Requisiti di protezione dei dati per i fornitori: criteri di valutazione

Transcript

1 Requisiti di protezione dei dati per i fornitori: criteri di valutazione Applicabilità I Requisiti di protezione dei dati per i fornitori Microsoft (RPD) sono validi per tutti i fornitori Microsoft che raccolgono, utilizzano, distribuiscono, archiviano o accedono a informazioni personali di Microsoft o informazioni riservate Microsoft nell ambito dei servizi offerti ai sensi dell ordine di acquisto, del contratto o della commessa stipulati con Microsoft. In caso di conflitto tra i requisiti contenuti nel presente e i requisiti specificati nei contratti tra il fornitore e Microsoft, i termini del contratto hanno la precedenza. In caso di conflitto tra i requisiti contenuti nel presente ed eventuali requisiti legali o normativi, tali requisiti hanno la precedenza. Per "informazioni riservate Microsoft" si intendono tutte le informazioni che, se divulgate o danneggiate, possono comportare significativi danni economici o di immagine per Microsoft. Tali informazioni includono, in via meramente esemplificativa e non esaustiva: prodotti hardware e software Microsoft, applicazioni line-of-business interne, materiali di marketing precedenti il rilascio di prodotti, codici di licenza e documentazione tecnica correlata ai prodotti e servizi Microsoft. Sono considerati dati personali Microsoft tutte le informazioni fornite da Microsoft o raccolte da un fornitore in connessione ai servizi da esso erogati a Microsoft e (i) che identificano o possono essere utilizzati per identificare, contattare o individuare la persona a cui si riferiscono, o (ii) dai quali è possibile ricavare informazioni di identificazione o di contatto di una persona. I dati personali Microsoft includono, in via meramente esemplificativa e non esaustiva: nome, indirizzo, numero di telefono, numero di fax, indirizzo di posta elettronica, codice fiscale, numero di passaporto o altro identificativo emesso dalle autorità, dati della carta di credito. È altresì considerata dato personale Microsoft qualsiasi altra informazione (come profili personali, identificatori biometrici o indirizzi IP) associata o abbinata a un dato personale Microsoft. Struttura dell RPD Questo documento è basato su uno schema formulato dall American Institute of Certified Public Accountants (AICPA) per valutare le prassi sulla privacy. I GAPP (Generally Accepted Privacy Principles - Principi sulla privacy accettati in generale) si compongono di 10 sezioni che includono criteri di valutazione misurabili concernenti la protezione e la gestione dei dati personali. Questo framework è stato migliorato con ulteriori requisiti Microsoft in materia di sicurezza e privacy. Versione 1.4 Pagina 1

2 Identificativo Requisiti di protezione dei dati per i fornitori Microsoft Criteri di valutazione suggeriti Sezione GAPP A Prima di poter raccogliere, utilizzare, distribuire, accedere a o archiviare dati personali Microsoft, il fornitore deve: Management 1. Aver sottoscritto un contratto Microsoft valido o ottenuto una commessa o un ordine di acquisto contenente termini sulla privacy e sulla protezione dei dati. 2. Assegnare la responsabilità del rispetto dei requisiti di protezione dei dati per fornitori Microsoft a una persona o un team specifico della propria azienda. Il fornitore deve presentare un contratto, una commessa o un ordine di acquisto Microsoft valido. Il fornitore deve identificare la persona o il gruppo con l'incarico di garantire la conformità ai requisiti di protezione dei dati. L'autorità e la responsabilità di tale persona o gruppo devono essere documentate in modo inequivocabile. Il fornitore deve: 1. Organizzare, mantenere ed erogare corsi di training annuali sulla privacy per i propri dipendenti. Microsoft ha reso disponibile del materiale all indirizzo: procurement/toolkit/en/us/privacymaterials.aspx 2. Comunicare periodicamente ai suoi dipendenti e subappaltatori che espletano servizi per Microsoft le pertinenti informazioni circa i Requisiti di protezione dei dati per i fornitori Microsoft. Il fornitore deve fornire ai suoi dipendenti, all'inizio e su base periodica, la formazione necessaria relativamente ai principi di base della privacy e della sicurezza (Notifica, Scelta e consenso, Raccolta informazioni, Uso e mantenimento, Accesso, Inoltro e divulgazione dei dati, Sicurezza, Qualità, Monitoraggio e applicazione delle norme). La prova dell'avvenuta formazione potrebbe essere sotto forma di materiale di training, registri di partecipazione, comunicazioni ai dipendenti (posta elettronica, siti Web, newsletter, ecc.) e così via. Il fornitore deve occuparsi della formazione dei dipendenti e dei subappaltatori coinvolti nella fornitura di servizi a Microsoft nel rispetto dei Requisiti di protezione dei dati per i fornitori Microsoft. La prova dell'avvenuta formazione, sia all'inizio che su base periodica, potrebbe essere sotto forma di materiale di training, registri di partecipazione, comunicazioni ai dipendenti e ai subappaltatori (posta elettronica, siti Web, newsletter, ecc.) e così via. Versione 1.4 Pagina 2

