P&S s.r.l. - Payroll Services Strada 1 Palazzo F3 - Milanofiori Assago (MI) Tel: P.IVA

Transcript

1 Regi s t r o dei t r at t am ent i Ultima modifica 23/05/2018 REGISTRO DEI TRATTAMENTI Cod.Doc P&S s.r.l. - Payroll Services Strada 1 Palazzo F3 - Milanofiori Assago (MI) Tel: P.IVA REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO CONTO TERZI Organigramma dei trattamenti conto terzi Elenco dei trattamenti conto terzi affidati ad enti esterni Elenco delle misure di sicurezza per ogni trattamento conto terzi Elenco dei Trattamenti e dei Soggetti Interessati Elenco dei trattamenti affidati ad enti esterni. Descrizione generale delle misure di sicurezza tecniche ed organizzative di cui all'art. 32, paragrafo 1 del Regolamento Europeo, finalizzate al registro dei trattamenti. Stampato il 23/05/2018 1

2 El enco dei t r at t am ent i Ultima modifica 23/05/2018 ELENCO DEI TRATTAMENTI Cod.Doc P&S s.r.l. - Payroll Services Strada 1 Palazzo F3 - Milanofiori Assago (MI) Tel: P.IVA ELENCO DEI TRATTAMENTI CONTO TERZI E DEI SOGGETTI INTERESSATI Descrizione dei dati personali trattati, suddivisi per trattamenti ed unità di archiviazione, ed organigramma della distribuzione dei compiti e delle responsabilità per il trattamento e la gestione dei dati. La descrizione dettagliata delle aree di competenza, dei compiti e delle istruzioni affidati ai singoli soggetti è reperibile consultando la corrispondente nomina a responsabile od ad incaricato. Titolare del trattamento : P&S s.r.l. - Payroll Services nella persona del suo legale rappresentante pro tempore Responsabile della protezione dei dati (DPO) art. 37 Reg.to UE 2016/679 : Pierantonio Perotti Sedi interessate ai trattamenti dei dati personali. Sede Principale Azienda Indirizzo: Responsabili: Strada 1 Palazzo F3 - Milanofiori, Assago (MI); info@payroll.it; telefono: ; P.Iva: Responsabile della sicurezza: Fabrizio Vecchio Sono sotto riportati gli uffici od i locali della sede interessati al trattamento od alla conservazione dei dati personali. Archivio Archivio storico Sala server Ufficio Service Il locale è dedicato alla conservazione della documentazione cartacea comprendente i fascicoli del personale dipendente L'ufficio è dedicato alla conservazione della documentazione relativa al personale dipendente delle aziende clienti Il locale è dedicato ad ospitare la struttura informatica aziendale e si trova all'interno della sede principale L'ufficio si occupa di tutte le attività di amministrazione del personale per conto delle aziende Stampato il 23/05/2018 2

