REGOLAMENTO INFORMATICO INTERNO VALIDO AI SENSI DEL D.L.G. 196/03 PER FINI FORMATIVI IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

Transcript

1 REGOLAMENTO INFORMATICO INTERNO VALIDO AI SENSI DEL D.L.G. 196/03 PER FINI FORMATIVI IN MATERIA DI PROTEZIONE DEI DATI PERSONALI Utilizzo strumentazione fissa 1. II Personal Computer affidato al dipendente è uno strumento di lavoro di proprietà della Trevi Spa. Ognuno è responsabile dell'utilizzo delle dotazioni informatiche ricevute in assegnazione. Ogni utilizzo non inerente all'attività lavorativa può contribuire ad innescare disservizi, costi di manutenzione e, soprattutto, minacce alla sicurezza. 2. E' fatto divieto installare sulla strumentazione in uso, hardware fisso o removibile (ad esempio modem, masterizzatori esterni, chiavette internet, stampanti, etc ) qualora ciò non risulti espressamente richiesto ed autorizzato dalla Trevi Spa. 3. La Trevi Spa si riserva di eliminare qualsiasi elemento hardware la cui installazione non sia stata appositamente prevista o autorizzata. 4. In caso di allontanamento dalla propria postazione hardware, è fatto obbligo al dipendente di bloccare la propria postazione di lavoro (CTRL+ALT+CANC > Blocca Computer). 5. Sui PC dotati di scheda audio e/o di lettore CD non è consentito l'ascolto di programmi, files audio o musicali, se non a fini prettamente lavorativi e previo autorizzazione. 6. Qualora si rendessero necessarie modifiche alle configurazioni impostate sul PC in uso, occorre darne comunicazione e richiesta all IT Department a mezzo mail indirizzata a it.dep@trevispa.it. 7. Chiavette, modem o qualsiasi altra apparecchiatura adibita a connessioni internet di proprietà della Trevi Spa, dovranno essere utilizzati esclusivamente per svolgere attività aziendali. Utilizzo PC portatili 1. II PC portatile affidato al dipendente è uno strumento di lavoro di proprietà della Trevi Spa. Ognuno è responsabile dell'utilizzo delle dotazioni informatiche ricevute in assegnazione. Ogni utilizzo non inerente all'attività lavorativa può contribuire ad innescare disservizi, costi di manutenzione e, soprattutto, minacce alla sicurezza. 2. L'utente è responsabile del PC portatile assegnatogli da Trevi Spa e deve custodirlo con diligenza sia durante gli spostamenti sia durante l'utilizzo nel luogo di lavoro. 3. Ai PC portatili si applicano le regole di utilizzo previste per i Pc connessi in rete con particolare attenzione alla rimozione di eventuali file elaborati sullo stesso prima della riconsegna. 4. I PC portatili utilizzati all'esterno (convegni, visite in azienda, etc ), in caso di allontanamento, devono essere custoditi in un luogo protetto. 1/10

2 5. II portatile non deve essere mai lasciato incustodito e sul disco devono essere conservati solo i files strettamente necessari. 6. Nel caso di accesso alla rete aziendale tramite RAS (Remote Access Server) / Accesso Remoto: utilizzare l'accesso in forma esclusivamente personale, utilizzare la password in modo rigoroso. 7. Le credenziali di autenticazione alla rete devono essere custodite e preservate dalla diffusione a colleghi o soggetti esterni a Trevi Spa. 8. Disconnettersi dal sistema RAS al termine della sessione di lavoro. 9. Collegarsi periodicamente alla rete interna per consentire il caricamento dell'aggiornamento dell'anti virus. 10. Non utilizzare abbonamenti Internet privati per collegamenti alla rete se non autorizzati da Trevi Spa. 11. Chiavette, modem o qualsiasi altra apparecchiatura adibita a connessioni internet di proprietà della Trevi Spa, dovranno essere utilizzati esclusivamente per svolgere attività aziendali. Accesso ed uso dei sistemi 1. Non è consentita l'attivazione della password d'accensione (BIOS), senza preventiva autorizzazione da parte della Trevi Spa. 2. Il dipendente si connette alla rete tramite autenticazione univoca personale. 3. Le credenziali di autenticazione alla rete devono essere custodite e preservate dalla diffusione a colleghi o soggetti esterni a Trevi Spa. 4. In nessun caso devono essere annotate password in chiaro, sia su supporto cartaceo che informatico, e lasciate incustodite (sopra la scrivania, post-it attaccati ai monitor, etc ) 5. Il titolare della password è tenuto a non rivelare ad alcuno la password dovendosi avere la massima diligenza e preservandone la segretezza anche durante il momento della digitazione. 6. I requisiti minimi di complessità delle password sulla base della vigente normativa privacy sono: redazione con caratteri maiuscoli e/o minuscoli; composizione con inclusione di simboli, numeri, punteggiatura e lettere; caratteri non inferiori ad 8 (ad eccezione dei sistemi operativi che non supportano tali requisiti); password non agevolmente riconducibile all'identità del soggetto che la gestisce. Pertanto, la password non deve essere basata su informazioni personali, riferimenti familiari o comunque dati inerenti direttamente il soggetto titolare della password stessa. 7. Qualora l'intestatario della password ritenga che un soggetto non autorizzato possa essere venuto a conoscenza della propria password, dovrà provvedere

