Data ultima modifica : 14/06/2006 10:49 DPSS Cod.Doc. 2140.20.0.168818 DOCUMENTO PROGRAMMATICO SULLA SICUREZZA Valido fino al 31 Marzo 2007. Documento riassuntivo delle misure di sicurezza per la Privacy attuate dal Titolare, in conformità agli artt. da 33 a 36 ed all'allegato B del D.Lgs. 30 giugno 2003, n. 196. INDICE DEI DOCUMENTI PRESENTI Organigramma : elenco dei trattamenti, dei compiti e delle responsabilità della privacy. Soggetti Autorizzati : elenco del personale autorizzato ad accedere agli archivi dopo l'orario di chiusura. Analisi dei Rischi : analisi dei rischi, misure adottate e piano di miglioramento. Ripristino dei dati : piano per il ripristino dei dati in caso di danneggiamento o distruzione. Piano di Formazione : piano di formazione degli incaricati del trattamento. Trattamenti Esterni : elenco trattamenti esterni e dei criteri adottati per garantire l'adozione delle misure minime. Data stampa: 14/06/2006 10:49 Pag. 1 di 12
Data ultima modifica : 14/06/2006 10:49 ORGANIGRAMMA Cod.Doc. 2140.20.0.168818 ELENCO DEI TRATTAMENTI E DISTRIBUZIONE DEI COMPITI Descrizione dei dati personali trattati, suddivisi per banche dati ed unità di archiviazione, ed organigramma della distribuzione dei compiti e delle responsabilità per il trattamento e la gestione dei dati. La descrizione dettagliata delle aree di competenza, dei compiti e delle istruzioni affidati ai singoli soggetti è reperibile consultando la corrispondente nomina a responsabile od ad incaricato. Titolare del trattamento : nella persona di Thomas Feregotto Responsabile al rapporto con gli interessati (art. 13) : Thomas Feregotto Indirizzo: Sedi interessate ai trattamenti dei dati personali. Sede Principale Azienda Sede principale azienda S.S.13 Pontebbana 54/e, 33017 TARCENTO (UD); e-mail: info@infostarcomputer.it; telefono: 0432783940 Responsabili: Responsabile della sicurezza : Cristian Feregotto, Thomas Feregotto Responsabile dei sistemi di elaborazione elettronica : Thomas Feregotto Sono sotto riportati gli uffici od i locali della sede interessati al trattamento od alla conservazione dei dati personali. Archivio Dati Comuni trattati : Descrizione archivio: Ufficio: Incaricati al trattamento e permessi: Banche Dati Banca Dati : Acquisti archivio fornitori Attività economiche, commerciali, finanziarie e assicurative Unita' di archiviazione della banca dati 1 - Archivio (sede: Sede principale azienda) Armadio cassettiera Archivio Cristian Feregotto (permessi: lettura, scrittura, cancellazione, comunicazione) (permessi: lettura, scrittura, cancellazione, comunicazione) 2 - SERVER linux (sede: Sede principale azienda) Descrizione archivio: server linux athlon 64 Ufficio: Incaricati al trattamento e permessi: Incaricati delle copie credenziali : Incaricati ai back-up : Incaricati nominati amministratori del sistema informatico: Archivio Cristian Feregotto (permessi: lettura, scrittura, cancellazione, comunicazione) (permessi: lettura, scrittura, cancellazione, comunicazione) Banca Dati : Gestione Personale Data stampa: 14/06/2006 10:49 Pag. 2 di 12