3 Ultima modifica 23/05/2018 ELENCO DEI TRATTAMENTI Cod.Doc Elenco Trattamenti Application management piattaforma Zuccheti HR Infinity e consulenza in materia di amministrazione del personale con relativa elaborazione dei cedolini busta paga Il trattamento consiste in: - attività di consulenza del Lavoro e in materia di amministrazione del personale con relativa elaborazione dei cedolini busta paga e tutti gli adempimenti di Legge inerenti; - nella fornitura in outsourcing della piattaforma Zucchetti HR Infinity con relativa customizzazione delle esigenze delle aziende clienti e adeguamento agli aggiornamenti normativi; - gestione e manutenzione delle interfacce realizzate per gli applicativi interni del Titolare; Il data base contenuto nella piattaforma Zucchetti HR Infinity è conservato presso le server farm di Google ubicate in west Europe, delle quali sono state verificate le SLA relative alle misure di sicurezza applicate dal Provider. Zucchetti S.p.a. e la relativa rete di distributori non ha la possibilità di accedere ai dati personali in maniera continuativa, esclusivamente in caso di operazioni di manutenzione straordinaria nella correzione di difetti dell'applicativo, i tecnici autorizzati possono accedere ai data base su stretta vigilanza degli addetti di P&S S.r.l.; l'accesso avviene con sistemi remotizzazione con immissione di credenziale autorizzativa. I dati sono accessibili anche da Consulenti del lavoro che prestano la loro consulenza in veste di Liberi Professionisti. Dati Comuni trattati : Dati Particolari trattati: codice fiscale ed altri numeri di identificazione personale nominativo, indirizzo o altri elementi di identificazione personale dati relativi alla famiglia e a situazioni personali dati sul comportamento dati relativi al tipo di lavoro ed alla retribuzione Codice IBAN Idoneità alla mansione Capacità di solvibilità dei debiti e/o affidabilità creditizia Provvedimenti disciplinari Dati relativi a trasferte aziendali Dati relativi alla valutazione della risorsa Materiale audiovisivo e fotografico adesione a sindacati stato di salute Agevolazioni derivanti dall'applicazione della Legge 104/92 Assunzioni mediante applicazione Legge 68/99 Unità di archiviazione del trattamento 1 - Archivio cartaceo ufficio service (sede: Sede principale azienda) Descrizione archivio: Tipo di archivio: Ufficio: L'archivio contiene documentazione recente relativa al personale dipendente delle aziende clienti, all'interno si possono trovare: cedolini buste paga, contratti di assunzione, lettere di passaggio, copie dei giustificativi, ecc. Archivio cartaceo Ufficio Service 2 - Archivio storico gestione in outsourcing (sede: Sede principale azienda) Descrizione archivio: Tipo di archivio: Ufficio: L'archivio contiene documentazione storica relativa al personale dipendente delle aziende clienti, all'interno si possono trovare: cedolini buste paga, contratti di assunzione, lettere di passaggio, copie dei giustificativi, ecc Archivio cartaceo Archivio storico Stampato il 23/05/2018 3

4 Ultima modifica 23/05/2018 ELENCO DEI TRATTAMENTI Cod.Doc Server farm Google Ireland Limited Descrizione archivio: Tipo di archivio: L'archivio contiene tutti i data base relativi alla gestione in outsourcing del personale dipendente delle aziende clienti, fornita mediante la piattaforma Zucchetti HR Infinity Archivio in Cloud 4 - Server farm Microsoft Azure Descrizione archivio: Tipo di archivio: L'archivio contiene tutto il data base della posta elettronica aziendale e del file server sottoposto a policy di autorizzazione relative alle varie funzioni aziendali. All'interno è archiviata varia documentazione prodotta con strumenti Office necessaria allo svolgimento delle attività aziendali. Archivio in Cloud Attività di assistenza in materia di erogazione dei servizi di welfare aziendali La banca dati contiene informazioni relative al personale dipendente e personale parasubordinato delle aziende clienti che intendono accedere ai servizi di welfare aziendale. Le informazioni raccolte vengono comunicate a Società esterne indicate dalle aziende clienti per l'esecuzione dei servizi sopraindicati. I dati trattati si limitano ai dati anagrafici e identificativi Dati Comuni trattati : codice fiscale ed altri numeri di identificazione personale nominativo, indirizzo o altri elementi di identificazione personale Unità di archiviazione del trattamento 1 - Server farm Google Ireland Limited Descrizione archivio: Tipo di archivio: L'archivio contiene tutti i data base relativi alla gestione in outsourcing del personale dipendente delle aziende clienti, fornita mediante la piattaforma Zucchetti HR Infinity Archivio in Cloud 2 - Server farm Microsoft Azure Descrizione archivio: Tipo di archivio: L'archivio contiene tutto il data base della posta elettronica aziendale e del file server sottoposto a policy di autorizzazione relative alle varie funzioni aziendali. All'interno è archiviata varia documentazione prodotta con strumenti Office necessaria allo svolgimento delle attività aziendali. Archivio in Cloud Stampato il 23/05/2018 4

