Requisiti di protezione dei dati per i fornitori: criteri di valutazione
|
|
- Filiberto De Angelis
- 8 anni fa
- Visualizzazioni
Transcript
1 Requisiti di protezione dei dati per i fornitori: criteri di valutazione Applicabilità I Requisiti di protezione dei dati per i fornitori Microsoft (RPD) sono validi per tutti i fornitori Microsoft che raccolgono, utilizzano, distribuiscono, archiviano o accedono a informazioni personali di Microsoft o informazioni riservate Microsoft nell ambito dei servizi offerti ai sensi dell ordine di acquisto, del contratto o della commessa stipulati con Microsoft. In caso di conflitto tra i requisiti contenuti nel presente e i requisiti specificati nei contratti tra il fornitore e Microsoft, i termini del contratto hanno la precedenza. In caso di conflitto tra i requisiti contenuti nel presente ed eventuali requisiti legali o normativi, tali requisiti hanno la precedenza. Per "informazioni riservate Microsoft" si intendono tutte le informazioni che, se divulgate o danneggiate, possono comportare significativi danni economici o di immagine per Microsoft. Tali informazioni includono, in via meramente esemplificativa e non esaustiva: prodotti hardware e software Microsoft, applicazioni line-of-business interne, materiali di marketing precedenti il rilascio di prodotti, codici di licenza e documentazione tecnica correlata ai prodotti e servizi Microsoft. Sono considerati dati personali Microsoft tutte le informazioni fornite da Microsoft o raccolte da un fornitore in connessione ai servizi da esso erogati a Microsoft e (i) che identificano o possono essere utilizzati per identificare, contattare o individuare la persona a cui si riferiscono, o (ii) dai quali è possibile ricavare informazioni di identificazione o di contatto di una persona. I dati personali Microsoft includono, in via meramente esemplificativa e non esaustiva: nome, indirizzo, numero di telefono, numero di fax, indirizzo di posta elettronica, codice fiscale, numero di passaporto o altro identificativo emesso dalle autorità, dati della carta di credito. È altresì considerata dato personale Microsoft qualsiasi altra informazione (come profili personali, identificatori biometrici o indirizzi IP) associata o abbinata a un dato personale Microsoft. Struttura dell RPD Questo documento è basato su uno schema formulato dall American Institute of Certified Public Accountants (AICPA) per valutare le prassi sulla privacy. I GAPP (Generally Accepted Privacy Principles - Principi sulla privacy accettati in generale) si compongono di 10 sezioni che includono criteri di valutazione misurabili concernenti la protezione e la gestione dei dati personali. Questo framework è stato migliorato con ulteriori requisiti Microsoft in materia di sicurezza e privacy. Versione 1.4 Pagina 1
2 Identificativo Requisiti di protezione dei dati per i fornitori Microsoft Criteri di valutazione suggeriti Sezione GAPP A Prima di poter raccogliere, utilizzare, distribuire, accedere a o archiviare dati personali Microsoft, il fornitore deve: Management 1. Aver sottoscritto un contratto Microsoft valido o ottenuto una commessa o un ordine di acquisto contenente termini sulla privacy e sulla protezione dei dati. 2. Assegnare la responsabilità del rispetto dei requisiti di protezione dei dati per fornitori Microsoft a una persona o un team specifico della propria azienda. Il fornitore deve presentare un contratto, una commessa o un ordine di acquisto Microsoft valido. Il fornitore deve identificare la persona o il gruppo con l'incarico di garantire la conformità ai requisiti di protezione dei dati. L'autorità e la responsabilità di tale persona o gruppo devono essere documentate in modo inequivocabile. Il fornitore deve: 1. Organizzare, mantenere ed erogare corsi di training annuali sulla privacy per i propri dipendenti. Microsoft ha reso disponibile del materiale all indirizzo: procurement/toolkit/en/us/privacymaterials.aspx 2. Comunicare periodicamente ai suoi dipendenti e subappaltatori che espletano servizi per Microsoft le pertinenti informazioni circa i Requisiti di protezione dei dati per i fornitori Microsoft. Il fornitore deve fornire ai suoi dipendenti, all'inizio e su base periodica, la formazione necessaria relativamente ai principi di base della privacy e della sicurezza (Notifica, Scelta e consenso, Raccolta informazioni, Uso e mantenimento, Accesso, Inoltro e divulgazione dei dati, Sicurezza, Qualità, Monitoraggio e applicazione delle norme). La prova dell'avvenuta formazione potrebbe essere sotto forma di materiale di training, registri di partecipazione, comunicazioni ai dipendenti (posta elettronica, siti Web, newsletter, ecc.) e così via. Il fornitore deve occuparsi della formazione dei dipendenti e dei subappaltatori coinvolti nella fornitura di servizi a Microsoft nel rispetto dei Requisiti di protezione dei dati per i fornitori Microsoft. La prova dell'avvenuta formazione, sia all'inizio che su base periodica, potrebbe essere sotto forma di materiale di training, registri di partecipazione, comunicazioni ai dipendenti e ai subappaltatori (posta elettronica, siti Web, newsletter, ecc.) e così via. Versione 1.4 Pagina 2
3 Identificativo Requisiti di protezione dei dati per i fornitori Microsoft Criteri di valutazione suggeriti Sezione GAPP B Quando raccoglie dati personali Microsoft da individui, il fornitore deve pubblicare ed esporre chiaramente comunicazioni sulla privacy al fine di aiutare tali individui a decidere se affidargli i propri dati. Nelle notifiche sulla privacy è necessario descrivere il motivo per cui vengono raccolte le informazioni personali e le circostanze in cui tali informazioni verranno o potrebbero essere divulgate. Le notifiche sulla privacy devono essere di facile accesso, con data chiaramente indicata e fornite al momento della raccolta dei dati o prima. Avviso La notifica sulla privacy deve essere scritta in modo che un individuo sia in grado di comprendere lo scopo per il quale verranno utilizzati i dati. I fornitori che ospitano siti per Microsoft devono redigere informative sulla privacy conformi ai requisiti e ai modelli contenuti nel Supplier Privacy Toolkit all indirizzo procurement/toolkit/en/us/default.aspx Laddove Microsoft richieda l'uso di modelli propri o fornisca altre istruzioni nel Supplier Privacy Toolkit (Kit di riservatezza per il fornitore), il fornitore dovrà adeguarsi. I fornitori che svolgono campagne di vendita e di marketing per conto di Microsoft devono attenersi alle istruzioni fornite nel Supplier Privacy Toolkit reperibile all indirizzo procurement/toolkit/en/us/default.aspx I fornitori che raccolgono dati personali Microsoft nel corso di telefonate o conversazioni dal vivo devono essere preparati a esporre al cliente le prassi di raccolta, gestione, utilizzo e conservazione dei dati applicabili. Qualora le informazioni personali vengano raccolte per telefono, il fornitore deve dimostrare di aver parlato con l'interlocutore della raccolta, della gestione, dell'uso e della conservazione dei dati. Versione 1.4 Pagina 3
4 Identificativo Requisiti di protezione dei dati per i fornitori Microsoft Criteri di valutazione suggeriti Sezione GAPP C Prima di raccogliere dati personali, il fornitore deve ottenere e documentare il consenso dell interessato a tal scopo. Il fornitore deve spiegare la procedura di accettazione o rifiuto da parte dell'utente per fornire le informazioni personali e le conseguenze di entrambe le azioni. Scelta e consenso Il fornitore deve ottenere e documentare il metodo di contatto preferito dall individuo nelle modalità prescritte nel Supplier Privacy Toolkit all indirizzo: procurement/toolkit/en/us/default.aspx Il fornitore deve documentare il consenso al momento della raccolta delle informazioni personali o prima. Il fornitore deve confermare le preferenze di contatto in forma scritta o elettronica. Il fornitore deve documentare e gestire le preferenze di contatto oltre a implementare e gestire le modifiche di tali preferenze. Il fornitore deve avvisare i singoli utenti di un nuovo uso proposto delle informazioni personali. Il fornitore deve: 1. Documentare e gestire le modifiche alle preferenze di contatto dell individuo in modo tempestivo. Il fornitore ottiene e documenta il consenso per nuovi usi proposti delle informazioni personali. 2. Ottenere e documentare il consenso dell interessato a ogni nuovo uso che si intenda fare dei dati personali di questi. Il fornitore garantisce che in caso di mancato consenso le informazioni non verranno utilizzate. Versione 1.4 Pagina 4
