ICT Security & Privacy

Save this PDF as:
 WORD  PNG  TXT  JPG

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "ICT Security & Privacy"

Transcript

1 n.1 ICT Security & Privacy Incidenti di sicurezza: esperienza, gestione, notifica e legislazione di riferimento

2 INTRODUZIONE Security Breach Notification Reati di Criminalità Informatica (ex D.Lgs. n. 231/2001) PCI-DSS: Payment Card Industry Data Security Standard Direttiva UE per la protezione delle infrastrutture critiche...16

3 Introduzione Le moderne società operano in un contesto di mercato dinamico e globale che le ha portate ad evolvere i propri modelli di business. Al centro di questa trasformazione ci sono le informazioni, sempre più essenziali per una gestione proattiva di clienti e fornitori; i dati opportunamente aggregati e correlati dai sistemi di Business Intelligence sono utili per la progettazione e la vendita di prodotti servizi e sono necessari per comprendere i trend di mercato di medio e lungo periodo. La protezione dei dati e quindi un elemento centrale nella gestione integrata alla sicurezza basata su un attento presidio di processi, persone, infrastrutture e tecnologia. Un approccio integrato alla sicurezza e più in generale alla compliance non può prescindere da un puntuale processo di detection, monitoraggio e gestione degli incidenti di sicurezza, compresi quelli di tipo informatico. La gestione degli incidenti informatici e diventata quindi oggetto di discussione e dibattito non solo nel mondo delle imprese private ma anche di quelle pubbliche e degli enti regolatori a livello nazionale ed internazionale. Questo quaderno ha un duplice obiettivo; da una parte riassumere e sistematizzare la normativa gia in vigore per permettere una rapida consultazione a tutti i soci, dall altro inserire una descrizione delle normative in fase di approvazione a livello italiano ed internazionale che avranno un sicuro impatto sugli aspetti strategici, di governance e operativi della Security Aziendale. Il quaderno vuole quindi essere una guida per tutti i colleghi che debbono rapidamente conoscere requisiti normativi e best practices relative alla gestione e notifica degli incidenti di sicurezza che coinvolgono le informazioni. Autori del Quaderno Corradino Corradi e Michele Fabbri, Rocco Mammoliti e Emanuela Negro, Raoul Savastano e Andrea Mariotti, Vodafone Italia Telecom Italia Ernst & Young - Italia Un ringraziamento particolare a tutti i membri del gruppo di lavoro AIPSA sul tema ICT Security & Privacy che hanno contribuito agli approfondimenti ed alle analisi utili per la stesura di questo quaderno. GDL AIPSA - ICT SECURITY & PRIVACY Corradino Corradi Vodafone Italia Rocco Mammoliti Telecom Italia Raoul Savastano Ernst & Young Italia Elisabettta Longhi Crif Luca Rizzo Fastweb Angelo Berghella ACEA Massimo Cottafavi Reply Pasquale Mancino Alenia Aeronautica Eduardo Parisi Sicuritalia Questa pubblicazione è stata stampata grazie al contributo di Spike Reply AIPSA ICT Security & Privacy 1

4 1 Security Breach Notification Normative e procedure di gestione e notifica di eventi di data breach La diffusione del cybercrime a livello internazionale e la continua evoluzione dei mercati, degli obiettivi e delle tecniche di attacco rendono il fenomeno di difficile contrasto. Se fino al 2008 gli obiettivi dei criminali sono state le banche dati e i dati personali dei consumatori, nel 2009 gli attacchi avevano l obiettivo principale di sottrarre PIN e altri dati di accesso a servizi finanziari (es. conti correnti, carte di pagamento). I Clienti che rimangono vittima di una violazione dei propri dati personali hanno il diritto di essere informati su tali abusi, hanno il diritto ad avere informazioni sulle cause e sulle carenze di sicurezza che hanno favorito tali eventi e, soprattutto, sulle azioni che tutti gli attori in causa possono svolgere per mitigare gli impatti ed evitare che accadano nuovamente tali violazioni. 2 AIPSA ICT Security & Privacy

5 1.1 La normativa In America In molti stati americani la normativa sul Security Breach Notification è già operativa da diversi anni. Ad es., la California Security Breach Notification Law (SB 1396), in vigore dal 2003, sancisce il diritto per i cittadini di essere informati tempestivamente sulle violazioni dei loro dati personali e di essere istruiti e guidati nell applicazione delle misure di prevenzione e contrasto. La legge californiana ha avuto diffusione in quasi tutti gli Stati Uniti diventando uno stimolo per le aziende ad investire in sicurezza per utilizzare e proteggere i dati personali, migliorando l affidabilità dei fornitori di servizi. In Europa Il 13 novembre 2007 la Commissione della Comunità Europea ha presentato una proposta di modifica della direttiva 2002/58/CE relativa al trattamento dei dati personali ed alla tutela della vita privata nel settore delle comunicazioni elettroniche includendo: obbligo di notifica delle violazioni di sicurezza che comportano la perdita dei dati personali degli utenti o compromettono i dati stessi; rafforzamento delle disposizioni di attuazione relative alla sicurezza delle reti e delle informazioni; rafforzamento delle disposizioni di attuazione e controllo per far sì che, a livello dei singoli Stati membri, siano disponibili misure sufficienti di lotta nei confronti dei messaggi di posta elettronica indesiderata; precisazione che la direttiva si applica anche alle reti di comunicazione pubblica che supportano i dispositivi di raccolta dati e di identificazione. La proposta di modifica renderebbe operativo, nell ordinamento giuridico comunitario, un meccanismo analogo a quello già in vigore negli Stati Uniti previsto dalla California Security Breach Notification Law (SB 1396), anche se in ambito più ristretto, applicandosi soltanto ai fornitori di servizi di comunicazione accessibili al pubblico. Il Garante Europeo per la Privacy è intervenuto con un suo parere (2008/C 181/01) in cui ha espresso un giudizio globalmente positivo. Il 25 novembre 2009 è stata quindi emanata la direttiva 2009/136/CE recante importanti modifiche alla direttiva 2002/58/CE dirette a rafforzare la tutela della vita privata e della riservatezza dei dati attraverso un complesso di disposizioni più rigoroso in materia di sicurezza e meccanismi di controllo. In Italia In estrema sintesi si può rappresentare lo stato dell arte in Italia sul Data Breach come segue: c è l obbligo di notificazione ai Clienti dei data breaches occorsi nell esercizio di servizi di comunicazione elettronica (Dir. 2009/136/CE); vi sono diverse considerazioni ed orientamenti in favore di un estensione di tale obbligo a settori diversi dalle TLC (ad es. mondo bancario); il Garante Privacy italiano sta lavorando per recepire nel sistema normativo nazionale l obbligo di notificazione dei data breaches, ed è possibile che venga adottato un Provvedimento specifico. Gruppo AIPSA di lavoro ICT ICT Security Security & Privacy & Privacy 3

6 Il fornitore, appena viene a conoscenza di una violazione che comporta accidentalmente o in modo illecito la distruzione, la perdita, la rivelazione non autorizzata o laccesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio, deve notificarla allautorità nazionale. 1.2 Le novità introdotte dalla normativa europea sul Security Breach Notification Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico, oltre ad istituire una politica di sicurezza per il trattamento di dati personali, deve mettere in atto regolarmente le misure di: monitoraggio; prevenzione; correzione; attenuazione. Le autorità nazionali, al fine di difendere gli interessi dei cittadini, devono assicurare un elevato livello di protezione dei loro dati personali e della loro vita privata. Devono dotarsi pertanto di mezzi necessari per: disporre dei dati completi ed affidabili sugli incidenti di sicurezza che hanno compromesso i dati personali degli utenti; controllare le misure adottate dai fornitori; diffondere le best practices tra i fornitori. Il fornitore, appena viene a conoscenza di una violazione che comporta accidentalmente o in modo illecito la distruzione, la perdita, la rivelazione non autorizzata o l accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio, deve notificarla all autorità nazionale competente includendo: informazioni di dettaglio sulla violazione; le conseguenze della violazione; le misure proposte o adottate per porvi rimedio. 4 AIPSA ICT Security & Privacy

7 Saranno previste misure tecniche di attuazione riguardanti le circostanze, il formato, le procedure applicabili alle prescrizioni in materia di informazioni e comunicazioni ma che tengano conto anche degli interessi legittimi delle autorità giudiziarie e di polizia nei casi in cui una diffusione prematura rischi di ostacolare inutilmente l indagine sulle circostanze della violazione stessa. Il fornitore, pertanto, dovrà tenere una documentazione delle violazioni dei dati personali al fine di permettere l ulteriore analisi e valutazione da parte delle autorità nazionali competenti. Quando la violazione rischia di pregiudicare i dati personali o la vita privata di una persona, il fornitore deve darne comunicazione alla persona interessata. La comunicazione deve includere: la descrizione della natura della violazione; i contatti per ottenere maggiori informazioni; le misure raccomandate per attuare i possibili effetti pregiudizievoli della violazione. Se il fornitore dimostra all autorità di aver utilizzato tutte le opportune misure tecnologiche di protezione, non ha l obbligo della notifica all utente a meno che l autorità, valutando le ripercussioni negative della violazione stessa, obblighi il fornitore a farlo. Il mancato rispetto dell obbligo di comunicazione comporta provvedimenti o sanzioni specifiche. Quando la violazione rischia di pregiudicare i dati personali o la vita privata di una persona, il fornitore deve darne comunicazione alla persona interessata. Il mancato rispetto dellobbligo di comunicazione comporta provvedimenti o sanzioni specifiche. Non è ancora nota la data a partire dalla quale sarà obbligatorio in Italia il Security Breach Notification, che comunque non dovrebbe essere oltre i primi mesi del AIPSA ICT Security & Privacy 5

