Misure tecniche. Esistono delle misure tecniche volte ad identificare e/o prevenire eventuali Trattamenti dei Dati Personali secondo finalità diverse da quelle previste dall’atto di designazione? …………………………………………………………………………………...……………………………………………………………… …………………..……….. …………………………………………………………………………………...……………………………………………………………… …………………..……….. Esistono misure tecniche in grado di consentire la cancellazione, la modifica, l’aggiornamento. la limitazione dell’utilizzo e la portabilità dei Dati Personali a richiesta del Titolare alla cessazione dell’Accordo? …………………………………………………………………………………...……………………………………………………………… …………………..……….. …………………………………………………………………………………...……………………………………………………………… …………………..……….. Esistono delle misure tecniche che consentono la restituzione dei Dati Personali al Titolare alla cessazione dell’Accordo? …………………………………………………………………………………...……………………………………………………………… …………………..……….. …………………………………………………………………………………...……………………………………………………………… …………………..……….. Ogni Addetto accede ai sistemi informatici del Titolare e/o ai sistemi del Responsabile tramite codice-id e password ha ricevuto designazione specifica ed ha ricevuto istruzioni specifiche? …………………………………………………………………………………...……………………………………………………………… …………………..……….. …………………………………………………………………………………...……………………………………………………………… …………………..……….. La password di accesso ai sistemi informatici utilizzata da ogni addetto è di almeno 8 caratteri, non facilmente riconducibile all’Addetto (quindi non uguale alla log-in) e modificata al primo utilizzo e ogni 3/6 mesi? …………………………………………………………………………………...……………………………………………………………… …………………..……….. …………………………………………………………………………………...……………………………………………………………… …………………..……….. Vengono utilizzati account condivisi tra più Addetti per poter accedere ai Dati Personali del Titolare ? …………………………………………………………………………………...……………………………………………………………… …………………..……….. …………………………………………………………………………………...……………………………………………………………… …………………..……….. Qualora il Responsabile sia stato autorizzato ad accedere ai sistemi informatici del Titolare, Il Responsabile ha predisposto una procedura per comunicare al Titolare il turn over (assunzione, cambio di mansione, cessazione) dei propri addetti ed amministratori di sistema per permettere al Titolare la revoca/modifica degli accessi? …………………………………………………………………………………...……………………………………………………………… …………………..……….. …………………………………………………………………………………...……………………………………………………………… …………………..……….. I documenti cartacei contenenti i Xxxx Personali sono custoditi in armadi con chiusura a chiave? …...
Misure tecniche. □ siano assunti protocolli di sicurezza anti-contagio e, laddove non fosse possibile rispettare la distanza interpersonale di un metro come principale misura di contenimento, con adozione di strumenti di protezione individuale; □ siano incentivate le operazioni di sanificazione dei luoghi di lavoro, anche utilizzando a tal fine forme di ammortizzatori sociali.
Misure tecniche. Credenziali di autenticazione 2 Il Contraente che accede ai sistemi del Committente si impegna a comunicare tempestivamente al Committente i casi di trasferimento e cessazione dell’operatività del personale coinvolto nell’erogazione del servizio, al fine di consentire al Committente una corretta gestione delle utenze e dei relativi privilegi di accesso.
Misure tecniche. Credenziali di autenticazione 3 I sistemi del Contraente devono essere configurati con modalità atte a consentire l’accesso unicamente a soggetti dotati di credenziali di autenticazione univoche (username e password), non riassegnabili agli utenti neppure in tempi diversi al fine di evitare che accessi indebiti ai sistemi del Contraente diano accesso ai dati del Committente.
Misure tecniche. Password 5 Le password utilizzate dal Contraente sui propri sistemi devono presentare, al minimo, le seguenti caratteristiche di sicurezza di base: - obbligo di modifica al primo accesso; - lunghezza minima; - regole di complessità - scadenza - history - valutazione contestuale della robustezza e archiviazione dell’hash. Deve essere imposto un formato della password per evitare l’utilizzo di password banali o che contengano riferimenti agevolmente riconducibili all’utente al fine di garantire che le password siano adeguatamente robuste. Inoltre, il Contraente assicura che le password non siano salvate né trasmesse in chiaro. Il Contraente si assicura che tutti gli utenti siano sensibilizzati circa le modalità di conservazione sicura delle password, come ad esempio: evitare di comunicare a terzi la propria parola chiave, modificare la password in caso di compromissione, etc.. Misure tecniche Password 6 Il Contraente deve assicurare che le password utilizzate per accedere ai sistemi del Committente non siano salvate né trasmesse in chiaro. Il Contraente, inoltre, assicura che tutti gli utenti siano sensibilizzati circa le modalità di conservazione sicura delle password.
Misure tecniche. Log Management 8 I sistemi del Contraente sono configurati con modalità che consentono il tracciamento degli accessi e, ove appropriato, delle attività svolte in capo alle diverse tipologie di utenze, incluse quelle degli Amministratori di Sistema, e protetti da adeguate misure di sicurezza che ne garantiscono l’integrità, la riservatezza e la disponibilità. Il Contraente implementa un set di log standard che consentono di monitorare una serie di eventi e rilevare eventuali attacchi. I log sono analizzati con adeguata frequenza e con strumenti automatici (es. sistema centralizzato di Security Information and Event Management) al fine di verificare che non ci siano state anomalie.