3 Identificativo Requisiti di protezione dei dati per i fornitori Microsoft Criteri di valutazione suggeriti Sezione GAPP B Quando raccoglie dati personali Microsoft da individui, il fornitore deve pubblicare ed esporre chiaramente comunicazioni sulla privacy al fine di aiutare tali individui a decidere se affidargli i propri dati. Nelle notifiche sulla privacy è necessario descrivere il motivo per cui vengono raccolte le informazioni personali e le circostanze in cui tali informazioni verranno o potrebbero essere divulgate. Le notifiche sulla privacy devono essere di facile accesso, con data chiaramente indicata e fornite al momento della raccolta dei dati o prima. Avviso La notifica sulla privacy deve essere scritta in modo che un individuo sia in grado di comprendere lo scopo per il quale verranno utilizzati i dati. I fornitori che ospitano siti per Microsoft devono redigere informative sulla privacy conformi ai requisiti e ai modelli contenuti nel Supplier Privacy Toolkit all indirizzo procurement/toolkit/en/us/default.aspx Laddove Microsoft richieda l'uso di modelli propri o fornisca altre istruzioni nel Supplier Privacy Toolkit (Kit di riservatezza per il fornitore), il fornitore dovrà adeguarsi. I fornitori che svolgono campagne di vendita e di marketing per conto di Microsoft devono attenersi alle istruzioni fornite nel Supplier Privacy Toolkit reperibile all indirizzo procurement/toolkit/en/us/default.aspx I fornitori che raccolgono dati personali Microsoft nel corso di telefonate o conversazioni dal vivo devono essere preparati a esporre al cliente le prassi di raccolta, gestione, utilizzo e conservazione dei dati applicabili. Qualora le informazioni personali vengano raccolte per telefono, il fornitore deve dimostrare di aver parlato con l'interlocutore della raccolta, della gestione, dell'uso e della conservazione dei dati. Versione 1.4 Pagina 3

4 Identificativo Requisiti di protezione dei dati per i fornitori Microsoft Criteri di valutazione suggeriti Sezione GAPP C Prima di raccogliere dati personali, il fornitore deve ottenere e documentare il consenso dell interessato a tal scopo. Il fornitore deve spiegare la procedura di accettazione o rifiuto da parte dell'utente per fornire le informazioni personali e le conseguenze di entrambe le azioni. Scelta e consenso Il fornitore deve ottenere e documentare il metodo di contatto preferito dall individuo nelle modalità prescritte nel Supplier Privacy Toolkit all indirizzo: procurement/toolkit/en/us/default.aspx Il fornitore deve documentare il consenso al momento della raccolta delle informazioni personali o prima. Il fornitore deve confermare le preferenze di contatto in forma scritta o elettronica. Il fornitore deve documentare e gestire le preferenze di contatto oltre a implementare e gestire le modifiche di tali preferenze. Il fornitore deve avvisare i singoli utenti di un nuovo uso proposto delle informazioni personali. Il fornitore deve: 1. Documentare e gestire le modifiche alle preferenze di contatto dell individuo in modo tempestivo. Il fornitore ottiene e documenta il consenso per nuovi usi proposti delle informazioni personali. 2. Ottenere e documentare il consenso dell interessato a ogni nuovo uso che si intenda fare dei dati personali di questi. Il fornitore garantisce che in caso di mancato consenso le informazioni non verranno utilizzate. Versione 1.4 Pagina 4

