Controllo dell’accesso ai dati. I soggetti autorizzati all'uso dei sistemi di trattamento dei dati avranno accesso ai soli Dati Personali di pertinenza e non potranno leggere, copiare, modificare o eliminare i Dati Personali se non debitamente autorizzati durante il trattamento, uso e archiviazione.
Controllo dell’accesso ai dati. Misure che garantiscono che le persone autorizzate a utilizzare un sistema di trattamento dei dati possano accedere solo ai dati oggetto della loro autorizzazione e che i dati personali non possano essere letti, copiati, modificati o rimossi senza autorizzazione durante il trattamento, l’utilizzo e dopo la conservazione: Gestione dell’accesso per la gestione del sistema operativo e del database: • L’accesso è regolato a livello organizzativo. • L’accesso al sistema operativo e alle applicazioni viene registrato su base personale. • Le autorizzazioni di accesso vengono concesse solo dopo l’approvazione del responsabile delle informazioni. • Prima di concedere le autorizzazioni, viene effettuato un controllo.
Controllo dell’accesso ai dati. Il Fornitore deve prendere le misure ragionevolmente necessarie per impedire l'accesso remoto ai Dati da parte di persone non autorizzate implementando e mantenendo misure adeguate per impedire la lettura, la copia, l’alterazione o la rimozione non autorizzate di contenuti che includono Dati, l’immissione non autorizzata nella memoria, la lettura, l’alterazione o la cancellazione dei Dati memorizzati . Ciò sarà realizzato attraverso le seguenti misure:
3.1. Mantenere una politica di classificazione e gestione dei dati scritta e un inventario dei dati registrati con una classificazione che indichi la posizione fisica ed elettronica.
3.2. Il Fornitore deve garantire che i Dati siano crittografati in transito utilizzando protocolli standard industriali non deprecati; per esempio. SSH/SCP/SFTPV2, TLSv1.2 o superiore.
3.3. Il fornitore deve garantire un livello di crittografia dei Dati standard per il settore e adeguato ai rischi presentati dal trattamento dei Dati a riposo. Ciononostante, tutti i backup di Xxxx devono essere crittografati su supporti di backup.
3.4. I Dati possono essere scaricati su PC del Fornitore, laptop, dispositivo mobile o memoria rimovibile solo se la crittografia del disco rigido è abilitata su tale dispositivo.
3.5. Assicurare la gestione e la rotazione periodica della chiave di crittografia.
3.6. I Dati non possono mai essere utilizzati in ambienti di sviluppo, test e/o simulazione, a meno che i Dati non siano pseudonimizzati e che tale utilizzo sia autorizzato da Avaya per iscritto.
3.7. Se vengono gestite, archiviate o in altro modo elaborate informazioni di un titolare di carta di credito, i sistemi del Fornitore devono avere la certificazione PCI DSS.
Controllo dell’accesso ai dati. Gli orientamenti in materia di sicurezza dei dati di SAP prevedono che ai Dati Personali sia applicato almeno lo stesso livello di protezione previsto per i dati "riservati" secondo lo standard di classificazione dei dati SAP. • L'accesso ai Dati Personali viene concesso solo a fronte di necessità. Il Personale ha accesso alle informazioni che necessitano per adempiere ai suoi compiti. SAP impiega modelli autorizzativi che documentano i processi di concessione e i ruoli assegnati a ciascun account. Tutti i Dati Cliente sono protetti ai sensi della SAP Security Policy. • Tutti i server di produzioni operano nei Data Center o in stanze server sicure. Le misure di sicurezza a protezione delle applicazioni di trattamento dei Dati Personali sono sottoposte a regolari controlli. A tal fine SAP conduce controlli di sicurezza interni ed esterni e/o test di penetrazione sui sistemi informatici. • Procedure e policies per individuare l’installazione di software non approvati sui sistemi di produzione. • Una norma di sicurezza SAP disciplina le modalità di cancellazione o distruzione dei dati o dei supporti dati una volta che essi non sono più necessari.
Controllo dell’accesso ai dati. Il personale autorizzato a utilizzare i sistemi di elaborazione dati otterrà accesso esclusivamente ai dati personali per cui ha diritto di accesso, e i dati personali non potranno essere letti, copiati, modificati o rimossi senza autorizzazione in corso di trattamento, utilizzo o memorizzazione.
Controllo dell’accesso ai dati. Le persone autorizzate a utilizzare i sistemi di elaborazione dei dati accedono solo ai Dati Personali a cui hanno il diritto di accedere e i Dati Personali non devono essere letti, copiati, modificati o rimossi senza autorizzazione nel corso dell'elaborazione, dell'uso e della conservazione.
Controllo dell’accesso ai dati. L’accesso ai dati ed alle strumentazioni informatiche utilizzate per trattarli deve essere concesso al solo personale espressamente autorizzato (nel caso di dati personali i cosiddetti autorizzati del trattamento). L’elenco del personale autorizzato deve essere aggiornato almeno a cadenza annuale. In nessun modo devono essere concessi permessi di accesso ai sistemi senza preventiva autorizzazione formale del responsabile funzionale o del referente regionale di progetto. Le modalità con cui viene formulata tale autorizzazione possono variare a seconda del tipo di trattamento.
Controllo dell’accesso ai dati. Misure atte a garantire che le persone autorizzate a utilizzare un sistema di trattamento dei dati possano accedere esclusivamente ai dati per cui è loro consentito l’accesso e che i dati personali non possano essere letti, copiati, modificati o cancellati senza autorizzazione durante la loro elaborazione e il loro utilizzo e successivamente al salvataggio Definizione delle autorizzazioni all’accesso Gestione dei diritti tramite amministratore di sistema Assegnazione restrittiva dei permessi di amministratore Conservazione sicura dei supporti dati Eliminazione fisica dai supporti dati prima del riutilizzo Registrazione degli accessi alle diverse applicazioni Registrazione delle trasmissioni di dati Definizione di procedure per il rilascio, il controllo e la revoca delle autorizzazioni Requisito dell’identificazione della password Eliminazione sicura dei supporti dati
Controllo dell’accesso ai dati. Struttura su richiesta del concetto di autorizzazione e dei diritti di accesso ai dati nonché il loro monitoraggio e registrazione: Le misure per il controllo dell’accesso ai dati devono essere mirate a consentire l’accesso solo ai dati per i quali esiste un’apposita autorizzazione e a rendere impossibile la lettura, la copia, la modifica o la cancellazione dei Dati personali in modo non autorizzato durante il trattamento, l’utilizzo e successivamente al salvataggio dei dati in questione. L’accesso ai dati necessario per l’esecuzione di un determinato compito viene assicurato all’interno dei sistemi e delle applicazioni attraverso un concetto di autorizzazione e ruolo corrispondente. In conformità al principio della “necessità di conoscere”, ogni ruolo dispone solo di quei diritti che sono necessari per l’esecuzione del compito che il singolo individuo deve eseguire. Il controllo dell’accesso ai dati viene garantito mediante l’utilizzo di tecnologie di crittografia (ad es. accesso remoto alla rete aziendale tramite tunnel VPN). L’adeguatezza di una tecnologia di crittografia viene confrontata con lo scopo della protezione.