CHECK LIST PER LE VERIFICHE SULL OPERATO DEGLI AMMINISTRATORI DI SISTEMA



Documenti analoghi
DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA ANNO 2015

L amministratore di sistema. di Michele Iaselli

REGOLAMENTO PER LA TUTELA DELLA RISERVATEZZA RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

REGOLAMENTO PER LA SICUREZZA DEI DATI PERSONALI

REGOLAMENTO IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI MEDIANTE SISTEMI DI VIDEOSORVEGLIANZA

MISURE MINIME DI SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI

Ci si riferisce, in particolare, all'abuso della qualità di operatore di

COMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy

Istruzioni operative per gli Incaricati del trattamento dei dati personali

Roma, ottobre Ai Responsabili Regionali pro tempore Ai Responsabili di Zona pro tempore

ALLEGATO N. 4. Premessa

Le Misure Minime di Sicurezza secondo il Testo Unico sulla Privacy

COMUNE DI LECCO. Corpo di Polizia Locale CENTRALE VIDEOSORVEGLIANZA

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

Comune di San Martino Buon Albergo Provincia di Verona

Roma,.. Spett.le. Società Cooperativa EDP La Traccia. Recinto II Fiorentini, n Matera (MT)

Provvedimenti a carattere generale 27 novembre 2008 Bollettino del n. 0/novembre 2008, pag. 0

AMMINISTRATORI DI SISTEMA: PROROGATI I TERMINI PER GLI ADEMPIMENTI. Le procedure da adottare entro il termine di scadenza della proroga

Normativa sulla privacy negli. USA: Italia:

Soluzioni per archiviazione sicura di log di accesso server Windows. PrivacyLOG

COMUNE DI RENATE Provincia di Monza e Brianza

DICHIARA. Nello specifico dei prodotti e dei servizi sopra citati Microcosmos Multimedia S.r.l. CERTIFICA

COMUNE DI CAVERNAGO REGOLAMENTO PER L UTILIZZO DEGLI IMPIANTI DI VIDEOSORVEGLIANZA

MANUALE DELLA QUALITÀ Pag. 1 di 6

Documento Programmatico sulla sicurezza

PRIVACY. Federica Savio M2 Informatica

REGOLAMENTO OPERATIVO PER L UTILIZZO DELL IMPIANTO ESTERNO DI VIDEOSORVEGLIANZA

Regolamento al trattamento dati per la piattaforma "Sofia" e Misure di Sicurezza adottate

La tutela della Privacy. Annoiatore: Stefano Pelacchi

Regione Calabria Azienda Sanitaria Provinciale Cosenza UOC AFFARI GENERALI

MINISTERO DELL INTERNO ISTITUTO PER LA VIGILANZA Dipartimento della Pubblica Sicurezza CONVENZIONE

SCHEMA DI DELIBERAZIONE

STUDIO PROFESSIONALE DOTT. SAURO BALDINI. News di approfondimento

Adempimenti della Privacy e Revisione del DPSS

Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS)

Disposizioni in materia di trattamento dei dati personali.

ALLEGATO D. Roma lì, / / Equitalia S.p.A. il Titolare

Comune di Spilamberto Provincia di Modena. Regolamento per la gestione del sistema di video sorveglianza

Il nuovo codice in materia di protezione dei dati personali

REGOLAMENTO PER LA DISCIPLINA DELLA VIDEOSORVEGLIANZA. Approvato con delibera di Consiglio comunale n. 36 del

il Rettore Richiamato lo Statuto di Ateneo emanato con D.R. n 501 in data 27 marzo 2000 e successive modificazioni;

Faber System è certificata WAM School

Regolamento per l installazione e l utilizzo di impianti di videosorveglianza del territorio

SUAP. Per gli operatori SUAP/amministratori. Per il richiedente

Gestione degli Access Log degli Amministratori di Sistema La soluzione per ottemperare agli obblighi del Garante Privacy

PIANO DI CONSERVAZIONE DEI DOCUMENTI

Comune di Nola Provincia di Napoli. Regolamento di gestione utenti e profili di autorizzazione per trattamenti elettronici

Con la presente vengono fornite indicazioni ai fini dell autorizzazione all esercizio di detta modalità di gioco.