5 Identificativo Requisiti di protezione dei dati per i fornitori Microsoft Criteri di valutazione suggeriti Sezione GAPP D Il fornitore deve monitorare la raccolta di dati personali Microsoft al fine di garantire che siano raccolte solo le informazioni necessarie a erogare il servizio richiesto da Microsoft. Esistono sistemi e procedure per specificare le informazioni personali necessarie. Il fornitore deve monitorare la raccolta dei dati per garantire l'efficacia dei sistemi e delle procedure. Raccolta Qualora si procuri dati personali da terze parti per conto di Microsoft, il fornitore deve verificare che le politiche e le prassi sulla protezione dei dati applicate dalla terza parte siano compatibili con il proprio contratto con Microsoft e con l RPD. Il fornitore si impegna a operare in modo diligente relativamente alle politiche e alle prassi di protezione dei dati di terze parti. Prima di raccogliere dati personali Microsoft sensibili mediante l installazione o l impiego di software eseguibile sul computer di un individuo, la necessità di disporre di tali informazioni dovrà essere documentata in un contratto per fornitore in vigore con Microsoft. In caso di utilizzo di software eseguibile sul computer di un utente per raccogliere informazioni personali, il fornitore deve ottenere e documentare il consenso di Microsoft. Prima di raccogliere informazioni strettamente personali, quali razza, origine etnica, opinione politica, iscrizione a sindacati, salute fisica o mentale o orientamento sessuale di un individuo, la necessità di disporre di tali informazioni dovrà essere documentata in un contratto per fornitore in vigore con Microsoft. Prima di raccogliere informazioni personali sensibili, il fornitore deve ottenere e documentare il consenso di Microsoft. Versione 1.4 Pagina 5

6 Identificativo Requisiti di protezione dei dati per i fornitori Microsoft Criteri di valutazione suggeriti Sezione GAPP E Il fornitore deve: Conservazione 1. Garantire che i dati personali Microsoft e i dati sensibili siano utilizzati esclusivamente per fornire i servizi richiesti da Microsoft. 2. Garantire che i dati personali Microsoft e le informazioni sensibili siano conservati solo per il tempo strettamente necessario a fornire i servizi, a meno che il loro mantenimento continuativo sia richiesto dalla legge. 3. Documentare la conservazione o l eliminazione dei dati personali Microsoft e delle informazioni sensibili. Su richiesta, fornire a Microsoft un certificato di distruzione dei dati firmato da un responsabile della propria azienda. Sono in atto sistemi e procedure per monitorare l'uso delle informazioni personali e sensibili. Il fornitore deve monitorare i sistemi e le procedure per garantirne l'efficacia. Il fornitore rispetta le politiche di conservazione documentate o i requisiti di conservazione specificati da Microsoft nel contratto, nella commessa o nell'ordine di acquisto. Il fornitore deve conservare i dati sulla cessione dei dati personali Microsoft e delle informazioni sensibili (per esempio restituzione a Microsoft o distruzione). 4. Garantire che, al termine del servizio o su richiesta di Microsoft, i dati personali Microsoft o le informazioni sensibili in suo possesso o sotto il suo controllo siano distrutti o restituiti a Microsoft (a esclusiva discrezione di questa). Versione 1.4 Pagina 6

