DOCUMENTO PROGRAMMATICO SULLA SICUREZZA INDICE DEI DOCUMENTI PRESENTI

Transcript

1 DPSS DOCUMENTO PROGRAMMATICO SULLA SICUREZZA Documento riassuntivo delle misure di sicurezza per la Privacy attuate dal Titolare, in conformità agli artt. da 33 a 36 ed all'allegato B del D.Lgs. 30 giugno 2003, n INDICE DEI DOCUMENTI PRESENTI Organigramma : elenco dei trattamenti, dei compiti e delle responsabilità della privacy. Soggetti Autorizzati : elenco del personale autorizzato ad accedere agli archivi dopo l'orario di chiusura. Analisi dei Rischi : analisi dei rischi, misure adottate epiano di miglioramento. Ripristino dei dati : piano per il ripristino dei dati in caso di danneggiamento odistruzione. Piano di Formazione :piano di formazione degli incaricati del trattamento. Trattamenti Esterni : elenco trattamenti esterni e dei criteri adottati per garantire l'adozione delle misure minime. Pag. 1 di 13

2 ORGANIGRAMMA ELENCO DEI TRATTAMENTI E DISTRIBUZIONE DEI COMPITI Descrizione dei dati personali trattati, suddivisi per banche dati ed unità di archiviazione, ed organigramma della distribuzione dei compiti e delle responsabilità per il trattamento e la gestione dei dati. La descrizione dettagliata delle aree di competenza, dei compiti e delle istruzioni affidati ai singoli soggetti è reperibile consultando la corrispondente nomina a responsabile od ad incaricato. Titolare del trattamento : nella persona di ROGLIERI Responsabile al rapporto con gli interessati (art. 13) : ROGLIERI Indirizzo: Sedi interessate ai trattamenti dei dati personali. Sede Principale Azienda Sede Principale azienda VIA VINCENZO CUOCO 4/A, BARI (BA); ilfaroinformazioni@gmail.com; telefono: Responsabili: Responsabile della sicurezza : ROGLIERI Responsabile dei sistemi di elaborazione elettronica : ROGLIERI Sono sotto riportati gli uffici od i locali della sede interessati al trattamento od alla conservazione dei dati personali. Ufficio Amministrativo - Operativo Locale alla strada in muratura con porta in alluminio e vetro dotata di serratura, serranda elettrica dotata di serratura. Banche Dati Banca Dati : Acquisti Elenco dei soggetti nominati 'Responsabile al Trattamento' : Dati Comuni trattati : Dati Sensibili trattati : Descrizione archivio: Ufficio: Incaricati al trattamento e permessi: Incaricati alla Sorveglianza degli archivi : Gestione documenti di acquisto Codice fiscale ed altri numeri di identificazione personale Nominativo, indirizzo o altri elementi di identificazione personale Attività economiche, commerciali, finanziarie e assicurative Log File di Navigazione Internet Unita' di archiviazione della banca dati 1- Armadio (sede: Sede Principale azienda) Armadio metallico dotato di chiusura a chiave Ufficio Amministrativo -Operativo (permessi: lettura, scrittura, cancellazione, comunicazione) Pag. 2 di 13