5 Ultima modifica 23/05/2018 ELENCO DEI TRATTAMENTI Cod.Doc Categorie di soggetti interessate al trattamento Riportiamo ora in maggior dettaglio i trattamenti effettuati, distinguendo a quali soggetti interessati appartengono i dati oggetto di trattamento. Ulteriori informazioni a riguardo possono essere trovate, se previste, nelle relative informative. fornitori esterni che erogano servizi di varia natura Trattamenti coinvolti : Dati trattati : Tipologie di trattamento dei dati : Tempo di conservazione dei dati : I dati potranno essere trasferiti in : Application management piattaforma Zuccheti HR Infinity e consulenza in materia di amministrazione del personale con relativa elaborazione dei cedolini busta paga nominativo, indirizzo o altri elementi di identificazione personale. a mezzo calcolatori elettronici con utilizzo di sistemi software gestiti da Terzi. stabilito per un arco di tempo non superiore al conseguimento delle finalità per le quali sono raccolti e trattati e nel rispetto dei tempi obbligatori prescritti dalla legge. paesi UE. personale dipendente, personale parasubordinato e lavoratori interinali delle aziende clienti Trattamenti coinvolti : Dati trattati : Tipologie di trattamento dei dati : Tempo di conservazione dei dati : Application management piattaforma Zuccheti HR Infinity e consulenza in materia di amministrazione del personale con relativa elaborazione dei cedolini busta paga Attività di assistenza in materia di erogazione dei servizi di welfare aziendali adesione a sindacati; Agevolazioni derivanti dall'applicazione della Legge 104/92; Assunzioni mediante applicazione Legge 68/99; Capacità di solvibilità dei debiti e/o affidabilità creditizia; codice fiscale ed altri numeri di identificazione personale; Codice IBAN; Dati relativi a trasferte aziendali; dati relativi al tipo di lavoro ed alla retribuzione; dati relativi alla famiglia e a situazioni personali; Dati relativi alla valutazione della risorsa; dati sul comportamento; Idoneità alla mansione; Materiale audiovisivo e fotografico; nominativo, indirizzo o altri elementi di identificazione personale; Provvedimenti disciplinari; stato di salute. trattamento manuale a mezzo di archivi cartacei; trattamento mediante piattaforma Zucchetti HR Infinity usufruibile in modalità cloud e residente presso i data center di Google ubicati in U.E. i dati verranno conservati per i periodi obbligatori stabiliti dalla Legge al termine di un eventuale interruzione del rapporto contrattuale; stabilito per un arco di tempo non superiore al conseguimento delle finalità per le quali sono raccolti e trattati e nel rispetto dei tempi obbligatori prescritti dalla legge. Stampato il 23/05/2018 5

6 Ultima modifica 23/05/2018 ELENCO DEI TRATTAMENTI Cod.Doc I dati potranno essere comunicati a : I dati potranno essere trasferiti in : Società che erogano servizi di welfare aziendale; tecnici autorizzati di Zucchetti S.p.a. per operazioni di manutenzione straordinaria; consulenti e liberi professionisti, anche in forma associata; nell'ambito di soggetti pubblici e/o privati per i quali la comunicazione dei dati è obbligatoria o necessaria in adempimento ad obblighi di legge o sia comunque funzionale all'amministrazione del rapporto. paesi UE. Stampato il 23/05/2018 6