7 Identificativo Requisiti di protezione dei dati per i fornitori Microsoft Criteri di valutazione suggeriti Sezione GAPP F Quando un individuo chiede accesso ai dati personali Microsoft che lo riguardano, il fornitore deve: Accesso 1. Comunicare all individuo le operazioni da effettuare per ottenere accesso ai suoi dati personali Microsoft 2. Verificare l identità dell individuo che chiede accesso ai dati personali Microsoft. 3. Evitare di utilizzare per la verifica identificativi emessi dalle autorità (come codici fiscali o numeri di passaporto) a meno che non vi siano altre ragionevoli alternative. Il fornitore deve comunicare i passi da intraprendere per accedere alle informazioni personali, nonché tutti metodi disponibili per aggiornare le informazioni. Il fornitore non utilizza codici identificativi statali per l'autenticazione. I dipendenti del fornitore sono debitamente istruiti per convalidare l'identità degli utenti che richiedono accesso alle proprie informazioni personali o che apportano modifiche alle informazioni personali. Una volta autenticata l identità dell individuo il fornitore deve: 1. Determinare se detiene o controlla i dati personali Microsoft relativi a tale individuo. 2. Adoperarsi in ogni ragionevole modo per reperire i dati personali Microsoft richiesti e mantenere record sufficienti a dimostrare di aver effettuato una ricerca opportuna. 3. Registrare la data e l ora della richiesta di accesso e le misure intraprese in risposta a tale richiesta. 4. Fornire a Microsoft, su richiesta di questa, i record delle richieste di accesso. Il fornitore ha implementato procedure per stabilire se le informazioni personali sono state trattenute. Il fornitore deve rispondere alle richieste in modo tempestivo. Il fornitore deve conservare i dati delle richieste di accesso e documentare le modifiche apportate alle informazioni personali. Le negazioni di accesso devono essere documentate in forma scritta e devono descrivere la motivazione della negazione. Versione 1.4 Pagina 7

8 Dopo aver accertato l identità dell individuo e aver controllato di disporre dei dati personali Microsoft richiesti, il fornitore deve: 1. Fornire all individuo i dati personali Microsoft in un formato appropriato (stampato, elettronico o verbale) 2. In caso di diniego della richiesta di accesso, fornire all individuo una spiegazione scritta conforme a tutte le eventuali istruzioni in merito precedentemente distribuite da Microsoft. Il fornitore deve adottare ogni ragionevole precauzione per garantire che i dati personali Microsoft rilasciati a un individuo non possano essere utilizzati per identificare un altra persona. In caso di disaccordo tra il fornitore e l individuo circa la completezza e l accuratezza dei dati personali Microsoft, il venditore deve demandare la questione a Microsoft e cooperare con questa nella misura necessaria per risolverla. Il fornitore deve fornire all'utente le informazioni personali in un formato comprendibile e in una forma comoda per l'utente e per il fornitore. Il fornitore deve dimostrare che sono state prese le opportune precauzioni per impedire l'identificazione di un'altra persona a partire dalle informazioni rilasciate (per esempio deve garantire che non sia possibile fotocopiare l'intera pagina dei dati se le informazioni personali richieste per un utente compaiono solo su una riga). Il fornitore deve documentare le istanze di disaccordo e inoltrare il problema a Microsoft. Versione 1.4 Pagina 8

9 Identificativo Requisiti di protezione dei dati per i fornitori Microsoft Criteri di valutazione suggeriti Sezione GAPP G Qualora intenda servirsi di un subappaltatore che lo coadiuvi nella raccolta, nell utilizzo, nella distribuzione, nell accesso o nella conservazione dei dati personali Microsoft e delle informazioni sensibili, il fornitore deve: Divulgazione a terzi 1. Scegliere subappaltatori che siano membri in regola con i requisiti del Microsoft Vendor Program oppure ottenere il consenso scritto di Microsoft prima di subappaltare il servizio 2. Documentare la natura e l entità dei dati personali Microsoft e delle informazioni sensibili divulgati o conferiti ai subappaltatori. 3. Accertarsi che il subappaltatore utilizzi i dati personali Microsoft conformemente al metodo di contatto preferito indicato dall interessato. 4. Limitare l impiego dei dati personali Microsoft da parte del subappaltatore agli scopi necessari ad adempiere al contratto del fornitore con Microsoft. Il fornitore deve confermare che i subappaltatori sono iscritti al programma MPSP di Microsoft Il fornitore deve ottenere il consenso scritto per l'uso di fornitori non iscritti al programma MPSP Il fornitore deve mantenere la documentazione relativa ai dati personali Microsoft e alle informazioni sensibili divulgati o trasferiti ai subappaltatori. Sono in atto sistemi e procedure per garantire che il subappaltatore utilizzi i dati personali Microsoft esclusivamente allo scopo previsto e in conformità con le preferenze di contatto dell'utente. Il fornitore deve essere in grado di dimostrare di aver contattato Microsoft, laddove consentito, prima di dare il consenso alla divulgazione dei dati personali Microsoft da parte di un subappaltatore in risposta a un ordine di un'autorità. 5. Informare prontamente Microsoft di qualsiasi ordine delle autorità che imponga al subappaltatore di divulgare i dati personali Microsoft e, nella misura consentita dalla legge, dare a Microsoft l opportunità di intervenire prima di rispondere all ordine Versione 1.4 Pagina 9