5 Identificativo Requisiti di protezione dei dati per i fornitori Microsoft Criteri di valutazione suggeriti Sezione GAPP D Il fornitore deve monitorare la raccolta di dati personali Microsoft al fine di garantire che siano raccolte solo le informazioni necessarie a erogare il servizio richiesto da Microsoft. Esistono sistemi e procedure per specificare le informazioni personali necessarie. Il fornitore deve monitorare la raccolta dei dati per garantire l'efficacia dei sistemi e delle procedure. Raccolta Qualora si procuri dati personali da terze parti per conto di Microsoft, il fornitore deve verificare che le politiche e le prassi sulla protezione dei dati applicate dalla terza parte siano compatibili con il proprio contratto con Microsoft e con l RPD. Il fornitore si impegna a operare in modo diligente relativamente alle politiche e alle prassi di protezione dei dati di terze parti. Prima di raccogliere dati personali Microsoft sensibili mediante l installazione o l impiego di software eseguibile sul computer di un individuo, la necessità di disporre di tali informazioni dovrà essere documentata in un contratto per fornitore in vigore con Microsoft. In caso di utilizzo di software eseguibile sul computer di un utente per raccogliere informazioni personali, il fornitore deve ottenere e documentare il consenso di Microsoft. Prima di raccogliere informazioni strettamente personali, quali razza, origine etnica, opinione politica, iscrizione a sindacati, salute fisica o mentale o orientamento sessuale di un individuo, la necessità di disporre di tali informazioni dovrà essere documentata in un contratto per fornitore in vigore con Microsoft. Prima di raccogliere informazioni personali sensibili, il fornitore deve ottenere e documentare il consenso di Microsoft. Versione 1.4 Pagina 5
6 Identificativo Requisiti di protezione dei dati per i fornitori Microsoft Criteri di valutazione suggeriti Sezione GAPP E Il fornitore deve: Conservazione 1. Garantire che i dati personali Microsoft e i dati sensibili siano utilizzati esclusivamente per fornire i servizi richiesti da Microsoft. 2. Garantire che i dati personali Microsoft e le informazioni sensibili siano conservati solo per il tempo strettamente necessario a fornire i servizi, a meno che il loro mantenimento continuativo sia richiesto dalla legge. 3. Documentare la conservazione o l eliminazione dei dati personali Microsoft e delle informazioni sensibili. Su richiesta, fornire a Microsoft un certificato di distruzione dei dati firmato da un responsabile della propria azienda. Sono in atto sistemi e procedure per monitorare l'uso delle informazioni personali e sensibili. Il fornitore deve monitorare i sistemi e le procedure per garantirne l'efficacia. Il fornitore rispetta le politiche di conservazione documentate o i requisiti di conservazione specificati da Microsoft nel contratto, nella commessa o nell'ordine di acquisto. Il fornitore deve conservare i dati sulla cessione dei dati personali Microsoft e delle informazioni sensibili (per esempio restituzione a Microsoft o distruzione). 4. Garantire che, al termine del servizio o su richiesta di Microsoft, i dati personali Microsoft o le informazioni sensibili in suo possesso o sotto il suo controllo siano distrutti o restituiti a Microsoft (a esclusiva discrezione di questa). Versione 1.4 Pagina 6
7 Identificativo Requisiti di protezione dei dati per i fornitori Microsoft Criteri di valutazione suggeriti Sezione GAPP F Quando un individuo chiede accesso ai dati personali Microsoft che lo riguardano, il fornitore deve: Accesso 1. Comunicare all individuo le operazioni da effettuare per ottenere accesso ai suoi dati personali Microsoft 2. Verificare l identità dell individuo che chiede accesso ai dati personali Microsoft. 3. Evitare di utilizzare per la verifica identificativi emessi dalle autorità (come codici fiscali o numeri di passaporto) a meno che non vi siano altre ragionevoli alternative. Il fornitore deve comunicare i passi da intraprendere per accedere alle informazioni personali, nonché tutti metodi disponibili per aggiornare le informazioni. Il fornitore non utilizza codici identificativi statali per l'autenticazione. I dipendenti del fornitore sono debitamente istruiti per convalidare l'identità degli utenti che richiedono accesso alle proprie informazioni personali o che apportano modifiche alle informazioni personali. Una volta autenticata l identità dell individuo il fornitore deve: 1. Determinare se detiene o controlla i dati personali Microsoft relativi a tale individuo. 2. Adoperarsi in ogni ragionevole modo per reperire i dati personali Microsoft richiesti e mantenere record sufficienti a dimostrare di aver effettuato una ricerca opportuna. 3. Registrare la data e l ora della richiesta di accesso e le misure intraprese in risposta a tale richiesta. 4. Fornire a Microsoft, su richiesta di questa, i record delle richieste di accesso. Il fornitore ha implementato procedure per stabilire se le informazioni personali sono state trattenute. Il fornitore deve rispondere alle richieste in modo tempestivo. Il fornitore deve conservare i dati delle richieste di accesso e documentare le modifiche apportate alle informazioni personali. Le negazioni di accesso devono essere documentate in forma scritta e devono descrivere la motivazione della negazione. Versione 1.4 Pagina 7
8 Dopo aver accertato l identità dell individuo e aver controllato di disporre dei dati personali Microsoft richiesti, il fornitore deve: 1. Fornire all individuo i dati personali Microsoft in un formato appropriato (stampato, elettronico o verbale) 2. In caso di diniego della richiesta di accesso, fornire all individuo una spiegazione scritta conforme a tutte le eventuali istruzioni in merito precedentemente distribuite da Microsoft. Il fornitore deve adottare ogni ragionevole precauzione per garantire che i dati personali Microsoft rilasciati a un individuo non possano essere utilizzati per identificare un altra persona. In caso di disaccordo tra il fornitore e l individuo circa la completezza e l accuratezza dei dati personali Microsoft, il venditore deve demandare la questione a Microsoft e cooperare con questa nella misura necessaria per risolverla. Il fornitore deve fornire all'utente le informazioni personali in un formato comprendibile e in una forma comoda per l'utente e per il fornitore. Il fornitore deve dimostrare che sono state prese le opportune precauzioni per impedire l'identificazione di un'altra persona a partire dalle informazioni rilasciate (per esempio deve garantire che non sia possibile fotocopiare l'intera pagina dei dati se le informazioni personali richieste per un utente compaiono solo su una riga). Il fornitore deve documentare le istanze di disaccordo e inoltrare il problema a Microsoft. Versione 1.4 Pagina 8
9 Identificativo Requisiti di protezione dei dati per i fornitori Microsoft Criteri di valutazione suggeriti Sezione GAPP G Qualora intenda servirsi di un subappaltatore che lo coadiuvi nella raccolta, nell utilizzo, nella distribuzione, nell accesso o nella conservazione dei dati personali Microsoft e delle informazioni sensibili, il fornitore deve: Divulgazione a terzi 1. Scegliere subappaltatori che siano membri in regola con i requisiti del Microsoft Vendor Program oppure ottenere il consenso scritto di Microsoft prima di subappaltare il servizio 2. Documentare la natura e l entità dei dati personali Microsoft e delle informazioni sensibili divulgati o conferiti ai subappaltatori. 3. Accertarsi che il subappaltatore utilizzi i dati personali Microsoft conformemente al metodo di contatto preferito indicato dall interessato. 4. Limitare l impiego dei dati personali Microsoft da parte del subappaltatore agli scopi necessari ad adempiere al contratto del fornitore con Microsoft. Il fornitore deve confermare che i subappaltatori sono iscritti al programma MPSP di Microsoft Il fornitore deve ottenere il consenso scritto per l'uso di fornitori non iscritti al programma MPSP Il fornitore deve mantenere la documentazione relativa ai dati personali Microsoft e alle informazioni sensibili divulgati o trasferiti ai subappaltatori. Sono in atto sistemi e procedure per garantire che il subappaltatore utilizzi i dati personali Microsoft esclusivamente allo scopo previsto e in conformità con le preferenze di contatto dell'utente. Il fornitore deve essere in grado di dimostrare di aver contattato Microsoft, laddove consentito, prima di dare il consenso alla divulgazione dei dati personali Microsoft da parte di un subappaltatore in risposta a un ordine di un'autorità. 5. Informare prontamente Microsoft di qualsiasi ordine delle autorità che imponga al subappaltatore di divulgare i dati personali Microsoft e, nella misura consentita dalla legge, dare a Microsoft l opportunità di intervenire prima di rispondere all ordine Versione 1.4 Pagina 9