3 ORGANIGRAMMA Banca Dati : Rapporti informativi Elenco dei soggetti nominati 'Responsabile al Trattamento' : Redazione di rapporti informativi commerciali Dati Comuni trattati : Dati Sensibili trattati : Dati che identificano l'origine nazionale Dati relativi all'affidabilità o puntualità dei pagamenti Dati Giudiziari trattati : Informazioni concernenti i provvedimenti giudiziari Codice fiscale ed altri numeri di identificazione personale Nominativo, indirizzo o altri elementi di identificazione personale Dati relativi alla famiglia e a situazioni personali Lavoro Attività economiche, commerciali, finanziarie e assicurative Beni, proprietà, possessi Dati sul comportamento Dati relativi allo svolgimento delle attività economiche dell'interessato. Unita' di archiviazione della banca dati Descrizione archivio: Ufficio: Incaricati al trattamento e permessi: Incaricati alla Sorveglianza degli archivi : Descrizione archivio: Ufficio: Incaricati al trattamento e permessi: Incaricati alla Sorveglianza degli archivi : Descrizione archivio: Ufficio: Incaricati al trattamento e permessi: Incaricati delle copie credenziali : Incaricati ai back-up : Incaricati nominati amministratori del sistema informatico: 1 - Armadio (sede: Sede Principale azienda) Armadio metallico dotato di chiusura a chiave Ufficio Amministrativo - Operativo (permessi: lettura, scrittura, cancellazione, comunicazione) 2 - Cassettiera 1 (sede: Sede Principale azienda) Cassettiera in ferro dotata di chiusura a chiave Ufficio Amministrativo - Operativo (permessi: lettura, scrittura, cancellazione, comunicazione) 3 - Dati (sede: Sede Principale azienda) Computer AMD ATHLON II X3 460, RAM 4Gb,HDD 250Gb + HDD 250Gb Ufficio Amministrativo - Operativo (permessi: lettura, scrittura, cancellazione, comunicazione) Banca Dati : Vendite Elenco dei soggetti nominati 'Responsabile al Trattamento' : Dati Comuni trattati : Gestione documenti di vendita Codice fiscale ed altri numeri di identificazione personale Nominativo, indirizzo o altri elementi di identificazione personale Unita' di archiviazione della banca dati Descrizione archivio: 1 - Armadio (sede: Sede Principale azienda) Armadio metallico dotato di chiusura a chiave Pag. 3 di 13

4 ORGANIGRAMMA Ufficio: Incaricati al trattamento e permessi: Incaricati alla Sorveglianza degli archivi : Ufficio Amministrativo -Operativo (permessi: lettura, scrittura, cancellazione, comunicazione) Categorie di soggetti interessate al trattamento Riportiamo ora in maggior dettaglio i trattamenti effettuati, distinguendo a quali soggetti interessati appartengono i dati oggetto di trattamento. Ulteriori informazioni a riguardo possono essere trovate, se previste, nelle relative informative. Categoria di soggetti interessata :Clienti Banche dati coinvolte : Dati trattati : Finalità del trattamento : Tipologie di trattamento dei dati : I dati sopra riportati potranno essere comunicati a : Vendite Codice fiscale ed altri numeri di identificazione personale Nominativo, indirizzo o altri elementi di identificazione personale Adempimenti obbligatori per legge in campo fiscale e contabile Gestione della clientela Trattamento a mezzo di calcolatori elettronici Trattamento manuale a mezzo di archivi cartacei Consulenti e liberi professionisti, anche in forma associata Categoria di soggetti interessata :Fornitori Banche dati coinvolte : Dati trattati : Finalità del trattamento : Tipologie di trattamento dei dati : I dati sopra riportati potranno essere comunicati a : Acquisti Attività economiche, commerciali, finanziarie e assicurative Codice fiscale ed altri numeri di identificazione personale Nominativo, indirizzo o altri elementi di identificazione personale Adempimenti obbligatori per legge in campo fiscale e contabile Trattamento manuale a mezzo di archivi cartacei Consulenti e liberi professionisti, anche in forma associata Categoria di soggetti interessata : Trattasi di : Amministratori, coordinatori o altre persone che ricoprono incarichi in organismi di tipo associativo; Cittadini di paesi appartenenti all'ue; Cittadini italiani; Clienti o utenti (anche potenziali); Deceduti; Imprenditori individuali; Piccoli imprenditori o liberi professionisti; Lavoratori o collaboratori; Parenti affini o conviventi; Persone fisiche; Persone giuridiche ed altri enti (comprende società di persone); Persone in cerca di occupazione Banche dati coinvolte : Dati trattati : Finalità del trattamento : Tipologie di trattamento dei dati : Rapporti informativi Attività economiche, commerciali, finanziarie e assicurative Beni, proprietà, possessi Codice fiscale ed altri numeri di identificazione personale Dati che identificano l'origine nazionale Dati relativi all'affidabilità o puntualità dei pagamenti Dati relativi alla famiglia e a situazioni personali Dati relativi allo svolgimento delle attività economiche dell'interessato. Dati sul comportamento Informazioni concernenti i provvedimenti giudiziari Lavoro Nominativo, indirizzo o altri elementi di identificazione personale Servizi finanziari Associazione o raffronto di dati anche provenienti da diverse banche dati pubbliche o private. Elaborazione di dati raccolti da terzi Raccolta di dati in luoghi pubblici o aperti al pubblico. Pag. 4 di 13