10 6. Esaminare i reclami in merito all uso non autorizzato o alla divulgazione dei dati personali Microsoft. 7. Informare prontamente Microsoft dell eventuale divulgazione o impiego dei dati personali Microsoft e delle informazioni sensibili da parte dell appaltatore per scopi diversi dall erogazione dei servizi commissionati da Microsoft o dai suoi fornitori. 8. Intervenire prontamente per mitigare i danni potenziali o effettivi derivanti dall uso o dalla divulgazione dei dati personali Microsoft e delle informazioni sensibili da parte del subappaltatore. Sono in atto sistemi e procedure per indirizzare i reclami relativi all'uso o alla divulgazione non autorizzati dei dati personali Microsoft da parte di un subappaltatore. Il fornitore deve essere in grado di dimostrare che Microsoft è stata avvisata qualora i subappaltatori abbiano utilizzato i dati personali Microsoft per scopi non autorizzati. Il fornitore deve essere in grado di dimostrare che sono state intraprese le opportune azioni legali qualora i subappaltatori abbiano utilizzato i dati personali Microsoft e le informazioni sensibili per scopi non autorizzati o abbiano rivelato i dati personali Microsoft e le informazioni sensibili. Prima di accettare dati personali da terze parti il fornitore deve: 1. Verificare che le prassi di raccolta dei dati della terza parte siano conformi all RPD. 2. Accertarsi che i dati personali raccolti dalla terza parte siano esclusivamente quelli necessari all erogazione dei servizi commissionati da Microsoft. Prima di concedere i dati personali Microsoft a una terza parte, il fornitore deve ottenere il consenso scritto di Microsoft in tal senso. Sono in atto procedure per verificare le prassi di raccolta dati di terze parti Sono in atto procedure per limitare il trasferimento dei dati personali Microsoft da terze parti allo stretto necessario per effettuare i servizi previsti dal contratto. Il fornitore è in grado di fornire copie del permesso scritto. Versione 1.4 Pagina 10

11 Identificativo del requisito Requisiti di protezione dei dati per i fornitori Microsoft Criteri di valutazione suggeriti Sezione GAPP H Il fornitore deve garantire che tutti i dati personali Microsoft siano accurati, completi e rilevanti al fine dichiarato per il quale sono stati raccolti o utilizzati. Le informazioni vengono convalidate al momento della raccolta, della creazione e dell'aggiornamento. Sono in atto sistemi e procedure per verificare periodicamente la precisione e apportare le dovute correzioni, se necessario. Qualità È necessario raccogliere la quantità minima di informazioni necessarie per soddisfare lo scopo dichiarato. Versione 1.4 Pagina 11

12 Identificativo del requisito Requisiti di protezione dei dati per i fornitori Microsoft Criteri di valutazione suggeriti Sezione GAPP I Il fornitore deve: Monitoraggio e applicazione delle norme 1. Condurre una revisione annuale a conferma della sua conformità ai requisiti di protezione dei dati. Il fornitore deve dimostrare di aver condotto revisioni di conformità annuali. 2. Informare entro 24 ore Microsoft di qualsiasi violazione effettiva o sospetta della privacy o di vulnerabilità della sicurezza di cui venga a conoscenza che interessi i dati personali Microsoft. Il fornitore deve dimostrare di aver informato Microsoft di qualsiasi violazione della privacy o vulnerabilità della sicurezza sospetta o nota. 3. Non rilasciare comunicati stampa o altri annunci pubblici riguardanti incidenti sospetti o riscontrati relativamente a informazioni Microsoft di natura personale o riservata senza previa autorizzazione di Microsoft, salvo se imposto da requisiti di legge o normativi. 4. Rimediare tempestivamente a qualsiasi violazione o vulnerabilità effettiva o sospetta. 5. Implementare un piano di rimedi e monitorare le soluzioni adottate contro le violazioni o vulnerabilità per assicurare che le azioni correttive vengano intraprese con tempistiche adeguate. Le vulnerabilità e le violazioni vengono risolte in modo tempestivo. Siano disponibili piani di rimedio dove applicabili. Versione 1.4 Pagina 12