8 2 Reati di Criminalità Informatica (ex D.Lgs. n. 231/2001 sanzioni interdittive e pecuniarie) La materia dei reati informatici è stata recentemente modificata dalla legge 48/2008 1, che ha introdotto nuove figure di reato informatico e l inasprimento di fattispecie incriminatrici già esistenti. In particolare, la legge 48/2008 ha aggiunto all impianto normativo del D.lgs 231/2001, l art 24 bis ( Delitti informatici e trattamento illecito dei dati ), ampliando, di fatto, le fattispecie di reato che possono generare la responsabilità amministrativa delle aziende. La legge 48/2008 ha aggiunto, allimpianto normativo del D.lgs 231/2001, lart 24 bis Delitti informatici e trattamento illecito dei dati, ampliando di fatto le fattispecie di reato che possono generare la responsabilità amministrativa delle aziende. 2.1 Considerazioni generali e case study Il nuovo articolo 24 bis del D. Lgs. 231/2001 ha esteso la responsabilità amministrativa delle persone giuridiche e degli enti alla quasi totalità dei reati informatici. Come specificato nella relazione di accompagnamento al disegno di legge, infatti, l introduzione di tale articolo risponde all esigenza di introdurre forme di responsabilità penale per le persone giuridiche anche con riferimento ai reati informatici più gravi. Alla luce dei presupposti applicativi del decreto, le aziende saranno considerate responsabili per i delitti informatici commessi nel loro interesse o a loro vantaggio da persone che rivestono funzioni di rappresentanza, amministrazione, direzione dell ente o di una sua unità organizzativa, ma anche da persone sottoposte alla loro direzione o vigilanza. 1 Legge 18 marzo 2008, n.48 recante Ratifica ed esecuzione della Convenzione del Consiglio d Europa sulla criminalità informatica, di Budapest del 23 novembre 2001, e norme di adeguamento dell ordinamento interno, pubblicata nella Gazzetta Ufficiale n. 80 del 4 aprile Supplemento ordinario n AIPSA ICT Security & Privacy

9 Le tipologie di reato informatico, quindi, interessano quei comportamenti illeciti posti in essere dai soggetti in posizione apicale o subordinata (dipendenti e/o collaboratori esterni), che utilizzano gli strumenti e le tecnologie informatiche/ telematiche aziendali per lo svolgimento delle normali attività lavorative. Le aziende o gli enti che utilizzano in maniera preponderante gli strumenti informatici e telematici, per lo svolgimento delle proprie attività e, in alcuni settori, per l erogazione di servizi, sono in maggior misura esposte ai suddetti comportamenti illeciti. In generale, è opportuno che siano implementate idonee strategie di prevenzione atte ad impedire la realizzazione dei reati informatici e ad escludere la responsabilità dell azienda nel caso di commissione dei reati. In questo scenario, nasce l esigenza di effettuare opportuni controlli e verifiche periodiche specialmente in quelle aree aziendali (es. gestione finanziaria, gestione clienti/fornitori, area ICT, ecc.) maggiormente esposte al rischio di commissione di reati informatici che possano determinare un interesse o un vantaggio economico per l azienda. Inoltre, alla luce dell integrazione apportata dalla L. 48/08 alla disciplina della responsabilità amministrativa degli enti, le aziende dovranno anche verificare che il loro stato in tema di ICT Security Governance & Management sia tale da poter consentire l attivazione dell esimente dalla responsabilità (ovvero della non responsabilità dell Azienda), previsto dal D.Lgs.231/2001, in caso di commissione di un delitto informatico al loro interno. In altri termini, si tratterà di verificare l esistenza di misure di sicurezza e di controllo preventive, idonee ad evitare la commissione dei reati informatici al loro interno, e provvedere all adeguamento dei propri modelli di organizzazione, gestione e controllo, laddove si rendesse necessario. In tal modo, in caso di presenza di reati informatici, le Aziende possono facilmente dimostrare la propria estraneità e la propria non responsabilità penale rispetto ai fatti accaduti. E opportuno che siano implementate idonee strategie di prevenzione atte ad impedire la realizzazione dei reati informatici e ad escludere la responsabilità dellazienda nel caso di commissione dei reati. La prevenzione dei crimini informatici deve quindi essere svolta attraverso adeguate contromisure organizzative, tecnologiche e normative; in via generale, anche se tali contromisure vanno adattate in modo specifico alla situazione peculiare dell Azienda interessata, dovrebbero essere previsti almeno i seguenti controlli di carattere generale: prevedere nel Codice Etico e nel Sistema Disciplinare aziendali specifiche indicazioni volte ad impedire la commissione dei reati informatici sia all interno dell ente, che tramite apparecchiature non soggette al controllo della stessa; fornire indicazioni normative e comportamentali (anche attraverso un Codice Comportamentale per la prevenzione dei crimini informatici) rivolte a tutto il personale aziendale per minimizzare il rischio di compimento, anche in maniera involontaria, di illeciti informatici; stabilire programmi di informazione, formazione e di sensibilizzazione rivolti al personale aziendale al fine di diffondere una chiara consapevolezza sui rischi derivanti da un utilizzo improprio delle risorse informatiche aziendali; prevedere un idoneo sistema di gestione incidenti ed un idoneo sistema di sanzioni disciplinari (o vincoli contrattuali nel caso di terze parti) a carico dei dipendenti (o soggetti terzi) che violino in maniera intenzionale i sistemi di controllo o le indicazioni comportamentali fornite; dotarsi di adeguati strumenti tecnologici atti a prevenire e/o impedire la realizzazione di illeciti informatici da parte dei dipendenti e in particolare di quelli appartenenti alle strutture aziendali ritenute più esposte al rischio. AIPSA ICT Security & Privacy 7

10 Anche se non è un obbligo esplicito del D.lgs 231, una efficace implementazione allinterno dellazienda di uno specifico Modello Organizzativo 231, prevede lesistenza di adeguate procedure di Incident Handling, di Escalation e di Reporting degli eventi di sicurezza; tali procedure, che implicano la messa in atto di un processo continuo di segnalazioni verso gli organismi interni (tipicamente gli Organismi di Vigilanza) e verso le Autorità competenti (tipicamente la Polizia delle Comunicazioni), sono garanzie fondamentali per rendere trasparente e con responsabilità ben definite il processo di gestione, utile anche ai fini di una possibile verifica o certificazione di terze parti. Il sistema di controllo per la prevenzione dei reati di criminalità informatica dovrà altresì basarsi, ove applicabili, sui seguenti principi generali ed accorgimenti: separazione dei ruoli che intervengono nelle attività chiave dei processi operativi esposti a rischio; tracciabilità degli accessi e delle attività svolte sui sistemi informatici che supportano i processi esposti a rischio; procedure e livelli autorizzativi da associarsi alle attività critiche dei processi operativi esposti a rischio; raccolta, analisi e gestione degli incidenti e di segnalazioni di fattispecie a rischio di reati informatici rilevati da soggetti interni e esterni all Azienda; procedure di escalation per la gestione di incidenti e di fattispecie a rischio di reato caratterizzate da elevata criticità e nella gestione dei rapporti con gli Enti Istituzionali. L ambito di applicazione dell art. 24 bis è tale da richiedere competenze tecniche ed esperienze specifiche ai fini dello svolgimento delle attività richieste per la compliance al d.lgs. 231/2001 (definizione delle possibili modalità di realizzazione dei reati, valutazione dei relativi rischi connessi alle carenze del sistema informatico, valutazione dell efficacia dei presidi esistenti e definizione delle azioni correttive/ integrative). E quindi utile valorizzare o raccomandare, anche ai fini 231, l aderenza generale di una organizzazione a framework e standard internazionalmente riconosciuti in tema di ICT Security Governance, Management & Compliance; tale aderenza è un elemento qualificante e di ausilio rispetto ai possibili presidi utilizzabili ai fini di una corretta implementazione di un adeguato sistema di controllo interno. 8 AIPSA ICT Security & Privacy

11 Alcuni standard internazionali o regolamentazioni nazionali che risultano utili al miglioramento dei sistemi di controllo interno sono ad esempio i seguenti: COBIT (Control Objectives for Information and related Technology); ISO (norma internazionale che fornisce i requisiti per un sistema di gestione della sicurezza delle informazioni); Codice Privacy (Codice in materia di protezione dei dati personali ed i Provvedimenti specifici del Garante Privacy). L authority negli ultimi due anni ha posto particolare enfasi agli aspetti di raccolta delle evidenze tramite opportuni strumenti di audit log e nel Provvedimento del 17 Gennaio 2008 (Sicurezza dei dati di traffico telefonico e telematico) ha imposto, ai soggetti giuridici in ambito al provvedimento stesso, attività di controllo periodico. I controlli devono comprendere anche verifiche a posteriori, a campione o su eventuale allarme derivante da sistemi di Alerting e di Anomaly Detection, sulla legittimità e liceità degli accessi ai dati effettuati dagli incaricati, sull integrità dei dati e delle procedure informatiche adoperate per il loro trattamento. L attività di controllo deve inoltre essere adeguatamente documentata, richiamata all interno del Documento Programmatico della Sicurezza e, a richiesta, messa a disposizione del Garante o dell autorità giudiziaria; PCI-DSS (Payment Card Industry Data Security Standard); regolamenti di settore per gli aspetti di sicurezza (es. Market Abuse, AGCOM, Sarbanes-Oxley, Basilea II, ecc.). AIPSA ICT Security & Privacy 9