7 El enco dei Res pons abi l i Es t er ni Ultima modifica 23/05/2018 ELENCO DEI RESPONSABILI ESTERNI Cod.Doc P&S s.r.l. - Payroll Services Strada 1 Palazzo F3 - Milanofiori Assago (MI) Tel: P.IVA ELENCO DEI RESPONSABILI ESTERNI PER TRATTAMENTI CONTO TERZI Google Ireland Limited Gordon House Barrow Street Dublin, 4 Ireland P.iva IE V I dati affidati all'esterno fanno riferimento ai seguenti trattamenti conto terzi: Application management piattaforma Zuccheti HR Infinity e consulenza in materia di amministrazione del personale con relativa elaborazione dei cedolini busta paga Finalità del Trattamento: Erogazione del servizio di hosting relativo alla piattaforma Zucchetti HR Infinity. Le banche dati sono ubicate esclusivamente presso server farm in West Europe. Google Ireland Limited è un soggetto certificato secondo la norme ISO/IEC 27001, ISO IEC 27017, ISO/IEC Google ha sviluppato i framework di controllo SOC 2 (Service Organization Controls) e SOC 3 dell'american Institute of Certified Public Accountants (AICPA) che definiscono i criteri e i principi di attendibilità per la sicurezza, la disponibilità, l'integrità del trattamento e la riservatezza dei dati. Google aderisce all accordo UE-US Privacy Shield per il trasferimento di dati personali di Cittadini Europei negli Stati Uniti d Amenrica. L'affidatario è responsabile alla gestione ordinaria delle seguenti unità di archiviazione elettroniche: Server farm Google Ireland Limited Criterio adottato per garantire il rispetto delle misure di sicurezza: La nomina dell'affidatario a Responsabile del trattamento. Studio Amarelli & Partners Quinzan Via Mulini, 9/A Salò (BS) Partita IVA I dati affidati all'esterno fanno riferimento ai seguenti trattamenti conto terzi: Application management piattaforma Zuccheti HR Infinity e consulenza in materia di amministrazione del personale con relativa elaborazione dei cedolini busta paga Finalità del Trattamento: Stampato il 23/05/2018 7

8 Ultima modifica 23/05/2018 ELENCO DEI RESPONSABILI ESTERNI Cod.Doc Consulenza e supporto in materia di amministrazione del personale e consulenza del lavoro relativamente al personale dipendente delle aziende clienti e al personale di P&S S.r.l.. Durante le attività il Responsabile può accedere a dati personali e particolari come definiti dagli Artt. 4,9 del GDPR. relativi al personale dipendente. Criterio adottato per garantire il rispetto delle misure di sicurezza: La nomina dell'affidatario a Responsabile del trattamento. Double You S.r.l. Via Enrico Caviglia, 11, Milano MI CF e PIVA I dati affidati all'esterno fanno riferimento ai seguenti trattamenti conto terzi: Attività di assistenza in materia di erogazione dei servizi di welfare aziendali Finalità del Trattamento: Erogazione dei servizi di welfare aziendale per il personale dipendente delle aziende clienti e per il personale dipendente di P&S Srl. Il Responsabile durante le attività potrà avere accesso ai dati comuni identificativi dei soggetti interessati. Criterio adottato per garantire il rispetto delle misure di sicurezza: La nomina dell'affidatario a Responsabile del trattamento. Stampato il 23/05/2018 8

