezione dei loro dati personali e della loro vita privata. Devono dotarsi pertanto di mezzi necessari per: disporre dei dati completi ed affidabili sugli incidenti di sicurezza che hanno compromesso i dati personali degli utenti; controllare le misure adottate dai fornitori; diffondere le best practices tra i fornitori. Il fornitore, appena viene a conoscenza di una violazione che comporta accidentalmente o in modo illecito la distruzione, la perdita, la rivelazione non autorizzata o l accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio, deve notificarla all autorità nazionale competente includendo: informazioni di dettaglio sulla violazione; le conseguenze della violazione; le misure proposte o adottate per porvi rimedio. 4 AIPSA ICT Security & Privacy

7 Saranno previste misure tecniche di attuazione riguardanti le circostanze, il formato, le procedure applicabili alle prescrizioni in materia di informazioni e comunicazioni ma che tengano conto anche degli interessi legittimi delle autorità giudiziarie e di polizia nei casi in cui una diffusione prematura rischi di ostacolare inutilmente l indagine sulle circostanze della violazione stessa. Il fornitore, pertanto, dovrà tenere una documentazione delle violazioni dei dati personali al fine di permettere l ulteriore analisi e valutazione da parte delle autorità nazionali competenti. Quando la violazione rischia di pregiudicare i dati personali o la vita privata di una persona, il fornitore deve darne comunicazione alla persona interessata. La comunicazione deve includere: la descrizione della natura della violazione; i contatti per ottenere maggiori informazioni; le misure raccomandate per attuare i possibili effetti pregiudizievoli della violazione. Se il fornitore dimostra all autorità di aver utilizzato tutte le opportune misure tecnologiche di protezione, non ha l obbligo della notifica all utente a meno che l autorità, valutando le ripercussioni negative della violazione stessa, obblighi il fornitore a farlo. Il mancato rispetto dell obbligo di comunicazione comporta provvedimenti o sanzioni specifiche. Quando la violazione rischia di pregiudicare i dati personali o la vita privata di una persona, il fornitore deve darne comunicazione alla persona interessata. Il mancato rispetto dellobbligo di comunicazione comporta provvedimenti o sanzioni specifiche. Non è ancora nota la data a partire dalla quale sarà obbligatorio in Italia il Security Breach Notification, che comunque non dovrebbe essere oltre i primi mesi del AIPSA ICT Security & Privacy 5

8 2 Reati di Criminalità Informatica (ex D.Lgs. n. 231/2001 sanzioni interdittive e pecuniarie) La materia dei reati informatici è stata recentemente modificata dalla legge 48/2008 1, che ha introdotto nuove figure di reato informatico e l inasprimento di fattispecie incriminatrici già esistenti. In particolare, la legge 48/2008 ha aggiunto all impianto normativo del D.lgs 231/2001, l art 24 bis ( Delitti informatici e trattamento illecito dei dati ), ampliando, di fatto, le fattispecie di reato che possono generare la responsabilità amministrativa delle aziende. La legge 48/2008 ha aggiunto, allimpianto normativo del D.lgs 231/2001, lart 24 bis Delitti informatici e trattamento illecito dei dati, ampliando di fatto le fattispecie di reato che possono generare la responsabilità amministrativa delle aziende. 2.1 Considerazioni generali e case study Il nuovo articolo 24 bis del D. Lgs. 231/2001 ha esteso la responsabilità amministrativa delle persone giuridiche e degli enti alla quasi totalità dei reati informatici. Come specificato nella relazione di accompagnamento al disegno di legge, infatti, l introduzione di tale articolo risponde all esigenza di introdurre forme di responsabilità penale per le persone giuridiche anche con riferimento ai reati informatici più gravi. Alla luce dei presupposti applicativi del decreto, le aziende saranno considerate responsabili per i delitti informatici commessi nel loro interesse o a loro vantaggio da persone che rivestono funzioni di rappresentanza, amministrazione, direzione dell ente o di una sua unità organizzativa, ma anche da persone sottoposte alla loro direzione o vigilanza. 1 Legge 18 marzo 2008, n.48 recante Ratifica ed esecuzione della Convenzione del Consiglio d Europa sulla criminalità informatica, di Budapest del 23 novembre 2001, e norme di adeguamento dell ordinamento interno, pubblicata nella Gazzetta Ufficiale n. 80 del 4 aprile Supplemento ordinario n AIPSA ICT Security & Privacy

9 Le tipologie di reato informatico, quindi, interessano quei comportamenti illeciti posti in essere dai soggetti in posizione apicale o subordinata (dipendenti e/o collaboratori esterni), che utilizzano gli strumenti e le tecnologie informatiche/ telematiche aziendali per lo svolgimento delle normali attività lavorative. Le aziende o gli enti che utilizzano in maniera preponderante gli strumenti informatici e telematici, per lo svolgimento delle proprie attività e, in alcuni settori, per l erogazione di servizi, sono in maggior misura esposte ai suddetti comportamenti illeciti. In generale, è opportuno che siano implementate idonee strategie di prevenzione atte ad impedire la realizzazione dei reati informatici e ad escludere la responsabilità dell azienda nel caso di commissione dei reati. In questo scenario, nasce l esigenza di effettuare opportuni controlli e verifiche periodiche specialmente in quelle aree aziendali (es. gestione finanziaria, gestione clienti/fornitori, area ICT, ecc.) maggiormente esposte al rischio di commissione di reati informatici che possano determinare un interesse o un vantaggio economico per l azienda. Inoltre, alla luce dell integrazione apportata dalla L. 48/08 alla disciplina della responsabilità amministrativa degli enti, le aziende dovranno anche verificare che il loro stato in tema di ICT Security Governance & Management sia tale da poter consentire l attivazione dell esimente dalla responsabilità (ovvero della non responsabilità dell Azienda), previsto dal D.Lgs.231/2001, in caso di commissione di un delitto informatico al loro interno. In altri termini, si tratterà di verificare l esistenza di misure di sicurezza e di controllo preventive, idonee ad evitare la commissione dei reati informatici al loro interno, e provvedere all adeguamento dei propri modelli di organizzazione, gestione e controllo, laddove si rendesse necessario. In tal modo, in caso di presenza di reati informatici, le Aziende possono facilmente dimostrare la propria estraneità e la propria non responsabilità penale rispetto ai fatti accaduti. E opportuno che siano implementate idonee strategie di prevenzione atte ad impedire la realizzazione dei reati informatici e ad escludere la responsabilità dellazienda nel caso di commissione dei reati. La prevenzione dei crimini informatici deve quindi essere svolta attraverso adeguate contromisure organizzative, tecnologiche e normative; in via generale, anche se tali contromisure vanno adattate in modo specifico alla situazione peculiare dell Azienda interessata, dovrebbero essere previsti almeno i seguenti controlli di carattere generale: prevedere nel Codice Etico e nel Sistema Disciplinare aziendali specifiche indicazioni volte ad impedire la commissione dei reati informatici sia all interno dell ente, che tramite apparecchiature non soggette al controllo della stessa; fornire indicazioni normative e comportamentali (anche attraverso un Codice Comportamentale per la prevenzione dei crimini informatici) rivolte a tutto il personale aziendale per minimizzare il rischio di compimento, anche in maniera involontaria, di illeciti informatici; stabilire programmi di informazione, formazione e di sensibilizzazione rivolti al personale aziendale al fine di diffondere una chiara consapevolezza sui rischi derivanti da un utilizzo improprio delle risorse informatiche aziendali; prevedere un idoneo sistema di gestione incidenti ed un idoneo sistema di sanzioni disciplinari (o vincoli contrattuali nel caso di terze parti) a carico dei dipendenti (o soggetti terzi) che violino in maniera intenzionale i sistemi di controllo o le indicazioni comportamentali fornite; dotarsi di adeguati strumenti tecnologici atti a prevenire e/o impedire la realizzazione di illeciti informatici da parte dei dipendenti e in particolare di quelli appartenenti alle strutture aziendali ritenute più esposte al rischio. AIPSA ICT Security & Privacy 7