12 A titolo di esempio, con riferimento al Code of Practices ISO 27001:2005, i punti di controllo specifici rilevanti ai fini della prevenzione dei suddetti reati sono riconducibili alle seguenti tipologie: ruoli e responsabilità di coloro che intervengono nelle attività strategiche associate ai processi aziendali più esposti a rischio reato; definizione di programmi di formazione e sensibilizzazione rivolti al personale aziendale al fine di diffondere maggiore consapevolezza sulle azioni da intraprendere nel caso in cui si rilevi un incidente di sicurezza a rischio di reato durante l espletamento delle proprie mansioni; modalità di accesso ai sistemi informatici aziendali mediante adeguate procedure di autorizzazione che prevedano, ad esempio, la concessione dei diritti di accesso ad un soggetto soltanto a seguito della verifica dell esistenza di effettive esigenze di accesso derivanti dalle mansioni aziendali che competono al ruolo ricoperto dal soggetto; esistenza di una procedura per il controllo degli accessi; separazione dei compiti e delle aree di responsabilità al fine di ridurre il rischio di utilizzo improprio dei beni dell organizzazione; tracciabilità degli accessi e delle attività critiche svolte tramite i sistemi informatici aziendali; esistenza di procedure per la segnalazione e la gestione di eventi relativi alla sicurezza; definizione e attuazione di un processo di autorizzazione della direzione per le strutture di elaborazione delle informazioni; esistenza di procedure di escalation che assicurano una tempestiva ed efficace gestione degli incidenti di sicurezza a rischio di reato; esistenza di procedure per garantire la riservatezza dei dati secondo quanto stabilito dalle normative vigenti; esistenza di misure volte a scoraggiare gli utenti dall utilizzare le strutture di elaborazione delle informazioni per scopi non appropriati; inclusione di requisiti di sicurezza delle informazioni negli accordi con terze parti che prevedano accesso, elaborazione, comunicazione o gestione delle informazioni e delle infrastrutture dell ente; effettuazione di verifiche, preliminari all assunzione, dei candidati all impiego, nonché di collaboratori esterni, proporzionali ai requisiti di business, alla classificazione delle informazioni che dovranno essere accedute; presenza di termini e condizioni nel contratto di lavoro che precisano le responsabilità in tema di trattamento delle informazioni. 10 AIPSA ICT Security & Privacy

13 3 PCI-DSS: Payment Card Industry Data Security Standard - Requisiti per la protezione delle informazioni relative alle carte di pagamento 3.1 Introduzione L incremento del volume di acquisti effettuati tramite carte di credito e di debito e lo sfruttamento, a fini illeciti, delle tecnologie e dei sistemi di pagamento, rende l ambito della sicurezza sui sistemi di pagamento sempre più importante. Il crimine informatico e relativa minaccia del furto d identità riducono la fiducia degli utenti e dei consumatori nella tecnologia in generale e nel commercio elettronico in particolare. Le grandi aziende che offrono servizi di pagamento on line o basate su carte di credito, gestiscono un elevato numero di transazioni annue con carte di pagamento; per questo motivo chi si occupa di sicurezza all interno delle organizzazioni si pone l obiettivo di: garantire un elevato livello di protezione delle informazioni relative alle carte di credito; censire i dati (cardholder data) definendo il perimetro all interno del quale tali dati sono gestiti; valutare la sicurezza delle applicazioni che utilizzano i dati delle carte, anche attraverso l analisi e la revisione del codice sorgente dei programmi; Crimine informatico e furto didentità riducono la fiducia degli utenti e dei consumatori nella tecnologia. avere delle opportune procedure di gestione degli incidenti e delle frodi, che permette di assicurare una corretta, tempestiva ed idonea applicazione delle contromisure di sicurezza previste; creare delle opportune sinergie sugli aspetti di sicurezza con i gestori di Carte di Credito e con i circuiti internazionali, utili anche ai fini di una corretta gestione (p.e. Service Provider come CartaSi e circuiti come VISA e Mastercard). AIPSA ICT Security & Privacy 11

14 3.2 Gli illeciti relativi alle carte Le possibili frodi relative alle carte di credito si dividono generalmente in due macro categorie: plastic fraud - si intendono tutte quelle tipologie di frode che interessano la carta in quanto tale, vale a dire nella sua dimensione materiale. In linea generale, il riferimento è ai casi di furto o contraffazione ai quali segue il riutilizzo della carta, appunto rubata o contraffatta, in transazioni face-toface, ossia in quelle transazioni che avvengono in presenza fisica delle due parti (consumatore e fornitore); CNP fraud - consiste nel furto dei dettagli relativi alla carta di credito (ad es. il nome del titolare, il numero di carta, la data di scadenza, il codice CVV), quindi in assenza del possessore titolare (CNP, Cardholder-Not-Present). (BOX). Nelle frodi sulle carte di credito la tecnica più diffusa è quella del furto didentità. La repressione delle frodi realizzate con carte di credito è assicurata in Italia dall art. 12 ex L. 197/91, dove sono punite tre fattispecie aventi ad oggetto le carte di credito o di pagamento o qualsiasi altro documento che abiliti al prelievo di denaro contante o all acquisto di beni o alla prestazione di servizi. Le tre fattispecie sono: 1. l utilizzazione indebita; 2. la contraffazione delle carte di credito; 3. la ricettazione delle carte di credito. La frode informatica rientra nell ambito dei crimini informatici meglio disciplinati con l approvazione della legge 48/2008 sul Cybercrime, e quindi anche nell ambito della responsabilità amministrativa delle Aziende ai fini del D.lgs 231. La frode informatica si distingue dalla truffa perché l attività fraudolenta dell agente investe non la persona (soggetto passivo), bensì il sistema informatico. Nelle frodi sulle carte di credito la tecnica più diffusa è quella del furto d identità con la quale si carpiscono informazioni riservate (numero di carta di credito, codice segreto, dati personali del titolare della carta). In particolare il phishing rappresenta la principale truffa sul furto di identità, basata su transazioni online non autorizzate dal titolare. 3.3 Lo standard PCI-DSS Il regolamento per la protezione dei dati Payment Card Industry (PCI) è stato creato dal raggruppamento dei principali circuiti di pagamento internazionali (American Express, Discover Financial Services, JCB, MasterCard Worldwide e Visa International, ecc.), con l intento comune di migliorare il livello di sicurezza nella gestione dei dati dei titolari di carte di credito/debito, nelle transazioni elettroniche e nella gestione di tutte le informazioni ad esse correlate. All interno di tale regolamentazione di sicurezza sono stati creati una serie di requisiti di protezione delle informazioni uniformi per tutte le marche di carte di credito. Questi requisiti sono quindi stati raccolti in uno Standard internazionale, noto come PCI- DSS (Payment Card Industry Data Security Standard) per diffondere e semplificare l applicazione delle idonee misure di protezione dei dati e rendere tali misure coerenti e omogenee a livello internazionale. 12 AIPSA ICT Security & Privacy

15 3.3.1 Attori coinvolti in una transazione Acquirer Issuer Soggetto indipendente che provvede alla gestione delle autorizzazioni con Carte appartenenti a circuiti di Credito o Debito nazionali/internazionali, in virtù di un rapporto (contratto) di convenzione in essere con l esercente. Soggetto che emette Carte di pagamento appartenenti a circuiti di Credito e Debito nazionali/ internazionali. E il soggetto che concede l autorizzazione al pagamento. Rete E responsabile dell interconnessione tra Acquirer ed Issuer e di norma viene referenziata come Rete dei Circuiti Internazionali (ad es. Visa, MasterCard). L accesso alla Rete viene gestito dal Circuito Internazionale di riferimento. Card holders Titolare della Carta di Credito/ Debito. Merchant Chi vende prodotti/servizi online. Payment gateway E un software che interpreta e gestisce l interfaccia tra protocolli di Internet e il sistema di comunicazione privato delle società di credito; è in grado di gestire la transazione tra un commerciante e l entità finanziaria che emette carte di pagamento Requisiti per la conformità agli standard PCI-DSS Lo standard PCI DSS è costituito da un elenco di requisiti di protezione espressi in termini di gestione, criteri, procedure, architettura di rete, progettazione di software e altre misure di tutela dei dati dei titolari di carta. Lo standard è organizzato in un gruppo di sei principi e dodici requisiti. Ogni requisito contiene sottorequisiti la cui osservanza richiede l implementazione di particolari processi, criteri o soluzioni tecnologiche. I criteri e i requisiti PCI DSS obbligano a: costruire e mantenere una rete sicura; proteggere i dati dei titolari delle carte; implementare un programma di gestione delle vulnerabilità; introdurre misure forti di controllo degli accessi ai dati; provvedere regolarmente al monitoring e al testing della rete; mantenere una policy per la sicurezza delle informazioni. Lo standard è organizzato in un gruppo di sei principi e dodici requisiti. AIPSA ICT Security & Privacy 13

16 Lo standard PCI- DSS costituisce un requisito generale per tutte quelle entità che gestiscono dati di titolari di carte di credito/debito. La conformità allo standard permette di minimizzare i rischi connessi alla sicurezza dei dati attraverso la protezione. Un beneficio immediato nelladozione dello standard PCI DSS da parte dei Merchant è quindi quello di pagare meno per le transazione e di avere, in caso di frodi, adeguate garanzie per la copertura della frode stessa e per evitare penali da parte dei circuiti internazionali. I requisiti PCI-DSS si applicano esclusivamente se nell ambito di una data organizzazione viene in qualche modo utilizzato il numero di carta di credito o PAN (Numero Account Primario), indipendentemente dal fatto se tale numero viene memorizzato, elaborato o trasmesso. In particolare sono comuni dati da proteggere i singoli campi della carta di credito, ovvero Data di scadenza, Codice di Sevizio e Nome del Titolare ; tuttavia, anche se singolarmente tali dati devono essere conformi ai requisiti PCI-DSS, nel caso in cui venissero memorizzati insieme al PAN, i requisiti di sicurezza da applicare al dato aggregato sono ben superiori e si arriva fino alla cifratura dei dati sui DB o in transito ed all utilizzo di meccanismi di tracciamento adeguato per tutte le fasi di gestione o trattamento dei dati. Tali requisiti di sicurezza si applicano a tutti i componenti del sistema, dove per componenti del sistema si intende qualunque componente, server o applicazione della rete, che faccia parte o sia collegato all ambiente dati in cui sono custodite le informazioni dei titolari delle carte o vengono trattati i dati sensibili utili per l autenticazione e l accesso all ambiente dati. 3.4 Perché è importante ottemperarvi Lo standard PCI-DSS costituisce un requisito generale per tutte quelle entità che gestiscono dati di titolari di carte di credito/debito. Per mantenere un rapporto commerciale sano e positivo con esse, le banche acquirenti (Acquirer) sono tenute a garantire che i loro operatori commerciali (Merchant) osservino tutte le regole di sicurezza e che i Clienti finali siano tutelati in maniera adeguata. Analogamente, gli operatori commerciali e i fornitori di servizi hanno la possibilità di dimostrare il loro livello di conformità allo standard in modo da consolidare il rapporto commerciale con le banche acquirenti, evitando responsabilità o penali dovute all inosservanza delle principali regole di sicurezza. L adozione dello standard PCI-DSS consente, in particolare, di: individuare eventuali rischi nelle procedure di archiviazione o trasmissione dei dati di carta dei clienti; fornire una procedura trasparente di intervento e correttiva nell affrontare eventuali incidenti; dimostrare ai clienti la seria considerazione per la sicurezza dei loro dati. La conformità allo standard permette inoltre, in generale, di minimizzare i rischi connessi alla sicurezza dei dati attraverso la protezione: dal rischio di responsabilità economiche (compresi i costi causati da eventuali frodi perpetrate ai danni di clienti a seguito della compromissione dei loro dati); dal rischio di spese di natura investigativa e legale; dal rischio di una pubblicità negativa da parte dei mezzi di informazione. 14 AIPSA ICT Security & Privacy