Misure tecniche. Log Management (Cloud) 10 Il Contraente che eroga servizi Cloud garantisce che i sistemi e/o applicazioni sono configurati con modalità che consentono il tracciamento degli accessi e, ove appropriato, delle attività svolte in capo alle diverse tipologie di utenze, incluse quelle degli Amministratori di Sistema, e protetti da adeguate misure di sicurezza che ne garantiscono l’integrità, la riservatezza e la disponibilità. Il Contraente implementa un set di log standard che consentono di monitorare una serie di eventi e rilevare eventuali attacchi. Il Committente ritiene sufficiente il seguente set di log: - Autenticazione - Autorizzazione - Gestione della configurazione - Attività degli amministratori - Gestione degli accessi - Attività svolte sui dati con particolare attenzione ai dati personali - Utilizzo di funzionalità a più alto rischio - Connessioni di rete Inoltre, il Committente può verificare se tale set di log è sufficiente e in linea con le proprie politiche; diversamente, deve definire con il Contraente i requisiti per la registrazione degli eventi e verificare che il servizio soddisfi tali requisiti. Il Contraente che eroga servizi Cloud garantisce l’adozione di un sistema centralizzato di event logging e dà la possibilità al Committente di esportare i log sui propri sistemi, secondo quanto richiesto dalle soluzioni tecnologiche adottate dal committente. Misure tecniche Continuità Operativa 11 Il Contraente adotta idonee misure per garantire il ripristino dell’accesso ai dati del Committente in tempi certi in caso di danneggiamento degli stessi (es. procedure di backup, prove di ripristino dei dati, etc.). Sono predisposti dal Contraente un piano di continuità operativa e di disaster recovery che comprendono le attività per rispondere, recuperare, riprendere e ripristinare a un livello predefinito i servizi a seguito di un'interruzione degli stessi anche nel caso di eventi avversi di portata rilevante, applicando le buone pratiche presenti nello standard ISO/IEC 22313.
Misure tecniche. Gestione degli incidenti 20 Il Contraente definisce le regole che le proprie strutture aziendali devono seguire per assicurare una risposta rapida ed efficace a fronte del verificarsi di un incidente relativo alla sicurezza delle informazioni; Tali regole devono prevedere l’implementazione di sistemi e l’esecuzione di attività in linea con quanto definito all’interno delle Condizioni Generali di Acquisto e coerenti con quanto raccomandato dagli standard di sicurezza internazionali (p.e. ISO/IEC 27002, ISO/IEC 27701, ISO/IEC 27035), e garantire la notifica degli stessi al Committente nel rispetto di quanto previsto nell’atto di nomina ex art. 28 GDPR e all’art. 33 GDPR laddove siano coinvolti dati personali del Committente. Il Contraente assicura la massima trasparenza nella gestione degli eventi di sicurezza, garantendo al Committente appropriata visibilità dei processi di issue tracking e assistenza tecnica. Il Contraente deve definire le tempistiche per la presa in carico e gestione degli eventi di sicurezza in funzione di diverse priorità, dichiarando i livelli di servizio garantiti.
Misure tecniche. Gestione dei supporti rimovibili 21 Il Contraente definisce le modalità di gestione sicura dei supporti rimovibili (dispositivi portatili, dischetti, CD, DVD ecc.), per proteggere i supporti e formattarli. I supporti rimovibili se non utilizzati sono distrutti o resi inutilizzabili, altrimenti possono essere riutilizzati se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. Misure tecniche Sicurezza Fisica 22 L’accesso fisico ai locali e ai Data Center del Contraente deve essere regolato da procedure interne e limitato ai soli soggetti autorizzati. Il Contraente che assegna servizi di Data Center a sub-fornitori nominati sub-responsabili, deve garantire che questi ultimi implementino appropriate e idonee misure di sicurezza per assicurare nel tempo la riservatezza, la disponibilità e l’integrità dei dati personali ivi conservati e trattati, ai sensi dell’art. 32 GDPR. Anche in tale caso l'accesso ai data center dovrà essere regolato da procedure interne e limitato ai soli soggetti autorizzati. Misure tecniche Sicurezza Fisica 23 Il Contraente che eroga servizi ICT nell'ambito dei quali tratta dati riservati del Committente, rende nota la localizzazione dei propri data center e degli end-point all’interno dei quali transiteranno anche temporaneamente i dati gestiti dal servizio (ivi compresi i siti di disaster recovery e di backup). Misure tecniche Sicurezza Fisica 24 Il Contraente che eroga servizi Cloud rende nota la localizzazione dei data center propri e/o dell’infrastruttura Cloud utilizzata per erogare anche parzialmente il servizio e/o all’interno dei quali transiteranno anche temporaneamente i dati gestiti dal servizio (ivi compresi i siti di disaster recovery e di backup). Misure tecniche Sicurezza delle comunicazioni 26 Il Contraente adotta protocolli di comunicazione sicuri sui propri sistemi e in linea con quanto la tecnologia rende disponibile. Il Contraente, inoltre, prevede l'utilizzo di canali di comunicazione cifrati e sicuri per lo scambio di informazioni verso l'esterno e l'interno, adeguati alla criticità delle informazioni trattate. Inoltre, i flussi di dati da e verso i sistemi in cloud esposti su internet sono protetti utilizzando un canale sicuro TLS in modo da assicurare: - autenticazione del server con algoritmo di cifratura asimmetrica, considerata ragionevolmente sicura alla data (e.g. chiave da almeno 2048 bit); - cifratura della sessione con algoritmo di cifratur...
Misure tecniche. Crittografia 27 Il Contraente implementa misure tecniche di crittografia sui propri sistemi adottando meccanismi di cifratura con un livello di robustezza adeguato rispetto alla criticità delle informazioni trattate. Il Contraente deve garantire la sicurezza dei dati del Committente in transito attraverso adeguati meccanismi di cifratura. Inoltre, il Contraente deve trasmettere i dati del Committente su canali cifrati, attraverso l'utilizzo di protocolli di comunicazione sicuri (es. SFTP, HTTPS, SSH, VPN).