Data ultima modifica : 14/06/2006 10:49 ORGANIGRAMMA Cod.Doc. 2140.20.0.168818 Dati Comuni trattati : Descrizione archivio: Ufficio: Incaricati al trattamento e permessi: archivio buste paghe Lavoro Istruzione e cultura Dati relativi al tipo di lavoro ed alla retribuzione Unita' di archiviazione della banca dati 1 - Archivio (sede: Sede principale azienda) Armadio cassettiera Archivio Cristian Feregotto (permessi: lettura, scrittura, cancellazione, comunicazione) (permessi: lettura, scrittura, cancellazione, comunicazione) 2 - SERVER linux (sede: Sede principale azienda) Descrizione archivio: server linux athlon 64 Ufficio: Incaricati al trattamento e permessi: Incaricati delle copie credenziali : Incaricati ai back-up : Incaricati nominati amministratori del sistema informatico: Dati Comuni trattati : Descrizione archivio: Ufficio: Incaricati al trattamento e permessi: Archivio Cristian Feregotto (permessi: lettura, scrittura, cancellazione, comunicazione) (permessi: lettura, scrittura, cancellazione, comunicazione) Banca Dati : Vendite archivio clienti Unita' di archiviazione della banca dati 1 - Archivio (sede: Sede principale azienda) Armadio cassettiera Archivio Cristian Feregotto (permessi: lettura, scrittura, cancellazione, comunicazione) (permessi: lettura, scrittura, cancellazione, comunicazione) 2 - SERVER linux (sede: Sede principale azienda) Descrizione archivio: server linux athlon 64 Ufficio: Incaricati al trattamento e permessi: Incaricati delle copie credenziali : Incaricati ai back-up : Incaricati nominati amministratori del sistema informatico: Archivio Cristian Feregotto (permessi: lettura, scrittura, cancellazione, comunicazione) (permessi: lettura, scrittura, cancellazione, comunicazione) Categorie di soggetti interessate al trattamento Riportiamo ora in maggior dettaglio i trattamenti effettuati, distinguendo a quali soggetti interessati appartengono i dati oggetto di trattamento. Ulteriori informazioni a riguardo possono essere trovate, se previste, nelle relative informative. Data stampa: 14/06/2006 10:49 Pag. 3 di 12
Data ultima modifica : 14/06/2006 10:49 ORGANIGRAMMA Cod.Doc. 2140.20.0.168818 Categoria di soggetti interessata : Consulenti e liberi professionisti, anche in forma associata Banche dati coinvolte : Dati trattati : Finalità del trattamento : Tipologie di trattamento dei dati : Acquisti Vendite Gestione Personale Attività economiche, commerciali, finanziarie e assicurative Adempimenti connessi al versamento delle quote di iscrizione a sindacati o all'esercizio di diritti sindacali Adempimenti obbligatori per legge in campo fiscale e contabile Attività di consulenza Gestione contabile o di tesoreria Gestione dei fornitori Gestione del patrimonio mobiliare e immobiliare Gestione del personale in genere Storico fatturazione clienti Trattamento giuridico ed economico del personale Trattamento a mezzo di calcolatori elettronici Trattamento manuale a mezzo di archivi cartacei Categoria di soggetti interessata : Soci, associati ed iscritti Banche dati coinvolte : Dati trattati : Finalità del trattamento : Tipologie di trattamento dei dati : Acquisti Vendite Gestione Personale Attività economiche, commerciali, finanziarie e assicurative Dati relativi allo svolgimento delle attività economiche dell'interessato. Istruzione e cultura Lavoro Adempimenti obbligatori per legge in campo fiscale e contabile Trattamento a mezzo di calcolatori elettronici Trattamento manuale a mezzo di archivi cartacei Categoria di soggetti interessata : Clienti Banche dati coinvolte : Dati trattati : Finalità del trattamento : Tipologie di trattamento dei dati : I dati sopra riportati potranno Vendite Eventualmente per soddisfare indagini di mercato, statistiche e per attività promozionali inerenti anche alla spedizione di materiale pubblicitario e promozionale Adempimenti obbligatori per legge in campo fiscale e contabile Assistenza post-vendita Gestione del contenzioso Gestione della clientela Gestione della Qualità Di obblighi previsti dalle leggi vigenti Programmazione delle attività Rilevazione del grado