10 Anche se non è un obbligo esplicito del D.lgs 231, una efficace implementazione allinterno dellazienda di uno specifico Modello Organizzativo 231, prevede lesistenza di adeguate procedure di Incident Handling, di Escalation e di Reporting degli eventi di sicurezza; tali procedure, che implicano la messa in atto di un processo continuo di segnalazioni verso gli organismi interni (tipicamente gli Organismi di Vigilanza) e verso le Autorità competenti (tipicamente la Polizia delle Comunicazioni), sono garanzie fondamentali per rendere trasparente e con responsabilità ben definite il processo di gestione, utile anche ai fini di una possibile verifica o certificazione di terze parti. Il sistema di controllo per la prevenzione dei reati di criminalità informatica dovrà altresì basarsi, ove applicabili, sui seguenti principi generali ed accorgimenti: separazione dei ruoli che intervengono nelle attività chiave dei processi operativi esposti a rischio; tracciabilità degli accessi e delle attività svolte sui sistemi informatici che supportano i processi esposti a rischio; procedure e livelli autorizzativi da associarsi alle attività critiche dei processi operativi esposti a rischio; raccolta, analisi e gestione degli incidenti e di segnalazioni di fattispecie a rischio di reati informatici rilevati da soggetti interni e esterni all Azienda; procedure di escalation per la gestione di incidenti e di fattispecie a rischio di reato caratterizzate da elevata criticità e nella gestione dei rapporti con gli Enti Istituzionali. L ambito di applicazione dell art. 24 bis è tale da richiedere competenze tecniche ed esperienze specifiche ai fini dello svolgimento delle attività richieste per la compliance al d.lgs. 231/2001 (definizione delle possibili modalità di realizzazione dei reati, valutazione dei relativi rischi connessi alle carenze del sistema informatico, valutazione dell efficacia dei presidi esistenti e definizione delle azioni correttive/ integrative). E quindi utile valorizzare o raccomandare, anche ai fini 231, l aderenza generale di una organizzazione a framework e standard internazionalmente riconosciuti in tema di ICT Security Governance, Management & Compliance; tale aderenza è un elemento qualificante e di ausilio rispetto ai possibili presidi utilizzabili ai fini di una corretta implementazione di un adeguato sistema di controllo interno. 8 AIPSA ICT Security & Privacy

11 Alcuni standard internazionali o regolamentazioni nazionali che risultano utili al miglioramento dei sistemi di controllo interno sono ad esempio i seguenti: COBIT (Control Objectives for Information and related Technology); ISO (norma internazionale che fornisce i requisiti per un sistema di gestione della sicurezza delle informazioni); Codice Privacy (Codice in materia di protezione dei dati personali ed i Provvedimenti specifici del Garante Privacy). L authority negli ultimi due anni ha posto particolare enfasi agli aspetti di raccolta delle evidenze tramite opportuni strumenti di audit log e nel Provvedimento del 17 Gennaio 2008 (Sicurezza dei dati di traffico telefonico e telematico) ha imposto, ai soggetti giuridici in ambito al provvedimento stesso, attività di controllo periodico. I controlli devono comprendere anche verifiche a posteriori, a campione o su eventuale allarme derivante da sistemi di Alerting e di Anomaly Detection, sulla legittimità e liceità degli accessi ai dati effettuati dagli incaricati, sull integrità dei dati e delle procedure informatiche adoperate per il loro trattamento. L attività di controllo deve inoltre essere adeguatamente documentata, richiamata all interno del Documento Programmatico della Sicurezza e, a richiesta, messa a disposizione del Garante o dell autorità giudiziaria; PCI-DSS (Payment Card Industry Data Security Standard); regolamenti di settore per gli aspetti di sicurezza (es. Market Abuse, AGCOM, Sarbanes-Oxley, Basilea II, ecc.). AIPSA ICT Security & Privacy 9

12 A titolo di esempio, con riferimento al Code of Practices ISO 27001:2005, i punti di controllo specifici rilevanti ai fini della prevenzione dei suddetti reati sono riconducibili alle seguenti tipologie: ruoli e responsabilità di coloro che intervengono nelle attività strategiche associate ai processi aziendali più esposti a rischio reato; definizione di programmi di formazione e sensibilizzazione rivolti al personale aziendale al fine di diffondere maggiore consapevolezza sulle azioni da intraprendere nel caso in cui si rilevi un incidente di sicurezza a rischio di reato durante l espletamento delle proprie mansioni; modalità di accesso ai sistemi informatici aziendali mediante adeguate procedure di autorizzazione che prevedano, ad esempio, la concessione dei diritti di accesso ad un soggetto soltanto a seguito della verifica dell esistenza di effettive esigenze di accesso derivanti dalle mansioni aziendali che competono al ruolo ricoperto dal soggetto; esistenza di una procedura per il controllo degli accessi; separazione dei compiti e delle aree di responsabilità al fine di ridurre il rischio di utilizzo improprio dei beni dell organizzazione; tracciabilità degli accessi e delle attività critiche svolte tramite i sistemi informatici aziendali; esistenza di procedure per la segnalazione e la gestione di eventi relativi alla sicurezza; definizione e attuazione di un processo di autorizzazione della direzione per le strutture di elaborazione delle informazioni; esistenza di procedure di escalation che assicurano una tempestiva ed efficace gestione degli incidenti di sicurezza a rischio di reato; esistenza di procedure per garantire la riservatezza dei dati secondo quanto stabilito dalle normative vigenti; esistenza di misure volte a scoraggiare gli utenti dall utilizzare le strutture di elaborazione delle informazioni per scopi non appropriati; inclusione di requisiti di sicurezza delle informazioni negli accordi con terze parti che prevedano accesso, elaborazione, comunicazione o gestione delle informazioni e delle infrastrutture dell ente; effettuazione di verifiche, preliminari all assunzione, dei candidati all impiego, nonché di collaboratori esterni, proporzionali ai requisiti di business, alla classificazione delle informazioni che dovranno essere accedute; presenza di termini e condizioni nel contratto di lavoro che precisano le responsabilità in tema di trattamento delle informazioni. 10 AIPSA ICT Security & Privacy

13 3 PCI-DSS: Payment Card Industry Data Security Standard - Requisiti per la protezione delle informazioni relative alle carte di pagamento 3.1 Introduzione L incremento del volume di acquisti effettuati tramite carte di credito e di debito e lo sfruttamento, a fini illeciti, delle tecnologie e dei sistemi di pagamento, rende l ambito della sicurezza sui sistemi di pagamento sempre più importante. Il crimine informatico e relativa minaccia del furto d identità riducono la fiducia degli utenti e dei consumatori nella tecnologia in generale e nel commercio elettronico in particolare. Le grandi aziende che offrono servizi di pagamento on line o basate su carte di credito, gestiscono un elevato numero di transazioni annue con carte di pagamento; per questo motivo chi si occupa di sicurezza all interno delle organizzazioni si pone l obiettivo di: garantire un elevato livello di protezione delle informazioni relative alle carte di credito; censire i dati (cardholder data) definendo il perimetro all interno del quale tali dati sono gestiti; valutare la sicurezza delle applicazioni che utilizzano i dati delle carte, anche attraverso l analisi e la revisione del codice sorgente dei programmi; Crimine informatico e furto didentità riducono la fiducia degli utenti e dei consumatori nella tecnologia. avere delle opportune procedure di gestione degli incidenti e delle frodi, che permette di assicurare una corretta, tempestiva ed idonea applicazione delle contromisure di sicurezza previste; creare delle opportune sinergie sugli aspetti di sicurezza con i gestori di Carte di Credito e con i circuiti internazionali, utili anche ai fini di una corretta gestione (p.e. Service Provider come CartaSi e circuiti come VISA e Mastercard). AIPSA ICT Security & Privacy 11

14 3.2 Gli illeciti relativi alle carte Le possibili frodi relative alle carte di credito si dividono generalmente in due macro categorie: plastic fraud - si intendono tutte quelle tipologie di frode che interessano la carta in quanto tale, vale a dire nella sua dimensione materiale. In linea generale, il riferimento è ai casi di furto o contraffazione ai quali segue il riutilizzo della carta, appunto rubata o contraffatta, in transazioni face-toface, ossia in quelle transazioni che avvengono in presenza fisica delle due parti (consumatore e fornitore); CNP fraud - consiste nel furto dei dettagli relativi alla carta di credito (ad es. il nome del titolare, il numero di carta, la data di scadenza, il codice CVV), quindi in assenza del possessore titolare (CNP, Cardholder-Not-Present). (BOX). Nelle frodi sulle carte di credito la tecnica più diffusa è quella del furto didentità. La repressione delle frodi realizzate con carte di credito è assicurata in Italia dall art. 12 ex L. 197/91, dove sono punite tre fattispecie aventi ad oggetto le carte di credito o di pagamento o qualsiasi altro documento che abiliti al prelievo di denaro contante o all acquisto di beni o alla prestazione di servizi. Le tre fattispecie sono: 1. l utilizzazione indebita; 2. la contraffazione delle carte di credito; 3. la ricettazione delle carte di credito. La frode informatica rientra nell ambito dei crimini informatici meglio disciplinati con l approvazione della legge 48/2008 sul Cybercrime, e quindi anche nell ambito della responsabilità amministrativa delle Aziende ai fini del D.lgs 231. La frode informatica si distingue dalla truffa perché l attività fraudolenta dell agente investe non la persona (soggetto passivo), bensì il sistema informatico. Nelle frodi sulle carte di credito la tecnica più diffusa è quella del furto d identità con la quale si carpiscono informazioni riservate (numero di carta di credito, codice segreto, dati personali del titolare della carta). In particolare il phishing rappresenta la principale truffa sul furto di identità, basata su transazioni online non autorizzate dal titolare. 3.3 Lo standard PCI-DSS Il regolamento per la protezione dei dati Payment Card Industry (PCI) è stato creato dal raggruppamento dei principali circuiti di pagamento internazionali (American Express, Discover Financial Services, JCB, MasterCard Worldwide e Visa International, ecc.), con l intento comune di migliorare il livello di sicurezza nella gestione dei dati dei titolari di carte di credito/debito, nelle transazioni elettroniche e nella gestione di tutte le informazioni ad esse correlate. All interno di tale regolamentazione di sicurezza sono stati creati una serie di requisiti di protezione delle informazioni uniformi per tutte le marche di carte di credito. Questi requisiti sono quindi stati raccolti in uno Standard internazionale, noto come PCI- DSS (Payment Card Industry Data Security Standard) per diffondere e semplificare l applicazione delle idonee misure di protezione dei dati e rendere tali misure coerenti e omogenee a livello internazionale. 12 AIPSA ICT Security & Privacy

