MOG Capitale Lavoro S.p.A. – Parte Speciale Allegato 7 - Documento sulla sicurezza dati Capitale Lavoro S.p.A. Società Unipersonale della Città metropolitana di Roma Capitale Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it CAPITALE LAVORO SPA DOCUMENTO SULLA SICUREZZA DATI D.lgs. 196/2003 e ss.mm.ii.
29
Embed
DOCUMENTO SULLA SICUREZZA DATI D.lgs. 196/2003 e ss.mm.ii. · Allegato 7 - Documento sulla sicurezza dati Capitale Lavoro S.p.A. Società Unipersonale della Città metropolitana di
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
MOG Capitale Lavoro S.p.A. – Parte Speciale Pag. 1 a 29
Allegato 7 - Documento sulla sicurezza dati
Capitale Lavoro S.p.A. Società Unipersonale della Città metropolitana di Roma Capitale
Sede Legale: Viale Giorgio Ribotta, 41– 00144 Roma Tel. +39 06 45.49.98.1 P.I./C.F. 07170551001 www.capitalelavoro.it
1.1. Tipologia del trattamento dati 5 Finalità del trattamento o attività svolta 5 Struttura organizzativa 5 Categoria di persone a cui si riferiscono i dati 5 Elencazione banche dati 5 Natura dei dati 6 Modalità di trattamento 7
1.2. Altre strutture che concorrono al trattamento 8 1.3. Descrizione degli strumenti elettronici 8 1.4. Analisi dei rischi 10
Accesso non autorizzato 10 Perdita e distribuzione dei dati Trattamento dei dati non conforme alla finalità della raccolta dei dati stessi 11
2 DISTRIBUZIONE DEI COMPITI E RESPONSABILITA 11 2.1. Soggetti interessati 11 2.2. Criteri tecnici ed organizzativi – criteri e procedure per la integrità dei dati 13 2.3. Procedure di accesso ai locali 15 2.4. Criteri e procedure per la trasmissione dati 16
3 PIANIFICAZIONE INTERVENTI FORMATIVI 17
3.1. Informazione degli incaricati 17
4 TRATTAMENTI ESTERNALIZZATI 18 5 PIANO OPERATIVO AZIENDALE
SEZIONE TABELLARE 19
Elenco dei trattamenti 20 Competenze e responsabilità della struttura centrale preposta al trattamento 21 Classi omogenee di incarico e profili di autorizzazione 22 Analisi dei rischi 23 Misure di sicurezza 24 Criteri e procedure per il salvataggio dei dati 25 Interventi informativi 26 Trattamenti affidati all’esterno 27
metropolitana, Comune, Municipio, ASL, Questura, Prefettura, Tribunali ed istituzioni pubbliche e
private.
Codice dati Tipologie di dati trattati
01 Dati personali degli utenti dei servizi svolti in convenzione con la Città metropolitana di Roma Capitale
02 Dati personali dei lavoratori dipendenti, quali quelli necessari al rapporto di lavoro, alla reperibilità ed alla corrispondenza con gli stessi o richiesti ai fini fiscali e previdenziali o dati di natura bancaria
03 Dati personali dei collaboratori, quali quelli necessari al rapporto di collaborazione, alla reperibilità ed alla corrispondenza con gli stessi o richiesti ai fini fiscali e previdenziali o dati di natura bancaria
04 Dati personali dei fornitori di beni o servizi concernenti la reperibilità e la corrispondenza con gli stessi, nonché inerenti ai fini fiscali o dati di natura bancaria
05 Dati personali di professionisti e consulenti cui Capitale Lavoro S.p.A. affida incarichi, quali quelli concernenti la reperibilità e la corrispondenza con gli stessi, nonché inerenti a finalità fiscali o dati di natura bancaria
06 Dati sensibili del personale dipendente, conseguenti al rapporto di lavoro, ovvero inerenti ai rapporti con gli enti previdenziali ed assistenziali, o dati giudiziari del personale dipendente, o l’adesione ad organizzazioni sindacali
Modalità di trattamento
Le tipologie di dati precedentemente elencate sono sottoposte alle seguenti modalità di
trattamento previste dal Codice, art.4 lettera a):
La lunghezza delle password è stata portata ad un minimo di 8 caratteri nel rispetto di complessità
delle “default domain policy”. Per le parole chiave stesse è stata impostata una periodicità di
cambiamento trimestrale.
