Sicurezza dei dati. 8 Art. 15. Riservatezza 9
Sicurezza dei dati. 14.1. Il personale della Ditta è autorizzato ad accedere alle banche dati di INPDAP solo nella misura necessaria per lo svolgimento dei propri compiti; l’accesso alle medesime banche dati da parte di un Sub-fornitore deve essere autorizzato dal RTI ed inoltre lo stesso dovrà attenersi alle medesime disposizioni a cui è tenuto la Ditta in materia di protezione dei dati personali. Le Parti si impegnano a non rivelare a persone non autorizzate i codici di accesso necessari all’utilizzo dei dati e/o del sistema
14.2. La Ditta garantirà una adeguata applicazione delle misure di sicurezza tecniche e organizzative sviluppate e concordate con INPDAP sulla protezione dei dati personali, in relazione all’elaborazione dei dati medesimi, nel rispetto delle norme vigenti in materia (D.lgs 196/03 e s.m.i.).
14.3. La Ditta procederà, a seguito di accordo con INPDAP, alla conservazione dei dati personali di INPDAP nel rispetto delle istruzioni scritte rilasciate dalla stessa. Su richiesta scritta di INPDAP e non oltre 3 (tre) mesi dopo la risoluzione o la scadenza del Contratto, intervenuta per qualsivoglia ragione, oppure nei casi in cui specifici dati non dovessero più servire al fine dell’erogazione dei Servizi, in tutti questi casi, detti dati saranno restituiti a INPDAP su supporto magnetico laddove possibile o, se INPDAP dovesse richiederlo in forma scritta, saranno distrutti.
14.4. I dati di INPDAP non potranno essere utilizzati dalla Ditta per scopi diversi da quelli dell’erogazione dei Servizi previsti da contratto; tali dati non potranno inoltre, essere venduti, ceduti, noleggiati, divulgati o comunque trasferiti dalla Ditta a terze parti, ad eccezione dei sub fornitori. La Ditta non possederà o vanterà qualsivoglia privilegio o altro diritto in relazione ai dati di INPDAP.
Sicurezza dei dati. 1. Per ciascun Comune per conto del quale l’Amministrazione opera, il Fornitore si obbliga a rispettare quanto segue: - essere qualificati nei servizi cloud per la Pubblica Amministrazione secondo quanto disposto dal Decreto direttoriale Prot. N. 5489 del 08/02/2023 dell’Agenzia per la Cybersicurezza Nazionale, o, in alternativa essere qualificati nel Market Place di AgID e provvedere entro il 31/07/2023 alla transizione al nuovo sistema di qualificazione dei servizi cloud pubblici secondo quanto disposto dal Decreto direttoriale Prot. N. 5489 del 08/02/2023. - restare qualificati nei servizi cloud per la Pubblica Amministrazione secondo quanto disposto dal Decreto direttoriale Prot. N. 5489 del 08/02/2023 dell’Agenzia per la Cybersicurezza Nazionale, per la durata del contratto (NB: solo misura 1.2); - essere conforme a una serie di requisiti organizzativi, di sicurezza, di performance e scalabilità, interoperabilità e portabilità fissati dalle circolari Agid n. 2 e n. 3 del 9 aprile 2018. Questo rientra nella strategia Cloud della Pa delineata da AgID in coerenza con gli obiettivi del Piano Triennale per l’Informatica Pubblica per favorire l’adozione del modello del Cloud Computing nelle Amministrazioni italiane (NB: solo misura 1.2); - erogare la soluzione tramite apparati installati presso datacenter ubicati sul territorio nazionale o dell'Unione Europea (Ai sensi dell’Art. 1, par. 3 del GDPR - Regolamento UE 2016/679 del Parlamento europeo e del Consiglio). Tale ubicazione deve essere chiaramente indicata insieme ad una descrizione delle infrastrutture di cui è composto il datacenter; - impedire il trasferimento dei dati in datacenter ubicati in Paesi terzi esterni all’Unione Europea in quanto verrebbe a mancare la possibilità di controllo e verifica da parte del “Titolare del Trattamento dei Dati”, individuato nei singoli Comuni, sull’esistenza delle condizioni di adeguatezza e delle garanzie previste dal GDPR da parte del Paese terzo, né per verificare a tutti gli effetti la compliance del CSP (Cloud Service Provider) alla normativa; - garantire la continuità operativa della soluzione attraverso la messa in atto di misure, procedure ed apparati finalizzati all’adozione di piani specifici di Business Continuity e di Disaster Recovery;
2. Per una maggiore garanzia della sicurezza dei dati gestiti attraverso la soluzione, i Comuni devono poter avere o eseguire copia integrale e utilizzabile della banca dati.