di soddisfazione della clientela Storico fatturazione clienti Storico ordini forniture Il sistema di videosorveglianza è introdotto come misura complementare volta a migliorare la sicurezza all#interno o all#esterno di edifici o impianti ove si svolgono attività produttive, industriali, commerciali o di servizi, o che hanno lo scopo di agevolare l#eventuale esercizio, in sede di giudizio civile o penale, del diritto di difesa del titolare del trattamento o di terzi sulla base di immagini utili in caso di fatti illeciti. Affidamento a terzi di operazioni di elaborazione Creazione di profili relativi a clienti, fornitori o consumatori Trattamento a mezzo di calcolatori elettronici Trattamento manuale a mezzo di archivi cartacei Consulenti e liberi professionisti, anche in forma associata Data stampa: 14/06/2006 10:49 Pag. 4 di 12
Data ultima modifica : 14/06/2006 10:49 ORGANIGRAMMA Cod.Doc. 2140.20.0.168818 essere comunicati a : Banche e istituti di credito Categoria di soggetti interessata : Fornitori Banche dati coinvolte : Dati trattati : Finalità del trattamento : Tipologie di trattamento dei dati : I dati sopra riportati potranno essere comunicati a : Acquisti Attività economiche, commerciali, finanziarie e assicurative Storico ordini forniture Adempimenti obbligatori per legge in campo fiscale e contabile Gestione dei fornitori Programmazione delle attività Creazione di profili relativi a clienti, fornitori o consumatori Trattamento a mezzo di calcolatori elettronici Trattamento manuale a mezzo di archivi cartacei Verifiche e modifiche dei dati solo ad istanza di parte Consulenti e liberi professionisti, anche in forma associata Banche e istituti di credito Categoria di soggetti interessata : Dipendenti e personale parasubordinato Banche dati coinvolte : Dati trattati : Finalità del trattamento : Tipologie di trattamento dei dati : I dati sopra riportati potranno essere comunicati a : Acquisti Vendite Gestione Personale Attività economiche, commerciali, finanziarie e assicurative Dati relativi al tipo di lavoro ed alla retribuzione Istruzione e cultura Lavoro Per rendere informazioni riguardo a nostre possibili attività promozionali Adempimenti connessi al versamento delle quote di iscrizione a sindacati o all'esercizio di diritti sindacali Adempimenti obbligatori per legge in campo fiscale e contabile Assistenza post-vendita Attività di consulenza Gestione contabile o di tesoreria Gestione dei fornitori Gestione del personale in genere Gestione della clientela Igiene e sicurezza del lavoro Programmazione delle attività Storico fatturazione clienti Storico ordini forniture Trattamento giuridico ed economico del personale Affidamento a terzi di operazioni di elaborazione Trattamento a mezzo di calcolatori elettronici Trattamento manuale a mezzo di archivi cartacei Consulenti e liberi professionisti, anche in forma associata Data stampa: 14/06/2006 10:49 Pag. 5 di 12
Data ultima modifica : 14/06/2006 10:49 ELENCO SOGGETTI Cod.Doc. 2140.20.0.168818 Elenco dei soggetti autorizzati ad accedere agli archivi cartacei ad accesso controllato dopo l'orario di chiusura Il punto 29 dell'allegato B prevede che i soggetti che accedono ad archivi cartacei contenenti dati sensibili o giudiziari dopo l'orario di chiusura siano preventivamente autorizzati, se non è possibile controllarne l'accesso con strumenti elettronici o con incaricati alla vigilanza. Sono sotto riportati gli archivi per cui è previsto un accesso controllato dopo l'orario di chiusura e l'elenco dei soggetti autorizzati: Non è presente alcun archivio cartaceo che tratti dati sensibili o giudiziari. Data stampa: 14/06/2006 10:49 Pag. 6 di 12