La rete locale viene gestita attraverso la piattaforma Windows 2012 Server. In tale ambito le
credenziali di autenticazione vengono gestite attraverso le componenti di Windows a ciò
destinate. All’atto della creazione delle credenziali di autenticazione di un utente, viene generato
uno “user account” nel Dominio denominato “capitalelavoro.local”.
Il sistema implementato è caratterizzato dai seguenti punti di controllo chiave oltre ai criteri
generali precedentemente esposti:
✓ ciascun utente viene univocamente definito al Dominio, attraverso l’attribuzione di un
codice identificativo (user-id) personale a cui è associata una parola chiave (password) standard;
al primo log-on al sistema da parte dell’utente il sistema operativo obbliga la modifica della
password iniziale;
✓ la password di rete possono essere resettate dall’Amministratore di Sistema essendo stato
previsto nei PC un account di administrator local proprio per permettere l’accesso in caso di
smarrimento delle credenziali;
✓ le password di rete attualmente sono sottoposte a scadenza periodica;
✓ le password degli utenti hanno una lunghezza minima di 8 caratteri, controllata dal sistema,
e possono essere modificate autonomamente dall’utente.
L’accesso ad internet della rete aziendale è garantito da una connessione fornita da Città
metropolitana di Roma Capitale che garantisce il servizio e la banda concordata. Il servizio di
posta elettronica ci è fornito da FASTWEB completo di antispam.
Il sito internet istituzionale è www.capitalelavoro.it. Il sito è installato sui server forniti in housing
a Capitale Lavoro S.p.A. da una società fornitrice del servizio.
1.4. Analisi dei rischi
Accesso non autorizzato
Gli Uffici di Capitale Lavoro S.p.A. sono ubicati, come descritto al piano sesto dello stabile di Viale
Giorgio Ribotta, 41– 00144 Roma. L’accesso agli uffici è dotato di un sistema centralizzato di
sicurezza ed è sorvegliato da addetti alla ricezione.
La sede è dotata di un sistema di allarme.
Quanto agli archivi elettronici, considerata l’informatizzazione del sistema di gestione ed il
collegamento in rete con i vari uffici dislocati sul territorio, la condivisione o comunque l’accesso a
banche dati detenute presso le varie Istituzioni pubbliche con cui Capitale Lavoro S.p.A. collabora,
il rischio di indebito acceso è di dispersione dei dati non è irrilevante. Al fine pertanto di ridurre al
minimo detto rischio, ad ogni operatore è stato assegnato un PC, dotato di propria password e
USER ID. La password è autonomamente sostituibile ad ogni incaricato. Sono state inoltre previste
procedure di disattivazione del codice identificativo consistenti nella scadenza della password, sia
per le ipotesi di perdita della qualità che di mancato utilizzo per protratti periodi di tempo.
Sono in uso programmi antivirus con aggiornamento automatico. Sono state attuate le misure di sicurezza relative alla identificazione per iscritto degli incaricati e alle autorizzazioni.
Perdita e distruzione dei dati I documenti cartacei vengono tenuti sulla scrivania di ciascun operatore per il tempo strettamente necessario all’espletamento della pratica; vengono trasferiti altrove solo per brevi momenti (ad es. per firme o approvazioni), non rimangono mai incustoditi e sono archiviati al termine dell’utilizzo o, in ogni caso, al termine dell’attività lavorativa. I predetti documenti cartacei, unitamente ai libri sociali e tutti i documenti societari, sono
conservati in armadi chiusi a chiave all’interno degli uffici amministrativi, muniti di serratura, a
cui accede il solo personale addetto.