10 6. Esaminare i reclami in merito all uso non autorizzato o alla divulgazione dei dati personali Microsoft. 7. Informare prontamente Microsoft dell eventuale divulgazione o impiego dei dati personali Microsoft e delle informazioni sensibili da parte dell appaltatore per scopi diversi dall erogazione dei servizi commissionati da Microsoft o dai suoi fornitori. 8. Intervenire prontamente per mitigare i danni potenziali o effettivi derivanti dall uso o dalla divulgazione dei dati personali Microsoft e delle informazioni sensibili da parte del subappaltatore. Sono in atto sistemi e procedure per indirizzare i reclami relativi all'uso o alla divulgazione non autorizzati dei dati personali Microsoft da parte di un subappaltatore. Il fornitore deve essere in grado di dimostrare che Microsoft è stata avvisata qualora i subappaltatori abbiano utilizzato i dati personali Microsoft per scopi non autorizzati. Il fornitore deve essere in grado di dimostrare che sono state intraprese le opportune azioni legali qualora i subappaltatori abbiano utilizzato i dati personali Microsoft e le informazioni sensibili per scopi non autorizzati o abbiano rivelato i dati personali Microsoft e le informazioni sensibili. Prima di accettare dati personali da terze parti il fornitore deve: 1. Verificare che le prassi di raccolta dei dati della terza parte siano conformi all RPD. 2. Accertarsi che i dati personali raccolti dalla terza parte siano esclusivamente quelli necessari all erogazione dei servizi commissionati da Microsoft. Prima di concedere i dati personali Microsoft a una terza parte, il fornitore deve ottenere il consenso scritto di Microsoft in tal senso. Sono in atto procedure per verificare le prassi di raccolta dati di terze parti Sono in atto procedure per limitare il trasferimento dei dati personali Microsoft da terze parti allo stretto necessario per effettuare i servizi previsti dal contratto. Il fornitore è in grado di fornire copie del permesso scritto. Versione 1.4 Pagina 10
11 Identificativo del requisito Requisiti di protezione dei dati per i fornitori Microsoft Criteri di valutazione suggeriti Sezione GAPP H Il fornitore deve garantire che tutti i dati personali Microsoft siano accurati, completi e rilevanti al fine dichiarato per il quale sono stati raccolti o utilizzati. Le informazioni vengono convalidate al momento della raccolta, della creazione e dell'aggiornamento. Sono in atto sistemi e procedure per verificare periodicamente la precisione e apportare le dovute correzioni, se necessario. Qualità È necessario raccogliere la quantità minima di informazioni necessarie per soddisfare lo scopo dichiarato. Versione 1.4 Pagina 11
12 Identificativo del requisito Requisiti di protezione dei dati per i fornitori Microsoft Criteri di valutazione suggeriti Sezione GAPP I Il fornitore deve: Monitoraggio e applicazione delle norme 1. Condurre una revisione annuale a conferma della sua conformità ai requisiti di protezione dei dati. Il fornitore deve dimostrare di aver condotto revisioni di conformità annuali. 2. Informare entro 24 ore Microsoft di qualsiasi violazione effettiva o sospetta della privacy o di vulnerabilità della sicurezza di cui venga a conoscenza che interessi i dati personali Microsoft. Il fornitore deve dimostrare di aver informato Microsoft di qualsiasi violazione della privacy o vulnerabilità della sicurezza sospetta o nota. 3. Non rilasciare comunicati stampa o altri annunci pubblici riguardanti incidenti sospetti o riscontrati relativamente a informazioni Microsoft di natura personale o riservata senza previa autorizzazione di Microsoft, salvo se imposto da requisiti di legge o normativi. 4. Rimediare tempestivamente a qualsiasi violazione o vulnerabilità effettiva o sospetta. 5. Implementare un piano di rimedi e monitorare le soluzioni adottate contro le violazioni o vulnerabilità per assicurare che le azioni correttive vengano intraprese con tempistiche adeguate. Le vulnerabilità e le violazioni vengono risolte in modo tempestivo. Siano disponibili piani di rimedio dove applicabili. Versione 1.4 Pagina 12
13 Il fornitore deve: 1. Stabilire una procedura formale per rispondere a tutti i reclami in merito di protezione dei dati di cui siano oggetto i dati personali Microsoft. 2. Informare Microsoft di ogni reclamo che interessi i dati personali Microsoft. 3. Registrare e rispondere a tutti i reclami in merito alla protezione dei dati personali Microsoft in modo tempestivo a meno che Microsoft fornisca istruzioni specifiche. 4. Fornire a Microsoft su richiesta la documentazione relativa ai reclami risolti e irrisolti. Il fornitore deve disporre di un processo documentato per gestire i reclami e per avvisare Microsoft. I dati dei reclami devono dimostrare una risposta puntuale. Documentazione di reclami aperti/chiusi. Versione 1.4 Pagina 13
14 Identificativo Requisiti di protezione dei dati per i fornitori Microsoft Criteri di valutazione suggeriti Sezione GAPP J PROGRAMMA DI SICUREZZA DEI DATI Il fornitore deve definire, implementare e mantenere un programma di sicurezza dei dati comprendente politiche e procedure intese a proteggere i dati personali Microsoft e le informazioni sensibili. Il programma di sicurezza del fornitore deve provvedere ai seguenti aspetti connessi alla protezione dei dati personali Microsoft e delle informazioni sensibili: Il programma di sicurezza implementato dal fornitore deve includere quanto previsto nei punti da (a) a (s), come elencato a sinistra. Le protezioni possono essere superiori a quelle elencate, per necessità di osservanza degli schemi normativi (per esempio, HIPPA, GLBA) o dei requisiti contrattuali. Sicurezza a) Conduzione di valutazioni del rischio annuali o più frequenti. Le valutazioni del rischio dei fornitori devono incorporare le minacce emergenti, i possibili impatti sull attività e le probabilità di ricorrenza. Il fornitore deve modificare di conseguenza i processi, le procedure e le linee guida relativi alla sicurezza. b) Conduzione di analisi interne ed esterne della vulnerabilità della rete su base trimestrale e dopo eventuali modifiche significative alla rete (ad esempio, installazione di nuovi componenti, modifiche alla topologia di rete, modifiche alle regole del firewall, aggiornamenti di prodotti) c) Prevenzione degli accessi non autorizzati mediante l adozione di efficaci sistemi di controllo degli accessi fisici e logici, con limitazione dell'accesso fisico ai sistemi di informazioni elettronici e garanzia di consenso all'accesso autorizzato. d) Procedure per l aggiunta di nuovi utenti, la modifica dei livelli di accesso degli utenti esistenti e la rimozione degli utenti che non necessitano più di accesso (far applicare i principi dei privilegi minimi). Versione 1.4 Pagina 14
15 e) Assegnazione di responsabilità in materia di sicurezza f) Assegnazione di responsabilità per la modifica e la manutenzione dei sistemi g) Implementazione di aggiornamenti e patch al software di sistema in tempi accettabili in base al rischio. h) Installazione di software antivirus e antimalware in tutte le attrezzature connesse alla rete, compresi, a titolo esemplificativo, ma non esaustivo, server e desktop destinati a scopi di produzione e formazione, al fine di fornire protezione contro potenziali virus e applicazioni software dannose. Le definizioni antivirus e antimalware devono essere aggiornate almeno quotidianamente o come da direttive Microsoft o del fornitore del software antivirus e antimalware. i) Testing, valutazione e autorizzazione dei componenti di sistema prima della loro implementazione. j) I fornitori che tra le loro attività comprendono lo sviluppo di software devono aderire al Security Development Lifecycle (SDL) di Microsoft. Ulteriori informazioni sono disponibili all'indirizzo k) Risposta ai reclami e alle richieste relativi a questioni di sicurezza. l) Gestione di errori e omissioni, violazioni della sicurezza e altri incidenti. m) Procedure di rilevamento degli attacchi e delle intrusioni, tentati o effettivi, e testing preventivo delle procedure di sicurezza (come test di penetrazione del sistema). Versione 1.4 Pagina 15