13 Il fornitore deve: 1. Stabilire una procedura formale per rispondere a tutti i reclami in merito di protezione dei dati di cui siano oggetto i dati personali Microsoft. 2. Informare Microsoft di ogni reclamo che interessi i dati personali Microsoft. 3. Registrare e rispondere a tutti i reclami in merito alla protezione dei dati personali Microsoft in modo tempestivo a meno che Microsoft fornisca istruzioni specifiche. 4. Fornire a Microsoft su richiesta la documentazione relativa ai reclami risolti e irrisolti. Il fornitore deve disporre di un processo documentato per gestire i reclami e per avvisare Microsoft. I dati dei reclami devono dimostrare una risposta puntuale. Documentazione di reclami aperti/chiusi. Versione 1.4 Pagina 13

14 Identificativo Requisiti di protezione dei dati per i fornitori Microsoft Criteri di valutazione suggeriti Sezione GAPP J PROGRAMMA DI SICUREZZA DEI DATI Il fornitore deve definire, implementare e mantenere un programma di sicurezza dei dati comprendente politiche e procedure intese a proteggere i dati personali Microsoft e le informazioni sensibili. Il programma di sicurezza del fornitore deve provvedere ai seguenti aspetti connessi alla protezione dei dati personali Microsoft e delle informazioni sensibili: Il programma di sicurezza implementato dal fornitore deve includere quanto previsto nei punti da (a) a (s), come elencato a sinistra. Le protezioni possono essere superiori a quelle elencate, per necessità di osservanza degli schemi normativi (per esempio, HIPPA, GLBA) o dei requisiti contrattuali. Sicurezza a) Conduzione di valutazioni del rischio annuali o più frequenti. Le valutazioni del rischio dei fornitori devono incorporare le minacce emergenti, i possibili impatti sull attività e le probabilità di ricorrenza. Il fornitore deve modificare di conseguenza i processi, le procedure e le linee guida relativi alla sicurezza. b) Conduzione di analisi interne ed esterne della vulnerabilità della rete su base trimestrale e dopo eventuali modifiche significative alla rete (ad esempio, installazione di nuovi componenti, modifiche alla topologia di rete, modifiche alle regole del firewall, aggiornamenti di prodotti) c) Prevenzione degli accessi non autorizzati mediante l adozione di efficaci sistemi di controllo degli accessi fisici e logici, con limitazione dell'accesso fisico ai sistemi di informazioni elettronici e garanzia di consenso all'accesso autorizzato. d) Procedure per l aggiunta di nuovi utenti, la modifica dei livelli di accesso degli utenti esistenti e la rimozione degli utenti che non necessitano più di accesso (far applicare i principi dei privilegi minimi). Versione 1.4 Pagina 14

15 e) Assegnazione di responsabilità in materia di sicurezza f) Assegnazione di responsabilità per la modifica e la manutenzione dei sistemi g) Implementazione di aggiornamenti e patch al software di sistema in tempi accettabili in base al rischio. h) Installazione di software antivirus e antimalware in tutte le attrezzature connesse alla rete, compresi, a titolo esemplificativo, ma non esaustivo, server e desktop destinati a scopi di produzione e formazione, al fine di fornire protezione contro potenziali virus e applicazioni software dannose. Le definizioni antivirus e antimalware devono essere aggiornate almeno quotidianamente o come da direttive Microsoft o del fornitore del software antivirus e antimalware. i) Testing, valutazione e autorizzazione dei componenti di sistema prima della loro implementazione. j) I fornitori che tra le loro attività comprendono lo sviluppo di software devono aderire al Security Development Lifecycle (SDL) di Microsoft. Ulteriori informazioni sono disponibili all'indirizzo k) Risposta ai reclami e alle richieste relativi a questioni di sicurezza. l) Gestione di errori e omissioni, violazioni della sicurezza e altri incidenti. m) Procedure di rilevamento degli attacchi e delle intrusioni, tentati o effettivi, e testing preventivo delle procedure di sicurezza (come test di penetrazione del sistema). Versione 1.4 Pagina 15