3 immediatamente ad informare l IT Department per l attivazione della procedura di cambio password. 8. Non debbono essere utilizzate nella configurazione delle caselle di posta elettronica le opzioni di "compilazione automatica" o remember password, presenti nei browser o in altre applicazioni. Installazione programmi 1. Sul PC in uso non devono essere installati programmi che non siano ufficialmente forniti o approvati dall azienda. 2. I membri dell IT Department possono, in qualunque momento, procedere alla rimozione di ogni file o applicazione che riterranno essere pericolosi per l Sicurezza sia sui PC degli incaricati sia sulle unità di rete. 3. La Trevi Spa, peraltro, ricorda all'utilizzatore che costituiscono illecito penale le condotte consistenti nella illecita duplicazione o riproduzione di software ai sensi della legge sul diritto d'autore n. 633/41 come novellata. Utilizzo supporti magnetici e dati 1. È fatto obbligo conservare, custodire e controllare i supporti informatici removibili contenenti dati, informazioni, notizie o immagini di attinenza aziendale, affinché nessun soggetto terzo ne prenda visione o possesso. 2. Costituisce buona regola la pulizia periodica degli archivi (sia locali che in condivisioni di rete), con cancellazione dei file obsoleti o inutili. Particolare attenzione deve essere prestata alla duplicazione dei dati. E' infatti assolutamente da evitare un'archiviazione ridondante (doppia). 3. Le gestioni locali dei dati dovranno scomparire per essere sostituite da gestioni centralizzate su server. 4. Qualsiasi file estraneo all'attività lavorativa o non espressamente autorizzato, non può, nemmeno, in via transitoria, essere salvato sul pc in uso del dipendente. 5. Tutti i files di provenienza incerta o esterna, ancorché attinenti all'attività lavorativa, devono essere sottoposti al controllo e relativa autorizzazione all'utilizzo da parte dell IT Department. Utilizzo rete interna 1. La rete interna, istituita appositamente per permettere collegamenti funzionali tra utenti che prestano servizio all'interno della struttura lavorativa, non può esser utilizzata per scopi diversi da quelli ai quali è destinata. 2. Qualora nella rete interna debbano circolare dati, notizie ed informazioni aziendali, deve essere premura di ciascun dipendente preservare gli stessi dalla