3. I dati rimangono di proprietà dei Comuni,...
Sicurezza dei dati. Il Responsabile deve: - limitare il periodo di conservazione dei dati personali nella misura necessaria per ogni singola attività di trattamento, nel rispetto degli obblighi legali e/o regolamentari vigenti. Al personale del Responsabile non è consentito archiviare dati su supporti digitali portatili, salvo che questi ultimi presentino le adeguate misure di sicurezza ivi incluso la cifratura, una copia dei dati personali risiedono anche sui sistemi di archiviazione del Responsabile e siano stati autorizzati dal Titolare; - crittografare (cryptography in transit) tutti i dati personali che transitano all’interno della rete del Responsabile e verso il Titolare attraverso i protocolli standard la cui sicurezza è assicurata; - prevedere l’utilizzo di sistemi di monitoraggio sul perimetro della propria rete che analizzino il traffico aziendale al fine di controllare il flusso dei dati dall’interno verso l’esterno e dall’esterno verso l’esterno; - proteggere adeguatamente i supporti dove sono fisicamente contenuti i dati del Titolare mediante l’adozione di misure logiche e fisiche come la chiusura a chiave e il registro degli accessi fisici al luogo di conservazione del supporto. - per la dismissione degli asset e dei supporti informatici, deve mettere in atto procedure di pulizia sicura e certificata al fine di rimuovere in via definitiva tutti i dati personali e/o sovrascrivere in modo sicuro prima dello smaltimento o del riutilizzo; - istruire e formare il proprio personale sulle corrette regole di condotta da adottare per la protezione dei dati personali accessibili dai sistemi del Responsabile (ad es: accesso mediante credenziali riservate, implementazione di screen saver con password che si attivano dopo un breve periodo di inattività, ecc..). - istruire e formare il proprio personale sulle corrette regole di condotta da adottare per la protezione dei dati personali contenuti in documenti cartacei (ad es: in caso di allontanamento dalla postazione di lavoro assicurarsi che nessuno possa accedere alle informazioni riservate proteggendo i documenti originali e le fotocopie da furto o uso non autorizzato, conservando la documentazione in cassetti e armadi chiusi alla fine della sessione di lavoro).
Sicurezza dei dati. 1. Il personale dell’Impresa è autorizzato ad accedere alle banche dati e/o sistemi di INPDAP solo nella misura necessaria per lo svolgimento dei propri compiti; l’impresa garantirà il rispetto delle misure di sicurezza tecniche ed organizzative sviluppate e concordate con INPDAP. L’accesso alle medesime banche dati e/o sistemi da parte di un sub-appaltatore deve essere autorizzato dall’impresa ed inoltre lo stesso dovrà attenersi alle medesime disposizioni a cui è tenuta l’impresa in materia di protezione dei dati personali. Le Parti si impegnano a non rivelare a persone non autorizzate i codici di accesso necessari all’utilizzo dei dati e/o del sistema.