16 n) Predisposizione di corsi e materiali di training e di altre risorse a supporto delle politiche di sicurezza. o) Predisposizione di metodi per la gestione di eccezioni e situazioni non specificamente previste dal sistema. p) Adozione di politiche di integrità e di altro tipo connesse alla sicurezza del sistema. q) Piani di ripristino di emergenza e relativi test. r) Metodi di identificazione e adeguamento agli impegni presi, agli accordi sul livello di servizio e ad altri contratti. s) Imposizione di un requisito che preveda la conferma (iniziale e annuale) della comprensione e accettazione delle politiche e delle procedure sulla sicurezza dei dati da parte di utenti, manager e terze parti. AUTENTICAZIONE Il fornitore deve verificare e autenticare l identità di un individuo prima di concedergli accesso ai suoi dati personali Microsoft o alle informazioni sensibili. Le procedure di autenticazione utilizzate dal fornitore devono prevedere l'uso di un ID e di una password univoci per l'accesso online alle informazioni personali dell'utente. Per l autenticazione online, il fornitore deve: 1. Utilizzare, se possibile, l account Microsoft. 2. Esigere l impiego di un ID e di una password unici (o un sistema equivalente). Per l autenticazione telefonica, il fornitore deve: 1. Richiedere all utente di convalidare i suoi dati di contatto e, ove possibile, fornire almeno un dato univoco (ad esempio, codice UPC o ID di sistema). I processi di autenticazione tramite telefono devono includere la convalida da parte dell'utente delle informazioni di contatto, oltre all'informazione univoca che deve essere conosciuta solo dall'utente. Versione 1.4 Pagina 16
17 ACCESSO AI DATI PERSONALI MICROSOFT DA PARTE DELLO STAFF DEL FORNITORE Il fornitore deve limitare l accesso ai dati personali Microsoft allo staff che ne necessiti per motivi di lavoro. I fornitori devono disattivare gli account di rete e tutti gli altri account di supporto appartenenti agli utenti non più operativi nell'ambito dei programmi Microsoft entro 24 ore dall'abbandono del programma ed entro 2 ore in caso di abbandono non volontario. Devono essere in atto sistemi e procedure per stabilire l'accesso dei dipendenti del fornitore in base alla necessità commerciale valida per l'accesso alle informazioni personali. Tali sistemi e procedure devono prevedere l'accesso interno/esterno, i supporti, i documenti cartacei, le piattaforme tecnologiche e i supporti di backup. DISTRUZIONE DEI DATI PERSONALI MICROSOFT Ove sia necessaria la distruzione dei dati personali Microsoft, il fornitore deve: 1. Bruciare, polverizzare o sminuzzare i supporti fisici contenenti i dati personali Microsoft in modo tale che questi non possano essere più letti o ricostruiti. Il fornitore deve dimostrare che i beni materiali sono stati opportunamente distrutti così che i dati non possano essere letti o ricostruiti. 2. Distruggere o eliminare le risorse digitali contenenti i dati personali Microsoft in modo tale che questi non possano essere più letti o ricostruiti. PROTEZIONE DELLE RISORSE DIGITALI Il fornitore deve: 1. Adottare implementazioni di crittografia standard dell industria come SSL, TLS o IPsec per i dati Microsoft in transito e per l autenticazione di mittente e destinatario Devono essere in atto sistemi e procedure per proteggere le informazioni personali trasmesse tramite Internet o altre reti pubbliche Alcuni schemi normativi (per esempio, HIPPA, GLBA, PCI) presentano requisiti specifici per la trasmissione dei dati. I certificati SSL vengono mantenuti correttamente in modo che i nuovo certificati SSL validi vengano installati prima della scadenza del precedente.. 2. Utilizzare BitLocker o una comprovata soluzione equivalente in tutti i computer portatili in cui sono memorizzate informazioni Microsoft. Versione 1.4 Pagina 17
18 3. Adottare algoritmi simmetrici e asimmetrici con crittografia avanzata conformi agli attuali standard di settore per l'archiviazione dei tipi di informazioni personali Microsoft descritti di seguito. Questo requisito si estende ai dispositivi portatili tra cui unità USB, telefoni cellulari, dispositivi o supporti di backup e così via. a. numeri identificativi emessi dalle autorità (ad esempio codice fiscale o numero di patente) b. numeri di conto (ad esempio numeri di carte di credito e conti bancari) c. profili medici (ad esempio dati di cartelle cliniche o identificatori biometrici) 4. Accettare solo dati Microsoft inviati in forma crittografata. 5. Investigare prontamente violazioni della sicurezza e tentativi non autorizzati di ottenere accesso ai sistemi contenenti i dati personali Microsoft. 6. Comunicare prontamente i risultati dell indagine al management della propria azienda e a Microsoft. Devono essere in atto sistemi e procedure per codificare i codici identificativi statali, i numeri di conto e le informazioni mediche memorizzate. Il fornitore deve rifiutare la fornitura di qualsivoglia informazione trasmessa tramite mezzi non codificati. Devono essere in atto sistemi e procedure per indagare sulle violazioni o sui tentativi di accesso non autorizzati. Devono essere in atto sistemi e procedure per comunicare i risultati dell'investigazione a Microsoft. 7. Aderire a tutti gli standard di gestione applicabili delle carte di credito accettate. PROTEZIONE DEI VALORI FISICI Il fornitore deve: 1. Conservare i dati personali Microsoft in un ambiente ad accesso controllato. Devono essere in atto sistemi e procedure per gestire l'accesso fisico a copie digitali, fisiche, di archivio e di backup delle informazioni personali. 2. Trasportare i dati personali Microsoft in modo sicuro. Devono essere in atto sistemi e procedure per proteggere adeguatamente i beni materiali contenenti le informazioni personali durante il trasporto. Versione 1.4 Pagina 18
19 RIPRISTINO DI EMERGENZA Il fornitore deve garantire che procedure di backup e di ripristino di emergenza proteggano i dati personali Microsoft e le informazioni sensibili dall uso, dall accesso, dalla divulgazione, dall alterazione e dalla distruzione non autorizzati. TEST E CONTROLLI Il fornitore deve: 1. Testare regolarmente l efficacia delle misure di sicurezza strategiche poste a tutela dei dati personali Microsoft. 2. Sottoporsi periodicamente a controlli indipendenti delle misure di sicurezza. Devono essere in atto sistemi e procedure per proteggere i dati personali Microsoft dalla distruzione, alterazione, divulgazione oppure da un uso o un accesso non autorizzato in caso di catastrofe. La frequenza dei test richiesti varierà in base alla dimensione e alla complessità delle operazioni del fornitore. Qualora i risultati del test evidenzino delle lacune, sarà necessario fornire la documentazione relativa ai test e i risultati dei test, nonché le modifiche ai sistemi, alle politiche e alle procedure. Se previsto dai termini del contratto con Microsoft, è necessario condurre verifiche sulla sicurezza in conformità ai termini del contratto. 3. Mettere a disposizione di Microsoft i risultati di queste verifiche su richiesta. 4. Documentare e testare i piani di emergenza almeno una volta all anno per accertarne l efficacia. Il fornitore deve disporre di un criterio di backup documentato che specifichi la frequenza dei backup. I backup devono essere archiviati in modo sicuro. I backup devono essere testati regolarmente attraverso un ripristino effettivo per garantire che siano utilizzabili. 5. Effettuare periodicamente valutazioni dei rischi e delle vulnerabilità, compresi test di penetrazione del sistema. 6. Rendere anonimi tutti i dati personali Microsoft utilizzati in ambiente di test o di sviluppo. Le informazioni personali di Microsoft non devono essere utilizzate negli ambienti di sviluppo e test. Qualora non vi sia alternativa, devono essere rese anonime a sufficienza per evitare l'identificazione degli utenti o un uso non autorizzato delle informazioni personali. Versione 1.4 Pagina 19
Informativa sulla privacy
Informativa sulla privacy Data di inizio validità: 1 Maggio 2013 La presente informativa sulla privacy descrive il trattamento dei dati personali immessi o raccolti sui siti nei quali la stessa è pubblicata.