4 conoscibilità di terzi soggetti non espressamente autorizzati ad aver notizia di tali dati. 3. E' vietato connettere in rete stazioni di lavoro se non dietro esplicita e formale autorizzazione da parte dell IT Department. 4. E' vietato monitorare ciò che transita in rete. Utilizzo rete esterna Internet 1. II PC abilitato alla navigazione in Internet costituisce uno strumento aziendale necessario allo svolgimento della propria attività lavorativa. 2. E' fatto divieto all'utente lo scarico di software gratuito (freeware) e shareware prelevato da siti Internet, se non espressamente autorizzato da Trevi Spa. 3. E' fatto divieto memorizzare dalla rete documenti, file o dati comunque non attinenti lo svolgimento delle attività aziendali, in particolare: Non è consentito navigare in siti non attinenti allo svolgimento delle mansioni assegnate. Non è consentita l'effettuazione di ogni genere di transazione finanziaria ivi comprese le operazioni di remote banking, acquisti on-line e simili, salvo nei casi direttamente autorizzati dal Responsabile Amministrativo e con il rispetto delle normali procedure di acquisto. E vietata ogni forma di registrazione a siti i cui contenuti non siano legati all'attività lavorativa. Non è permessa la partecipazione, per motivi non professionali, a Forum, l'utilizzo di chat line, di bacheche elettroniche e le registrazioni in guest book, anche utilizzando pseudonimi (o nicknames), potendo esporre a rischi di sicurezza la rete aziendale; 4. Si rende nota l'attivazione di filtri idonei ad evitare navigazioni in siti non correlati all'attività lavorativa e che parimenti sono state create black-list. 5. Si rende noto che la Trevi Spa ha attivato sistemi di monitoraggio della navigazione aziendale secondo le previsioni di cui al Provvedimento del Garante in materia di trattamento dati personali, Provvedimento del 1 marzo 2007, effettuando monitoraggio generalizzato ed anonimo dei log di connessione. 6. Gli archivi di log risultanti da questo monitoraggio contengono traccia di ogni operazione di collegamento effettuata dall'interno della rete societaria verso Internet. 7. Eventuali attivazioni di controlli specifici saranno preventivamente notificate. 8. I log di connessione di cui sopra, saranno conservati per 180gg.

5 Utilizzo del fax 1. Si raccomanda di non lasciare documenti incustoditi presso le postazioni di fax all'atto dell'invio. 2. Qualora il dipendente sia prossimo a ricevere atti contenenti dati o informazioni riservate via fax, avrà cura di monitorare la postazione fax e preservare - limitatamente alle oggettive possibilità - la conoscibilità di tali dati o informazioni, da parte di terzi non autorizzati. Utilizzo posta elettronica 1. L'abilitazione alla posta elettronica deve essere preceduta da regolare richiesta del Responsabile di funzione/unità organizzativa/reparto. 2. Le caselle di posta elettronica date in uso al dipendente sono destinate ad un utilizzo di tipo aziendale. Si rappresenta che: non è consentito inviare o memorizzare messaggi (interni ed esterni) di natura oltraggiosa e/o discriminatoria per sesso, lingua, religione, razza, origine etnica, opinione e appartenenza sindacale e/o politica, o che costituiscano comunque condotta illecita. Non è consentito l'utilizzo dell'indirizzo di posta elettronica aziendale per la partecipazione a dibattiti, Forum, newsletter o mail-list, non attinenti l'attività lavorativa. 3. Nel caso si ricevessero messaggi da mittenti sconosciuti o messaggi insoliti, per non correre il rischio di essere infettati da virus, cancellare tali messaggi senza aprirli. 4. Nel caso si ricevessero messaggi provenienti da mittenti conosciuti ma che contengono allegati sospetti (file con estensione.exe.scr.pif.bat.cmd), questi ultimi non devono essere aperti e deve essere contattato un addetto dell IT Department. 5. Evitare che la diffusione incontrollata di "Catene di Sant'Antonio" (messaggi a diffusione capillare e moltiplicata) limiti l'efficienza del sistema di posta. 6. Utilizzare, nel caso di invio di allegati pesanti, i formati compressi (*.zip *.rar *.jpg) e che, preferibilmente, non devono superare i 5MB. 7. Nel caso in cui si debba inviare un documento all'esterno dell'azienda è preferibile utilizzare un formato protetto da scrittura (ad esempio il formato Acrobat *.pdf). 8. La casella di posta deve essere mantenuta in ordine, cancellando documenti inutili e soprattutto allegati ingombranti. 9. In caso di assenza, al dipendente sono posti a disposizione apposite funzioni di sistema che consentano di inviare automaticamente messaggi di risposta.