2. I dati di INPDAP non potranno essere utilizzati dall’Impresa per scopi diversi da quelli dell’erogazione dei servizi previsti dal contratto; tali dati non potranno, inoltre, essere venduti, ceduti, noleggiati, divulgati o comunque trasferiti dall’Impresa a terze parti, ad eccezione dei sub appaltatori. L’Impresa non possederà o vanterà qualsivoglia privilegio o altro diritto in relazione ai dati di INPDAP.
3. Nell’ambito dell’erogazione dei servizi previsti nel presente contratto, l’Impresa garantirà il rispetto delle procedure di sicurezza tecniche/organizzative previste dagli standard dell’Istituto e che verranno comunicate all'Impresa, secondo quanto previsto dal Capitolato Tecnico.
4. L’Impresa si impegna a comunicare preventivamente all’Istituto i nominativi del personale designato per gli interventi da effettuare presso le sedi dell’Istituto.
Sicurezza dei dati. 1. Il tesoriere si impegna ad utilizzare i sistemi di sicurezza più aggiornati con particolare riferimento alla lunghezza delle chiavi di crittografia ed ai sistemi di server. Le comunicazioni telematiche tra ente e tesoriere devono avvenire su canali sicuri crittografati.
2. Il tesoriere è tenuto all’osservanza della normativa vigente in materia di protezione dei dati personali.
Sicurezza dei dati. Il Responsabile si impegna ad adottare misure tecniche e organizzative adeguate a garantire un idoneo livello di sicurezza in riferimento ai Dati personali e ad adottare ogni misura necessaria a prevenire, o quantomeno minimizzare, ogni rischio ragionevolmente prevedibile connesso alla distruzione, alla perdita, alla modifica, alla divulgazione non autorizzata o all’accesso, in modo accidentale o illegale, ai dati ricevuti. In particolare, il Responsabile si impegna ad adottare misure di sicurezza conformi a quanto disposto all’art. 32 del Regolamento oltre a quelle, eventualmente, ulteriori che il Titolare gli chiedesse di adottare in relazione a specifiche Operazioni del trattamento.
Sicurezza dei dati. La Ditta garantirà una adeguata applicazione delle misure di sicurezza tecniche e organizzative sviluppate e concordate con INPDAP sulla protezione dei dati personali, in relazione all’elaborazione dei dati medesimi, nel rispetto delle norme vigenti in materia (D.lgs 196/03 e s.m.i.).
Sicurezza dei dati. 11.1 Tutte le modalità di trasmissione avvengono attraverso protocolli sicuri su rete internet, come descritto nelle specifiche tecniche allegate al presente provvedimento.
11.2 La consultazione sicura degli archivi informatici dell’Agenzia delle entrate è garantita da misure che prevedono un sistema di profilazione, identificazione, autenticazione ed autorizzazione dei soggetti abilitati alla consultazione, di tracciatura degli accessi effettuati, con indicazione dei tempi e della tipologia delle operazioni svolte nonché di conservazione delle copie di sicurezza.
Sicurezza dei dati. 1. L’Appaltatore si obbliga a rispettare quanto segue: - erogare la soluzione tramite apparati installati presso datacenter ubicati sul territorio nazionale o della Unione Europea (ai sensi dell’Art. 1, par. 3 del GDPR - Regolamento UE 2016/679 del Parlamento europeo e del Consiglio). Tale ubicazione deve essere chiaramente indicata insieme ad una descrizione delle infrastrutture di cui è composto il datacenter; - impedire il trasferimento dei dati in datacenter ubicati in Paesi terzi esterni all’Unione Europea in quanto verrebbe a mancare la possibilità di controllo e verifica da parte del “Titolare del Trattamento dei Dati”, del Comune di Poviglio, sull’esistenza delle condizioni di adeguatezza e delle garanzie previste dal GDPR da parte del Paese terzo, né per verificare a tutti gli effetti la compliance del CSP (Cloud Service Provider) alla normativa; - garantire la continuità operativa della soluzione attraverso la messa in atto di misure, procedure ed apparati finalizzati all’adozione di piani specifici di Business Continuity e di Disaster Recovery;