DettagliPolitica per la Sicurezza
Codice CODIN-ISO27001-POL-01-B Tipo Politica Progetto Certificazione ISO 27001 Cliente CODIN S.p.A. Autore Direttore Tecnico Data 14 ottobre 2014 Revisione Resp. SGSI Approvazione Direttore Generale Stato
DettagliINFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB www.arlatighislandi.it
INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB www.arlatighislandi.it redatto ai sensi del decreto legislativo n 196/2003 2 GENNAIO 2014 documento pubblico 1 PREMESSA 3 SEZIONE
DettagliINFORMATIVA SUI TRATTAMENTI DEI DATI PERSONALI
INFORMATIVA SUI TRATTAMENTI DEI DATI PERSONALI SOMMARIO AMBITO DI APPLICAZIONE DELLA NOTA INFORMATIVA... 2 INFORMAZIONI RACCOLTE... 2 SEGRETERIA... 2 INTERNET... 2 MOTIVI DELLA RACCOLTA DELLE INFORMAZIONI
DettagliPOLITICA SULLA PRIVACY
POLITICA SULLA PRIVACY Termini generali Il Gruppo CNH Industrial apprezza l interesse mostrato verso i suoi prodotti e la visita a questo sito web. Nell ambito dei processi aziendali, la protezione della
DettagliRequisiti di controllo dei fornitori esterni
Requisiti di controllo dei fornitori esterni Sicurezza cibernetica Per fornitori classificati a Basso Rischio Cibernetico Requisito di cibernetica 1 Protezione delle attività e configurazione del sistema
DettagliRiepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0
Settore delle carte di pagamento (PCI) Standard di protezione dei dati per le applicazioni di pagamento () Riepilogo delle modifiche di dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente
DettagliTitolare del trattamento dei dati innanzi descritto è tsnpalombara.it
Decreto Legislativo 196/2003 Codice in materia di protezione dei dati personali COOKIE POLICY La presente informativa è resa anche ai sensi dell art. 13 del D.Lgs 196/03 Codice in materia di protezione
DettagliREGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI
COMUNE DI VIANO PROVINCIA DI REGGIO EMILIA REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI Approvato con deliberazione di G.C. n. 73 del 28.11.2000 INDICE TITOLO 1 ART. 1 ART. 2 ART. 3 ART. 4 ART. 5 ART.
DettagliUNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso
SORVEGLIANZA E CERTIFICAZIONI UNI EN ISO 9001:2008 Sistemi di Gestione per la Qualità: requisiti e guida per l uso Pagina 1 di 10 INTRODUZIONE La Norma UNI EN ISO 9001:2008 fa parte delle norme Internazionali
DettagliSISTEMA DI GESTIONE PER LA QUALITA Capitolo 4
1. REQUISITI GENERALI L Azienda DSU Toscana si è dotata di un Sistema di gestione per la qualità disegnato in accordo con la normativa UNI EN ISO 9001:2008. Tutto il personale del DSU Toscana è impegnato
DettagliFORM CLIENTI / FORNITORI
FORM CLIENTI / FORNITORI Da restituire, compilato in ognuna delle sue parti, a: Ditta Enrico Romita Via Spagna, 38 Tel. 0984.446868 Fax 0984.448041 87036 Mail to: amministrazione@calawin.it 1 Informativa
DettagliPROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA. UNI EN ISO 9001 (ed. 2008) n. 03 del 31/01/09 Salvatore Ragusa
PROGETTO TECNICO SISTEMA DI GESTIONE QUALITA IN CONFORMITÀ ALLA NORMA UNI EN ISO 9001 (ed. 2008) Revisione Approvazione n. 03 del 31/01/09 Salvatore Ragusa PROGETTO TECNICO SISTEMA QUALITA Il nostro progetto
DettagliProcedura per la tenuta sotto controllo delle registrazioni PA.AQ.02. Copia in distribuzione controllata. Copia in distribuzione non controllata
Pag.: 1 di 7 Copia in distribuzione controllata Copia in distribuzione non controllata Referente del documento: Referente Sistema Qualità (Dott. I. Cerretini) Indice delle revisioni Codice Documento Revisione
DettagliSi applica a: Windows Server 2008
Questo argomento non è stato ancora valutato Si applica a: Windows Server 2008 Protezione accesso alla rete è una tecnologia per la creazione, l'imposizione, il monitoraggio e l'aggiornamento dei criteri
DettagliPolitica del WHOIS relativa al nome a dominio.eu
Politica del WHOIS relativa al nome a dominio.eu 1/7 DEFINIZIONI I termini definiti nei Termini e Condizioni e/o nelle Regole di risoluzione delle controversie del.eu sono contraddistinti nel presente
DettagliALLEGATO 13.2 - Esempio di questionario per la comprensione e valutazione del sistema IT
ALLEGATO 13.2 - Esempio di questionario per la comprensione e valutazione del sistema IT Premessa L analisi del sistema di controllo interno del sistema di IT può in alcuni casi assumere un livello di
DettagliI dati in cassaforte 1
I dati in cassaforte 1 Le risorse ( asset ) di un organizzazione Ad esempio: Risorse economiche/finanziarie Beni mobili (es. veicoli) ed immobili (es. edifici) Attrezzature e macchinari di produzione Risorse
DettagliInformativa privacy. Data: 01/01/2010 Versione: 2.0
Versione: 2.0 NKE S.p.A. / NKE Automation S.r.l. S.S. 24 km 16,2 10091 ALPIGNANO (Torino) Italy Tel. +39.011.9784411 Fax +39.011.9785250 www.nke.it Informativa privacy NKE Automation Srl e NKE Spa ai sensi
DettagliINDICE. Istituto Tecnico F. Viganò PROCEDURA PR 01. Rev. 2 Data 20 Maggio 2009. Pagina 1 di 9 TENUTA SOTTO CONTROLLO DEI DOCUMENTI
INDICE 1 di 9 1. SCOPO 2. CAMPO DI APPLICAZIONE 3. TERMINOLOGIA E ABBREVIAZIONI 4. RESPONSABILITÀ 5. MODALITÀ OPERATIVE 5.1. Redazione e identificazione 5.2. Controllo e verifica 5.3. Approvazione 5.4.
DettagliALLEGATO N. 1 REGOLAMENTO GENERALE DELLA DUE DILIGENCE. 1. Introduzione
ALLEGATO N. 1 AL DISCIPLINARE DI GARA RELATIVO ALLA PROCEDURA DI CESSIONE DEL COMPLESSO AZIENDALE DI CE.FO.P. IN AMMINISTRAZIONE STRAORDINARIA REGOLAMENTO GENERALE DELLA DUE DILIGENCE 1. Introduzione 1.1.
DettagliProvincia Autonoma di Bolzano Disciplinare organizzativo per l utilizzo dei servizi informatici, in particolare di internet e della posta
Provincia Autonoma di Bolzano Disciplinare organizzativo per l utilizzo dei servizi informatici, in particolare di internet e della posta elettronica, da parte degli uffici provinciali e dell amministrazione
DettagliIl glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.
Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC. Avviso di mancata consegna L avviso, emesso dal sistema, per indicare l anomalia
Dettaglidella manutenzione, includa i requisiti relativi ai sottosistemi strutturali all interno del loro contesto operativo.