17 3.5 Le conseguenze dell inosservanza In caso di inosservanza dello standard PCI-DSS da parte degli operatori commerciali, le società di carte di credito/debito hanno la facoltà di imporre sanzioni agli istituti bancari loro membri che, a loro volta, possono richiedere gli indennizzi agli operatori o Merchant inadempienti. Le sanzioni sono severe e vanno da sanzioni pecuniarie rilevanti fino al peggiore dei casi in cui gli operatori commerciali perdono la facoltà di elaborare le operazioni con carte di credito dei clienti. Sono altresì possibili altre conseguenze oltre alle sanzioni: la perdita dei dati dei titolari di carte di credito, accidentale o attraverso un furto, può anche comportare azioni legali da parte dei suddetti titolari, arrecando cattiva pubblicità e, di conseguenza, una perdita di business. Le aziende, inoltre, sono obbligate a informare le autorità di legge e devono offrire servizi gratuiti di protezione delle carte di credito/ debito ai soggetti potenzialmente coinvolti. 3.6 Obbligo di detection e notifica di violazioni di sicurezza dei dati delle carte Anche nel caso della sicurezza dei dati di carta di credito subentrano sia gli obblighi ed i vincoli delle responsabilità contrattuali e amministrative dell Azienda (ai sensi del D.lgs 231), sia le responsabilità penali degli amministratori o dei soggetti incaricati (derivanti, in caso di abusi, da possibili presenze di trattamento illecito di dati personali, di frodi o di crimini informatici). Quindi, nel caso in cui una Azienda gestisce transazioni con carte di credito dei clienti, deve ottemperare alle più idonee misure di sicurezza e protezione dei dati trattati; come riferimento per tali misure si possono prendere quelle definite dallo standard PCI, standard cui non è comunque obbligatorio ottemperare, ma lo sono le contromisure di protezione da esso identificate. In ogni caso valgono sempre le indicazioni di prevenzione per evitare ogni possibile trattamento illecito di dati personali, ogni forma di illeciti informatici (ai sensi della Normativa sulla Privacy e della Lg. 48/2008 sui crimini informatici). Risulta quindi, anche nel caso del trattamento di dati di carta di credito, rilevante l esistenza di adeguate procedure di Incident Handling, di Escalation e di Reporting degli eventi di sicurezza e di possibili casi di frodi; tali procedure sono indispensabili per l eventuale certificazione PCI-DSS dell organizzazione, e risultano fondamentali per rendere trasparente e con responsabilità ben definite il processo di gestione, utile anche ai fini di una possibile verifica o certificazione di terze parti. Procedure di Incident Handling, di Escalation e di Reporting degli eventi di sicurezza sono indispensabili per leventuale certificazione PCI-DSS dell organizzazione. AIPSA ICT Security & Privacy 15

18 4 Direttiva UE per la protezione delle infrastrutture critiche Le aziende si trovano in questi ultimi anni a dover fronteggiare situazioni che richiedono lattivazione di nuovi processi interni per rafforzare la protezione degli asset e delle informazioni aziendali e per gestire le situazioni di emergenza in cui possono incorrere. 4.1 Introduzione Attentati terroristici, disastri naturali, blackout energetici, attacchi informatici e altri eventi che minacciano la nostra società sono sempre più all ordine del giorno. Le aziende si trovano in questi ultimi anni a dover fronteggiare situazioni quasi sconosciute in precedenza, che richiedono l attivazione di nuovi processi interni sia per rafforzare la protezione degli asset e delle informazioni aziendali sia per gestire le situazioni di emergenza in cui possono incorrere. Tale problematica è stata ulteriormente rafforzata dall emanazione della Direttiva 2008/114/CE del Consiglio dell Unione Europea relativa all individuazione e protezione delle Infrastrutture Critiche Europee (ICE), ovvero quelle infrastrutture il cui eventuale danneggiamento o distruzione avrebbe un impatto significativo su più Stati dell Unione Europea. La Direttiva Europea si propone pertanto i seguenti obiettivi: identificare e censire le infrastrutture critiche di interesse europeo e, conseguentemente, quelle di rilevanza nazionale; garantire la protezione delle infrastrutture critiche individuate attraverso la definizione di idonee misure e strumenti operativi. 4.2 Contenuti normativi La Direttiva Europea 2008/114/CE dovrà essere recepita da ogni Stato Membro entro dicembre 2010 e stabilisce una serie di procedure e azioni per l individuazione 16 AIPSA ICT Security & Privacy

19 e la protezione delle Infrastrutture Critiche Europee, individuando le parti coinvolte e attribuendo specifiche responsabilità. Allo stato attuale, i settori individuati dalla Direttiva per l analisi delle IC sono quelli dell Energia e dei Trasporti, ma riconosce la necessità di estendere in futuro (già dal 2011) la lista dei settori critici, ed assegna la priorità al settore dell Information and Communication Technology (ICT). L attuazione della Direttiva comporta quindi una serie di adempimenti sia nei confronti dei Paesi Membri (Istituzioni), sia nei confronti dei Proprietari/Operatori di ICE: Adempimenti per gli Stati Membri in cui sono ubicate le ICE istituire un Organismo Nazionale Competente e nominare un Punto di Contatto Unico per garantire il coordinamento delle attività relative alle ICE; definire l approccio metodologico per l individuazione e l analisi delle infrastrutture critiche di interesse europeo; indicare i criteri per designare e valutare la criticità delle infrastrutture critiche ed i criteri per valutare ex ante le loro interdipendenze ( effetti domino ); identificare le possibili infrastrutture critiche nazionali ed europee; formulare proposte e richieste di designazione di ICE verso altri Stati Membri; gestire le richieste di designazione di ICE identificate in Italia dagli altri Stati Membri; designare le ICE situate nel territorio nazionale; eseguire un analisi dei rischi a livello nazionale per valutare le minacce e vulnerabilità riguardanti le ICE situate nel proprio territorio; gestire i rapporti con la Commissione Europea e con i Proprietari/Operatori di Infrastrutture Critiche nazionali ed europei; censire e validare i Piani di Sicurezza predisposti dai Proprietari/Operatori per garantire la protezione delle ICE. La Direttiva è finalizzata alla definizione di linee guida comuni per garantire la protezione delle infrastrutture nonché la valorizzazione della qualità minima dei servizi essenziali per il benessere della popolazione, la sicurezza nazionale ed il buon funzionamento del Sistema Paese. Adempimenti per i Proprietari/Operatori di ICE nominare un Funzionario di Collegamento in materia di sicurezza dell infrastruttura critica che agisca come punto di riferimento con l Organismo Nazionale Competente; predisporre un Piano di Sicurezza dell Operatore (PSO) in cui identificare i beni dell infrastruttura critica e le soluzioni in atto o in corso di implementazione per la loro protezione; individuare le componenti che costituiscono l infrastruttura critica europea; eseguire un analisi dei rischi sull infrastruttura critica che comprenda le minacce, le vulnerabilità e l impatto potenziale per ogni componente; identificare, selezionare e prioritizzare le contromisure da implementare per garantire la sicurezza dell ICE; gestire operativamente il Piano di Sicurezza dell Operatore. E importante sottolineare come attualmente la Direttiva non contiene nessuna disposizione obbligatoria nei confronti degli Stati Membri e nei confronti degli Operatori proprietari delle ICE, ma è principalmente finalizzata alla definizione di linee guida comuni per garantire la protezione delle infrastrutture che caratterizzano la qualità della vita dei cittadini nonché la valorizzazione della qualità minima dei servizi essenziali per il benessere della popolazione, la sicurezza nazionale ed il buon funzionamento del Sistema Paese. AIPSA ICT Security & Privacy 17

20 AIPSA Piazzale R. Morandi, Milano C.F Partita Iva Tel. e Fax

Comunicazione informativa sul Modello 231 e Codice Etico. MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO AI SENSI DEL D.Lgs. 8 GIUGNO 2001 N.

Comunicazione informativa sul Modello 231 e Codice Etico. MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO AI SENSI DEL D.Lgs. 8 GIUGNO 2001 N. Comunicazione informativa sul Modello 231 e Codice Etico MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO AI SENSI DEL D.Lgs. 8 GIUGNO 2001 N. 231 MODELLO DI ORGANIZZAZIONE Con la disciplina dettata dal

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

CNIPA. "Codice privacy" Il Documento Programmatico di Sicurezza. 26 novembre 2007. Sicurezza dei dati

CNIPA. Codice privacy Il Documento Programmatico di Sicurezza. 26 novembre 2007. Sicurezza dei dati CNIPA "Codice privacy" 26 novembre 2007 Sicurezza dei dati Quando si parla di sicurezza delle informazioni, i parametri di riferimento da considerare sono: Integrità Riservatezza Disponibilità 1 I parametri

Dettagli

Politica per la Sicurezza

Politica per la Sicurezza Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato

Dettagli

CODICE DI COMPORTAMENTO

CODICE DI COMPORTAMENTO CODICE DI COMPORTAMENTO Per il personale coinvolto nelle attività di distribuzione dell energia elettrica e del gas naturale Rev. 03 del 21/12/2015 Il presente Codice di Comportamento è stato elaborato

Dettagli

ELENCO DEGLI ADEMPIMENTI RICHIESTI A TITOLARI DEL TRATTAMENTO PRIVATI DALLA NORMATIVA PRIVACY.