15 3.3.1 Attori coinvolti in una transazione Acquirer Issuer Soggetto indipendente che provvede alla gestione delle autorizzazioni con Carte appartenenti a circuiti di Credito o Debito nazionali/internazionali, in virtù di un rapporto (contratto) di convenzione in essere con l esercente. Soggetto che emette Carte di pagamento appartenenti a circuiti di Credito e Debito nazionali/ internazionali. E il soggetto che concede l autorizzazione al pagamento. Rete E responsabile dell interconnessione tra Acquirer ed Issuer e di norma viene referenziata come Rete dei Circuiti Internazionali (ad es. Visa, MasterCard). L accesso alla Rete viene gestito dal Circuito Internazionale di riferimento. Card holders Titolare della Carta di Credito/ Debito. Merchant Chi vende prodotti/servizi online. Payment gateway E un software che interpreta e gestisce l interfaccia tra protocolli di Internet e il sistema di comunicazione privato delle società di credito; è in grado di gestire la transazione tra un commerciante e l entità finanziaria che emette carte di pagamento Requisiti per la conformità agli standard PCI-DSS Lo standard PCI DSS è costituito da un elenco di requisiti di protezione espressi in termini di gestione, criteri, procedure, architettura di rete, progettazione di software e altre misure di tutela dei dati dei titolari di carta. Lo standard è organizzato in un gruppo di sei principi e dodici requisiti. Ogni requisito contiene sottorequisiti la cui osservanza richiede l implementazione di particolari processi, criteri o soluzioni tecnologiche. I criteri e i requisiti PCI DSS obbligano a: costruire e mantenere una rete sicura; proteggere i dati dei titolari delle carte; implementare un programma di gestione delle vulnerabilità; introdurre misure forti di controllo degli accessi ai dati; provvedere regolarmente al monitoring e al testing della rete; mantenere una policy per la sicurezza delle informazioni. Lo standard è organizzato in un gruppo di sei principi e dodici requisiti. AIPSA ICT Security & Privacy 13

16 Lo standard PCI- DSS costituisce un requisito generale per tutte quelle entità che gestiscono dati di titolari di carte di credito/debito. La conformità allo standard permette di minimizzare i rischi connessi alla sicurezza dei dati attraverso la protezione. Un beneficio immediato nelladozione dello standard PCI DSS da parte dei Merchant è quindi quello di pagare meno per le transazione e di avere, in caso di frodi, adeguate garanzie per la copertura della frode stessa e per evitare penali da parte dei circuiti internazionali. I requisiti PCI-DSS si applicano esclusivamente se nell ambito di una data organizzazione viene in qualche modo utilizzato il numero di carta di credito o PAN (Numero Account Primario), indipendentemente dal fatto se tale numero viene memorizzato, elaborato o trasmesso. In particolare sono comuni dati da proteggere i singoli campi della carta di credito, ovvero Data di scadenza, Codice di Sevizio e Nome del Titolare ; tuttavia, anche se singolarmente tali dati devono essere conformi ai requisiti PCI-DSS, nel caso in cui venissero memorizzati insieme al PAN, i requisiti di sicurezza da applicare al dato aggregato sono ben superiori e si arriva fino alla cifratura dei dati sui DB o in transito ed all utilizzo di meccanismi di tracciamento adeguato per tutte le fasi di gestione o trattamento dei dati. Tali requisiti di sicurezza si applicano a tutti i componenti del sistema, dove per componenti del sistema si intende qualunque componente, server o applicazione della rete, che faccia parte o sia collegato all ambiente dati in cui sono custodite le informazioni dei titolari delle carte o vengono trattati i dati sensibili utili per l autenticazione e l accesso all ambiente dati. 3.4 Perché è importante ottemperarvi Lo standard PCI-DSS costituisce un requisito generale per tutte quelle entità che gestiscono dati di titolari di carte di credito/debito. Per mantenere un rapporto commerciale sano e positivo con esse, le banche acquirenti (Acquirer) sono tenute a garantire che i loro operatori commerciali (Merchant) osservino tutte le regole di sicurezza e che i Clienti finali siano tutelati in maniera adeguata. Analogamente, gli operatori commerciali e i fornitori di servizi hanno la possibilità di dimostrare il loro livello di conformità allo standard in modo da consolidare il rapporto commerciale con le banche acquirenti, evitando responsabilità o penali dovute all inosservanza delle principali regole di sicurezza. L adozione dello standard PCI-DSS consente, in particolare, di: individuare eventuali rischi nelle procedure di archiviazione o trasmissione dei dati di carta dei clienti; fornire una procedura trasparente di intervento e correttiva nell affrontare eventuali incidenti; dimostrare ai clienti la seria considerazione per la sicurezza dei loro dati. La conformità allo standard permette inoltre, in generale, di minimizzare i rischi connessi alla sicurezza dei dati attraverso la protezione: dal rischio di responsabilità economiche (compresi i costi causati da eventuali frodi perpetrate ai danni di clienti a seguito della compromissione dei loro dati); dal rischio di spese di natura investigativa e legale; dal rischio di una pubblicità negativa da parte dei mezzi di informazione. 14 AIPSA ICT Security & Privacy

17 3.5 Le conseguenze dell inosservanza In caso di inosservanza dello standard PCI-DSS da parte degli operatori commerciali, le società di carte di credito/debito hanno la facoltà di imporre sanzioni agli istituti bancari loro membri che, a loro volta, possono richiedere gli indennizzi agli operatori o Merchant inadempienti. Le sanzioni sono severe e vanno da sanzioni pecuniarie rilevanti fino al peggiore dei casi in cui gli operatori commerciali perdono la facoltà di elaborare le operazioni con carte di credito dei clienti. Sono altresì possibili altre conseguenze oltre alle sanzioni: la perdita dei dati dei titolari di carte di credito, accidentale o attraverso un furto, può anche comportare azioni legali da parte dei suddetti titolari, arrecando cattiva pubblicità e, di conseguenza, una perdita di business. Le aziende, inoltre, sono obbligate a informare le autorità di legge e devono offrire servizi gratuiti di protezione delle carte di credito/ debito ai soggetti potenzialmente coinvolti. 3.6 Obbligo di detection e notifica di violazioni di sicurezza dei dati delle carte Anche nel caso della sicurezza dei dati di carta di credito subentrano sia gli obblighi ed i vincoli delle responsabilità contrattuali e amministrative dell Azienda (ai sensi del D.lgs 231), sia le responsabilità penali degli amministratori o dei soggetti incaricati (derivanti, in caso di abusi, da possibili presenze di trattamento illecito di dati personali, di frodi o di crimini informatici). Quindi, nel caso in cui una Azienda gestisce transazioni con carte di credito dei clienti, deve ottemperare alle più idonee misure di sicurezza e protezione dei dati trattati; come riferimento per tali misure si possono prendere quelle definite dallo standard PCI, standard cui non è comunque obbligatorio ottemperare, ma lo sono le contromisure di protezione da esso identificate. In ogni caso valgono sempre le indicazioni di prevenzione per evitare ogni possibile trattamento illecito di dati personali, ogni forma di illeciti informatici (ai sensi della Normativa sulla Privacy e della Lg. 48/2008 sui crimini informatici). Risulta quindi, anche nel caso del trattamento di dati di carta di credito, rilevante l esistenza di adeguate procedure di Incident Handling, di Escalation e di Reporting degli eventi di sicurezza e di possibili casi di frodi; tali procedure sono indispensabili per l eventuale certificazione PCI-DSS dell organizzazione, e risultano fondamentali per rendere trasparente e con responsabilità ben definite il processo di gestione, utile anche ai fini di una possibile verifica o certificazione di terze parti. Procedure di Incident Handling, di Escalation e di Reporting degli eventi di sicurezza sono indispensabili per leventuale certificazione PCI-DSS dell organizzazione. AIPSA ICT Security & Privacy 15