L 320/8 Gazzetta ufficiale dell Unione europea IT 17.11.2012 REGOLAMENTO (UE) N. 1078/2012 DELLA COMMISSIONE del 16 novembre 2012 relativo a un metodo di sicurezza comune per il monitoraggio che devono
DettagliInformativa ex art. 13 D.lgs. 196/2003
Informativa ex art. 13 D.lgs. 196/2003 Gentile Utente, l Hotel Eurolido (di seguito, Società ) rispetta e tutela la Sua privacy. Ai sensi dell art. 13 del Codice della Privacy (d.lgs. 196 del 30 giugno
DettagliCondizioni di servizio per l'utente finale (applicazioni gratuite)
Condizioni di servizio per l'utente finale (applicazioni gratuite) 1. Definizioni Ai fini delle disposizioni sotto indicate, le espressioni sono da intendere nei seguenti modi: "Applicazione" significa
DettagliMANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA
Pagina: 1 di 5 SISTEMA DI GESTIONE PER LA QUALITA 4.0 SCOPO DELLA SEZIONE Illustrare la struttura del Sistema di Gestione Qualità SGQ dell Istituto. Per gli aspetti di dettaglio, la Procedura di riferimento
DettagliIn questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.
LE POLICY SULLA PRIVACY DI QUESTO SITO PERCHE QUESTO AVVISO In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.
DettagliProvvedimenti a carattere generale 27 novembre 2008 Bollettino del n. 0/novembre 2008, pag. 0
Provvedimenti a carattere generale 27 novembre 2008 Bollettino del n. 0/novembre 2008, pag. 0 Devono essere adottati sistemi idonei alla registrazione logici (autenticazione informatica) ai sistemi di
DettagliInformazioni di identificazione personali
Questa Privacy Policy disciplina il modo in cui GIANGI SRL raccoglie, utilizza, conserva e divulga le informazioni raccolte dagli utenti (ciascuno, un Utente ) del sito web www.mamasunpesaro.it ( Sito
DettagliNOTE LEGALI E PRIVACY
NOTE LEGALI E PRIVACY L'accesso a questo sito web da parte dei visitatori è soggetto alle seguenti condizioni. Le informazioni, i loghi, gli elementi grafici, le immagini, e quant'altro pubblicato e/o
DettagliCONDIZIONI GENERALI DI LAVORO PRESSO GLI STABILIMENTI AGUSTAWESTLAND ITALIA
CONDIZIONI GENERALI DI LAVORO PRESSO GLI STABILIMENTI AGUSTAWESTLAND ITALIA 1. Nelle presenti Condizioni Generali, le parole elencate qui di seguito saranno da intendersi con i significati qui descritti:
DettagliInformativa Privacy ai sensi dell art. 13 del D.Lgs. 196/2003
Informativa Privacy ai sensi dell art. 13 del D.Lgs. 196/2003 Desideriamo informarla che il D.lgs. n. 196 del 30 giugno 2003 (codice in materia di protezione dei dati personali) prevede la tutela delle
DettagliGestire le NC, le Azioni Correttive e Preventive, il Miglioramento
Scopo Responsabile Fornitore del Processo Input Cliente del Processo Output Indicatori Riferimenti Normativi Processi Correlati Sistemi Informatici Definire le modalità e le responsabilità per la gestione
DettagliINFORMATIVA SULLA PRIVACY. In questa pagina si descrivono le modalità di gestione del sito in riferimento al
INFORMATIVA SULLA PRIVACY In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano. Si tratta di una informativa che
Dettaglivisto il trattato che istituisce la Comunità europea, in particolare l articolo 93, vista la proposta della Commissione,
IL CONSIGLIO DELL UNIONE EUROPEA, visto il trattato che istituisce la Comunità europea, in particolare l articolo 93, vista la proposta della Commissione, (2) Per assicurare la corretta applicazione dell
DettagliPRIVACY POLICY DI LattinaDesign S.r.l.s
PRIVACY POLICY DI LattinaDesign S.r.l.s INFORMATIVA SULLA PRIVACY In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano
DettagliGRUPPO DASSAULT SYSTÈMES POLITICA DI TUTELA DEI DATI PERSONALI DEI CANDIDATI
GRUPPO DASSAULT SYSTÈMES POLITICA DI TUTELA DEI DATI PERSONALI DEI CANDIDATI Nello svolgimento delle proprie attività, Dassault Systèmes e le sue controllate (collettivamente 3DS ) raccolgono i Dati Personali
DettagliNORMATIVA SULLA PRIVACY
NORMATIVA SULLA PRIVACY Il presente codice si applica a tutti i siti internet della società YOUR SECRET GARDEN che abbiano un indirizzo URL. Il documento deve intendersi come espressione dei criteri e
DettagliGESTIONE DELLE SEGNALAZIONI RICEVUTE DALL ORGANISMO DI VIGILANZA E DAI SOGGETTI PREPOSTI DI HS PENTA S.P.A.
Documento effettivo dal: 22 Luglio 2014 1 SCOPO Scopo della presente procedura ( Procedura Generale ) è descrivere le fasi in cui si articola il macroprocesso descritto nel successivo 2, al fine di prevedere:
Dettagli2. Test di interoperabilità del sistema di gestione della PEC - Punto 1 della circolare 7 dicembre 2006, n. 51.
In esito all emanazione della circolare 7 dicembre 2006, n. CR/51 - che disciplina l attività di vigilanza e di controllo svolta da AGID nei confronti dei gestori di Posta Elettronica Certificata (PEC)
DettagliDISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA ANNO 2015
DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA ANNO 2015 Approvato dall Amministratore Unico di Metro con determina n. 5 del 9 marzo 2015 1 Disciplinare tecnico 2015 in materia di misure
DettagliCookie del browser: Cookie Flash:
Cookie del browser: I cookie sono porzioni di informazioni che il sito Web inserisce nel tuo dispositivo di navigazione quando visiti una pagina. Possono comportare la trasmissione di informazioni tra
DettagliLINEE GUIDA PER LA PREDISPOSIZIONE DEL DOCUMENTO DI PROGETTO DEL SISTEMA DI GIOCO
ALLEGATO A LINEE GUIDA PER LA PREDISPOSIZIONE DEL DOCUMENTO DI PROGETTO DEL SISTEMA DI GIOCO Premessa Il documento di progetto del sistema (piattaforma) di gioco deve tener conto di quanto previsto all
Dettaglill sito Internet www.nesocell.com è di proprietà di: Nesocell Srl via Livorno n.60 I-10144 Torino - Italia P. IVA 10201820015
ll sito Internet www.nesocell.com è di proprietà di: Nesocell Srl via Livorno n.60 I-10144 Torino - Italia P. IVA 10201820015 Nesocell Srl rispetta la privacy dei visitatori del sito sopracitato e si impegna
DettagliINFORMATIVA SULLA PRIVACY. Informativa sul trattamento dei dati personali ai sensi dell art. 13 D.Lgs. 30 giugno 2003, n.196
INFORMATIVA SULLA PRIVACY Informativa sul trattamento dei dati personali ai sensi dell art. 13 D.Lgs. 30 giugno 2003, n.196 Il sito www.worky-italy.com (di seguito, il Sito ) tutela la privacy dei visitatori
DettagliRegolamento per la certificazione di Sistemi di Gestione Ambientale
Regolamento per la certificazione di Sistemi di Gestione Ambientale In vigore dal 01/04/2012 Agroqualità Società per azioni Viale Cesare Pavese, 305-00144 Roma - Italia Tel. +39 0654228675 - Fax: +39 0654228692
DettagliIstruzione Operativa Richiesta di Offerta on-line in busta chiusa digitale
Istruzione Operativa Richiesta di Offerta on-line in busta chiusa digitale ATAF avvierà la gara on-line secondo le modalità di seguito descritte, in particolare utilizzando lo strumento RDO on-line disponibile
DettagliA chi partecipa a un panel realizzato dalla nostra società, garantiamo la tutela di tutte le informazioni personali forniteci.