Data ultima modifica : 14/06/2006 10:49 ANALISI DEI RISCHI Cod.Doc. 2140.20.0.168818 ANALISI DI RISCHIO E MISURE ADOTTATE Scopo di questo documento di delineare il quadro delle misure di sicurezza, organizzative, fisiche e logiche, adottate e da adottare per il trattamento dei dati personali effettuato da. Tipo di archivio Tipi di dati contenuti Scrittura Dati errati Distruzione o Modifica accidentale dei Dati accesso non autorizzato ai dati cartacei Incendio Tipo di archivio Furti di Dati perpetrati da personale Interno Furti di Dati perpetrati dall'esterno Misure Fisiche Misure Organizzative Misure Organizzative Tipi di dati contenuti Errore di salvataggio sui supporti di Back-up Danno All'infrastruttura Hardware Presenza di Virus Rottura Aria Condizionata Corto Circuito elettrico Rischi per ogni unità di archiviazione : ARCHIVIO: Fattore di rischio = basso (4) Archivio cartaceo dati comuni Rischi presenti Rischio Residuo = basso Livello di Copertura = molto basso Rischio Residuo = basso Livello di Copertura = basso Livello di Copertura = molto alto Misure Adottate Contratto con Agenzia di Sorveglianza Installazione impianto Videosorveglianza Installazione Allarme Dotazione serrature ufficio. Estintori Dotazione serrature archivio. Consegna istruzioni dettagliate agli incaricati. Misure Previste per il Piano di Miglioramento Consegna istruzioni dettagliate agli incaricati. Istruzioni scritte finalizzate al controllo ed alla custodia dei documenti cartacei. SERVER LINUX: Fattore di rischio = medio (6) Archivio digitale dati comuni Rischi presenti Rischio Residuo = medio Livello di Copertura = nessuno Rischio Residuo = medio Rischio Residuo = basso Livello di Copertura = basso Rischio Residuo = basso Livello di Copertura = nessuno Data stampa: 14/06/2006 10:49 Pag. 7 di 12
Data ultima modifica : 14/06/2006 10:49 ANALISI DEI RISCHI Cod.Doc. 2140.20.0.168818 Caduta Rete Locale Scrittura Dati errati Mancata erogazione elettrica Distruzione o Modifica accidentale dei Dati Incendio Danno ai Dati Danni ai Programmi Software Interruzione temporanea all'uso dei dati Misure Fisiche Misure Organizzative Misure Organizzative Livello di Copertura = nessuno Livello di Copertura = alto Livello di Copertura = alto Livello di Copertura = molto alto Livello di Copertura = molto alto Livello di Copertura = molto alto Misure Adottate Potenziamento Impianto Elettrico Contratto con Agenzia di Sorveglianza Installazione di un Firewall. Firewall hardware. Contratto di Manutenzione Hardware. Installazione impianto Videosorveglianza Installazione Allarme Dotazione serrature ufficio. Estintori Gruppo di continuità Copie di Back-up. Back-Up su Disco Rigido. Back-Up giornaliero. Back-Up eseguito manualmente. Back-Up Completo. Back-Up Sullo stesso supporto. Antivirus. Altri Antivirus. Aggiornamento Giornaliero. Credenziali di autentificazione, assegnate individualmente ad ogni incaricato. Autenticazione mediante user-id e password. Parola chiave di almeno 8 caratteri. Disattivazione delle vecchie credenziali. Disposizioni scritte per la disponibilità dei dati. Sistema Operativo. Linux. Aggiornamento Software semestrale (annuale). Sospensione automatica delle sessioni di lavoro. sistema RAID. Sistema di Mirroring. Profili di autorizzazione di ambito diverso per diversi incaricati. E' utilizzato un sistema di autorizzazione. I profili di autorizzazione vengono specificati prima di ogni trattamento. Verifica periodica del profilo di autorizzazione. Consegna istruzioni dettagliate agli incaricati. Istruzioni sulla custodia degli strumenti elettronici durante le sessioni di trattamento. Misure Previste per il Piano di Miglioramento Verifica dei Back-up. Consegna istruzioni dettagliate agli incaricati. Data stampa: 14/06/2006 10:49 Pag. 8 di 12
