Misure tecniche. Esistono delle misure tecniche volte ad identificare e/o prevenire eventuali Trattamenti dei Dati Personali secondo finalità diverse da quelle previste dall’atto di designazione?
Misure tecniche. □ siano assunti protocolli di sicurezza anti-contagio e, laddove non fosse possibile rispettare la distanza interpersonale di un metro come principale misura di contenimento, con adozione di strumenti di protezione individuale; □ siano incentivate le operazioni di sanificazione dei luoghi di lavoro, anche utilizzando a tal fine forme di ammortizzatori sociali.
Misure tecniche. Articolo 8 Nel caso in cui un luogo di lavoro presenti dei rischi per la sicurezza o la salute, dovranno essere adottate efficaci misure (recinzione, segnalazione od altri adeguati mezzi, compreso, se necessario, l’arresto del lavoro) allo scopo di tutelare i lavoratori fino ad eliminazione di tali rischi.
Misure tecniche. Esistono delle misure tecniche volte ad identificare e/o prevenire eventuali trattamenti dei dati personali secondo finalità diverse da quelle previste dall’atto di designazione?
Misure tecniche. Credenziali di autenticazione
Misure tecniche. Password 5 Le password utilizzate dal Contraente sui propri sistemi devono presentare, al minimo, le seguenti caratteristiche di sicurezza di base: - obbligo di modifica al primo accesso; - lunghezza minima; - regole di complessità - scadenza - history - valutazione contestuale della robustezza e archiviazione dell’hash. Deve essere imposto un formato della password per evitare l’utilizzo di password banali o che contengano riferimenti agevolmente riconducibili all’utente al fine di garantire che le password siano adeguatamente robuste. Inoltre, il Contraente assicura che le password non siano salvate né trasmesse in chiaro. Il Contraente si assicura che tutti gli utenti siano sensibilizzati circa le modalità di conservazione sicura delle password, come ad esempio: evitare di comunicare a terzi la propria parola chiave, modificare la password in caso di compromissione, etc.. Misure tecniche Password 6 Il Contraente deve assicurare che le password utilizzate per accedere ai sistemi del Committente non siano salvate né trasmesse in chiaro. Il Contraente, inoltre, assicura che tutti gli utenti siano sensibilizzati circa le modalità di conservazione sicura delle password.
Misure tecniche. Log Management 8 I sistemi del Contraente sono configurati con modalità che consentono il tracciamento degli accessi e, ove appropriato, delle attività svolte in capo alle diverse tipologie di utenze, incluse quelle degli Amministratori di Sistema, e protetti da adeguate misure di sicurezza che ne garantiscono l’integrità, la riservatezza e la disponibilità. Il Contraente implementa un set di log standard che consentono di monitorare una serie di eventi e rilevare eventuali attacchi. I log sono analizzati con adeguata frequenza e con strumenti automatici (es. sistema centralizzato di Security Information and Event Management) al fine di verificare che non ci siano state anomalie.
Misure tecniche. Log Management (Cloud) 10 Il Contraente che eroga servizi Cloud garantisce che i sistemi e/o applicazioni sono configurati con modalità che consentono il tracciamento degli accessi e, ove appropriato, delle attività svolte in capo alle diverse tipologie di utenze, incluse quelle degli Amministratori di Sistema, e protetti da adeguate misure di sicurezza che ne garantiscono l’integrità, la riservatezza e la disponibilità. Il Contraente implementa un set di log standard che consentono di monitorare una serie di eventi e rilevare eventuali attacchi. Il Committente ritiene sufficiente il seguente set di log: - Autenticazione - Autorizzazione - Gestione della configurazione - Attività degli amministratori - Gestione degli accessi - Attività svolte sui dati con particolare attenzione ai dati personali - Utilizzo di funzionalità a più alto rischio - Connessioni di rete Inoltre, il Committente può verificare se tale set di log è sufficiente e in linea con le proprie politiche; diversamente, deve definire con il Contraente i requisiti per la registrazione degli eventi e verificare che il servizio soddisfi tali requisiti. Il Contraente che eroga servizi Cloud garantisce l’adozione di un sistema centralizzato di event logging e dà la possibilità al Committente di esportare i log sui propri sistemi, secondo quanto richiesto dalle soluzioni tecnologiche adottate dal committente. Misure tecniche Continuità Operativa 11 Il Contraente adotta idonee misure per garantire il ripristino dell’accesso ai dati del Committente in tempi certi in caso di danneggiamento degli stessi (es. procedure di backup, prove di ripristino dei dati, etc.). Sono predisposti dal Contraente un piano di continuità operativa e di disaster recovery che comprendono le attività per rispondere, recuperare, riprendere e ripristinare a un livello predefinito i servizi a seguito di un'interruzione degli stessi anche nel caso di eventi avversi di portata rilevante, applicando le buone pratiche presenti nello standard ISO/IEC 22313.