9 El enc o del l e m i s ur e di s i c ur ez z a Ultima modifica 23/05/2018 ELENCO DELLE MISURE DI SICUREZZA Cod.Doc P&S s.r.l. - Payroll Services Strada 1 Palazzo F3 - Milanofiori Assago (MI) Tel: P.IVA ELENCO DELLE MISURE DI SICUREZZA ADOTTATE PER TRATTAMENTI CONTO TERZI Sono sotto riportate le misure di sicurezza implementate ai sensi dell'art.32 del Reg.to UE 2016/679. Misure di sicurezza adottate a livello logico ed organizzativo Redazione di un piano di formazione per gli addetti Verifica periodica dell'ambito dei trattamenti e dei profili di autorizzazione. Verifica dei Back-up. Consegna istruzioni dettagliate agli addetti. E' previsto un piano di formazione degli addetti, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevedere eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure adottate. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento dei dati personali. Periodicamente, con cadenza almeno annuale, sono aggiornati gli ambiti del trattamento consentito agli addetti ed ai responsabili della gestione o manutenzione dei sistemi elettronici. E' stato predisposto un piano di verifica periodica del corretto funzionamento delle copie di Back-Up. Ad ogni addetto sono state consegnate istruzioni dettagliate e complete riguardanti il trattamento dei dati personali, a seconda dei suoi compiti e dei dati trattati. Istruzioni per la segretezza del sistema di autenticazione e la custodia dei dispositivi personali. Istruzioni per assicurare la segretezza della componente riservata della credenziale (es. password) e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato. Istruzioni sulla custodia degli strumenti elettronici durante le sessioni di trattamento. Sono impartite istruzioni agli incaricati per non lasciare incostudito e accessibile lo strumento elettronico durante una sessione di trattamento. Istruzioni per i supporti removibili in caso di dati sensibili o giudiziari. In caso di dati sensibili o giudiziari, sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti. Istruzioni scritte finalizzate al controllo ed alla custodia dei documenti cartacei. Gli incaricati hanno ricevuto istruzioni scritte sul comportamento da tenere per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento. Stampato il 23/05/2018 9

10 Ultima modifica 23/05/2018 ELENCO DELLE MISURE DI SICUREZZA Cod.Doc Procedure per ripristino dei dati. Distruzione dei supporti removibili. Redazione del Registro dei Trattamenti sia in qualità di Titolare sia se necessario in qualità di Responsabile Redazione documento Privacy by Design e By Default Nomina del DPO Procedure Gestione Data Breach Implementazione Procedura di Nomina a Responsabile del trattamento Implementazione procedura di verifica per i Responsabile del trattamento Sono state adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori ai 7 giorni. Nel caso di dati particolari o giudiziari, i supporti rimuovibili che contengono tali dati se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere usati da personale non autorizzato solo dopo che i dati in essi contenuti sono resi non intelleggibili e tecnicamente in alcun modo recuperabili. Il Registro dei Trattamenti e documento cogente e contiene la lista dei trattamenti effettuati eventuali comunicazioni degli stessi all'esterno e relative misure di sicurezza attuate. Redazione Piano di Privacy by Design e By Default per documentare per tutti i trattamenti l'attuazione delle necessarie misure di sicurezza ex. Art. 32 in grado di garantire un rischio residuale basso Nomina del Data Protection Officer Redazione ed Implementazione Procedure strutturale ed organizzative per la gestione di eventuali Data Breach Implementazione Procedura di Nomina a Responsabile del trattamento per tutte le strutture esterne che trattano dati per conto del Titolare Implementazione procedura di verifica affinché i trattamenti effettuati da esterni abbiano adeguate garanzie di rischio residuale basso Stampato il 23/05/