5 ORGANIGRAMMA I dati sopra riportati potranno essere comunicati a : Raccolta di dati per via informatica o telematica. Raccolta di dati presso registri, elenchi, atti o documenti pubblici. Trattamento a mezzo di calcolatori elettronici Trattamento manuale a mezzo di archivi cartacei Utilizzo dei dati solo per consultazione. Nell'ambito di soggetti pubblici e/o privati per i quali la comunicazione dei dati è obbligatoria o necessaria in adempimento ad obblighi di legge o sia comunque funzionale all'amministrazione del rapporto Enti previdenziali e assistenziali Datori di lavoro Agenzie di intermediazione Associazioni di imprenditori e di imprese Consulenti e liberi professionisti, anche in forma associata Società eimprese Banche e istituti di credito Clienti ed utenti Intermediari Pag. 5 di 13

6 ELENCO SOGGETTI Elenco dei soggetti autorizzati ad accedere agli archivi cartacei ad accesso controllato dopo l'orario di chiusura Il punto 29 dell'allegato B prevede che i soggetti che accedono ad archivi cartacei contenenti dati sensibili o giudiziari dopo l'orario di chiusura siano preventivamente autorizzati, se non è possibile controllarne l'accesso con strumenti elettronici o con incaricati alla vigilanza. Sono sotto riportati gli archivi per cui è previsto un accesso controllato dopo l'orario di chiusura e l'elenco dei soggetti autorizzati: Cassettiera 1:Cassettiera in ferro dotata di chiusura a chiave Incaricati dopo l'orario di chiusura : Pag. 6 di 13

7 ANALISI DEI RISCHI ANALISI DI RISCHIO E MISURE ADOTTATE Scopo di questo documento di delineare il quadro delle misure di sicurezza, organizzative, fisiche e logiche, adottate e da adottare per il trattamento dei dati personali effettuato da. Tipo di archivio Tipi di dati contenuti accesso non autorizzato ai dati cartacei Crollo Struttura Allagamento Incendio Furti di Dati perpetrati dall'esterno Scrittura Dati errati Distruzione omodifica volontaria dei Dati Divulgazione accidentale dei Dati Distruzione omodifica accidentale dei Dati Misure Fisiche Misure Organizzative Rischi per ogni unità di archiviazione : ARMADIO: Fattore di rischio = molto basso (3) Archivio cartaceo dati comuni Rischi presenti Livello di Copertura = medio Livello di Copertura = medio Livello di Copertura = basso Livello di Copertura = alto Misure Adottate Dotazione serrature ufficio. Estintori Custodia in classificatori o armadi non accessibili. Dotazione serrature archivio. Copia dei documenti cartacei. Archivio ad accesso controllato. Controllo dei documenti con dati sensibili o giudiziari da parte degli incaricati. Redazione di un piano di formazione per gli incaricati. Verifica periodica dell'ambito dei trattamenti e dei profili di autorizzazione. Consegna istruzioni dettagliate agli incaricati. Istruzioni scritte finalizzate al controllo ed alla custodia dei documenti cartacei. E' stato redatto e viene annualmente aggiornato il documento Programmatico sulla sicurezza. Inserimento nella relazione accompagnatoria del bilancio d'esercizio della redazione o aggiornamento del DPSS. Descrizione scritta degli interventi effettuati da terzi. Pag. 7 di 13