Misure tecniche. Gestione degli incidenti 20 Il Contraente definisce le regole che le proprie strutture aziendali devono seguire per assicurare una risposta rapida ed efficace a fronte del verificarsi di un incidente relativo alla sicurezza delle informazioni; Tali regole devono prevedere l’implementazione di sistemi e l’esecuzione di attività in linea con quanto definito all’interno delle Condizioni Generali di Acquisto e coerenti con quanto raccomandato dagli standard di sicurezza internazionali (p.e. ISO/IEC 27002, ISO/IEC 27701, ISO/IEC 27035), e garantire la notifica degli stessi al Committente nel rispetto di quanto previsto nell’atto di nomina ex art. 28 GDPR e all’art. 33 GDPR laddove siano coinvolti dati personali del Committente. Il Contraente assicura la massima trasparenza nella gestione degli eventi di sicurezza, garantendo al Committente appropriata visibilità dei processi di issue tracking e assistenza tecnica. Il Contraente deve definire le tempistiche per la presa in carico e gestione degli eventi di sicurezza in funzione di diverse priorità, dichiarando i livelli di servizio garantiti.
Misure tecniche. Gestione dei supporti rimovibili 21 Il Contraente definisce le modalità di gestione sicura dei supporti rimovibili (dispositivi portatili, dischetti, CD, DVD ecc.), per proteggere i supporti e formattarli. I supporti rimovibili se non utilizzati sono distrutti o resi inutilizzabili, altrimenti possono essere riutilizzati se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili. Misure tecniche Sicurezza Fisica 22 L’accesso fisico ai locali e ai Data Center del Contraente deve essere regolato da procedure interne e limitato ai soli soggetti autorizzati. Il Contraente che assegna servizi di Data Center a sub-fornitori nominati sub-responsabili, deve garantire che questi ultimi implementino appropriate e idonee misure di sicurezza per assicurare nel tempo la riservatezza, la disponibilità e l’integrità dei dati personali ivi conservati e trattati, ai sensi dell’art. 32 GDPR. Anche in tale caso l'accesso ai data center dovrà essere regolato da procedure interne e limitato ai soli soggetti autorizzati. Misure tecniche Sicurezza Fisica 23 Il Contraente che eroga servizi ICT nell'ambito dei quali tratta dati riservati del Committente, rende nota la localizzazione dei propri data center e degli end-point all’interno dei quali transiteranno anche temporaneamente i dati gestiti dal servizio (ivi compresi i siti di disaster recovery e di backup). Misure tecniche Sicurezza Fisica 24 Il Contraente che eroga servizi Cloud rende nota la localizzazione dei data center propri e/o dell’infrastruttura Cloud utilizzata per erogare anche parzialmente il servizio e/o all’interno dei quali transiteranno anche temporaneamente i dati gestiti dal servizio (ivi compresi i siti di disaster recovery e di backup). Misure tecniche Sicurezza delle comunicazioni 26 Il Contraente adotta protocolli di comunicazione sicuri sui propri sistemi e in linea con quanto la tecnologia rende disponibile. Il Contraente, inoltre, prevede l'utilizzo di canali di comunicazione cifrati e sicuri per lo scambio di informazioni verso l'esterno e l'interno, adeguati alla criticità delle informazioni trattate. Inoltre, i flussi di dati da e verso i sistemi in cloud esposti su internet sono protetti utilizzando un canale sicuro TLS in modo da assicurare: - autenticazione del server con algoritmo di cifratura asimmetrica, considerata ragionevolmente sicura alla data (e.g. chiave da almeno 2048 bit); - cifratura della sessione con algoritmo di cifratur...