16 n) Predisposizione di corsi e materiali di training e di altre risorse a supporto delle politiche di sicurezza. o) Predisposizione di metodi per la gestione di eccezioni e situazioni non specificamente previste dal sistema. p) Adozione di politiche di integrità e di altro tipo connesse alla sicurezza del sistema. q) Piani di ripristino di emergenza e relativi test. r) Metodi di identificazione e adeguamento agli impegni presi, agli accordi sul livello di servizio e ad altri contratti. s) Imposizione di un requisito che preveda la conferma (iniziale e annuale) della comprensione e accettazione delle politiche e delle procedure sulla sicurezza dei dati da parte di utenti, manager e terze parti. AUTENTICAZIONE Il fornitore deve verificare e autenticare l identità di un individuo prima di concedergli accesso ai suoi dati personali Microsoft o alle informazioni sensibili. Le procedure di autenticazione utilizzate dal fornitore devono prevedere l'uso di un ID e di una password univoci per l'accesso online alle informazioni personali dell'utente. Per l autenticazione online, il fornitore deve: 1. Utilizzare, se possibile, l account Microsoft. 2. Esigere l impiego di un ID e di una password unici (o un sistema equivalente). Per l autenticazione telefonica, il fornitore deve: 1. Richiedere all utente di convalidare i suoi dati di contatto e, ove possibile, fornire almeno un dato univoco (ad esempio, codice UPC o ID di sistema). I processi di autenticazione tramite telefono devono includere la convalida da parte dell'utente delle informazioni di contatto, oltre all'informazione univoca che deve essere conosciuta solo dall'utente. Versione 1.4 Pagina 16

17 ACCESSO AI DATI PERSONALI MICROSOFT DA PARTE DELLO STAFF DEL FORNITORE Il fornitore deve limitare l accesso ai dati personali Microsoft allo staff che ne necessiti per motivi di lavoro. I fornitori devono disattivare gli account di rete e tutti gli altri account di supporto appartenenti agli utenti non più operativi nell'ambito dei programmi Microsoft entro 24 ore dall'abbandono del programma ed entro 2 ore in caso di abbandono non volontario. Devono essere in atto sistemi e procedure per stabilire l'accesso dei dipendenti del fornitore in base alla necessità commerciale valida per l'accesso alle informazioni personali. Tali sistemi e procedure devono prevedere l'accesso interno/esterno, i supporti, i documenti cartacei, le piattaforme tecnologiche e i supporti di backup. DISTRUZIONE DEI DATI PERSONALI MICROSOFT Ove sia necessaria la distruzione dei dati personali Microsoft, il fornitore deve: 1. Bruciare, polverizzare o sminuzzare i supporti fisici contenenti i dati personali Microsoft in modo tale che questi non possano essere più letti o ricostruiti. Il fornitore deve dimostrare che i beni materiali sono stati opportunamente distrutti così che i dati non possano essere letti o ricostruiti. 2. Distruggere o eliminare le risorse digitali contenenti i dati personali Microsoft in modo tale che questi non possano essere più letti o ricostruiti. PROTEZIONE DELLE RISORSE DIGITALI Il fornitore deve: 1. Adottare implementazioni di crittografia standard dell industria come SSL, TLS o IPsec per i dati Microsoft in transito e per l autenticazione di mittente e destinatario Devono essere in atto sistemi e procedure per proteggere le informazioni personali trasmesse tramite Internet o altre reti pubbliche Alcuni schemi normativi (per esempio, HIPPA, GLBA, PCI) presentano requisiti specifici per la trasmissione dei dati. I certificati SSL vengono mantenuti correttamente in modo che i nuovo certificati SSL validi vengano installati prima della scadenza del precedente.. 2. Utilizzare BitLocker o una comprovata soluzione equivalente in tutti i computer portatili in cui sono memorizzate informazioni Microsoft. Versione 1.4 Pagina 17