ELENCO DEGLI ADEMPIMENTI RICHIESTI A TITOLARI DEL TRATTAMENTO PRIVATI DALLA NORMATIVA PRIVACY. ELENCO DEGLI ADEMPIMENTI RICHIESTI A TITOLARI DEL TRATTAMENTO PRIVATI DALLA NORMATIVA PRIVACY. Il presente documento ha lo scopo di illustrare gli adempimenti di natura legale e di natura tecnico-informatica

Dettagli

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI COMUNE DI BRESCIA REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI Adottato dalla Giunta Comunale nella seduta del 26.3.2003 con provvedimento n. 330/11512 P.G. Modificato

Dettagli

Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi

Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi 3 Linee di indirizzo per il Sistema di Controllo Interno e di Gestione dei Rischi 1. Premessa Il Sistema di Controllo Interno e di Gestione dei Rischi di Fiat S.p.A. (la Società ) costituisce elemento

Dettagli

Università degli Studi di Udine. Modalità e limiti di utilizzo della rete telematica dell Università di Udine

Università degli Studi di Udine. Modalità e limiti di utilizzo della rete telematica dell Università di Udine Università degli Studi di Udine Modalità e limiti di utilizzo della rete telematica dell Università di Udine Gruppo di lavoro istituito il 16 aprile 2004 con decreto rettorale n. 281 Pier Luca Montessoro,

Dettagli

La norma UNI EN ISO 14001:2004

La norma UNI EN ISO 14001:2004 La norma COS È UNA NORMA La normazione volontaria Secondo la Direttiva Europea 98/34/CE del 22 giugno 1998: "norma" è la specifica tecnica approvata da un organismo riconosciuto a svolgere attività normativa

Dettagli

Il Sistema di Gestione della Sicurezza e Salute sul Lavoro OHSAS 18000:2007 e il Modello di Organizzazione e Controllo secondo il D.Lgs.

Il Sistema di Gestione della Sicurezza e Salute sul Lavoro OHSAS 18000:2007 e il Modello di Organizzazione e Controllo secondo il D.Lgs. Convegno ASACERT Il Sistema di Gestione della Sicurezza e Salute sul Lavoro OHSAS 18000:2007 e il Modello di Organizzazione e Controllo secondo il D.Lgs. 231/01 Centro Congressi Relaisfranciacorta 20 marzo

Dettagli

REGOLE DI COMPORTAMENTO

REGOLE DI COMPORTAMENTO REGOLE DI COMPORTAMENTO Missione e valori La Finprest Srl, agente in attività finanziaria con iscrizione BANCA D ITALIA nr. A7739, opera nel settore del credito al consumo mediante concessione di finanziamenti

Dettagli

CODICE DI COMPORTAMENTO. Per il Personale Coinvolto nelle Attività di Trasporto, Stoccaggio e Distribuzione del Gas Naturale

CODICE DI COMPORTAMENTO. Per il Personale Coinvolto nelle Attività di Trasporto, Stoccaggio e Distribuzione del Gas Naturale 1111 CODICE DI COMPORTAMENTO Per il Personale Coinvolto nelle Attività di Trasporto, Stoccaggio e Distribuzione del Gas Naturale INDICE 1 INTRODUZIONE...4 La separazione funzionale nel settore energetico...

Dettagli

Mappa dei rischi elaborata sulla base dell analisi del contesto e della valutazione dell ambiente di controllo

Mappa dei rischi elaborata sulla base dell analisi del contesto e della valutazione dell ambiente di controllo sulla base dell analisi del contesto e della valutazione dell ambiente di Pag. di NUMERO EDIZIONE DATA MOTIVAZIONE 6/09/204 Adozione ALLEGATO Mappa dei rischi ALLEGATO Mappa dei rischi elaborata sulla

Dettagli

CODICE DI COMPORTAMENTO PER IL PERSONALE COINVOLTO NELL ATTIVITA DI DISTRIBUZIONE E MISURA DEL GAS NATURALE. ACSM-AGAM Reti Gas Acqua S.r.l.

CODICE DI COMPORTAMENTO PER IL PERSONALE COINVOLTO NELL ATTIVITA DI DISTRIBUZIONE E MISURA DEL GAS NATURALE. ACSM-AGAM Reti Gas Acqua S.r.l. CODICE DI COMPORTAMENTO PER IL PERSONALE COINVOLTO NELL ATTIVITA DI DISTRIBUZIONE E MISURA DEL GAS NATURALE ACSM-AGAM Reti Gas Acqua S.r.l. Approvato dal CdA del 15 ottobre 2010 2 INDICE Preambolo...4

Dettagli

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative Servizi Consulenza Formazione Prodotti L impostazione dei servizi offerti Le Banche e le altre imprese, sono

Dettagli

Banche e Sicurezza 2015

Banche e Sicurezza 2015 Banche e Sicurezza 2015 Sicurezza informatica: Compliance normativa e presidio del rischio post circolare 263 Leonardo Maria Rosa Responsabile Ufficio Sicurezza Informatica 5 giugno 2015 Premessa Il percorso

Dettagli

ORGANISMO DI VIGILANZA

ORGANISMO DI VIGILANZA ALLEGATO 3 ORGANISMO DI VIGILANZA 12 1. Il decreto 231/01 e l istituzione dell OdV Come noto il Decreto 231/01 ha introdotto una nuova forma di responsabilità delle persone giuridiche per alcuni tipi di

Dettagli

Piano Anticorruzione It.City S.p.A.

Piano Anticorruzione It.City S.p.A. Piano Anticorruzione It.City S.p.A. 2014 2016 Indice Premessa... 2 Organizzazione... 4 Referenti... 5 Compiti operativi dei Referenti... 7 Aree di rischio... 8 I Controlli... 9 La Trasparenza... 10 Codice

Dettagli

La nuova disciplina in materia di tutela della privacy (D.Lgs. 30.6.2003 n. 196) Principali novità

La nuova disciplina in materia di tutela della privacy (D.Lgs. 30.6.2003 n. 196) Principali novità La nuova disciplina in materia di tutela della privacy (D.Lgs. 30.6.2003 n. 196) Principali novità INDICE 1 Il nuovo Codice sulla privacy... 2 2 Ambito di applicazione... 2 3 Soggetti coinvolti dal trattamento

Dettagli

Fornitori d Eccellenza

Fornitori d Eccellenza Fornitori d Eccellenza Dal 1994 Consulenza e Formazione Aziendale www.gestaonline.it Sistemi gestionali Sicurezza sul lavoro Ambiente Modelli 231 Direzione aziendale La nostra missione è quella di aiutare

Dettagli

Manuale Informativo. Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali

Manuale Informativo. Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali Manuale Informativo Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali INDEX Il D.Lgs. 196/2003 Termini e Fondamenti Gli attori Organizzazione e Responsabilità

Dettagli

CODICE DI COMPORTAMENTO

CODICE DI COMPORTAMENTO CODICE DI COMPORTAMENTO Per il personale coinvolto nelle attività di distribuzione e misura del gas naturale Rev. 01 del 10.06.2015 Il presente Codice di Comportamento è stato elaborato per assicurare

Dettagli

I dati : patrimonio aziendale da proteggere

I dati : patrimonio aziendale da proteggere Premessa Per chi lavora nell informatica da circa 30 anni, il tema della sicurezza è sempre stato un punto fondamentale nella progettazione dei sistemi informativi. Negli ultimi anni il tema della sicurezza

Dettagli

Roma, ottobre 2013. Ai Responsabili Regionali pro tempore Ai Responsabili di Zona pro tempore

Roma, ottobre 2013. Ai Responsabili Regionali pro tempore Ai Responsabili di Zona pro tempore Roma, ottobre 2013 Ai Responsabili Regionali pro tempore Ai Responsabili di Zona pro tempore OGGETTO: NOMINA DEI RESPONSABILI DEL TRATTAMENTO DEI DATI L AGESCI Associazione Guide e Scouts Cattolici Italiani,

Dettagli

INDIVIDUAZIONE E VALUTAZIONE DEI RISCHI

INDIVIDUAZIONE E VALUTAZIONE DEI RISCHI RHRG00 INDIVIDUAZIONE E VALUTAZIONE DEI RISCHI Rev. 01 2014.10.20 Pagine 10 Pagina 1 RHRG00 REVISIONE 01 INDIVIDUAZIONE E VALUTAZIONE DEI RISCHI RAVENNA HOLDING S.P.A. Via Trieste, 90/A - 48122 Ravenna

Dettagli

PCI DSS ISTRUZIONI OPERATIVE

PCI DSS ISTRUZIONI OPERATIVE PCI DSS ISTRUZIONI OPERATIVE ver febbraio 2014 COS E IL PCI SSC (SECURITY STANDARD COUNCIL) L'organizzazione è stata fondata da Visa, Inc., MasterCard Worldwide, American Express, Discover Financial Services

Dettagli

INFORMATIVA PER I CLIENTI

INFORMATIVA PER I CLIENTI INFORMATIVA PER I CLIENTI INFORMATIVA AI SENSI DELL'ART. 13 DEL D. LGS. 196/2003 ( Codice in materia di protezione dei dati personali o anche Codice Privacy ) I) Finalità e Modalità del trattamento cui

Dettagli

Consulenza sul Documento Programmatico sulla Sicurezza in ottemperanza al nuovo Testo Unico sulla Privacy

Consulenza sul Documento Programmatico sulla Sicurezza in ottemperanza al nuovo Testo Unico sulla Privacy GP&A Srl Via Seprio, 2 20149 Milano Phone: 02/45.49.53.73 Fax: 02/45.49.53.74 Email: info@gpa.it Consulenza sul Documento Programmatico sulla Sicurezza in ottemperanza al nuovo Testo Unico sulla Privacy

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Comune di San Martino Buon Albergo Provincia di Verona

Comune di San Martino Buon Albergo Provincia di Verona Comune di San Martino Buon Albergo Provincia di Verona REGOLAMENTO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (Approvato con deliberazione di Consiglio Comunale n. 32 del 12/05/2009) Sommario Art. 1.