Regolamento sui limiti al cumulo degli incarichi ricoperti dagli Amministratori del Gruppo Banco Popolare

Circolare n.9 / 2010 del 13 ottobre 2010 CONTROLLO SUL LAVORO E PRIVACY: LE ULTIME NOVITA

Centro Tecnico per la Rete Unitaria della Pubblica Amministrazione

Richiesta di account e/o accesso alle risorse Informatiche della Sezione di Cagliari

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

EasyPROtection. La soluzione software per Commercialisti e Consulenti Fiscali. DATI E DOCUMENTI PROTETTI Sempre. Ovunque.

FORMAZIONE PRIVACY 2015

Atto Dirigenziale n del 15/12/2009

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

Le Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema

NOTIFICAZIONE E PUBBLICITÀ LEGALE DEGLI ATTI NELL AMMINISTRAZIONE PUBBLICA DIGITALE

Per l utilizzo dei sistemi di videosorveglianza sul territorio

LINEE GUIDA PER L EROGAZIONE DELLA FORMAZIONE INTERNA

CITTÀ DI AGROPOLI. Regolamento per la pubblicazione delle Determinazioni sul sito internet istituzionale dell Ente

REGOLAMENTO PER LA PUBBLICAZIONE DI ATTI E PROVVEDIMENTI ALL ALBO CAMERALE. (Adottato con delibera della Giunta Camerale n.72, del 17 ottobre 2014)

REGOLAMENTO PER L UTILIZZO DEGLI IMPIANTI DI VIDEOSORVEGLIANZA DEL COMUNE

Manuale Informativo. Decreto Legislativo 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali

BOZZA D.P.S. Documento Programmatico sulla Sicurezza. Intestazione documento: Ragione sociale o denominazione del titolare Indirizzo Comune P.

Azienda Pubblica di Servizi alla Persona Opere Sociali di N.S. di Misericordia Savona

Regolamento per la tutela della riservatezza dei dati personali

I dati : patrimonio aziendale da proteggere

un responsabile ti chiamerà al più presto per chiarire ogni dubbio

Comune di Bracciano. Regolamento per la pubblicazione di atti e documenti amministrativi sul sito Internet Istituzionale

DETERMINA DEL DIRETTORE GENERALE

Regolamento GESTIONE E AGGIORNAMENTO SITO WEB ISTITUZIONALE

Strumenti digitali e privacy. Avv. Gloria Galli

Regolamento per l installazione e l utilizzo degli impianti di videosorveglianza del Comune di Lavis

Privacy semplice per le PMI

GESTIONE DELLA RETE INFORMATICA

CARTA INTESTATA PREMESSA

REGOLAMENTO SULLA FACOLTÀ DI ACCESSO TELEMATICO E RIUTILIZZO DEI DATI

Istruzione Operativa Richiesta di Offerta on-line in busta chiusa digitale

Il Documento Programmatico sulla Sicurezza in base Normativa sulla privacy applicabile agli studi professionali (D. Lgs 196/03)

UNIONE BASSA REGGIANA. Programma triennale per la trasparenza e l integrità

REGOLAMENTO PER LA DISCIPLINA

SOMMARIO. Presentazione... Note sugli autori... Parte Prima IL NUOVO CODICE E GLI ADEMPIMENTI Antonio Ciccia

REGOLAMENTO PER LA GESTIONE DELLE PROCEDURE DI PUBBLICAZIONE ALL ALBO PRETORIO ONLINE

4.5 CONTROLLO DEI DOCUMENTI E DEI DATI

Gestione dei documenti e delle registrazioni Rev. 00 del

La soluzione software per Avvocati e Studi legali

Provincia Autonoma di Bolzano Disciplinare organizzativo per l utilizzo dei servizi informatici, in particolare di internet e della posta

LINEE GUIDA PER LA PREDISPOSIZIONE DEL DOCUMENTO DI PROGETTO DEL SISTEMA DI GIOCO

Privacy e lavoro. Le regole per il corretto trattamento dei dati personali dei lavoratori da parte di soggetti pubblici e privati

Specifiche Tecniche CARATTERISTICHE TECNICHE GENERALI MINIME PER LA GESTIONE DEL SERVIZIO

Autorità per l'informatica nella pubblica amministrazione Deliberazione n. 42/2001