18 3. Adottare algoritmi simmetrici e asimmetrici con crittografia avanzata conformi agli attuali standard di settore per l'archiviazione dei tipi di informazioni personali Microsoft descritti di seguito. Questo requisito si estende ai dispositivi portatili tra cui unità USB, telefoni cellulari, dispositivi o supporti di backup e così via. a. numeri identificativi emessi dalle autorità (ad esempio codice fiscale o numero di patente) b. numeri di conto (ad esempio numeri di carte di credito e conti bancari) c. profili medici (ad esempio dati di cartelle cliniche o identificatori biometrici) 4. Accettare solo dati Microsoft inviati in forma crittografata. 5. Investigare prontamente violazioni della sicurezza e tentativi non autorizzati di ottenere accesso ai sistemi contenenti i dati personali Microsoft. 6. Comunicare prontamente i risultati dell indagine al management della propria azienda e a Microsoft. Devono essere in atto sistemi e procedure per codificare i codici identificativi statali, i numeri di conto e le informazioni mediche memorizzate. Il fornitore deve rifiutare la fornitura di qualsivoglia informazione trasmessa tramite mezzi non codificati. Devono essere in atto sistemi e procedure per indagare sulle violazioni o sui tentativi di accesso non autorizzati. Devono essere in atto sistemi e procedure per comunicare i risultati dell'investigazione a Microsoft. 7. Aderire a tutti gli standard di gestione applicabili delle carte di credito accettate. PROTEZIONE DEI VALORI FISICI Il fornitore deve: 1. Conservare i dati personali Microsoft in un ambiente ad accesso controllato. Devono essere in atto sistemi e procedure per gestire l'accesso fisico a copie digitali, fisiche, di archivio e di backup delle informazioni personali. 2. Trasportare i dati personali Microsoft in modo sicuro. Devono essere in atto sistemi e procedure per proteggere adeguatamente i beni materiali contenenti le informazioni personali durante il trasporto. Versione 1.4 Pagina 18

19 RIPRISTINO DI EMERGENZA Il fornitore deve garantire che procedure di backup e di ripristino di emergenza proteggano i dati personali Microsoft e le informazioni sensibili dall uso, dall accesso, dalla divulgazione, dall alterazione e dalla distruzione non autorizzati. TEST E CONTROLLI Il fornitore deve: 1. Testare regolarmente l efficacia delle misure di sicurezza strategiche poste a tutela dei dati personali Microsoft. 2. Sottoporsi periodicamente a controlli indipendenti delle misure di sicurezza. Devono essere in atto sistemi e procedure per proteggere i dati personali Microsoft dalla distruzione, alterazione, divulgazione oppure da un uso o un accesso non autorizzato in caso di catastrofe. La frequenza dei test richiesti varierà in base alla dimensione e alla complessità delle operazioni del fornitore. Qualora i risultati del test evidenzino delle lacune, sarà necessario fornire la documentazione relativa ai test e i risultati dei test, nonché le modifiche ai sistemi, alle politiche e alle procedure. Se previsto dai termini del contratto con Microsoft, è necessario condurre verifiche sulla sicurezza in conformità ai termini del contratto. 3. Mettere a disposizione di Microsoft i risultati di queste verifiche su richiesta. 4. Documentare e testare i piani di emergenza almeno una volta all anno per accertarne l efficacia. Il fornitore deve disporre di un criterio di backup documentato che specifichi la frequenza dei backup. I backup devono essere archiviati in modo sicuro. I backup devono essere testati regolarmente attraverso un ripristino effettivo per garantire che siano utilizzabili. 5. Effettuare periodicamente valutazioni dei rischi e delle vulnerabilità, compresi test di penetrazione del sistema. 6. Rendere anonimi tutti i dati personali Microsoft utilizzati in ambiente di test o di sviluppo. Le informazioni personali di Microsoft non devono essere utilizzate negli ambienti di sviluppo e test. Qualora non vi sia alternativa, devono essere rese anonime a sufficienza per evitare l'identificazione degli utenti o un uso non autorizzato delle informazioni personali. Versione 1.4 Pagina 19