Data ultima modifica : 14/06/2006 10:49 ANALISI DEI RISCHI Cod.Doc. 2140.20.0.168818 Procedure per ripristino dei dati. Copie di Back-up. Back-Up su Nastro Magnetico. Back-Up eseguito in Automatico. Back-Up su supporti sempre differenti. Data stampa: 14/06/2006 10:49 Pag. 9 di 12
Data ultima modifica : 14/06/2006 10:49 RIPRISTINO DEI DATI Cod.Doc. 2140.20.0.168818 RIPRISTINO DEI DATI Descrizione dei criteri attuati per garantire il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento. Sistemi di elaborazione SERVER linux Tipi di dato presenti Criticita' dei dati Responsabili della strumentazione elettronica Incaricati alla gestione del sistema di elaborazione Incaricati ai back-up Frequenza di back-up Tipo di supporto per il back-up Tipo di back-up Modalita' di back-up Riutilizzo dei supporti dati comuni alta Thomas Feregotto Thomas Feregotto Thomas Feregotto Back-Up giornaliero. Back-Up su Disco Rigido. Back-Up Completo. Back-Up eseguito manualmente. Back-Up Sullo stesso supporto. Data stampa: 14/06/2006 10:49 Pag. 10 di 12
Data ultima modifica : 14/06/2006 10:49 PIANO DI FORMAZIONE Cod.Doc. 2140.20.0.168818 PIANO DI FORMAZIONE Elenco degli interventi formativi effettuati o progettati per gli incaricati e per i responsabili della Privacy. Interventi formativi Thomas Feregotto 12/12/2005 : Aggiornamento della Nomina e consegna delle istruzioni e dei compiti, dettagliati e personalizzati, per la corretta gestione della Privacy. 12/12/2005 : Formazione base Cristian Feregotto 12/12/2005 : Formazione base Formazione per i nuovi incaricati Nel caso di un nuovo incaricato, è prevista la seguente formazione prima dell'inizio del trattamento: Assegnazione di dettagliate istruzioni scritte e personalizzate, complete dell'ambito di trattamento del nuovo incaricato, e formazione orale sugli obblighi di legge e sulle norme di condotta da parte del titolare o del responsabile al trattamento. Formazione prevista nel caso di cambiamenti di mansioni Nel caso in cui siano affidate mansioni differenti ad un incaricato, è prevista la seguente formazione: Assegnazione di istruzioni scritte aggiornate e complete relative al nuovo trattamento. Data stampa: 14/06/2006 10:49 Pag. 11 di 12
Data ultima modifica : 14/06/2006 10:49 TRATTAMENTI ESTERNI Cod.Doc. 2140.20.0.168818 ELENCO DEI TRATTAMENTI ESTERNI Elenco dei trattamenti esterni dei dati e dei criteri adottati per garantire il rispetto delle misure minime di sicurezza da parte dei titolari esterni. Affidatario del Trattamento : ASCOM Finalità del Trattamento : Buste paghe I dati affidati all'esterno fanno riferimento alle seguenti banche dati : Gestione Personale Criterio adottato per garantire il rispetto delle misure di sicurezza : L'adozione di apposite clausole contrattuali, nelle quali l'affidatario garantisce l'adozione delle misure minime di Sicurezza. Affidatario del Trattamento : Commercialista Elena Cussigh Finalità del Trattamento : Proma Nota e gestione bilanci I dati affidati all'esterno fanno riferimento alle seguenti banche dati : Acquisti, Vendite Criterio adottato per garantire il rispetto delle misure di sicurezza : L'adozione di apposite clausole contrattuali, nelle quali l'affidatario garantisce l'adozione delle misure minime di Sicurezza. Data stampa: 14/06/2006 10:49 Pag. 12 di 12