Sono state adottate inoltre misure specifiche al fine di evitare la possibilità di distruzione sia
degli archivi cartacei che di quelli elettronici in connessione ad eventi esterni ed imprevedibili,
consistenti in idonei sistemi di antincendio.
Quanto agli archivi elettronici, sono stati previsti sistemi antivirus con aggiornamento automatico. Trattamento dei dati non conforme alla finalità della raccolta dei dati stessi Attualmente sono stati predisposti atti scritti di individuazione degli incaricati con relativa autorizzazione al trattamento ed istruzioni comportamentali, ed è stata prevista una procedura di revisione in relazione alle modifiche nell’organico del personale e al mutamento di mansioni.
2. DISTRIBUZIONE DI COMPITI E RESPONSABILITA’
2 Soggetti interessati
Sono state individuate le varie figure organizzative previste dal D.Lgs. 196/2003 All.B.
In particolare:
Il Titolare del Trattamento
E’ il “Titolare del trattamento” la persona fisica, la persona giuridica, la Pubblica Amministrazione e qualsiasi altro Ente, associazione ad organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza.
In particolare il Titolare del Trattamento effettua: ✓ la nomina del responsabile del trattamento; ✓ l’affidamento degli incarichi al Responsabile; ✓ la vigilanza sull’attività del Responsabile; ✓ l’osservanza delle diposizioni del Garante; ✓ l’adozione delle misure minime di sicurezza; ✓ l’informativa ed il consenso degli utenti al trattamento dei dati sensibili.
Nella specie il Titolare del trattamento è Capitale Lavoro S.p.A., con sede legale in Roma, Viale Giorgio Ribotta 41, in persona del legale rappresentante: Claudio Panella.
Il Responsabile del Trattamento
E’ la persona fisica, la persona giuridica, la Pubblica Amministrazione e qualsiasi altro Ente,
associazione o organismo, dotati di particolare esperienza, capacità ed affidabilità, preposti dal titolare al trattamento dei dati personali. La nomina deve avvenire per atto scritto e deve contenere l’indicazione dei compiti assegnati a ciascun responsabile.
Il Responsabile del Trattamento è tenuto a: ✓ attenersi alle istruzioni impartite dal Titolare; ✓ vigilare sulla puntuale osservanza delle proprie istruzioni circa le concrete modalità di
trattamento dei dati e sull’osservanza delle disposizioni in materia di sicurezza.
Nella caso di Capitale Lavoro S.p.A. Responsabile del Trattamento è Franco Leccese.
Gli Incarichi del Trattamento
Tutti gli operatori di Capitale lavoro S.p.A. che trattano dati personali, e/o sensibili e/o giudiziari vengono designati con atto scritto, quali “Incaricati del trattamento”. È stata inoltre consegnata a ciascuno copia del regolamento contenente le istruzioni comportamentali.
Gli Incaricati del Trattamento devono: ✓ compiere le operazioni di trattamento per le quali sono stati incaricati per iscritto
dal Titolare o dal Responsabile; ✓ elaborare i dati personali a cui hanno acceso attendendosi alle istruzioni del Titolare
o del Responsabile; ✓ rispettare l’obbligo del segreto d’ufficio.
Preposto alla custodia delle parole chiave
Il Preposto deve custodire con cura le parole-chiave e coordinare le modifiche.
È designato quale Preposto alle parole – chiave di Capitale Lavoro S.p.A. Maurizio Apicella
Amministratore di Sistema
Capitale lavoro S.p.A. è dotata di un Ufficio Sistemi Informativi.