11 Ultima modifica 23/05/2018 ELENCO DELLE MISURE DI SICUREZZA Cod.Doc Misure di sicurezza adottate per trattamento Application management piattaforma Zuccheti HR Infinity e consulenza in materia di amministrazione del personale con relativa elaborazione dei cedolini busta paga Il trattamento consiste in: - attività di consulenza del Lavoro e in materia di amministrazione del personale con relativa elaborazione dei cedolini busta paga e tutti gli adempimenti di Legge inerenti; - nella fornitura in outsourcing della piattaforma Zucchetti HR Infinity con relativa customizzazione delle esigenze delle aziende clienti e adeguamento agli aggiornamenti normativi; - gestione e manutenzione delle interfacce realizzate per gli applicativi interni del Titolare; Il data base contenuto nella piattaforma Zucchetti HR Infinity è conservato presso le server farm di Google ubicate in west Europe, delle quali sono state verificate le SLA relative alle misure di sicurezza applicate dal Provider. Zucchetti S.p.a. e la relativa rete di distributori non ha la possibilità di accedere ai dati personali in maniera continuativa, esclusivamente in caso di operazioni di manutenzione straordinaria nella correzione di difetti dell'applicativo, i tecnici autorizzati possono accedere ai data base su stretta vigilanza degli addetti di P&S S.r.l.; l'accesso avviene con sistemi remotizzazione con immissione di credenziale autorizzativa. I dati sono accessibili anche da Consulenti del lavoro che prestano la loro consulenza in veste di Liberi Professionisti. Dati Comuni trattati : Dati Particolari trattati: Unità di archiviazione utilizzate per il trattamento codice fiscale ed altri numeri di identificazione personale nominativo, indirizzo o altri elementi di identificazione personale dati relativi alla famiglia e a situazioni personali dati sul comportamento dati relativi al tipo di lavoro ed alla retribuzione Codice IBAN Idoneità alla mansione Capacità di solvibilità dei debiti e/o affidabilità creditizia Provvedimenti disciplinari Dati relativi a trasferte aziendali Dati relativi alla valutazione della risorsa Materiale audiovisivo e fotografico adesione a sindacati stato di salute Agevolazioni derivanti dall'applicazione della Legge 104/92 Assunzioni mediante applicazione Legge 68/99 Archivio cartaceo ufficio service (sede: Sede principale azienda) Archivio storico gestione in outsourcing (sede: Sede principale azienda) Server farm Google Ireland Limited (sede: ) Server farm Microsoft Azure (sede: ) Misure Adottate Contratto con Agenzia di Sorveglianza Copertura Assicurativa Installazione impianto Videosorveglianza Installazione Allarme Dotazione serrature ufficio. Estintori Contratto con Agenzia di Sorveglianza Stipula adeguata copertura assicurativa per eventi inerenti ai trattamenti dati relativi al GDPR Installazione impianto Videosorveglianza Installazione Allarme Se sono presenti dati particolari o giudiziari in archivi cartacei, è consigliata una chiusura a chiave o dell'ufficio o dell'archivio. Installazione Estintori e verifica periodica degli stessi. Stampato il 23/05/

12 Ultima modifica 23/05/2018 ELENCO DELLE MISURE DI SICUREZZA Cod.Doc Custodia in classificatori o armadi non accessibili. Dotazione serrature archivio. Archivio ad accesso controllato. Controllo dei documenti con dati particolari o giudiziari da parte degli addetti. Credenziali di autentificazione, assegnate individualmente ad ogni addetto. Cifratura dei dati memorizzati. Cifratura dei dati trasmessi. I dati cartacei sono archiviati in modo da permettere l'accesso esclusivamente agli addetti al trattamento degli stessi e di non essere accessibili a persone non autorizzate. Se sono presenti dati particolari o giudiziari in archivi cartacei, è consigliata una chiusura a chiave o dell'ufficio o dell'archivio. L'accesso all'archivio è controllato dagli incaricati al trattamento o dalla sorveglianza. Dopo l'orario di chiusura possono accedere all'archivio solo le persone preventivamente autorizzate od identificate e registrate. Quando i documenti contenenti dati particolari o giudiziari sono affidati agli addetti del trattamento, sono controllati e custoditi dagli stessi fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. Il trattamento dei dati è consentito solo dopo il superamento di una procedura di autentificazione univocamente associata all'addetto e relativa ad uno specifico trattamento o ad un insieme di trattamenti. Inoltre il codice di identificazione, quando utilizzato, non viene mai assegnato ad altri addetti, nemmeno in tempi diversi. Autenticazione mediante user-id e password. Parola chiave di almeno 8 caratteri. Le parole chiave sono di 8 caratteri od il massimo consentito dal sistema, non devono essere riconducibili all'incaricato e vengono modificate almeno ogni 3 mesi (6 se vi sono solo dati comuni). Disattivazione delle vecchie credenziali. Le credenziali di identificazione sono disattivate se non vengono usate da almeno sei mesi (salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica), oppure non appena l'incaricato perde la qualità di accedere ai dati personali. Disposizioni scritte per la disponibilità dei dati. Quando l'accesso ai dati è consentito solo mediante l'uso della componente riservata della credenziale, sono impartite idonee e preventive disposizioni scritte volte ad individuare chiaramente le modalità con il quale si può assicurare la disponibilità dei dati in caso di prolungata assenza o impedimento dell'incaricato. I dati salvati su sistemi di archiviazione digitale vengono cifrati attraverso sistemi di protezione in ssl, PGP, o altri sistemi di cifratura proprietari Quando vengono trasmessi da un sistema digitale ad un altro i dati prima della trasmissione vengono cifrati co sistemi di protezione come SSL, PGP, ZIP con password o altri Sistemi proprietari. Gli enti sanitari e gli operatori in ambito sanitario hanno l'obbligo di trasmettere i dati sensibili sulla salute utilizzando sistemi di cifratura Stampato il 23/05/