VISION CRITICAL COMMUNICATIONS INC. REGOLE AZIENDALI SULLA PRIVACY DESCRIZIONE GENERALE Per noi della Vision Critical Communications Inc. ("VCCI"), il rispetto della privacy costituisce parte essenziale
DettagliProtezione e sicurezza dei vostri dati personali
Protezione e sicurezza dei vostri dati personali Vi preghiamo di leggere attentamente le seguenti informazioni, per comprendere il modo in cui Travelex gestisce i vostri dati personali. Creando un profilo,
DettagliProcedura n. 03 (Ed. 02) TENUTA SOTTO CONTROLLO DEI DOCUMENTI E DELLE REGISTRAZIONI
INDICE 1. SCOPO 2. CAMPO DI APPLICAZIONE 3. DEFINIZIONI 4. GENERALITÀ 5. RESPONSABILITÀ 6. IDENTIFICAZIONE 7. REDAZIONE, CONTROLLO, APPROVAZIONE ED EMISSIONE 8. DISTRIBUZIONE 9. ARCHIVIAZIONE 10. MODIFICHE
DettagliTutela della privacy Introduzione
Tutela della privacy Introduzione Noi di HardwarePcJenny e le nostre società affiliate worldwideare, si impegnano a rispettare la privacy online e riconoscono la necessità di un'adeguata protezione per
DettagliREGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI
COMUNE DI BRESCIA REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI Adottato dalla Giunta Comunale nella seduta del 26.3.2003 con provvedimento n. 330/11512 P.G. Modificato
DettagliI SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS 18001 AV2/07/11 ARTEMIDE.
I SISTEMI DI GESTIONE DELLA SALUTE E SICUREZZA SUL LAVORO: OHSAS 18001 AV2/07/11 ARTEMIDE. 1 Nel panorama legislativo italiano la Salute e la Sicurezza sul Lavoro sono regolamentate da un gran numero di
DettagliLICENZA D USO di SOFTWARE
LICENZA D USO di SOFTWARE Premesso che: Il software oggetto del presente contratto è stato sviluppato dalla software house TROLL SpA, Via Pisa, 4-37053 Cerea (VR), P.IVA/C.F./Reg. Imprese di Verona 02539580239
DettagliPROGRAMMA CORSI PRIVACY 2013
PROGRAMMA CORSI PRIVACY 2013 1) Modulo per Titolari/Responsabili del Trattamento Obiettivo del corso: fornire una conoscenza approfondita della normativa vigente, al fine di compiere scelte consapevoli
DettagliIl Candidato EIPASS. I diritti e gli oneri Autorizzazione al trattamento dati
Il Candidato EIPASS I diritti e gli oneri Autorizzazione al trattamento dati Il Candidato EIPASS M_23-24 rev. 4.0 del 15/04/2014 Pagina 1 di 4 Copyright 2014 Nomi e marchi citati nel testo sono depositati
DettagliUTILIZZATORI A VALLE: COME RENDERE NOTI GLI USI AI FORNITORI
UTILIZZATORI A VALLE: COME RENDERE NOTI GLI USI AI FORNITORI Un utilizzatore a valle di sostanze chimiche dovrebbe informare i propri fornitori riguardo al suo utilizzo delle sostanze (come tali o all
DettagliMANUALE DELLA QUALITÀ SIF CAPITOLO 08 (ED. 01) MISURAZIONI, ANALISI E MIGLIORAMENTO
INDICE 8.1 Generalità 8.2 Monitoraggi e Misurazione 8.2.1 Soddisfazione del cliente 8.2.2 Verifiche Ispettive Interne 8.2.3 Monitoraggio e misurazione dei processi 8.2.4 Monitoraggio e misurazione dei
DettagliISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito
ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito 1 ISA 610 USING THE WORK OF INTERNAL AUDITORS Questo principio tratta
DettagliLombardia Informatica S.p.A. Servizio di Posta Elettronica Certificata Web Privacy Policy
Lombardia Informatica S.p.A. Servizio di Posta Elettronica Certificata Web Privacy Policy Codice documento: LISPA-PEC-WPO#01 Revisione: 1 Stato: Emesso Data di revisione: 28-lug-2011 Redatto da: Luigi
DettagliIl nuovo codice in materia di protezione dei dati personali
Il nuovo codice in materia di protezione dei dati personali Si chiude il capitolo, dopo sette anni dalla sua emanazione, della legge 675 sulla privacy. Questa viene sostituita da un testo di legge unico
DettagliCARTA DEI SERVIZI. Premessa:
CARTA DEI SERVIZI Premessa: La Carta dei Servizi è uno strumento utile al cittadino per essere informato sulle caratteristiche del servizio offerto, sulla organizzazione degli uffici comunali, sugli standards
DettagliEnte Ospedaliero Specializzato in Gastroenterologia "Saverio de Bellis" Istituto di Ricovero e Cura a Carattere Scientifico
Ente Ospedaliero Specializzato in Gastroenterologia "Saverio de Bellis" Istituto di Ricovero e Cura a Carattere Scientifico Via Turi, 27 70013 Castellana Grotte (BA) PRIVACY POLICY DEL SITO ISTITUZIONALE
DettagliLa informiamo che Utroneo s.r.l. è il titolare del trattamento dei suoi dati personali.
Come utilizziamo i suoi dati è un prodotto di ULTRONEO SRL INFORMAZIONI GENERALI Ultroneo S.r.l. rispetta il Suo diritto alla privacy nel mondo di internet quando Lei utilizza i nostri siti web e comunica
DettagliModalità e luogo del trattamento dei Dati raccolti Modalità di trattamento
Titolare del Trattamento dei Dati ZETAVEL S.r.l., Via Verdi 2, 26021 ANNICCO (CR), Italia tel/fax 0374-79480, info@nvaccari.com Tipologie di Dati raccolti Fra i Dati Personali raccolti da questa Applicazione,
DettagliAddendum relativo all Iniziativa per i Consulenti di Servizi e Software Microsoft
Addendum relativo all Iniziativa per i Consulenti di Servizi e Software Microsoft ALLA FINE DEL PRESENTE ADDENDUM AL CONTRATTO PER MICROSOFT PARTNER PROGRAM ( MSPP ) FACENDO CLIC SUL PULSANTE ACCETTO,
DettagliRoma,.. Spett.le. Società Cooperativa EDP La Traccia. Recinto II Fiorentini, n.10-75100 Matera (MT)
Roma,.. Spett.le Società Cooperativa EDP La Traccia Recinto II Fiorentini, n.10-75100 Matera (MT) Oggetto : Contratto per la fornitura di servizi relativi alla Survey Registro Italiano delle Biopsie Renali.
DettagliSICUREZZA INFORMATICA MINACCE
SICUREZZA INFORMATICA MINACCE Come evitare gli attacchi di phishing e Social Engineering Ver.1.0, 19 febbraio 2015 2 Pagina lasciata intenzionalmente bianca 1. CHE COSA È UN ATTACCO DI SOCIAL ENGINEERING?
DettagliServizio Premium 899. Carta di Autodisciplina di WIND Telecomunicazioni S.p.A
899 Carta di Autodisciplina di WIND Telecomunicazioni S.p.A Carta di Autodisciplina di WIND Telecomunicazioni S.p.A. per l assegnazione delle numerazioni 899 e l offerta dei relativi servizi Ex art. 18
DettagliPRIVACY POLICY DI digitaldictionary.it. Digital Dictionary Servizi s.r.l. Milano via Paleocapa 1, 20121 (MI) P.IVA/CF: 08492830966 REA: MI-2029601
2015 Digital Dictionary Servizi s.r.l PRIVACY POLICY DI digitaldictionary.it 1 Informativa ai sensi dell art. 13 del d.lg. 30 giugno 2003 n. 196 (Codice in materia di protezione dei dati personali) La
DettagliEUROCONSULTANCY-RE. Privacy Policy
Privacy Policy EUROCONSULTANCY-RE di Concept Design 95 Ltd Registered in England - Co. Reg. no. 3148248 - VAT no.690052547 (GB) No. Iscrizione Camera di Commercio di Milano (REA) 1954902 Codici Fiscale
DettagliNota informativa sulla Firma Grafometrica.