8 ANALISI DEI RISCHI Tipo di archivio Tipi di dati contenuti Nessuna misura prevista nel piano di miglioramento per questa unita' di archiviazione. accesso non autorizzato ai dati cartacei Crollo Struttura Allagamento Incendio Scrittura Dati errati Furti di Dati perpetrati dall'esterno Distruzione omodifica volontaria dei Dati Distruzione omodifica accidentale dei Dati Divulgazione accidentale dei Dati Misure Fisiche Misure Organizzative CASSETTIERA 1: Fattore di rischio = basso (4) Archivio cartaceo dati sensibili, dati giudiziari, dati comuni Rischi presenti Livello di Copertura = medio Livello di Copertura = basso Livello di Copertura = medio Livello di Copertura = alto Misure Adottate Dotazione serrature ufficio. Estintori Custodia in classificatori o armadi non accessibili. Dotazione serrature archivio. Copia dei documenti cartacei. Archivio ad accesso controllato. Controllo dei documenti con dati sensibili o giudiziari da parte degli incaricati. Redazione di un piano di formazione per gli incaricati. Verifica periodica dell'ambito dei trattamenti e dei profili di autorizzazione. Consegna istruzioni dettagliate agli incaricati. Istruzioni scritte finalizzate al controllo ed alla custodia dei documenti cartacei. E' stato redatto e viene annualmente aggiornato il documento Programmatico sulla sicurezza. Inserimento nella relazione accompagnatoria del bilancio d'esercizio della redazione o aggiornamento del DPSS. Descrizione scritta degli interventi effettuati da terzi. Nessuna misura prevista nel piano di miglioramento per questa unita' di archiviazione. DATI: Fattore di rischio = medio (8) Tipo di archivio Tipi di dati contenuti Guasto ai supporti di Back-up Errore di salvataggio sui supporti di Back-up Caduta Rete Locale Archivio digitale su rete pubblica dati sensibili, dati giudiziari, dati comuni Rischi presenti Rischio Residuo = medio Rischio Residuo = medio Rischio Residuo = medio Pag. 8 di 13

9 ANALISI DEI RISCHI Rottura Aria Condizionata Accesso non autorizzato ai dati digitali Danno All'infrastruttura Hardware Guasto Hardware al supporto di Back-up Allagamento Mancata erogazione elettrica Crollo Struttura Corto Circuito elettrico Furti di Dati perpetrati dall'esterno Incendio Caduta della Linea Trasmissione Dati Intasamento Linea trasmissione dati Scrittura Dati errati Distruzione omodifica accidentale dei Dati Danni ai Programmi Software Divulgazione accidentale dei Dati Interruzione temporanea all'uso dei dati Danno ai Dati Presenza di Virus Distruzione omodifica volontaria dei Dati Misure Fisiche Rischio Residuo = medio Livello di Copertura = basso Livello di Copertura = medio Livello di Copertura = basso Livello di Copertura = basso Livello di Copertura = medio Livello di Copertura = alto Misure Adottate Installazione di un Firewall. Firewall hardware. Firewall software. Contratto di Manutenzione Hardware. Dotazione serrature ufficio. Estintori Copie di Back-up. Back-Up su memoria USB. Back-Up ogni settimana. Back-Up eseguito manualmente. Back-Up Completo. Back-Up Sullo stesso supporto. Antivirus. Altri Antivirus. Aggiornamento Giornaliero. Credenziali di autentificazione, assegnate individualmente ad ogni Pag. 9 di 13