6 10. E' fatto divieto di divulgare le notizie, i dati e qualsiasi altra informazione appresa in occasione della ricezione o invio di posta elettronica, in quanto coperte dal segreto professionale cui sono tenuti i dipendenti in ottemperanza agli obblighi di fedeltà e correttezza. 11. Inoltre, la Trevi Spa comunica che in caso di assenza per qualsiasi motivo dell utilizzatore, qualora si renda necessario, un delegato dall Azienda potrà accedere alla posta elettronica dell utente al fine di non interrompere né rallentare le attività o semplicemente al fine di prendere visione dello storico delle comunicazioni di interesse aziendale. Utilizzo dei dispositivi di stampa 1. Limitare il numero di copie. 2. Incrementare la posta elettronica per la diffusione e la condivisione di documenti. 3. Prima di dare l OK per la stampa, visualizzate l anteprima del documento, per eliminare eventuali errori che comporterebbero una ristampa dello stesso. 4. Evitare di stampare documenti che possono essere consultati semplicemente a video. 5. Adottare la modalità di stampa, o copia, fronte/retro ove i dispositivi lo permettano. 6. Riutilizzare le stampe di lavoro già stampate su un lato per appunti, annotazioni e bozze. 7. Acquistare apparecchiature che garantiscano la riproduzione fronte/retro e l uso della carta riciclata. 8. Dove possibile, predisporre cestini per la raccolta differenziata vicino le aree di stampa. 9. Assicurarsi e monitorare che la ditta di pulizie esegua correttamente la raccolta differenziata. Protezione antivirus 1. Ogni utente deve tenere comportamenti tali da ridurre il rischio di attacco al sistema informatico aziendale mediante virus o mediante ogni altro software aggressivo (ad esempio non aprire mail o relativi allegati sospetti, non navigare su siti non professionali ecc..) 2. Ogni utente è tenuto a controllare la presenza e il regolare funzionamento del software antivirus aziendale. 3. Nel caso che il software antivirus rilevi la presenza di un virus che non è riuscito a ripulire, l'utente dovrà immediatamente: sospendere ogni elaborazione in corso senza spegnere il computer e segnalando l'accaduto al personale dell IT Department

7 4. Ogni dispositivo magnetico di provenienza esterna all'azienda dovrà essere verificato mediante il programma antivirus prima del suo utilizzo e, nel caso venga rilevato un virus non eliminabile dal software, non dovrà essere utilizzato. Gestione, conservazione e controllo dei dati informatici 1. È fatto divieto applicare sistemi di crittografia, codificazione e simili ai dati se non espressamente richiesto dalla Trevi Spa secondo la tipologia di dato o documento. Gestione risoluzione problematiche 1. L HelpDesk è di fatto a disposizione di qualsiasi utente per la risoluzione delle problematiche, tecniche sia a carattere globale (server) che a carattere specifico (client), ed è reperibile e disponibile durante gli orari aziendali. 2. Le segnalazioni di eventuali problematiche specifiche, cioè quelle che interessano un singolo utente, dovranno essere inviate via mail all indirizzo it.dep@trevispa.it e dovranno riportare eventuali codici/messaggi di errore i più specifici possibile. La comunicazione telefonica o verbale con l Help Desk dovrà avvenire esclusivamente in caso di malfunzionamenti che bloccano totalmente l attività o in cui il servizio mail non fosse disponibile. 3. L Help Desk prenderà in carico le varie segnalazioni attribuendo una priorità in base alla problematica segnalata dall utenza. I tempi di evasione e risoluzione della problematica variano in base alla gravità del problema. 4. Nel caso in cui alcune problematiche tecniche coinvolgessero interi reparti o filiali, è buona cosa accentrare la richiesta d assistenza, incaricando una singola persona di contattare l Help Desk secondo le modalità sopradescritte. 5. L IT Department ha l obbligo di comunicare tempestivamente eventuali attività di manutenzione a carattere globale (server) o specifico (client) tramite mail e sempre in accordo con le attività e i tempi dell azienda. 6. Durante i tempi di manutenzione, sia globale che specifica, è severamente vietato all utenza accedere a server e applicazioni fino a comunicazione scritta o verbale da parte del reparto IT Department. Segreto professionale 1. Il dipendente non può divulgare, pubblicare o comunicare in alcun modo a terzi, direttamente o indirettamente, in toto o in parte, le informazioni apprese in occasione dello svolgimento delle mansioni per le quali è stato assunto dalla Trevi Spa, né potrà usarle, sfruttarle o disporne in proprio o tramite terzi. 2. Gli obblighi del dipendente previsti in questo campo non termineranno all'atto di cessazione del rapporto di lavoro, se non in riferimento a quelle specifiche parti