18 4 Direttiva UE per la protezione delle infrastrutture critiche Le aziende si trovano in questi ultimi anni a dover fronteggiare situazioni che richiedono lattivazione di nuovi processi interni per rafforzare la protezione degli asset e delle informazioni aziendali e per gestire le situazioni di emergenza in cui possono incorrere. 4.1 Introduzione Attentati terroristici, disastri naturali, blackout energetici, attacchi informatici e altri eventi che minacciano la nostra società sono sempre più all ordine del giorno. Le aziende si trovano in questi ultimi anni a dover fronteggiare situazioni quasi sconosciute in precedenza, che richiedono l attivazione di nuovi processi interni sia per rafforzare la protezione degli asset e delle informazioni aziendali sia per gestire le situazioni di emergenza in cui possono incorrere. Tale problematica è stata ulteriormente rafforzata dall emanazione della Direttiva 2008/114/CE del Consiglio dell Unione Europea relativa all individuazione e protezione delle Infrastrutture Critiche Europee (ICE), ovvero quelle infrastrutture il cui eventuale danneggiamento o distruzione avrebbe un impatto significativo su più Stati dell Unione Europea. La Direttiva Europea si propone pertanto i seguenti obiettivi: identificare e censire le infrastrutture critiche di interesse europeo e, conseguentemente, quelle di rilevanza nazionale; garantire la protezione delle infrastrutture critiche individuate attraverso la definizione di idonee misure e strumenti operativi. 4.2 Contenuti normativi La Direttiva Europea 2008/114/CE dovrà essere recepita da ogni Stato Membro entro dicembre 2010 e stabilisce una serie di procedure e azioni per l individuazione 16 AIPSA ICT Security & Privacy

19 e la protezione delle Infrastrutture Critiche Europee, individuando le parti coinvolte e attribuendo specifiche responsabilità. Allo stato attuale, i settori individuati dalla Direttiva per l analisi delle IC sono quelli dell Energia e dei Trasporti, ma riconosce la necessità di estendere in futuro (già dal 2011) la lista dei settori critici, ed assegna la priorità al settore dell Information and Communication Technology (ICT). L attuazione della Direttiva comporta quindi una serie di adempimenti sia nei confronti dei Paesi Membri (Istituzioni), sia nei confronti dei Proprietari/Operatori di ICE: Adempimenti per gli Stati Membri in cui sono ubicate le ICE istituire un Organismo Nazionale Competente e nominare un Punto di Contatto Unico per garantire il coordinamento delle attività relative alle ICE; definire l approccio metodologico per l individuazione e l analisi delle infrastrutture critiche di interesse europeo; indicare i criteri per designare e valutare la criticità delle infrastrutture critiche ed i criteri per valutare ex ante le loro interdipendenze ( effetti domino ); identificare le possibili infrastrutture critiche nazionali ed europee; formulare proposte e richieste di designazione di ICE verso altri Stati Membri; gestire le richieste di designazione di ICE identificate in Italia dagli altri Stati Membri; designare le ICE situate nel territorio nazionale; eseguire un analisi dei rischi a livello nazionale per valutare le minacce e vulnerabilità riguardanti le ICE situate nel proprio territorio; gestire i rapporti con la Commissione Europea e con i Proprietari/Operatori di Infrastrutture Critiche nazionali ed europei; censire e validare i Piani di Sicurezza predisposti dai Proprietari/Operatori per garantire la protezione delle ICE. La Direttiva è finalizzata alla definizione di linee guida comuni per garantire la protezione delle infrastrutture nonché la valorizzazione della qualità minima dei servizi essenziali per il benessere della popolazione, la sicurezza nazionale ed il buon funzionamento del Sistema Paese. Adempimenti per i Proprietari/Operatori di ICE nominare un Funzionario di Collegamento in materia di sicurezza dell infrastruttura critica che agisca come punto di riferimento con l Organismo Nazionale Competente; predisporre un Piano di Sicurezza dell Operatore (PSO) in cui identificare i beni dell infrastruttura critica e le soluzioni in atto o in corso di implementazione per la loro protezione; individuare le componenti che costituiscono l infrastruttura critica europea; eseguire un analisi dei rischi sull infrastruttura critica che comprenda le minacce, le vulnerabilità e l impatto potenziale per ogni componente; identificare, selezionare e prioritizzare le contromisure da implementare per garantire la sicurezza dell ICE; gestire operativamente il Piano di Sicurezza dell Operatore. E importante sottolineare come attualmente la Direttiva non contiene nessuna disposizione obbligatoria nei confronti degli Stati Membri e nei confronti degli Operatori proprietari delle ICE, ma è principalmente finalizzata alla definizione di linee guida comuni per garantire la protezione delle infrastrutture che caratterizzano la qualità della vita dei cittadini nonché la valorizzazione della qualità minima dei servizi essenziali per il benessere della popolazione, la sicurezza nazionale ed il buon funzionamento del Sistema Paese. AIPSA ICT Security & Privacy 17

20 AIPSA Piazzale R. Morandi, Milano C.F Partita Iva Tel. e Fax

Comunicazione informativa sul Modello 231 e Codice Etico. MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO AI SENSI DEL D.Lgs. 8 GIUGNO 2001 N.

Comunicazione informativa sul Modello 231 e Codice Etico. MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO AI SENSI DEL D.Lgs. 8 GIUGNO 2001 N. Comunicazione informativa sul Modello 231 e Codice Etico MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO AI SENSI DEL D.Lgs. 8 GIUGNO 2001 N. 231 MODELLO DI ORGANIZZAZIONE Con la disciplina dettata dal

Dettagli

Manomissioni Le linee di intervento adottate dal Consorzio BANCOMAT. Roma, 3 Novembre 2011

Manomissioni Le linee di intervento adottate dal Consorzio BANCOMAT. Roma, 3 Novembre 2011 Manomissioni Le linee di intervento adottate dal Consorzio BANCOMAT Roma, 3 Novembre 2011 Agenda Scenario di riferimento Metodologia di contrasto adottata dal Consorzio BANCOMAT Tipologie Manomissioni

Dettagli

NOTE LEGALI E PRIVACY POLICY

NOTE LEGALI E PRIVACY POLICY NOTE LEGALI E PRIVACY POLICY www.servizialcittadino.it Vers.1.0 1 Art. 1 INTRODUZIONE Lo scopo delle Note Legali e della Privacy Policy è quello di garantire all Utente di poter verificare, in piena trasparenza,

Dettagli

Compliance aziendale Ex D.lgs. 231/01

Compliance aziendale Ex D.lgs. 231/01 Compliance aziendale Ex D.lgs. 231/01 Consultec Srl Cos è il D.Lgs. n. 231/01 Il D.Lgs. n. 231/2001 ha introdotto nel nostro ordinamento il principio della responsabilità amministrativa delle persone giuridiche

Dettagli

Allegato al Codice di Condotta del Gruppo Ricoh valevole per Ricoh Italia Srl ai fini del D. Lgs 231/2001

Allegato al Codice di Condotta del Gruppo Ricoh valevole per Ricoh Italia Srl ai fini del D. Lgs 231/2001 Allegato al Codice di Condotta del Gruppo Ricoh valevole per Ricoh Italia Srl ai fini del D. Lgs 231/2001 Allegato al Codice Comportamento Aziendale.docV. 1.1 del 01/07/2013 1 Introduzione Il Codice di

Dettagli

VERONA, 20 Settembre 2010. Ing. Flavia Lepore Senior Inspector HSE. - Copyright Bureau Veritas

VERONA, 20 Settembre 2010. Ing. Flavia Lepore Senior Inspector HSE. - Copyright Bureau Veritas Il modello di Organizzazione, Gestione e Controllo ai sensi del D.Lgs 231/01 e il reato connesso ad omicidio o lesioni personali gravi e gravissime in violazione di norme sulla prevenzione degli infortuni

Dettagli

- PARTE SPECIALE B- DELITTI INFORMATICI E TRATTAMENTO ILLECITO DI DATI

- PARTE SPECIALE B- DELITTI INFORMATICI E TRATTAMENTO ILLECITO DI DATI - PARTE SPECIALE B- DELITTI INFORMATICI E TRATTAMENTO ILLECITO DI DATI B.1. I reati di cui all art. 24 bis del D. Lgs. n. 231/2001 La legge 18 marzo 2008, n. 48, recante Ratifica ed esecuzione della Convenzione

Dettagli

Privacy Policy di questo sito

Privacy Policy di questo sito Privacy Policy di questo sito Con il presente avviso Key Word S.r.l. di seguito KEY WORD Vi informa sulle modalità di gestione del sito web accessibile per via telematica a partire dall indirizzo https://www.energyfeedback.it

Dettagli

PCI DSS ISTRUZIONI OPERATIVE

PCI DSS ISTRUZIONI OPERATIVE PCI DSS ISTRUZIONI OPERATIVE ver febbraio 2014 COS E IL PCI SSC (SECURITY STANDARD COUNCIL) L'organizzazione è stata fondata da Visa, Inc., MasterCard Worldwide, American Express, Discover Financial Services

Dettagli

La sicurezza informatica Elementi legali

La sicurezza informatica Elementi legali Elementi legali Stato dell arte e scenari evolutivi Gabriele Faggioli Presidente Clusit (Associazione Italiana per la Sicurezza Informatica) Adjunct Professor MIP-Politecnico di Milano Membro del Group

Dettagli

PARTE SPECIALE Sezione II. Reati informatici

PARTE SPECIALE Sezione II. Reati informatici PARTE SPECIALE Sezione II Reati informatici PARTE SPECIALE Sezione II Sommario 1.Le fattispecie dei Reati Presupposto (Art. 24 bis del D. Lgs. 231/01)... 3 2.Processi Sensibili... 5 3.Regole generali...