Nota informativa sulla Firma Grafometrica. Documento predisposto da Epsilon SGR S.p.A. ai sensi dell articolo 57 commi 1 e 3 del DPCM 22.2.2013, riguardante la firma elettronica avanzata. 1. Premessa Epsilon
DettagliDott. Filippo Caravati Convegno - Audit Intermediari 1
Dott. Filippo Caravati Convegno - Audit Intermediari 1 Dott. Filippo Caravati Convegno - Audit Intermediari 2 Circolare Agenzia Entrate n. 6/E del 2002 4.3 Documentazione da rilasciare ai contribuenti
DettagliProgramma del Corso per Segretaria d Azienda:
Programma del Corso per Segretaria d Azienda: Modulo 1. Uso del computer e gestione file Utilizzare le funzioni principali del sistema operativo, incluse la modifica delle impostazioni principali e l utilizzo
DettagliSoluzioni per archiviazione sicura di log di accesso server Windows. PrivacyLOG
Soluzioni per archiviazione sicura di log di accesso server Windows PrivacyLOG Perché mi devo occupare di questo problema? Il provvedimento del Garante Privacy - 27 novembre 2008 ("Misure e accorgimenti
DettagliCondizioni generali di vendita Art. 1 Oggetto del contratto Art. 2 Ricevimento dell ordine Art. 3 Esecuzione del contratto e tempi di consegna
Condizioni generali di vendita Art. 1 Oggetto del contratto Le presenti condizioni generali di vendita si applicano a tutti i contratti stipulati dalla società Ghibli Design srl (d ora innanzi Ghibli)
DettagliMANUALE DELLA QUALITÀ Pag. 1 di 6
MANUALE DELLA QUALITÀ Pag. 1 di 6 INDICE GESTIONE DELLE RISORSE Messa a disposizione delle risorse Competenza, consapevolezza, addestramento Infrastrutture Ambiente di lavoro MANUALE DELLA QUALITÀ Pag.
DettagliFatturazione Elettronica PA Specifiche del Servizio
Fatturazione Elettronica PA Specifiche del Servizio Andrea Di Ceglie 25/09/2014 Premessa Data la complessità del processo e la necessità di eseguirlo tramite procedure e canali informatici, il legislatore
DettagliPRIVACY POLICY SITO INTERNET
I H A D S.R.L. VIALE CAMPANIA 33 I - 20133 MILANO PRIVACY POLICY SITO INTERNET Tel. +39 029941767 Fax +39 02700506378 www.ihad.it info@ihad.it Cap Soc: 10000 C.F. e P.IVA 04558090967 R.E.A. 1756291 PERCHÉ
DettagliSettore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS)
Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Attestato di conformità per questionario di autovalutazione B Versione 3.0 Febbraio 2014 Sezione 1 - Informazioni sulla valutazione
DettagliIn questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.
PRIVACY POLICY PERCHE QUESTO AVVISO In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano. Si tratta di un informativa
DettagliServizio CA On Demand - Policy e termini della Manutenzione Validità a partire dall'1 settembre 2010
Servizio CA On Demand - Policy e termini della Manutenzione Validità a partire dall'1 settembre 2010 La Manutenzione del Servizio CA On Demand include il supporto tecnico e la disponibilità dell'infrastruttura,
DettagliPRIVACY POLICY DEL SITO WEB
PRIVACY POLICY DEL SITO WEB Via Cola di Rienzo, 243 I - 00192 ROMA Tel. +39 06.97614975 Fax +39 06.97614989 www.aido.it aidonazionale@aido.it C.F. 80023510169 TRATTAMENTO DEI DATI PERSONALI DEGLI UTENTI
Dettagli4.5 CONTROLLO DEI DOCUMENTI E DEI DATI
Unione Industriale 35 di 94 4.5 CONTROLLO DEI DOCUMENTI E DEI DATI 4.5.1 Generalità La documentazione, per una filatura conto terzi che opera nell ambito di un Sistema qualità, rappresenta l evidenza oggettiva
DettagliAppendice III. Competenza e definizione della competenza
Appendice III. Competenza e definizione della competenza Competenze degli psicologi Lo scopo complessivo dell esercizio della professione di psicologo è di sviluppare e applicare i principi, le conoscenze,
DettagliInformativa sul trattamento dei dati personali ai sensi dell Art. 13 del D.LGS. 196/2003 (C.D. Codice Privacy)
Informativa sul trattamento dei dati personali ai sensi dell Art. 13 del D.LGS. 196/2003 (C.D. Codice Privacy) Prima di accedere al sito internet di Sigla Srl ( www.siglacredit.it ) e di utilizzarne le
DettagliSoftware Servizi Web UOGA
Manuale Operativo Utente Software Servizi Web UOGA S.p.A. Informatica e Servizi Interbancari Sammarinesi Strada Caiese, 3 47891 Dogana Tel. 0549 979611 Fax 0549 979699 e-mail: info@isis.sm Identificatore
Dettaglivisto il trattato sul funzionamento dell Unione europea,
17.11.2012 IT Gazzetta ufficiale dell Unione europea L 320/3 REGOLAMENTO (UE) N. 1077/2012 DELLA COMMISSIONE del 16 novembre 2012 relativo a un metodo di sicurezza comune per la supervisione da parte delle
DettagliTRATTAMENTO DATI PERSONALI
INFORMATIVA EX ART.13 D.LGS. 196/2003 Gentile signore/a, desideriamo informarla che il d.lgs. n. 196 del 30 giugno 2003 ("Codice in materia di protezione dei dati personali") prevede la tutela delle persone
DettagliINTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Dott.ssa Monica Bianco Edizione: 1 Data: 03.12.
Learning Center Engineering Management INTEGRAZIONE E CONFRONTO DELLE LINEE GUIDA UNI-INAIL CON NORME E STANDARD (Ohsas 18001, ISO, ecc.) Autore: Dott.ssa Monica Bianco Edizione: 1 Data: 03.12.2007 VIA
DettagliProcedura Documentale di Sistema
INDICE 1. Scopo 2. Campo di Applicazione 3. Definizioni 4. Riferimenti Normativi 5. Descrizione del Processo 5.1 Reclami 5.1.1 Generalità 5.1.2 Forma del Reclamo 5.1.3 Ricezione del reclamo ed Analisi
DettagliREGOLAMENTO RELATIVO ALL ACCESSO MEDIANTE VPN AI CENTRI SERVIZI DI INNOVAPUGLIA
Pagina: 1 di 7 ALL ACCESSO MEDIANTE VPN AI CENTRI SERVIZI DI INNOVAPUGLIA Copia a distribuzione controllata n.ro. Distribuita a:.. Pagina: 2 di 7 Storia delle revisioni: EDIZIONI E REVISIONI Edizione e
DettagliPrivacy Policy di www.retesmash.com
Privacy Policy di www.retesmash.com Questo sito applicativo (di seguito Applicazione ) raccoglie Dati Personali. Tali Dati Personali sono raccolti per le finalità e sono trattati secondo le modalità di
DettagliTIPOLOGIE DI DATI RACCOLTI
TIPOLOGIE DI DATI RACCOLTI Fra i Dati Personali raccolti da questa Applicazione, in modo autonomo o tramite terze parti, ci sono: Cookie e Dati di utilizzo. Altri Dati Personali raccolti potrebbero essere
DettagliREGOLAMENTO D USO DEL MARCHIO NOTO Filiera Controllata e Certificata prodotti tipici della Val di Noto
Rev. 0 del 18/03/2014 Pag. 1 di 5 STATO DI REVISIONE E MODIFICHE N Data Descrizione Elaborazione 0 18/03/14 Prima emissione Responsabile Schema Verifica/ Validazione Esperto Tecnico Approvazione RD Copia
DettagliGRUPPO DASSAULT SYSTEMES POLITICA DI TUTELA DEI DATI PERSONALI RELATIVI ALLE RISORSE UMANE
GRUPPO DASSAULT SYSTEMES POLITICA DI TUTELA DEI DATI PERSONALI RELATIVI ALLE RISORSE UMANE Le seguenti disposizioni compongono la Politica di Tutela dei Dati relativi alle Risorse Umane del Gruppo Dassault
DettagliEm. 00 10.01.2010 Nuova Emissione Documento Redatto RQ Verificato Approvato PD DISTRIBUZIONE: INTERNA; PR1 - Em. 00 del 10.01.2010 Pagina 1 di 6 Sommario 1 Scopo e Campo di Applicazione... 3 2 Definizioni...
DettagliAndreani Tributi Srl. Titolare del Trattamento dei Dati. P.Iva 01412920439 Sede: Via Cluentina 33/D - 62100 Macerata
Titolare del Trattamento dei Dati Andreani Tributi Srl P.Iva 01412920439 Sede: Via Cluentina 33/D - 62100 Macerata Tipologie di Dati raccolti Fra i Dati Personali raccolti da questa Applicazione, in modo
Dettagli