Gestione del protocollo informatico con OrdineP-NET

COMUNE DI MOGORO Provincia di Oristano

Nome modulo: ANALISI ED ILLUSTRAZIONE DEI RUOLI PREVISTI NELL ORGANIZZAZIONE

COMUNE DI NONE Provincia di Torino

MANUALE DI CONSERVAZIONE

REGOLAMENTO PER L'UTILIZZO DEGLI IMPIANTI DI VIDEO SORVEGLIANZA NELLE STRUTTURE DELL A.S.L. DI NUORO PREMESSA

C e n t o. 9 6 ti mette in regola con la Legge sulla Privacy

Transcript:

CHECK LIST PER LE VERIFICHE SULL OPERATO DEGLI AMMINISTRATORI DI SISTEMA Una proposta per rispondere alla misura 4.4 (o e ) del Provvedimento del Garante del 28 novembre 2008. E' possibile dare il proprio contributo e diffonderla a chiunque secondo la licenza http://creativecommons.org/licenses/by-nc/2.5/it/ Introduzione Ogni misura è preceduta da una sigla ed un numero, secondo i criteri che seguono: B.n: misura presente nell Allegato B del Dlgs 196/2003 AdS.n: misura presente nel Provvedimento del Garante del 28 novembre 2008 (Amministratori di Sistema) G.n: misura presente in altri provvedimenti o linee guida del Garante, tra cui: o o Attività preliminare Delibera numero 13 del 1 marzo 2007 (Linee guida per posta elettronica e Internet) Provvedimento del 8 aprile 2010 (Videosorveglianza) Attività preliminare è il censimento di: Sistemi Operativi (inclusi quelli virtuali) Applicazioni (sia di tipo business come i gestionali, sia di tipo supporto come le email) Apparati e sistemi di rete (es. firewall, proxy, eccetera) Check list MISURE PER GARANTIRE L INTEGRITÀ E LA DISPONIBILITÀ DEI DATI B.1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti B.2. Le credenziali di autenticazione consistono in un codice per l identificazione dell incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell incaricato, eventualmente associata a un codice identificativo o a una parola chiave. B.3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per l autenticazione. B.4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell incaricato. B.5 (a). La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all incaricato. B.5 (b). La parola chiave è modificata dall incaricato al primo utilizzo. Verificare con gli AdS come è impostato tale controllo su tutte le tipologie di sistemi (Win, *x, mainframe, eccetera). Verificare che analoghe procedure sono attuate anche per gli AdS. Vedere B.1. Particolarmente importante per gli accessi dei power-users. Vedere B.1 Verificare la presenza delle istruzioni, che siano conosciute anche dagli AdS. Verificare la configurazione dei sistemi che abbiamo opportunamente impostate le policy di sicurezza delle password. Verificare la configurazione dei sistemi che abbiamo opportunamente impostate le policy di sicurezza delle password. Chiedere agli AdS le modalità di inserimento dei nuovi utenti e di reset delle password quando dimenticate. Checklist-AdS-agg 20101119.doc 2010-10-21 Pagina 1 di 6

B.5 (c). La parola chiave è modificata dall incaricato almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. B.6. Il codice per l identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. B.7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. B.9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. B.12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. B.13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all inizio del trattamento, in modo da limitare l accesso ai soli dati necessari per effettuare le operazioni di trattamento. B.14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. B.15. Nell ambito dell aggiornamento periodico con cadenza almeno annuale dell individuazione dell ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. AdS.2. La designazione quale amministratore di sistema deve essere individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. AdS.3 (a). Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati in un documento interno da mantenere aggiornato e disponibile. AdS.3 (b). Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni. AdS.6 (a). Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. AdS.6 (b). Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Verificare la configurazione dei sistemi che abbiamo opportunamente impostate le policy di sicurezza delle password. Particolarmente rilevante è comprendere come sono utilizzate le utenze di amministrazione (Admin, root, eccetera) per ogni tipologia di sistema (apparati di rete inclusi). Verificare i log di accesso se presentano numerosi accessi da parte dell utenza generica di amministrazione. Si considerino le necessarie eccezioni dovute ad esigenza puramente tecniche. Verificare se è strutturato (con procedura e conseguenti registrazioni) un processo di assegnazione e revoca delle utenze in modo da analizzare eventuali scostamenti da quanto prescritto Verificare che gli AdS dispongano di tali istruzioni. Normalmente gli AdS possono avere pieno accesso a tutti i dati, ma vanno comunque controllate le corrette impostazioni dei sistemi e delle applicazioni. Verificare che gli AdS abbiano tutte le informazioni necessarie per configurare opportunamente i sistemi: ticket, email, manuali a seconda delle procedure aziendali. Esempio di modalità di verifica: individuare un utente (incaricato) e verificare se gli sono assegnati i soli privilegi previsti. Verificare le modalità con cui tale requisito è affrontato. Verificare che gli AdS abbiano tutte le informazioni necessarie per configurare opportunamente i sistemi. Verificare l elenco degli AdS e la corrispondenza con le utenze di power user (root, admin, etc) sui vari sistemi. Verificare che sui diversi server o apparati siano presenti i soli power user previsti. Verificare l elenco degli AdS e la corrispondenza con le utenze di power user sui vari sistemi. Verificare che sia presente e opportunamente pubblicato l elenco degli AdS con accesso ai dati dei lavoratori. Verificare la corrispondenza di questo elenco con le utenze di power user sui vari sistemi. Analizzare chi e come può accedere ai log, con quali permessi e se può modificarli. Analizzare chi e come può accedere ai log, con quali permessi e se può modificarli. Checklist-AdS-agg 20101119.doc 2010-10-21 Pagina 2 di 6