13 Ultima modifica 23/05/2018 ELENCO DELLE MISURE DI SICUREZZA Cod.Doc Profili di autorizzazione di ambito diverso per diversi incaricati. Sono stati adottati adeguati criteri tra cui l'eventuale nomina a Responsabile per garantire che la struttura esterna presso cui l'unità di archiviazione risiede abbia adeguate contromisure che garantiscano un rischio residuale basso. Nel caso in cui gli incaricati possano accedere solo a certi tipi di dato, od effettuare solo alcuni trattamenti, i profili di autorizzazione devono essere diversificati per ciascun incaricato. E' utilizzato un sistema di autorizzazione. Sono definiti od utilizzati procedure e strumenti ache abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione. I profili di autorizzazione vengono specificati prima di ogni trattamento. A ciascun incaricato viene assegnato il proprio profilo di autorizzazione prima dell'inizio del trattamento. Verifica periodica del profilo di autorizzazione. Periodicamente, ed almeno annualmente, sono verificati i profili di autorizzazione. Nel caso di archivio gestito in modalità ISP, è necessario che il gestore dell'archivio attui adeguate misure di sicurezza in modo da garantire rischi residuali bassi sui trattamenti. Vedere la sezione sul Registro dei Trattamenti per ulteriori informazione nel caso di dati affidati all'esterno. Verifica e registrazione degli accessi dell'amministratore di sistema se questo è nominato direttamente dall'azienda Certificazione secondo la norma ISO/IEC 27001:2013 Sistema di endpoint protecion e sandbox Data Loss Prevention (DLP Il fornitore è certificato secondo la norma ISO 27001:2013 specifica per la sicurezza delle informazioni L'antivirus sophos e il firewall sophos UTM SG-210 sono dotati di un sistema di endpoint protection per il controllo dei dispositivi USB e di sandbox per la prevenzione di virus e criptolocker La tecnologia DLP, che offre una copertura multi-layer, dall'endpoint all'infrastruttura di rete, fino allo storage, grazie a una console di gestione centralizzata, al fine di garantire la salvaguardia di dati strutturati e non. Verifica ed eventuale nomina degli amministratori di sistema se presenti Attività di assistenza in materia di erogazione dei servizi di welfare aziendali La banca dati contiene informazioni relative al personale dipendente e personale parasubordinato delle aziende clienti che intendono accedere ai servizi di welfare aziendale. Le informazioni raccolte vengono comunicate a Società esterne indicate dalle aziende clienti per l'esecuzione dei servizi sopraindicati. I dati trattati si limitano ai dati anagrafici e identificativi Dati Comuni trattati : Unità di archiviazione utilizzate per il trattamento codice fiscale ed altri numeri di identificazione personale nominativo, indirizzo o altri elementi di identificazione personale Server farm Google Ireland Limited (sede: ) Server farm Microsoft Azure (sede: ) Misure Adottate Stampato il 23/05/