Dettagli

D.Lgs. 231 e reati informatici, strumenti e modelli di controllo integrati

D.Lgs. 231 e reati informatici, strumenti e modelli di controllo integrati INFORMATION RISK MANAGEMENT D.Lgs. 231 e reati informatici, strumenti e modelli di controllo integrati Convegno AIEA Roma, 3 marzo 2010 ADVISORY Agenda Introduzione Il D.Lgs. 231/2001 I reati informatici

Dettagli

Matteo Colombo Esperto in materia di Privacy e D.Lgs. 231/2001, Amministratore Delegato di Labor Project

Matteo Colombo Esperto in materia di Privacy e D.Lgs. 231/2001, Amministratore Delegato di Labor Project Matteo Colombo Esperto in materia di Privacy e D.Lgs. 231/2001, Amministratore Delegato di Labor Project IL MANUALE È AD USO ESCLUSIVO DEI CORSISTI: NE È VIETATA LA RIPRODUZIONE 1 Il D.Lgs. 231/01 Il D.Lgs.

Dettagli

CODICE DI COMPORTAMENTO. Per il personale coinvolto nell attività di trasporto del gas naturale Per il Personale Coinvolto nelle

CODICE DI COMPORTAMENTO. Per il personale coinvolto nell attività di trasporto del gas naturale Per il Personale Coinvolto nelle CODICE DI COMPORTAMENTO Per il personale coinvolto nell attività di trasporto del gas naturale Per il Personale Coinvolto nelle INDICE 1 INTRODUZIONE... 3 La separazione funzionale nel trasporto del gas

Dettagli

nova systems roma Services Business & Values

nova systems roma Services Business & Values nova systems roma Services Business & Values Indice 1. SCM: Security Compliance Management... 3 2. ESM: Enterprise Security Management... 4 3. IAM: Identity & Access Management... 4 4. IIM: Information

Dettagli

PARTE SPECIALE B DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI

PARTE SPECIALE B DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI PARTE SPECIALE B DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI INDICE B.1 DESTINATARI DELLA PARTE SPECIALE E PRINCIPI GENARALI DI COMPORTAMENTO... 3 B.2 AREE POTENZIALMENTE A RISCHIO E PRINCIPI DI

Dettagli

Vista la deliberazione del Consiglio Direttivo dell Autorità d Informazione Finanziaria del 27 ottobre 2011 EMANA. Premessa

Vista la deliberazione del Consiglio Direttivo dell Autorità d Informazione Finanziaria del 27 ottobre 2011 EMANA. Premessa ISTRUZIONE N.1 IN MATERIA DI ORGANIZZAZIONE, PROCEDURE E CONTROLLI INTERNI VOLTI A PREVENIRE L UTILIZZO DEGLI ENTI VIGILATI A FINI DI RICICLAGGIO E DI FINANZIAMENTO DEL TERRORISMO Il Presidente dell Autorità

Dettagli

- I Modelli Organizzativi Dott. Lorenzo G. Pascali lorenzo.pascali@scons.it

- I Modelli Organizzativi Dott. Lorenzo G. Pascali lorenzo.pascali@scons.it La Corporate Governance nelle recenti best practices - I Modelli Organizzativi Dott. Lorenzo G. Pascali lorenzo.pascali@scons.it 27 Febbraio 2012 1 INTRODUZIONE Con il D. Lgs. 231/2001, il legislatore

Dettagli

Security Summit 2011 Milano

<Insert Picture Here> Security Summit 2011 Milano Security Summit 2011 Milano Information Life Cycle: il governo della sicurezza nell intero ciclo di vita delle informazioni Jonathan Brera, KPMG Advisory S.p.A. I servizi di Security

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

ORGANISMO DI VIGILANZA

ORGANISMO DI VIGILANZA ALLEGATO 3 ORGANISMO DI VIGILANZA 12 1. Il decreto 231/01 e l istituzione dell OdV Come noto il Decreto 231/01 ha introdotto una nuova forma di responsabilità delle persone giuridiche per alcuni tipi di

Dettagli

CNIPA. "Codice privacy" Il Documento Programmatico di Sicurezza. 26 novembre 2007. Sicurezza dei dati

CNIPA. Codice privacy Il Documento Programmatico di Sicurezza. 26 novembre 2007. Sicurezza dei dati CNIPA "Codice privacy" 26 novembre 2007 Sicurezza dei dati Quando si parla di sicurezza delle informazioni, i parametri di riferimento da considerare sono: Integrità Riservatezza Disponibilità 1 I parametri

Dettagli

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE

Legal Snapshot. Sicurezza delle informazioni SCENARIO ESIGENZE SOLUZIONE Sicurezza delle informazioni Legal Snapshot SCENARIO Il contesto attuale è caratterizzato da continui cambiamenti ed evoluzioni tecnologiche che condizionano gli ambiti sociali ed aziendali. La legislazione

Dettagli

Consulenza sul Documento Programmatico sulla Sicurezza in ottemperanza al nuovo Testo Unico sulla Privacy

Consulenza sul Documento Programmatico sulla Sicurezza in ottemperanza al nuovo Testo Unico sulla Privacy GP&A Srl Via Seprio, 2 20149 Milano Phone: 02/45.49.53.73 Fax: 02/45.49.53.74 Email: info@gpa.it Consulenza sul Documento Programmatico sulla Sicurezza in ottemperanza al nuovo Testo Unico sulla Privacy

Dettagli

PROTOCOLLO INTERNO PER LA PREVENZIONE DEI REATI INFORMATICI Approvato. Data. Rev C.d.A 02/01/2012

PROTOCOLLO INTERNO PER LA PREVENZIONE DEI REATI INFORMATICI Approvato. Data. Rev C.d.A 02/01/2012 . PROT. 8 Pag 1/7 PROTOCOLLO INTERNO PER LA PREVENZIONE DEI REATI E DEL TRATTAMENTO ILLECITO DEI DATI, PER LA PREVENZIONE DEI DELITTI IN MATERIA DI VIOLAZIONE DEL DIRITTO D AUTORE E DEI DELITTI CONTRO

Dettagli

TAVOLI DI LAVORO 231 PROGRAMMA DEI LAVORI. PLENUM Consulting Group S.r.l.

TAVOLI DI LAVORO 231 PROGRAMMA DEI LAVORI. PLENUM Consulting Group S.r.l. TAVOLI DI LAVORO 231 PROGRAMMA DEI LAVORI N. 1559 UNI EN ISO 9001:2008 PLENUM Consulting Group S.r.l. Via San Quintino, 26/A 10121 TORINO -ITALY Tel +39 011 812 47 05 Fax +39 011 812 70 70 E-mail: plenum@plenum.it

Dettagli

CODICE DI COMPORTAMENTO

CODICE DI COMPORTAMENTO CODICE DI COMPORTAMENTO Per il personale coinvolto nelle attività di distribuzione dell energia elettrica e del gas naturale Rev. 03 del 21/12/2015 Il presente Codice di Comportamento è stato elaborato

Dettagli

Documento Programmatico sulla Sicurezza Parte generale

Documento Programmatico sulla Sicurezza Parte generale Documento Programmatico sulla Sicurezza Parte generale SEZIONE A TRATTAMENTO DI DATI CON L AUSILIO DI STRUMENTI INFORMATICI Al fine di garantire la riservatezza e l integrità dei dati personali, sensibili

Dettagli

L impatto del Decreto Legislativo 231/01 sui sistemi informativi. Michele Crudele www.crudele.it 2011-04

L impatto del Decreto Legislativo 231/01 sui sistemi informativi. Michele Crudele www.crudele.it 2011-04 CORSO DI ALTA FORMAZIONE IN INFORMATION SECURITY MANAGEMENT 8ª EDIZIONE, ROMA FEBBRAIO 2011- SETTEMBRE 2011 ICT Risk Management Aspetti legali L impatto del Decreto Legislativo 231/01 sui sistemi informativi

Dettagli

Avv. Carlo Autru Ryolo

Avv. Carlo Autru Ryolo Gestione della responsabilità amministrativa L'apparato organizzativo della D.Lgs. 231/01 e il Sistema di Gestione della Responsabilità Amministrativa L'APPARATO ORGANIZZATIVO DELLA D.LGS. 231/01 Disciplina

Dettagli

PCI-DSS. Sicurezza dei dati delle carte di pagamento

PCI-DSS. Sicurezza dei dati delle carte di pagamento PCI-DSS Sicurezza dei dati delle carte di pagamento Torino, 19 Aprile 2012 Agenda PCI Council e Standard collegati Storia e life-cycle della PCI-DSS Applicabilità, soggetti e ruoli Adempimenti, "incentivi"

Dettagli

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud

La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud La norma ISO/IEC 27018: protezione dei dati personali nei servizi Public Cloud Mariangela Fagnani ICT Security & Governance Senior Advisor Sernet SpA Sessione di Studio AIEA 19 Giugno 2015 Sernet e l offerta

Dettagli

Privacy e Sicurezza nelle attività di consultazione telematica

Privacy e Sicurezza nelle attività di consultazione telematica Privacy e Sicurezza nelle attività di consultazione telematica Foggia, 28 ottobre 2011 Michele Iaselli Al fine di impostare correttamente l argomento in questione, è opportuno premettere quanto ormai già

Dettagli

NON COME ONERE DA SUBIRE MA COME OPPORTUNITÀ DA COGLIERE

NON COME ONERE DA SUBIRE MA COME OPPORTUNITÀ DA COGLIERE IL MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO EX D.LGS. 231/01 NON COME ONERE DA SUBIRE MA COME OPPORTUNITÀ DA COGLIERE PER CREARE UN VANTAGGIO IN GRADO DI GESTIRE L IMPRESA CON UN APPROCCIO MULTIDISCIPLINARE

Dettagli

CODICE DI COMPORTAMENTO PER IL PERSONALE COINVOLTO NELL ATTIVITA DI DISTRIBUZIONE E MISURA DEL GAS NATURALE. ACSM-AGAM Reti Gas Acqua S.r.l.