Dettagli

4. Modello in tema di tutela della sicurezza sul lavoro

4. Modello in tema di tutela della sicurezza sul lavoro 4. Modello in tema di tutela della sicurezza sul lavoro 4.1 Previsioni del d.lgs. 81/2008 Il d.lgs. n. 81 del 9 aprile 2008 ha sostanzialmente innovato la legislazione in materia di sicurezza e salute

Dettagli

Circolare Informativa

Circolare Informativa Circolare Informativa Spett. Clienti, Loro Sedi Treviso, il 7 marzo 2010 RESPONSABILITÀ AMMINISTRATIVA PER LE SOCIETÀ DI CAPITALI EX D.LGS. N.231/2001 CERTIFICAZIONE SICUREZZA AZIENDALE OHSAS 18001 Ricordiamo

Dettagli

INFORMATIVA SULL ADOZIONE DEL PIANO TRIENNALE DI PREVENZIONE DELLA CORRUZIONE

INFORMATIVA SULL ADOZIONE DEL PIANO TRIENNALE DI PREVENZIONE DELLA CORRUZIONE INFORMATIVA SULL ADOZIONE DEL PIANO TRIENNALE DI PREVENZIONE DELLA CORRUZIONE Gennaio 2014 Il 28 novembre 2012, con la pubblicazione in Gazzetta Ufficiale, è entrata in vigore la L. 6 novembre 2012 n.

Dettagli

POLICY SINTETICA ADOTTATA DA BANCA LEONARDO S.P.A

POLICY SINTETICA ADOTTATA DA BANCA LEONARDO S.P.A POLICY SINTETICA ADOTTATA DA BANCA LEONARDO S.P.A. PER L INDIVIDUAZIONE E LA GESTIONE DEI CONFLITTI DI INTERESSE NELLA PRESTAZIONE DEI SERVIZI E DELLE ATTIVITA DI INVESTIMENTO E DEI SERVIZI ACCESSORI 1.

Dettagli

Regolamento al trattamento dati per la piattaforma "Sofia" e Misure di Sicurezza adottate

Regolamento al trattamento dati per la piattaforma Sofia e Misure di Sicurezza adottate Regolamento al trattamento dati per la piattaforma "Sofia" e Pagina 1 di 10 INDICE 1. Definizioni 3 2. Individuazione dei tipi di dati e di operazioni eseguibili 4 3. Titolare del trattamento, oneri informativi

Dettagli

Premessa. STIMA S.p.A. si impegna a diffondere il contenuto di questo Codice a quanti entreranno in relazione con l azienda.

Premessa. STIMA S.p.A. si impegna a diffondere il contenuto di questo Codice a quanti entreranno in relazione con l azienda. Codice Etico Premessa Il Codice Etico STIMA S.p.A. individua i valori aziendali, evidenziando l insieme dei diritti, dei doveri e delle responsabilità di tutti coloro che, a qualsiasi titolo, operano nella

Dettagli

Modello di Organizzazione, Gestione e Controllo ex D. Lgs. 231/2001. Parte 01 PRESENTAZIONE DEL MODELLO

Modello di Organizzazione, Gestione e Controllo ex D. Lgs. 231/2001. Parte 01 PRESENTAZIONE DEL MODELLO Parte 01 PRESENTAZIONE DEL MODELLO 1 01.00 PREMESSA Recordati è un gruppo farmaceutico europeo fondato nel 1926, quotato alla Borsa Italiana, che si dedica alla ricerca, allo sviluppo, alla produzione

Dettagli

CYBERCRIME E CLOUD COMPUTING

CYBERCRIME E CLOUD COMPUTING CYBERCRIME E CLOUD COMPUTING UN RECENTE STUDIO COMUNITARIO TRA EVOLUZIONE NORMATIVA E PROSPETTIVE Luca Di Majo La Direzione Generale sulle politiche interne in seno al Parlamento Europeo ha recentemente

Dettagli

Comune di Medicina Provincia di Bologna REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA

Comune di Medicina Provincia di Bologna REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA Comune di Medicina Provincia di Bologna REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA Approvato con Delibera del Consiglio Comunale n.125 del 28/09/2015 1 INDICE Articolo 1 Oggetto pag. 3 Articolo

Dettagli

LEGAL DISCLAIMER AREA RISERVATA FORNITORI QUALIFICATI

LEGAL DISCLAIMER AREA RISERVATA FORNITORI QUALIFICATI LEGAL DISCLAIMER AREA RISERVATA FORNITORI QUALIFICATI Con l accesso all Area Riservata Fornitori Qualificati (l Area ), l Utente accetta integralmente i seguenti termini e condizioni di utilizzo (le Condizioni

Dettagli

Settembre 2015. MiFID II. I servizi di comunicazione dati: APA, ARM e CTP

Settembre 2015. MiFID II. I servizi di comunicazione dati: APA, ARM e CTP Settembre 2015 MiFID II. I servizi di comunicazione dati: APA, ARM e CTP Francesca Scacchi e Giuseppe Zaghini, Vigilanza su mercati e Servizi di Investimento, Federcasse La Direttiva 2014/65/UE (di seguito

Dettagli

PRIVACY-VIDEOSORVEGLIANZA

PRIVACY-VIDEOSORVEGLIANZA Circolare n. 1/08 del 20 novembre 2008* PRIVACY-VIDEOSORVEGLIANZA Riferimenti normativi La forma di sorveglianza legata all utilizzo di sistemi di ripresa delle immagini, definita videosorveglianza, è

Dettagli

Vista la deliberazione del Consiglio Direttivo dell Autorità d Informazione Finanziaria del 27 ottobre 2011 EMANA. Premessa

Vista la deliberazione del Consiglio Direttivo dell Autorità d Informazione Finanziaria del 27 ottobre 2011 EMANA. Premessa ISTRUZIONE N.1 IN MATERIA DI ORGANIZZAZIONE, PROCEDURE E CONTROLLI INTERNI VOLTI A PREVENIRE L UTILIZZO DEGLI ENTI VIGILATI A FINI DI RICICLAGGIO E DI FINANZIAMENTO DEL TERRORISMO Il Presidente dell Autorità

Dettagli

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799

La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Convegno sulla Sicurezza delle Informazioni La certificazione dei sistemi di gestione della sicurezza ISO 17799 e BS 7799 Giambattista Buonajuto Lead Auditor BS7799 Professionista indipendente Le norme

Dettagli

http://it.linkedin.com/in/marialberto Napoli 07/06/2013 - Alberto Mari (Sicev 265 - Apco CMC 0512-A)

http://it.linkedin.com/in/marialberto Napoli 07/06/2013 - Alberto Mari (Sicev 265 - Apco CMC 0512-A) 1 Seminario Aggiornamento Valutatori SICEV Intervento Dai Sistemi di Gestione al Modello di Organizzazione, Gestione e Controllo secondo il DLgs. 231/2001 Napoli 07/06/2013 - Alberto Mari (Sicev 265 -

Dettagli

DELLE FRODI SISTEMA DI PREVENZIONE. Carte di Pagamento

DELLE FRODI SISTEMA DI PREVENZIONE. Carte di Pagamento Carte di Pagamento SISTEMA DI PREVENZIONE DELLE FRODI La soluzione per pagamenti elettronici sicuri in conformità alla Legge n.166/05 e al Decreto Attuativo n.112/07 SISTEMA DI PREVENZIONE DELLE FRODI

Dettagli

ALLEGATO C AREE DI ATTIVITA A RISCHIO REATO, REATI ASSOCIABILI E PRESIDI ORGANIZZATIVI

ALLEGATO C AREE DI ATTIVITA A RISCHIO REATO, REATI ASSOCIABILI E PRESIDI ORGANIZZATIVI Realizzazione di programmi di formazione e di servizi a favore del personale finanziati con contributi pubblici Area di attività a rischio diretto con riferimento ai Corruzione pubblica 1 Truffa in danno

Dettagli

TAVOLI DI LAVORO 231 PROGRAMMA DEI LAVORI. PLENUM Consulting Group S.r.l.

TAVOLI DI LAVORO 231 PROGRAMMA DEI LAVORI. PLENUM Consulting Group S.r.l. TAVOLI DI LAVORO 231 PROGRAMMA DEI LAVORI N. 1559 UNI EN ISO 9001:2008 PLENUM Consulting Group S.r.l. Via San Quintino, 26/A 10121 TORINO -ITALY Tel +39 011 812 47 05 Fax +39 011 812 70 70 E-mail: plenum@plenum.it

Dettagli

Il Sistema di Governo della Sicurezza delle Informazioni di SIA

Il Sistema di Governo della Sicurezza delle Informazioni di SIA Company Management System Il Sistema di Governo della Sicurezza delle Informazioni di SIA Scopo del documento: Redatto da: Verificato da: Approvato da: Codice documento: Classificazione: Dominio di applicazione:

Dettagli

AQM incontra le imprese 27 Gennaio 2012

AQM incontra le imprese 27 Gennaio 2012 ucci UTILIZZO DI FINANZIAMENTI INAIL SISTEMI DI GESTIONE PER LA SICUREZZA, MODELLI 231 SEMPLIFICATI PER LA PREVENZIONE DEI REATI SULLA SICUREZZA AQM incontra le imprese 27 Gennaio 2012 AGENDA Il Bando

Dettagli

WWW.BERTINIASSICURAZIONI.IT

WWW.BERTINIASSICURAZIONI.IT WWW.BERTINIASSICURAZIONI.IT NOTE LEGALI E PRIVACY POLICY Vers.1.0 INTRODUZIONE Lo scopo delle Note Legali e della Privacy Policy è quello di garantire all Utente di poter verificare in piena trasparenza

Dettagli

Convegno Ecoreati e gestione del rischio aziendale.

Convegno Ecoreati e gestione del rischio aziendale. In collaborazione con : Convegno Ecoreati e gestione del rischio aziendale. Presentazione di : Ing. Gianpaolo Sara Presidente - Euranet Ing. Guido Galazzetti CEO Euranet 29 ottobre 2015 Palazzo dei Congressi

Dettagli

Cassa del Trentino S.p.A. Analisi delle attività sensibili ex D.Lgs. 231/01 art. 6 comma 2. Relazione di sintesi

Cassa del Trentino S.p.A. Analisi delle attività sensibili ex D.Lgs. 231/01 art. 6 comma 2. Relazione di sintesi Cassa del Trentino S.p.A. Analisi delle attività sensibili ex D.Lgs. 231/01 art. 6 comma 2 Relazione di sintesi Marzo 2013 INDICE 1. PREMESSA... 3 1.1. DEFINIZIONE DEGLI OBIETTIVI... 3 1.2. METODOLOGIA...