È designato quale Amministratore di Sistema di Capitale Lavoro S.p.A. Maurizio Apicella
Saranno adottate tutte le misure tecniche ed organizzative che riguardano tale figura, come prescritto, ai sensi dell’Art. 154 co. 1 lett. h) D.Lgs. n. 196/2003, nel parere del Garante per la privacy del 27/11/2008 (come modificato in base al provvedimento del 25/6/2009). L’attribuzione delle funzioni di Amministratore di Sistema avviene previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. La designazione quale Amministratore di Sistema è individuale e reca l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. Gli estremi identificativi delle persone fisiche Amministratori di Sistema, con l’elenco delle funzioni ad essi attribuite, sono stati riportati nel presente DPS. Poiché gli Amministratori di Sistema intervengono anche su servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, il Titolare del Trattamento ha reso nota l’identità degli Amministratori di Sistema. Nell’ambito della propria organizzazione, mediante informativa resa agli interessati ai sensi dell’Art. 13 del Codice nell’ambito del rapporto di lavoro o in alternativa ordine di servizio a circolazione
interna. L’operato degli Amministratori di Sistema sarà oggetto, con cadenza almeno annuale di un’attività di verifica da parte del Titolare del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti. Saranno adottati sistemi idonei di registrazione degli accessi logici (autenticazione informata) ai sistemi di elaborazione e agli archivi elettronici da parte degli Amministratori di Sistema. Le registrazione (access log) devono essere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un periodo non inferiore a sei mesi.
3 Criteri tecnici ed organizzativi – criteri e procedure per le integrità dei dati
Negli archivi informatici di Capitale Lavoro S.p.A. vengono conservati dati personali sia “comuni”
che “sensibili” e “giudiziari”.
In applicazione del D.Lgs. 196/2003 Capitale Lavoro S.p.A. in considerazione dei rischi come
dinnanzi evidenziati, di distruzione o perdita dei dati, di accesso non autorizzati e trattamento non
conforme alla finalità, provvede a fornire ad ogni Incaricato uno specifico codice identificativo ed
una parola chiave (o “password”) di default per l’accesso dei dati personali, che l’incaricato ha
l’obbligo di cambiare.
Ad ogni codice Identificativo – password corrisponde un profilo che consentirà a ciascun
incaricato di accedere ai soli dati strettamente necessari allo svolgimento dei propri compirti.
Ogni Incaricato del trattamento mediante elaboratori elettronici è stato informato delle seguenti
regole:
✓ Divieto di accesso e trattamento dei dati, specie se sensibili e giudiziari, che non siano
strettamente necessari per il proprio lavoro;
✓ Sostituzione trimestrale della password (8 caratteri) da parte di ciascun incaricato;
✓ Divieto di utilizzo di uno stesso codice identificativo, anche in tempi diversi da parte di
persone diverse;
✓ Assegnazione e modifica dei codici identificativi personali in modo tale da consentirne la
disattivazione in caso di perdita della qualifica o delle funzioni che consentivano l’accesso
all’elaboratore o di mancato utilizzo dei medesimi per un periodo superiori a sei mesi. A tal
fine il Responsabile dell’amministrazione è tenuto a segnalare al Preposto alla custodia
delle parole – chiave, ogni cambiamento nella Capitale Lavoro S.p.A., al fine di eliminare il
relativo codice identificativo del sistema;
✓ Divieto di utilizzo di uno stesso codice identificativo per accedere contemporaneamente
alla stessa applicazione da diverse stazioni di lavoro. È obbligatorio disconnettersi dalla
stazione di lavoro precedenti e solo dopo riconnettersi da quella successivamente prescelta
✓ Necessità di disconnettersi dalla rete in tutti i casi di significativo allontanamento dalla
postazione di lavoro, e di svuotare quotidianamente il “cestino” di Windows (o analoghi);
✓ Divieto di utilizzo di software non autorizzato da Capitale Lavoro S.p.A.;
Sviluppo e implementazione delle normative vigenti in materia
Staff di Area Sistemi informativi Raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, interconnessione,