AdS.6 (c). Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi AdS.5. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento o dei responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti. B.16. I dati personali sono protetti contro il rischio di intrusione e dell azione di programmi di cui all art. 615- quinquies del codice penale (virus), mediante l attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. B.17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l aggiornamento è almeno semestrale. B.20. I dati sensibili o giudiziari sono protetti contro l accesso abusivo, di cui all art. 615-ter del codice penale, mediante l utilizzo di idonei strumenti elettronici. B.21. Sono impartite istruzioni organizzative e tecniche per la custodia e l uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti B.22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili B.19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni B.26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d esercizio, se dovuta, dell avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza Analizzare chi e come può accedere ai log, con quali permessi e se può modificarli. Questa check-list è la risposta a questo requisito Verificare la configurazione dei sistemi, inclusi i pc degli AdS. Verificare la configurazione dei sistemi, inclusi i pc degli AdS. Verificare la configurazione dei sistemi (in particolare la presenza di firewall quando connessi alla rete). Di particolare rilievo i pc degli utenti e degli AdS. Verificare la disponibilità di tali istruzioni agli AdS. Verificare che gli AdS abbiano strumenti idonei alla cancellazione sicura dei supporti (allineati con le istruzioni di cui sopra). MISURE PER GARANTIRE LA PROTEZIONE DELLE AREE E DEI LOCALI B.27 (b). Nell ambito dell aggiornamento periodico con cadenza almeno annuale dell individuazione dell ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. B.28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate. B.29 (a). L accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l orario di chiusura, sono identificate e registrate. B.29 (b). Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate. B.19.4. Garantire l integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità Questa misura riguarda gli archivi non elettronici. Non applicabile per gli AdS. E comunque possibile verificarne l applicazione nei locali di loro pertinenza. E comunque possibile verificarne l applicazione nei locali di loro pertinenza. Verificare come sono gestiti gli strumenti elettronici per il controllo degli accessi: anche loro avranno degli AdS. E inoltre possibile verificarne l applicazione nei locali di pertinenza degli AdS. E comunque possibile verificarne l applicazione nei locali di loro pertinenza. Checklist-AdS-agg 20101119.doc 2010-10-21 Pagina 3 di 6

CRITERI E MODALITÀ PER IL RIPRISTINO DELLA DISPONIBILITÀ DEI DATI MISURA NOTE FAM. B.10 (a). Quando l accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. B.10 (b) La custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l incaricato dell intervento effettuato. B.18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale. B.23. Sono adottate idonee misure per garantire il ripristino dell accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni. Verificare se il caso si è presentato e chiedere come si sono svolte le operazioni. Chiedere se sono stati effettuati dei test di ripristino. CRITERI IN CASO DI TRATTAMENTI AFFIDATI ALL ESTERNO DELLA STRUTTURA B.25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall installatore una descrizione scritta dell intervento effettuato che ne attesta la conformità alle disposizioni dell Allegato B del Dlgs 196/2003. B.19.7. La descrizione dei criteri da adottare per garantire l adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all esterno della struttura del titolare; AdS.4. Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare o il responsabile esterno devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema. Verificare le modalità di coinvolgimento degli AdS in merito. Verificare se gli AdS sono a loro volta dei soggetti esterni e, quindi, come viene regolato il rapporto e se (in quanto installatori) mantengono le descrizioni scritte richieste. N/A per gli AdS Verificare la presenza di tali liste e il loro stato di aggiornamento. Checklist-AdS-agg 20101119.doc 2010-10-21 Pagina 4 di 6