CODICE DI COMPORTAMENTO PER IL PERSONALE COINVOLTO NELL ATTIVITA DI DISTRIBUZIONE E MISURA DEL GAS NATURALE. ACSM-AGAM Reti Gas Acqua S.r.l. CODICE DI COMPORTAMENTO PER IL PERSONALE COINVOLTO NELL ATTIVITA DI DISTRIBUZIONE E MISURA DEL GAS NATURALE ACSM-AGAM Reti Gas Acqua S.r.l. Approvato dal CdA del 15 ottobre 2010 2 INDICE Preambolo...4

Dettagli

Privacy policy. Obiettivo dell avviso

Privacy policy. Obiettivo dell avviso Privacy policy Obiettivo dell avviso La presente Privacy Policy ha lo scopo di descrivere le modalità di gestione del Sito web: http://www.reteivo.eu (di seguito anche il Sito ), in riferimento al trattamento

Dettagli

1/2 (e non può comunque essere superiore ad Euro 103.291,38)

1/2 (e non può comunque essere superiore ad Euro 103.291,38) FAQ sul MOG 1. Che cos è il D. Lgs. 231/2001? Il D. Lgs. 231/2001 entrato in vigore il 4 luglio 2001, individua le disposizioni normative concernenti la disciplina della responsabilità amministrativa delle

Dettagli

TURISMO TORINO E PROVINCIA CODICE ETICO

TURISMO TORINO E PROVINCIA CODICE ETICO TURISMO TORINO E PROVINCIA CODICE ETICO INDICE INTRODUZIONE AL CODICE ETICO E AMBITO DI APPLICAZIONE... 3 PRINCIPI E NORME DI RIFERIMENTO... 4 ART. 1 PRINCIPI GENERALI... 4 ART. 2 PRINCIPIO DI LEGALITA

Dettagli

REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA. INDICE

REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA. INDICE REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA. INDICE Art. 1 - Oggetto Art. 2 - Definizioni Art. 3 - Finalità Art. 4 - Trattamento dei dati personali CAPO I PRINCIPI GENERALI CAPO II OBBLIGHI PER

Dettagli

Sicurezza Informatica e Digital Forensics

Sicurezza Informatica e Digital Forensics Sicurezza Informatica e Digital Forensics ROSSANO ROGANI CTU del Tribunale di Macerata ICT Security e Digital Forensics Mobile + 39 333 1454144 E-Mail info@digital-evidence.it INTERNET E LA POSSIBILITÀ

Dettagli

Università degli Studi di Udine. Modalità e limiti di utilizzo della rete telematica dell Università di Udine

Università degli Studi di Udine. Modalità e limiti di utilizzo della rete telematica dell Università di Udine Università degli Studi di Udine Modalità e limiti di utilizzo della rete telematica dell Università di Udine Gruppo di lavoro istituito il 16 aprile 2004 con decreto rettorale n. 281 Pier Luca Montessoro,

Dettagli

Il Regolamento si compone di 41 articoli, suddivisi in nove capi.

Il Regolamento si compone di 41 articoli, suddivisi in nove capi. RELAZIONE REGOLAMENTO N. 20 DEL 26 MARZO 2008 RECANTE DISPOSIZIONI IN MATERIA DI CONTROLLI INTERNI, GESTIONE DEI RISCHI, COMPLIANCE ED ESTERNALIZZAZIONE DELLE ATTIVITÀ DELLE IMPRESE DI ASSICURAZIONE, AI

Dettagli

Infrastrutture Wireless Italiane S.p.A. PROCEDURA WHISTLEBLOWING (ADOTTATA IN DATA 21 DICEMBRE 2015)

Infrastrutture Wireless Italiane S.p.A. PROCEDURA WHISTLEBLOWING (ADOTTATA IN DATA 21 DICEMBRE 2015) Infrastrutture Wireless Italiane S.p.A. PROCEDURA WHISTLEBLOWING (ADOTTATA IN DATA 21 DICEMBRE 2015) 1 PREMESSA Per whistleblowing (di seguito Segnalazione ) si intende qualsiasi notizia riguardante sospette

Dettagli

CODICE DI COMPORTAMENTO. Per il Personale Coinvolto nelle Attività di Trasporto, Stoccaggio e Distribuzione del Gas Naturale

CODICE DI COMPORTAMENTO. Per il Personale Coinvolto nelle Attività di Trasporto, Stoccaggio e Distribuzione del Gas Naturale 1111 CODICE DI COMPORTAMENTO Per il Personale Coinvolto nelle Attività di Trasporto, Stoccaggio e Distribuzione del Gas Naturale INDICE 1 INTRODUZIONE...4 La separazione funzionale nel settore energetico...

Dettagli

REGOLAMENTO COMUNALE PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA

REGOLAMENTO COMUNALE PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA REGOLAMENTO COMUNALE PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA Approvato con deliberazione di Consiglio Comunale n. 54 del 26.07.2012 pagina 1.14 Indice CAPO I...4 PRINCIPI GENERALI...4 Art. 1 Oggetto

Dettagli

Associazione Italiana Albergatori Rimini

Associazione Italiana Albergatori Rimini Associazione Italiana Albergatori Rimini VIDEOSORVEGLIANZA Per quanto riguarda la videosorveglianza, oltre alla verifica di conformità con le disposizioni dello statuto dei lavoratori, serve l informativa,

Dettagli

Documento Programmatico sulla Sicurezza delle Informazioni. Ver. 1.00

Documento Programmatico sulla Sicurezza delle Informazioni. Ver. 1.00 Documento Programmatico sulla Sicurezza delle Informazioni Ver. 1.00 20 Ottobre 1998 InfoCamere S.C.p.A. Documento Programmatico sulla Sicurezza delle Informazioni Indice 1. Introduzione...3 2. Principi

Dettagli

IDENTITY & ACCESS GOVERNANCE

IDENTITY & ACCESS GOVERNANCE IDENTITY & ACCESS GOVERNANCE Come raggiungere e mantenere la conformità alle normative Italiane con un sistema di Identity and Access Governance Leggi, normative e impatti tecnologici: la interpretazione

Dettagli

COMUNE DI STRIANO (Provincia di Napoli)

COMUNE DI STRIANO (Provincia di Napoli) COMUNE DI STRIANO (Provincia di Napoli) Via Sarno, 80040 Striano Tel. 081.8276202 Fax 081. 8276103 P.I. 01254261215 - C.F. 01226000634 segreteria@comune.striano.na.it www.comune.striano.na.it Regolamento

Dettagli

INTRODUZIONE CHE COSA E IL D.LGS. 231/01? n. 026 - GIUGNO 2014

INTRODUZIONE CHE COSA E IL D.LGS. 231/01? n. 026 - GIUGNO 2014 AUDIT INFORMATICO PER PREVENIRE I REATI INFORMATICI (ART. 24 BIS D.LGS. 231/01) E ANNULLARE LA RESPONSABILITÀ AMMINISTRATIVA DELL IMPRESA NEL RISPETTO DEL CODICE DELLA PRIVACY (D.LGS. 196/03) E DELLO STATUTO

Dettagli

La nuova disciplina in materia di tutela della privacy (D.Lgs. 30.6.2003 n. 196) Principali novità

La nuova disciplina in materia di tutela della privacy (D.Lgs. 30.6.2003 n. 196) Principali novità La nuova disciplina in materia di tutela della privacy (D.Lgs. 30.6.2003 n. 196) Principali novità INDICE 1 Il nuovo Codice sulla privacy... 2 2 Ambito di applicazione... 2 3 Soggetti coinvolti dal trattamento

Dettagli

Modello di Organizzazione Gestione e Controllo ex D.Lgs. n. 231/2001

Modello di Organizzazione Gestione e Controllo ex D.Lgs. n. 231/2001 Studio Bolzoni Modello di Organizzazione Gestione e Controllo ex D.Lgs. n. 231/2001 Introduzione Il decreto legislativo 8 giugno 2001, n. 231 ha introdotto nell ordinamento italiano la responsabilità degli