8 delle informazioni che il dipendente possa dimostrare che erano già di pubblico dominio al momento della conclusione del rapporto, o che lo sono diventate in seguito per fatto a lui non imputabile. ** DA VERIFICARE IN FUNZIONE AL TIPO DI CONTRATTO D ASSUNZIONE. Riservatezza dati 1. Premesso che per «Informazioni Riservate» si intendono tutte le informazioni di qualsivoglia natura riferite o apprese in occasione dello svolgimento di mansioni per le quali il soggetto è stato assunto dalla Trevi Spa, il dipendente si impegna a considerare le Informazioni Riservate come strettamente private e riservate e ad adottare tutte le misure necessarie per non pregiudicare la riservatezza di tali informazioni. 2. Il dipendente si impegna ad utilizzare le Informazioni Riservate unicamente allo scopo di effettuare lo svolgimento dell'attività cui è preposto e di conseguenza a non usare tali informazioni in alcun modo che arrechi danno alla Trevi Spa, né per alcun altro scopo di qualsiasi natura. 3. Gli impegni di cui al presente capo non proibiscono di comunicare Informazioni Riservate: ad amministratori e dipendenti, anche di Aziende nostre controllate, avvocati, revisori, banche o altri nostri consulenti ai quali la conoscenza di tali Informazioni è necessaria al fine dell'espletamento di attività funzionali alla società. a soggetti diversi da quelli specificati al punto precedente, qualora ciò sia stato autorizzato dalla Trevi Spa. 4. L'obbligo di riservatezza non opera in caso di Informazioni Riservate: Che al momento in cui vengono rese note siano di pubblico dominio. Che diventino di pubblico dominio dopo essere state rese note per causa non imputabile al dipendente. 5. L'impegno di riservatezza di cui al presente capo si protrarrà anche dopo la cessazione del rapporto di lavoro e sino a quando le informazioni in oggetto non saranno rese di pubblico dominio. Applicazione ed interpretazione del presente regolamento 1. Per qualsiasi dubbio relativo all'applicazione pratica o all'interpretazione del presente regolamento, il dipendente può rivolgersi all IT Department.

9 Disciplina deroghe e modifiche del presente regolamento 1. Qualora al presente regolamento la Trevi Spa intenda apporre modifiche, queste saranno applicate dandone conoscenza immediata al dipendente. 2. Deroghe o modifiche di uno o più punti del presente regolamento, non rendono invalidi gli altri punti, salvo ipotesi di evidente incompatibilità, per cui prevarrà l applicazione della clausola temporalmente più recente. Aggiornamento e Revisione 1. Tutti gli utenti possono proporre, quando ritenuto necessario, integrazioni al presente regolamento tramite comunicazione a it.dep@trevispa.it 2. Il presente Regolamento è soggetto a revisione periodica. Responsabilità Poiché in caso di violazioni contrattuali e giuridiche, sia la Trevi Spa, sia il singolo utente sono potenzialmente perseguibili con sanzioni, anche di natura penale, la Trevi Spa verificherà, nei limiti consentiti dalle norme legali e contrattuali (tramite controlli di tipo difensivo che derivano, in specie, dal diritto, riconosciuto al datore di lavoro dall art del C.C., di impartire disposizioni per l esecuzione e la disciplina del lavoro), il rispetto delle regole e l integrità del proprio sistema informatico. La non osservanza del presente regolamento può pertanto comportare sanzioni di carattere disciplinare. PROVVEDIMENTI DISCIPLINARI I provvedimenti disciplinari sono: a) il rimprovero verbale; b) il biasimo scritto; c) la sospensione dal servizio e dallo stipendio fino ad un massimo di giorni 10; d) Il licenziamento; A norma dell art. 7 della Legge 20 maggio 1970, n. 300, il datore di lavoro non può adottare alcun provvedimento disciplinare senza aver preventivamente contestato l addebito al lavoratore, assegnandogli un termine, non inferiore a 5 giorni lavorativi, per presentare le sue controdeduzioni. I provvedimenti disciplinari di cui al punto a) e

10 b) dovranno essere applicati in ordine successivo; il provvedimento disciplinare di cui al punto c) dovrà essere applicato in relazione alla gravità o recidività dell infrazione. Trevi Spa Amministratore Delegato Elisa Gasparato Responsabile IT Department David Pesce Villorba 10 febbraio 2012 Revisioni e aggiornamenti: 03 Aprile 2012 Inserimento paragrafo Utilizzo dei dispositivi di stampa