INTERVENTI FORMATIVI E ORGANIZZATIVI B.19.6(b). Tutto il personale deve essere formato per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. B.19.6(b). La formazione è programmata già al momento dell ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; AdS.1. L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. G.1. E distribuito a tutto il personale un disciplinare interno sull uso dell e-mail e di Internet da parte dei lavoratori VIDEOSORVEGLIANZA Verificare se gli AdS sono stati opportunamente formati. Due elementi: 1. Verificare le registrazioni sulle esperienze e capacità (esempio CV). 2. Verificare come sono state condotte le valutazioni da parte del Responsabile o Titolare (es. valutazione periodica del personale o anche un visto nell elenco degli AdS. Verificare la presenza di tale disciplinare anche agli AdS. G.V1 Gli interessati devono essere sempre informati che stanno per accedere in una zona videosorvegliata utilizzando il modello semplificato (cartello Area Videosorvegliata. G.V2 In presenza di differenti competenze specificatamente attribuite ai singoli operatori devono essere configurati diversi livelli di visibilità e trattamento delle immagini. Laddove tecnicamente possibile, in base alle caratteristiche dei sistemi utilizzati, i predetti soggetti, designati incaricati o, eventualmente, responsabili del trattamento, devono essere in possesso di credenziali di autenticazione che permettano di effettuare, a seconda dei compiti attribuiti ad ognuno, unicamente le operazioni di propria competenza; G.V3 Laddove i sistemi siano configurati per la registrazione e successiva conservazione delle immagini rilevate, deve essere altresì attentamente limitata la possibilità, per i soggetti abilitati, di visionare non solo in sincronia con la ripresa, ma anche in tempo differito, le immagini registrate e di effettuare sulle medesime operazioni di cancellazione o duplicazione G.V4 Per quanto riguarda il periodo di conservazione delle immagini devono essere predisposte misure tecniche od organizzative per la cancellazione, anche in forma automatica, delle registrazioni, allo scadere del termine previsto G.V5 Nel caso di interventi derivanti da esigenze di manutenzione, occorre adottare specifiche cautele; in particolare, i soggetti preposti alle predette operazioni possono accedere alle immagini solo se ciò si renda indispensabile al fine di effettuare eventuali verifiche tecniche ed in presenza dei soggetti dotati di credenziali di autenticazione abilitanti alla visione delle immagini G.V6 Qualora si utilizzino apparati di ripresa digitali connessi a reti informatiche, gli apparati medesimi devono essere protetti contro i rischi di accesso abusivo di cui all'art. 615-ter del codice penale G.V7 La trasmissione tramite una rete pubblica di comunicazioni di immagini riprese da apparati di videosorveglianza deve essere effettuata previa applicazione di tecniche crittografiche che ne garantiscano la riservatezza; le stesse cautele sono richieste per la trasmissione di immagini da punti di ripresa dotati di connessioni wireless N/A per AdS Verificare se e come sono trattati i sistemi di videosorveglianza. Nel caso siano basati su supporti informatici, le norme per gli AdS sono applicabili. Verificare se si sono verificati dei casi e come sono stati gestiti. Verificare se si sono verificati dei casi e come sono stati gestiti. (antivirus) Checklist-AdS-agg 20101119.doc 2010-10-21 Pagina 5 di 6

G.V8 Gli impianti e le apparecchiature, dai quali può derivare anche la possibilità di controllo a distanza dell'attività dei lavoratori, possono essere installati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l'ispettorato del lavoro, dettando, ove occorra, le modalità per l'uso di tali impianti G.V9 Nel caso in cui trovi applicazione la disciplina del Codice, il trattamento di dati può essere lecitamente effettuato da privati ed enti pubblici economici solamente se vi sia il consenso preventivo dell'interessato, oppure se ricorra uno dei presupposti di liceità previsti in alternativa al consenso Introduzione Al documento ha collaborato Vito Losacco. Checklist-AdS-agg 20101119.doc 2010-10-21 Pagina 6 di 6

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back