10 ANALISI DEI RISCHI Misure Organizzative incaricato. Parola chiave di almeno 8 caratteri. Disattivazione delle vecchie credenziali. Disposizioni scritte per la disponibilità dei dati. Autenticazione mediante user-id e password. Sistema Operativo. Windows XP Pro Edition. Aggiornamento Software semestrale (annuale). Sospensione automatica delle sessioni di lavoro. Profili di autorizzazione di ambito diverso per diversi incaricati. E' utilizzato un sistema di autorizzazione. I profili di autorizzazione vengono specificati prima di ogni trattamento. Verifica periodica del profilo di autorizzazione. Redazione di un piano di formazione per gli incaricati. Verifica periodica dell'ambito dei trattamenti e dei profili di autorizzazione. Consegna istruzioni dettagliate agli incaricati. Istruzioni per la segretezza del sistema di autenticazione ela custodia dei dispositivi personali. Istruzioni sulla custodia degli strumenti elettronici durante le sessioni di trattamento. Istruzioni per isupporti removibili in caso di dati sensibili ogiudiziari. Procedure per ripristino dei dati. E' stato redatto eviene annualmente aggiornato il documento Programmatico sulla sicurezza. Distruzione dei supporti removibili. Inserimento nella relazione accompagnatoria del bilancio d'esercizio della redazione oaggiornamento del DPSS. Descrizione scritta degli interventi effettuati da terzi. Nessuna misura prevista nel piano di miglioramento per questa unita' di archiviazione. Pag. 10 di 13

11 RIPRISTINO DEI DATI RIPRISTINO DEI DATI Descrizione dei criteri attuati per garantire il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento. Sistemi di elaborazione Dati Tipi di dato presenti Criticita' dei dati Responsabili della strumentazione elettronica Incaricati alla gestione del sistema di elaborazione Incaricati ai back-up Responsabili oconsulenti esterni da contattare in caso di emergenza Fornitori che possono fornire apparecchiature sostitutive in caso di guasto Frequenza di back-up Tipo di supporto per il back-up Tipo di back-up Modalita' di back-up Riutilizzo dei supporti Tempo di Ripristino Procedura per il ripristino dati sensibili, dati giudiziari, dati comuni alta ROGLIERI ROGLIERI ROGLIERI ALFA COMPUTER SRL ALFA COMPUTER SRL Back-Up giornaliero. Back-Up su Cloud. Back-Up Completo. Back-Up automatico. No. < 5 GIORNI RIPRISTINO DATI DA BACKUP E VERIFICA FUNZIONAMENTO OTTIMALE DEL SISTEMA Pag. 11 di 13

12 PIANO DI FORMAZIONE PIANO DI FORMAZIONE Elenco degli interventi formativi effettuati o progettati per gli incaricati e per i responsabili della Privacy. Interventi formativi ROGLIERI 20/03/2009 : Aggiornamento della Nomina e consegna delle istruzioni e dei compiti, dettagliati e personalizzati, per la corretta gestione della Privacy. Formazione per i nuovi incaricati Nel caso di un nuovo incaricato, è prevista la seguente formazione prima dell'inizio del trattamento: Assegnazione di dettagliate istruzioni scritte e personalizzate, complete dell'ambito di trattamento del nuovo incaricato, e formazione orale sugli obblighi di legge e sulle norme di condotta da parte del titolare o del responsabile al trattamento. Formazione prevista nel caso di cambiamenti di mansioni Nel caso in cui siano affidate mansioni differenti ad un incaricato, è prevista la seguente formazione: Assegnazione di istruzioni scritte aggiornate e complete relative al nuovo trattamento. Pag. 12 di 13

13 TRATTAMENTI ESTERNI ELENCO DEI TRATTAMENTI ESTERNI Elenco dei trattamenti esterni dei dati e dei criteri adottati per garantire il rispetto delle misure minime di sicurezza da parte dei titolari esterni. I dati personali in nostro possesso non sono affidati all'esterno della struttura del titolare. Pag. 13 di 13