Dettagli

Gestione dei dati e della sicurezza e conformità

Gestione dei dati e della sicurezza e conformità Gestione dei dati e della sicurezza e conformità Milano, 18 aprile 2013 Valentina Binasco L attuale quadro normativo: un breve ripasso il Codice Privacy (D. Lgs. 196/03): riunisce in unico contesto la

Dettagli

Fornitori d Eccellenza

Fornitori d Eccellenza Fornitori d Eccellenza Dal 1994 Consulenza e Formazione Aziendale www.gestaonline.it Sistemi gestionali Sicurezza sul lavoro Ambiente Modelli 231 Direzione aziendale La nostra missione è quella di aiutare

Dettagli

L'Antiriciclaggio: Evoluzione normativa Pagina 1 di 8. a cura di. Data Ufficio E-learning. Gruppo Data Ufficio Spa

L'Antiriciclaggio: Evoluzione normativa Pagina 1 di 8. a cura di. Data Ufficio E-learning. Gruppo Data Ufficio Spa L'Antiriciclaggio: Evoluzione normativa Pagina 1 di 8 M.1 L'ANTIRICICLAGGIO Evoluzione normativa a cura di Data Ufficio E-learning Gruppo Data Ufficio Spa L'Antiriciclaggio: Evoluzione normativa Pagina

Dettagli

Documento Programmatico sulla Sicurezza

Documento Programmatico sulla Sicurezza Pagina 1 di 1 Documento Programmatico sulla Sicurezza Decreto Legislativo 196/2003 Indice INDICE Rev 2 Pagina 1 di 1 INDICE 01 PRESENTAZIONE DEL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA 02 ELENCO DEI TRATTAMENTI

Dettagli

COMUNE DI GAETA (Provincia di Latina) REGOLAMENTO

COMUNE DI GAETA (Provincia di Latina) REGOLAMENTO COMUNE DI GAETA (Provincia di Latina) * * * * * REGOLAMENTO del sistema di videosorveglianza per la sicurezza cittadina e disciplina del trattamento dei dati personali * * * * * (Approvato con deliberazione

Dettagli

Travelex Data Protection & Privacy and Information Security Guidelines

Travelex Data Protection & Privacy and Information Security Guidelines Nel corso del rapporto di lavoro con la Travelex, potrai venire in contatto con informazioni relative ai nostri clienti, partner e dipendenti. Il livello e la sensibilità delle informazioni varieranno

Dettagli

LINEE DI CONDOTTA DEL MODELLO DI ORGANIZZAZIONE DI GESTIONE E DI CONTROLLO

LINEE DI CONDOTTA DEL MODELLO DI ORGANIZZAZIONE DI GESTIONE E DI CONTROLLO MONDADORI EDUCATION S.p.A. LINEE DI CONDOTTA DEL MODELLO DI ORGANIZZAZIONE DI GESTIONE E DI CONTROLLO Rev. n. 5 del 5 ottobre 2015 INDICE 1.0 PREMESSA... 3 2.0 OBIETTIVI... 3 3.0 LINEE DI CONDOTTA... 3

Dettagli

i) Regolamento per l'utilizzo dei sistemi informatici dell Associazione Forte di Bard

i) Regolamento per l'utilizzo dei sistemi informatici dell Associazione Forte di Bard Modello di organizzazione, gestione e controllo ex D.Lgs. 231/01. PARTE SPECIALE D : I DELITTI INFORMATICI E DI TRATTAMENTO ILLECITO DI DATI. La presente Parte Speciale, dedicata alla prevenzione dei reati

Dettagli

COMUNE DI SAN VENDEMIANO Provincia di Treviso REGOLAMENTO PER LA DISCIPLINA DEL SERVIZIO DI VIDEOSORVEGLIANZA SUL TERRITORIO COMUNALE

COMUNE DI SAN VENDEMIANO Provincia di Treviso REGOLAMENTO PER LA DISCIPLINA DEL SERVIZIO DI VIDEOSORVEGLIANZA SUL TERRITORIO COMUNALE COMUNE DI SAN VENDEMIANO Provincia di Treviso REGOLAMENTO PER LA DISCIPLINA DEL SERVIZIO DI VIDEOSORVEGLIANZA SUL TERRITORIO COMUNALE Approvato con deliberazione del Consiglio Comunale n. 8 in data 26

Dettagli

Il Sistema di Gestione della Sicurezza e Salute sul Lavoro OHSAS 18000:2007 e il Modello di Organizzazione e Controllo secondo il D.Lgs.

Il Sistema di Gestione della Sicurezza e Salute sul Lavoro OHSAS 18000:2007 e il Modello di Organizzazione e Controllo secondo il D.Lgs. Convegno ASACERT Il Sistema di Gestione della Sicurezza e Salute sul Lavoro OHSAS 18000:2007 e il Modello di Organizzazione e Controllo secondo il D.Lgs. 231/01 Centro Congressi Relaisfranciacorta 20 marzo

Dettagli

PARTE 1. La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone

PARTE 1. La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone PARTE 1 La sicurezza dei pagamenti e delle carte di credito - Alberto Perrone 2 PCI Security Standards Council 2004 A Dicembre viene pubblicata la versione 1.0 della PCI- DSS, gestita da VISA e MasterCard

Dettagli

WWW.IMMOBILIAREPRIMA.IT

WWW.IMMOBILIAREPRIMA.IT WWW.IMMOBILIAREPRIMA.IT NOTE LEGALI E PRIVACY POLICY Vers.1.0 INTRODUZIONE Lo scopo delle Note Legali e della Privacy Policy è quello di garantire all Utente di poter verificare in piena trasparenza le

Dettagli

Paolo Galdieri. Titolo della presentazione

Paolo Galdieri. Titolo della presentazione La responsabilità dell azienda per i reati informatici commessi al suo interno: project management, information security e le sfide imposte dalle nuove tecnologie Paolo Galdieri Il reato informatico in

Dettagli

COS E LA PRIVACY POLICY

COS E LA PRIVACY POLICY COS E LA PRIVACY POLICY In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano. Si tratta di un informativa che

Dettagli

ACAM Ambiente S.p.A.

ACAM Ambiente S.p.A. ACAM Ambiente S.p.A. Modello di organizzazione e controllo ex D.Lgs. 231/2001 Delitti informatici e trattamento illecito dei dati Approvato con determinazione A.U. del 23.12.2014 1/11 Sommario 1. Ambito

Dettagli

Regolamento per la gestione delle segnalazioni di illeciti da parte dei dipendenti dell Università degli Studi di Milano e della relativa tutela

Regolamento per la gestione delle segnalazioni di illeciti da parte dei dipendenti dell Università degli Studi di Milano e della relativa tutela Regolamento per la gestione delle segnalazioni di illeciti da parte dei dipendenti dell Università degli Studi di Milano e della relativa tutela Art. 1 Finalità e oggetto 1. Il presente Regolamento è emesso

Dettagli

TREZZANO ROSA REGOLAMENTO COMUNALE VIDEOSORVEGLIANZA

TREZZANO ROSA REGOLAMENTO COMUNALE VIDEOSORVEGLIANZA COMUNE DI TREZZANO ROSA Provincia di Milano REGOLAMENTO COMUNALE VIDEOSORVEGLIANZA APPROVATO CON DELIBERA DEL CONSIGLIO COMUNALE N 12 DEL 24.03.2011 Pagina 1 di 12 Indice generale SOMMARIO SOMMARIO...2

Dettagli

L analisi del fenomeno delle frodi informatiche nel settore bancario italiano

L analisi del fenomeno delle frodi informatiche nel settore bancario italiano L analisi del fenomeno delle frodi informatiche nel settore bancario italiano La convenzione ABI Polizia di Stato per la costruzione di una piattaforma tecnologica per lo scambio reciproco di alert Romano

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Insight. I requisiti di Banca d Italia per la sicurezza dei servizi di pagamento. N. 31 Ottobre 2010

Insight. I requisiti di Banca d Italia per la sicurezza dei servizi di pagamento. N. 31 Ottobre 2010 Insight N. 31 Ottobre I requisiti di Banca d Italia per la sicurezza dei servizi di pagamento Nel 27 il Parlamento Europeo ha emesso la Direttiva 27/64/CE, nota anche come PSD (Payment Services Directive),

Dettagli

GLI ADEGUATI ASSETTI ORGANIZZATIVI

GLI ADEGUATI ASSETTI ORGANIZZATIVI D.LGS. 231/2001: ADEMPIMENTI NELL AMBITO DELLA COMPLIANCE AZIENDALE Torino, 1 dicembre 2011 GLI ADEGUATI ASSETTI ORGANIZZATIVI Convegno «D.lgs 231/2001» - Torino, 01 dicembre 2011 Centro Congressi Villa

Dettagli

Modello di ORGANIZZAZIONE GESTIONE e CONTROLLO

Modello di ORGANIZZAZIONE GESTIONE e CONTROLLO Pag. 1 di 8 Consorzio Train Modello di ORGANIZZAZIONE GESTIONE e CONTROLLO conforme ai requisiti del D.lgs. 8 giugno 2001, n. 231, e smi Codice Etico Pag. 2 di 8 CAPITOLO 1 INTRODUZIONE 1.1 FINALITA, CONTENUTI