Dettagli

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology

Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Informazioni Aziendali: Il processo di valutazione dei Rischi Operativi legati all Information Technology Davide Lizzio CISA CRISC Venezia Mestre, 26 Ottobre 2012 Informazioni Aziendali: Il processo di

Dettagli

Procedimenti per l adozione di atti di regolazione

Procedimenti per l adozione di atti di regolazione Procedimenti per l adozione di atti di regolazione Risposta alla consultazione Consob sul progetto di regolamento di attuazione dell articolo 23 della legge n. 262/2005 1. Introduzione La Consob ha sottoposto

Dettagli

Norme per l organizzazione - ISO serie 9000

Norme per l organizzazione - ISO serie 9000 Norme per l organizzazione - ISO serie 9000 Le norme cosiddette organizzative definiscono le caratteristiche ed i requisiti che sono stati definiti come necessari e qualificanti per le organizzazioni al

Dettagli

Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS)

Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS) Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS) (Codice in materia di protezione dei dati personali art. 34 e Allegato B, regola 19, del d.lg. 30 giugno 2003, n. 196) Premessa

Dettagli

Studio legale Avv. Paolo Savoldi Bergamo, Via Verdi, 14. SEMINARIO C.S.E. s.r.l IL TRASFERIMENTO DEL RISCHIO

Studio legale Avv. Paolo Savoldi Bergamo, Via Verdi, 14. SEMINARIO C.S.E. s.r.l IL TRASFERIMENTO DEL RISCHIO SEMINARIO C.S.E. s.r.l IL TRASFERIMENTO DEL RISCHIO PERCHE NON SMETTERE DI FARE L IMPRENDITORE EDILE? Mozzo(BG) 27 Marzo 2009 Hotel Holiday Inn Express MANABILE PER LE IMPRESE EDILI SUGLI ADEMPIMENTI PREVISTI

Dettagli

SERVICE LEGAL AGREEMENT SERVIZI AL CITTADINO www.servizialcittadino.it

SERVICE LEGAL AGREEMENT SERVIZI AL CITTADINO www.servizialcittadino.it SERVICE LEGAL AGREEMENT SERVIZI AL CITTADINO www.servizialcittadino.it Art.1 Oggetto e scopo del documento Lo scopo principale di questo documento è quello di fornire le regole e le modalità di svolgimento

Dettagli

Avv. Carlo Autru Ryolo

Avv. Carlo Autru Ryolo Gestione della responsabilità amministrativa L'apparato organizzativo della D.Lgs. 231/01 e il Sistema di Gestione della Responsabilità Amministrativa L'APPARATO ORGANIZZATIVO DELLA D.LGS. 231/01 Disciplina

Dettagli

Notifica trattamento di dati personali: ultime precisazioni per privati e professionisti ( Garante Privacy, parere 23.04.2004 )

Notifica trattamento di dati personali: ultime precisazioni per privati e professionisti ( Garante Privacy, parere 23.04.2004 ) Notifica trattamento di dati personali: ultime precisazioni per privati e professionisti ( Garante Privacy, parere 23.04.2004 ) A ridosso del termine previsto per la notifica, il Garante per la protezione

Dettagli

MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO. DI TRENITALIA S.p.A. Sintesi

MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO. DI TRENITALIA S.p.A. Sintesi MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO DI TRENITALIA S.p.A. Sintesi Luglio 2014 Il Consiglio di Amministrazione di Trenitalia S.p.A. ha approvato con delibera del 23 febbraio 2005 il Modello di

Dettagli

Documento Programmatico sulla Sicurezza delle Informazioni. Ver. 1.00

Documento Programmatico sulla Sicurezza delle Informazioni. Ver. 1.00 Documento Programmatico sulla Sicurezza delle Informazioni Ver. 1.00 20 Ottobre 1998 InfoCamere S.C.p.A. Documento Programmatico sulla Sicurezza delle Informazioni Indice 1. Introduzione...3 2. Principi

Dettagli

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni?

Cosa si intende per Sicurezza delle Informazioni? Quali sono gli obiettivi di un processo per la Sicurezza delle Informazioni? Cosa si può fare? LA SICUREZZA DELLE INFORMAZIONI Cosa si intende per Sicurezza delle Informazioni? La Sicurezza delle Informazioni nell impresa di oggi è il raggiungimento di una condizione dove i rischi

Dettagli

La sicurezza del sistema informativo dello studio professionale e la normativa sulla privacy

La sicurezza del sistema informativo dello studio professionale e la normativa sulla privacy La sicurezza del sistema informativo dello studio professionale e la normativa sulla privacy A cura del Dott.: Giuseppe Mantese g.mantese@onlineconsulenza.com Quadro normativo Il 1 gennaio 2004 è entrato

Dettagli

DELIBERA n. 11/13 della seduta del 31 luglio 2013

DELIBERA n. 11/13 della seduta del 31 luglio 2013 DELIBERA n. 11/13 della seduta del 31 luglio 2013 Definizione degli indirizzi in materia di certificazione di qualità delle imprese che effettuano trasporti di merci pericolose, di derrate deperibili,

Dettagli

Fabio Iraldo GEO Green Economy Observatory Università Bocconi

Fabio Iraldo GEO Green Economy Observatory Università Bocconi I nuovi modelli di gestione del rischio ambientale Come le fattispecie di reato introdotte dalla Legge 68/15 modificano i modelli di prevenzione del rischio e relazione con i sistemi di gestione ambientale

Dettagli

SmartPay. Making the complex simple

SmartPay. Making the complex simple SmartPay Making the complex simple 2 Le sfide sono all ordine del giorno per un impresa che vuole raggiungere il successo. Per ampliare i propri affari bisogna affrontare scelte impegnative, per questo

Dettagli

GRUPPO DASSAULT SYSTEMES POLITICA DI TUTELA DEI DATI PERSONALI RELATIVI ALLE RISORSE UMANE

GRUPPO DASSAULT SYSTEMES POLITICA DI TUTELA DEI DATI PERSONALI RELATIVI ALLE RISORSE UMANE GRUPPO DASSAULT SYSTEMES POLITICA DI TUTELA DEI DATI PERSONALI RELATIVI ALLE RISORSE UMANE Le seguenti disposizioni compongono la Politica di Tutela dei Dati relativi alle Risorse Umane del Gruppo Dassault

Dettagli

Disposizioni in materia di trattamento dei dati personali.

Disposizioni in materia di trattamento dei dati personali. Privacy - Ordinamento degli uffici e dei servizi comunali: indirizzi in materia di trattamento dei dati personali esistenti nelle banche dati del Comune. (Delibera G.C. n. 919 del 28.12.2006) Disposizioni

Dettagli

Informativa Privacy ai sensi dell art. 13 del D.Lgs. 196/2003

Informativa Privacy ai sensi dell art. 13 del D.Lgs. 196/2003 Informativa Privacy ai sensi dell art. 13 del D.Lgs. 196/2003 Desideriamo informarla che il D.lgs. n. 196 del 30 giugno 2003 (codice in materia di protezione dei dati personali) prevede la tutela delle

Dettagli

Nome modulo: VIGENTI DISPOSIZIONI DI LEGGE IN MATERIA DI TUTELA DEI DATI E DI CRIMINALITÀ INFORMATICA ANCHE EUROPEE

Nome modulo: VIGENTI DISPOSIZIONI DI LEGGE IN MATERIA DI TUTELA DEI DATI E DI CRIMINALITÀ INFORMATICA ANCHE EUROPEE NOME LEZIONE: INTRODUZIONE Il Codice privacy è entrato in vigore il 1 gennaio 2004 e riunisce in un unico contesto la legge 675/1996 e gli altri decreti legislativi in materia, i regolamenti e i codici

Dettagli

La sicurezza dell informazione

La sicurezza dell informazione La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio

Dettagli

Requisiti di controllo dei fornitori esterni

Requisiti di controllo dei fornitori esterni Requisiti di controllo dei fornitori esterni Sicurezza cibernetica Per fornitori classificati a Basso Rischio Cibernetico Requisito di cibernetica 1 Protezione delle attività e configurazione del sistema

Dettagli

Modello di organizzazione gestione e controllo ai sensi del D.Lgs 231/2001

Modello di organizzazione gestione e controllo ai sensi del D.Lgs 231/2001 Modello di organizzazione gestione e controllo ai sensi del D.Lgs 231/2001 Parte Speciale Sezione Delitti informatici e trattamento illecito di dati ELENCO DELLE REVISIONI REV. DATA NATURA DELLE MODIFICHE

Dettagli

VERSO LA REDAZIONE DEL DOCUMENTO PROGRAMMATICO DI SICUREZZA

VERSO LA REDAZIONE DEL DOCUMENTO PROGRAMMATICO DI SICUREZZA LE MISURE MINIME DI SICUREZZA INFORMATICA VERSO LA REDAZIONE DEL DOCUMENTO PROGRAMMATICO DI SICUREZZA di Marco Maglio Marketing e vendite >> Privacy Le nuove misure sono molto più stringenti di quelle

Dettagli

REGOLAMENTO PER LA DISCIPLINA DELL ATTIVITA DI VIDEOSORVEGLIANZA CAPO I DISPOSIZIONI GENERALI

REGOLAMENTO PER LA DISCIPLINA DELL ATTIVITA DI VIDEOSORVEGLIANZA CAPO I DISPOSIZIONI GENERALI REGOLAMENTO PER LA DISCIPLINA DELL ATTIVITA DI VIDEOSORVEGLIANZA CAPO I DISPOSIZIONI GENERALI ART. 1 OGGETTO Oggetto del presente regolamento è la disciplina del trattamento dei dati personali effettuato

Dettagli

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc. CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente

Dettagli

SENATO. 6 Commissione (Finanze) 5 novembre 2008 TESTO UNIFICATO PROPOSTO DALLA RELATRICE SUI DISEGNI DI LEGGE N. 414 E N. 507