14 Ultima modifica 23/05/2018 ELENCO DELLE MISURE DI SICUREZZA Cod.Doc Credenziali di autentificazione, assegnate individualmente ad ogni addetto. Cifratura dei dati memorizzati. Cifratura dei dati trasmessi. Profili di autorizzazione di ambito diverso per diversi incaricati. Sono stati adottati adeguati criteri tra cui l'eventuale nomina a Responsabile per garantire che la struttura esterna presso cui l'unità di archiviazione risiede abbia adeguate contromisure che garantiscano un rischio residuale basso. Il trattamento dei dati è consentito solo dopo il superamento di una procedura di autentificazione univocamente associata all'addetto e relativa ad uno specifico trattamento o ad un insieme di trattamenti. Inoltre il codice di identificazione, quando utilizzato, non viene mai assegnato ad altri addetti, nemmeno in tempi diversi. Autenticazione mediante user-id e password. Parola chiave di almeno 8 caratteri. Le parole chiave sono di 8 caratteri od il massimo consentito dal sistema, non devono essere riconducibili all'incaricato e vengono modificate almeno ogni 3 mesi (6 se vi sono solo dati comuni). Disattivazione delle vecchie credenziali. Le credenziali di identificazione sono disattivate se non vengono usate da almeno sei mesi (salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica), oppure non appena l'incaricato perde la qualità di accedere ai dati personali. Disposizioni scritte per la disponibilità dei dati. Quando l'accesso ai dati è consentito solo mediante l'uso della componente riservata della credenziale, sono impartite idonee e preventive disposizioni scritte volte ad individuare chiaramente le modalità con il quale si può assicurare la disponibilità dei dati in caso di prolungata assenza o impedimento dell'incaricato. I dati salvati su sistemi di archiviazione digitale vengono cifrati attraverso sistemi di protezione in ssl, PGP, o altri sistemi di cifratura proprietari Quando vengono trasmessi da un sistema digitale ad un altro i dati prima della trasmissione vengono cifrati co sistemi di protezione come SSL, PGP, ZIP con password o altri Sistemi proprietari. Gli enti sanitari e gli operatori in ambito sanitario hanno l'obbligo di trasmettere i dati sensibili sulla salute utilizzando sistemi di cifratura Nel caso in cui gli incaricati possano accedere solo a certi tipi di dato, od effettuare solo alcuni trattamenti, i profili di autorizzazione devono essere diversificati per ciascun incaricato. E' utilizzato un sistema di autorizzazione. Sono definiti od utilizzati procedure e strumenti ache abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione. I profili di autorizzazione vengono specificati prima di ogni trattamento. A ciascun incaricato viene assegnato il proprio profilo di autorizzazione prima dell'inizio del trattamento. Verifica periodica del profilo di autorizzazione. Periodicamente, ed almeno annualmente, sono verificati i profili di autorizzazione. Nel caso di archivio gestito in modalità ISP, è necessario che il gestore dell'archivio attui adeguate misure di sicurezza in modo da garantire rischi residuali bassi sui trattamenti. Vedere la sezione sul Registro dei Trattamenti per ulteriori informazione nel caso di dati affidati all'esterno. Verifica e registrazione degli accessi dell'amministratore di sistema se questo è nominato direttamente dall'azienda Certificazione secondo la norma ISO/IEC 27001:2013 Il fornitore è certificato secondo la norma ISO 27001:2013 specifica per la sicurezza delle informazioni Stampato il 23/05/

15 Ultima modifica 23/05/2018 ELENCO DELLE MISURE DI SICUREZZA Cod.Doc Sistema di endpoint protecion e sandbox Data Loss Prevention (DLP L'antivirus sophos e il firewall sophos UTM SG-210 sono dotati di un sistema di endpoint protection per il controllo dei dispositivi USB e di sandbox per la prevenzione di virus e criptolocker La tecnologia DLP, che offre una copertura multi-layer, dall'endpoint all'infrastruttura di rete, fino allo storage, grazie a una console di gestione centralizzata, al fine di garantire la salvaguardia di dati strutturati e non. Verifica ed eventuale nomina degli amministratori di sistema se presenti Stampato il 23/05/