Dettagli

WWW.BERTINIASSICURAZIONI.IT

WWW.BERTINIASSICURAZIONI.IT WWW.BERTINIASSICURAZIONI.IT NOTE LEGALI E PRIVACY POLICY Vers.1.0 INTRODUZIONE Lo scopo delle Note Legali e della Privacy Policy è quello di garantire all Utente di poter verificare in piena trasparenza

Dettagli

DATA BREACH E OBBLIGHI DI LEGGE: LE NUOVE REGOLE PER OPERATORI TELEFONICI E INTERNET PROVIDERS. di Luca Giacopuzzi 1

DATA BREACH E OBBLIGHI DI LEGGE: LE NUOVE REGOLE PER OPERATORI TELEFONICI E INTERNET PROVIDERS. di Luca Giacopuzzi 1 DATA BREACH E OBBLIGHI DI LEGGE: LE NUOVE REGOLE PER OPERATORI TELEFONICI E INTERNET PROVIDERS di Luca Giacopuzzi 1 Il decreto legislativo 28 maggio 2012 n.69 ha apportato significative modifiche al Codice

Dettagli

NOTE LEGALI E PRIVACY POLICY WWW.SITGROUP.IT

NOTE LEGALI E PRIVACY POLICY WWW.SITGROUP.IT NOTE LEGALI E PRIVACY POLICY WWW.SITGROUP.IT Vers.1/2013 INTRODUZIONE Lo scopo delle Note Legali e della Privacy Policy è quello di garantire all Utente di poter verificare in piena trasparenza le attività

Dettagli

Circolare Informativa

Circolare Informativa Circolare Informativa Spett. Clienti, Loro Sedi Treviso, il 7 marzo 2010 RESPONSABILITÀ AMMINISTRATIVA PER LE SOCIETÀ DI CAPITALI EX D.LGS. N.231/2001 CERTIFICAZIONE SICUREZZA AZIENDALE OHSAS 18001 Ricordiamo

Dettagli

FONDAZIONE PIEMONTESE PER LA RICERCA SUL CANCRO - ONLUS. Modello di organizzazione, gestione e controllo ai sensi del D. Lgs.

FONDAZIONE PIEMONTESE PER LA RICERCA SUL CANCRO - ONLUS. Modello di organizzazione, gestione e controllo ai sensi del D. Lgs. FONDAZIONE PIEMONTESE PER LA RICERCA SUL CANCRO - ONLUS Modello di organizzazione, gestione e controllo ai sensi del D. Lgs. 231/2001 MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO AI SENSI DEL D. LGS.

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3. Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente documento contiene un

Dettagli

CARTA DELLA SICUREZZA INFORMATICA

CARTA DELLA SICUREZZA INFORMATICA CARTA DELLA SICUREZZA INFORMATICA Premessa L Istituto Nazionale di Fisica Nucleare (INFN) è un ente pubblico nazionale di ricerca a carattere non strumentale con autonomia scientifica, organizzativa, finanziaria

Dettagli

PRIVACY-VIDEOSORVEGLIANZA

PRIVACY-VIDEOSORVEGLIANZA Circolare n. 1/08 del 20 novembre 2008* PRIVACY-VIDEOSORVEGLIANZA Riferimenti normativi La forma di sorveglianza legata all utilizzo di sistemi di ripresa delle immagini, definita videosorveglianza, è

Dettagli

ELENCO DEGLI ADEMPIMENTI RICHIESTI A TITOLARI DEL TRATTAMENTO PRIVATI DALLA NORMATIVA PRIVACY.

ELENCO DEGLI ADEMPIMENTI RICHIESTI A TITOLARI DEL TRATTAMENTO PRIVATI DALLA NORMATIVA PRIVACY. ELENCO DEGLI ADEMPIMENTI RICHIESTI A TITOLARI DEL TRATTAMENTO PRIVATI DALLA NORMATIVA PRIVACY. Il presente documento ha lo scopo di illustrare gli adempimenti di natura legale e di natura tecnico-informatica

Dettagli

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI COMUNE DI BRESCIA REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI Adottato dalla Giunta Comunale nella seduta del 26.3.2003 con provvedimento n. 330/11512 P.G. Modificato

Dettagli

Security Verification Standard Framework BANCOMAT. Veronica Borgogna Consorzio BANCOMAT

Security Verification Standard Framework BANCOMAT. Veronica Borgogna Consorzio BANCOMAT Security Verification Standard Framework BANCOMAT Veronica Borgogna Consorzio BANCOMAT 0 L assioma della sicurezza Le perdite derivano da eventi dannosi, ossia fenomeni indesiderati accidentali o volontari

Dettagli

Glossario minimo della protezione dei dati

Glossario minimo della protezione dei dati minimo della protezione dei dati www.garanteprivacy.it Glossario minimo della protezione dei dati N.B. Il glossario e le principali domande in tema di dati personali sono schematizzati e hanno una finalità

Dettagli

- Le linee guida dell Associazione Bancaria Italiana

- Le linee guida dell Associazione Bancaria Italiana Parte Prima - Le linee guida dell Associazione Bancaria Italiana L art 6 comma 3 d.lg. 231 stabilisce che i Modelli di organizzazione, gestione e controllo possono essere adottati sulla base di Codici

Dettagli

LA COMPLIANCE FISCALE NELLE BANCHE: IMPATTO SUI MODELLI DI ORGANIZZAZIONE, GESTIONE E CONTROLLO

LA COMPLIANCE FISCALE NELLE BANCHE: IMPATTO SUI MODELLI DI ORGANIZZAZIONE, GESTIONE E CONTROLLO Focus on LA COMPLIANCE FISCALE NELLE BANCHE: IMPATTO SUI MODELLI DI ORGANIZZAZIONE, GESTIONE E CONTROLLO Aprile 2016 www.lascalaw.com www.iusletter.com Milano Roma Torino Bologna Firenze Ancona Vicenza

Dettagli

Regolamento per la disciplina della videosorveglianza nel territorio comunale di Longhena_. (Approvato con deliberazione di C.C. n 24 del 04.10.

Regolamento per la disciplina della videosorveglianza nel territorio comunale di Longhena_. (Approvato con deliberazione di C.C. n 24 del 04.10. Regolamento per la disciplina della videosorveglianza nel territorio comunale di Longhena_ (Approvato con deliberazione di C.C. n 24 del 04.10.2013) Art. 1 - Oggetto Art. 2 - Definizioni Art. 3 - Finalità

Dettagli

Manuale Informativo. Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali

Manuale Informativo. Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali Manuale Informativo Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali INDEX Il D.Lgs. 196/2003 Termini e Fondamenti Gli attori Organizzazione e Responsabilità

Dettagli

Modello di organizzazione gestione e controllo ai sensi del D.Lgs 231/2001

Modello di organizzazione gestione e controllo ai sensi del D.Lgs 231/2001 Modello di organizzazione gestione e controllo ai sensi del D.Lgs 231/2001 Parte Speciale Sezione Delitti informatici e trattamento illecito di dati ELENCO DELLE REVISIONI REV. DATA NATURA DELLE MODIFICHE

Dettagli

Policy di MPS Capital Services Banca per le Imprese S.p.A. in materia di Antiriciclaggio e Contrasto al Finanziamento del.

Policy di MPS Capital Services Banca per le Imprese S.p.A. in materia di Antiriciclaggio e Contrasto al Finanziamento del. Policy di MPS Capital Services Banca per le Imprese S.p.A. in materia di Antiriciclaggio e Contrasto al Finanziamento del Terrorismo (Direttiva 2005/60/CE, Direttiva 2006/70/CE, D.Lgs. 231/2007, D.Lgs.

Dettagli

REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA NEL TERRITORIO DELL UNIONE DI COMUNI MONTANA LUNIGIANA

REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA NEL TERRITORIO DELL UNIONE DI COMUNI MONTANA LUNIGIANA REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA NEL TERRITORIO DELL UNIONE DI COMUNI MONTANA LUNIGIANA Approvato con deliberazione di Consiglio N 7 del 2013 INDICE 1 CAPO I PRINCIPI GENERALI Art.

Dettagli

Banche e Sicurezza 2015

Banche e Sicurezza 2015 Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

PARTE SPECIALE G REATI INFORMATICI E DI TRATTAMENTO ILLECITO DEI DATI

PARTE SPECIALE G REATI INFORMATICI E DI TRATTAMENTO ILLECITO DEI DATI PARTE SPECIALE G REATI INFORMATICI E DI TRATTAMENTO ILLECITO DEI DATI 1 PARTE SPECIALE G REATI INFORMATICI E DI TRATTAMENTO ILLECITO DEI DATI 7.1 Le fattispecie dei delitti informatici richiamate dal d.lgs.

Dettagli

PRIVACY POLICY. Aggiornata al 01/04/2011

PRIVACY POLICY. Aggiornata al 01/04/2011 PRIVACY POLICY Aggiornata al 01/04/2011 Benvenuto sul Sito web di Lualdi Spa. La Sua privacy è per noi molto importante, per questo desideriamo comunicarle le modalità con le quali raccogliamo e usiamo

Dettagli