SENATO. 6 Commissione (Finanze) 5 novembre 2008 TESTO UNIFICATO PROPOSTO DALLA RELATRICE SUI DISEGNI DI LEGGE N. 414 E N. 507 SENATO 6 Commissione (Finanze) 5 novembre 2008 TESTO UNIFICATO PROPOSTO DALLA RELATRICE SUI DISEGNI DI LEGGE N. 414 E N. 507 Disposizioni di contrasto al furto d identità e in materia di prevenzione delle

Dettagli

LINEE GUIDA PER LA PREDISPOSIZIONE DEL DOCUMENTO DI PROGETTO DEL SISTEMA DI GIOCO

LINEE GUIDA PER LA PREDISPOSIZIONE DEL DOCUMENTO DI PROGETTO DEL SISTEMA DI GIOCO ALLEGATO A LINEE GUIDA PER LA PREDISPOSIZIONE DEL DOCUMENTO DI PROGETTO DEL SISTEMA DI GIOCO Premessa Il documento di progetto del sistema (piattaforma) di gioco deve tener conto di quanto previsto all

Dettagli

Spett. Le FIAVET Via Ravenna, 8 00161 Roma

Spett. Le FIAVET Via Ravenna, 8 00161 Roma Pomigliano D Arco, 24/01/2005 Spett. Le FIAVET Via Ravenna, 8 00161 Roma Alla Cortese Attenzione del Segretario Generale dott. Stefano Landi Oggetto: Proposta di convenzione per la fornitura di consulenza

Dettagli

La gestione e la prevenzione delle frodi esterne

La gestione e la prevenzione delle frodi esterne La gestione e la prevenzione delle frodi esterne Gianluigi Molinari Responsabile Ufficio Prevenzione Frodi Direzione Centrale Organizzazione e Sicurezza Roma 28/29 maggio 2012 Il fenomeno delle frodi è

Dettagli

COMUNE DI PERCILE (Provincia di ROMA) REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA SUL TERRITORIO COMUNALE

COMUNE DI PERCILE (Provincia di ROMA) REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA SUL TERRITORIO COMUNALE COMUNE DI PERCILE (Provincia di ROMA) REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA SUL TERRITORIO COMUNALE Approvato con Delibera di Consiglio Comunale n del 2013 Art. 1 Art. 2 Art. 3 Art. 4 INDICE

Dettagli

L Antiriciclaggio. 231 : IL NUMERO DEI RISCHI normativa antiriciclaggio. Convegno fiduciarie piemontesi Torino 31 maggio 2013

L Antiriciclaggio. 231 : IL NUMERO DEI RISCHI normativa antiriciclaggio. Convegno fiduciarie piemontesi Torino 31 maggio 2013 231 : IL NUMERO DEI RISCHI normativa antiriciclaggio Convegno fiduciarie piemontesi Torino 31 maggio 2013 L Antiriciclaggio a cura di Salvatore Ruotolo 1 provvedimenti di Banca Italia 10 marzo 2011 in

Dettagli

PRIVACY E SICUREZZA http://www.moviwork.com http://www.moviwork.com de.co dsign&communication di Celestina Sgroi

PRIVACY E SICUREZZA http://www.moviwork.com http://www.moviwork.com de.co dsign&communication di Celestina Sgroi PRIVACY E SICUREZZA LA PRIVACY DI QUESTO SITO In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano. Tale politica

Dettagli

Tutela legale delle aziende in caso di cyber crime e attacchi informatici

Tutela legale delle aziende in caso di cyber crime e attacchi informatici Tutela legale delle aziende in caso di cyber crime e attacchi informatici WORKSHOP LE SFIDE DELLA SICUREZZA INFORMATICA Confindustria, Cuneo, 10 Luglio 2015 Avv. Marco Cuniberti 1 QUALI RISCHI LEGALI?

Dettagli

Allegato del Modello di Organizzazione e di Gestione (D. Lgs. 8 giugno 2001, n. 231 e art. 30 del D. Lgs. 9 aprile 2008, n.81)

Allegato del Modello di Organizzazione e di Gestione (D. Lgs. 8 giugno 2001, n. 231 e art. 30 del D. Lgs. 9 aprile 2008, n.81) Sommario 2 3 6 8 Principi di comportamento Principi d azione Rispetto della legalità Rispetto della salute e della sicurezza sul lavoro Rispetto dell ambiente e della collettività Rapporti con fornitori

Dettagli

UNIVERSITA' DEGLI STUDI DI PARMA

UNIVERSITA' DEGLI STUDI DI PARMA I II REGOLAMENTO DI ACCESSO AI SERVIZI DI RETE III NORME DI ATTUAZIONE DEL REGOLAMENTO DI ACCESSO AI SERVIZI DI RETE DIRETTIVE PER LA SICUREZZA DEI SERVIZI DI RETE SOMMARIO PREFAZIONE 3 PROFILO DI RISCHIO:

Dettagli

LINEE GUIDA PER LA PREDISPOSIZIONE DEL DOCUMENTO DI PROGETTO DEL SISTEMA DI GIOCO

LINEE GUIDA PER LA PREDISPOSIZIONE DEL DOCUMENTO DI PROGETTO DEL SISTEMA DI GIOCO ALLEGATO A LINEE GUIDA PER LA PREDISPOSIZIONE DEL DOCUMENTO DI PROGETTO DEL SISTEMA DI GIOCO Premessa Il documento di progetto del sistema (piattaforma) di gioco deve tener conto di quanto previsto all

Dettagli

ALLEGATO D. Roma lì, / / Equitalia S.p.A. il Titolare

ALLEGATO D. Roma lì, / / Equitalia S.p.A. il Titolare 1 Premessa e quadro normativo Il Contratto sottoscritto da Equitalia S.p.A. e ha ad oggetto l affidamento dei servizi di implementazione e manutenzione del nuovo Sistema Informativo Corporate - Sistema

Dettagli

CARTA PER LO SVILUPPO DI BEST PRACTICES PER CONTRASTARE LA CONTRAFFAZIONE ONLINE

CARTA PER LO SVILUPPO DI BEST PRACTICES PER CONTRASTARE LA CONTRAFFAZIONE ONLINE CARTA PER LO SVILUPPO DI BEST PRACTICES PER CONTRASTARE LA CONTRAFFAZIONE ONLINE Premessa A. Per contraffazione si intende, ai sensi della presente Carta, l offerta di prodotti coperti da un titolo di

Dettagli

Nufarm Italia S.r.l MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO. ai sensi del D.Lgs. n. 231/2001

Nufarm Italia S.r.l MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO. ai sensi del D.Lgs. n. 231/2001 Nufarm Italia S.r.l MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO ai sensi del D.Lgs. n. 231/2001 Il presente documento ha lo scopo di illustrare il Modello di Organizzazione, Gestione e Controllo adottato

Dettagli

23 - INDICE DELLA MATERIA ARCHIVI E GESTIONE INFORMATIZZATA DEI DOCUMENTI

23 - INDICE DELLA MATERIA ARCHIVI E GESTIONE INFORMATIZZATA DEI DOCUMENTI 23 - INDICE DELLA MATERIA ARCHIVI E GESTIONE INFORMATIZZATA DEI DOCUMENTI E248 Il sistema di protocollo informatico nella gestione degli archivi delle P.A.... pag. 2 E344 Le regole tecniche in materia

Dettagli

Legge 3 agosto 2007, n. 123. Prime indicazioni applicative. Ai Signori Direttori degli SPISAL delle Aziende ULSS del Veneto LORO SEDI

Legge 3 agosto 2007, n. 123. Prime indicazioni applicative. Ai Signori Direttori degli SPISAL delle Aziende ULSS del Veneto LORO SEDI Legge 3 agosto 2007, n. 123. Prime indicazioni applicative. Ai Signori Direttori degli SPISAL delle Aziende ULSS del Veneto LORO SEDI Facendo seguito alla informativa trasmessa dalla scrivente Direzione

Dettagli

Sicurezza Informatica e Digital Forensics

Sicurezza Informatica e Digital Forensics Sicurezza Informatica e Digital Forensics ROSSANO ROGANI CTU del Tribunale di Macerata ICT Security e Digital Forensics Mobile + 39 333 1454144 E-Mail info@digital-evidence.it INTERNET E LA POSSIBILITÀ

Dettagli

Manomissioni Le linee di intervento adottate dal Consorzio BANCOMAT. Roma, 3 Novembre 2011

Manomissioni Le linee di intervento adottate dal Consorzio BANCOMAT. Roma, 3 Novembre 2011 Manomissioni Le linee di intervento adottate dal Consorzio BANCOMAT Roma, 3 Novembre 2011 Agenda Scenario di riferimento Metodologia di contrasto adottata dal Consorzio BANCOMAT Tipologie Manomissioni

Dettagli

Modelli ex d.lgs. 231/01 e Modelli di prevenzione della corruzione ex L. 190/2012. Massimo Malena & Associati 20 maggio 2015

Modelli ex d.lgs. 231/01 e Modelli di prevenzione della corruzione ex L. 190/2012. Massimo Malena & Associati 20 maggio 2015 Modelli ex d.lgs. 21/01 e Modelli di prevenzione della corruzione ex L. 190/2012 Massimo Malena & Associati 20 maggio 2015 L impatto immediato e diretto della L. 190/2012 sul d.lgs. 21/01 La Legge 190

Dettagli

Regolamento per l utilizzo degli impianti di videosorveglianza del Comune di Molveno

Regolamento per l utilizzo degli impianti di videosorveglianza del Comune di Molveno Regolamento per l utilizzo degli impianti di videosorveglianza del Comune di Molveno Approvato con deliberazione di Consiglio Comunale n. 34 dd. 05.06.2013 Indice Art. 1 - Premessa Art. 2 - Principi generali

Dettagli

INFORMATIVA GENERALE

INFORMATIVA GENERALE UNIMEC S.R.L. Via Palazzo, 36 Albano S. Alessandro Bg Informazioni rese ai sensi dell art. 13 del D. Lgs.vo 196/03 Codice in materia di protezione dei dati personali e successive modifiche ed integrazioni.

Dettagli