NOMINA DI RESPONSABILE DEL TRATTAMENTO DI DATI PERSONALI
ALLEGATO A2
NOMINA DI RESPONSABILE DEL TRATTAMENTO DI DATI PERSONALI
Il Comune di Venezia, Titolare del trattamento, con sede in Xxx Xxxxx 0000 C.F. 00339370272, in persona del Direttore della Direzione Finanziaria xxxx. Xxxxxx Xxxxxx pro tempore, giusta deliberazione della Giunta Comunale n. 150 del 15 maggio 2018 (di seguito anche il “Titolare”),
Considerato che in relazione ai rapporti esistenti tra il Comune di Venezia e la Società Veritas Spa (d’ora innanzi anche le “Parti”) è stato tra le Parti sottoscritto il seguente Contratto (”Contratto”), che prevede lo svolgimento da parte di Veritas Spa di attività per conto del Comune.
Con Delibera di Consiglio comunale n. 79/2019 è stato affidato il servizio di gestione e riscossione della TARI e con Delibera di Giunta comunale n. 234/2021 viene approvato il disciplinare tecnico tra Comune di Venezia e VERITAS spa per la gestione e la riscossione della TARI.
e con la presente, ai sensi dell’art. 28 Reg. UE n. 679/2016 (di seguito “RGPD”),
NOMINA
la società Veritas Spa, P. IVA 03341820276, in persona del proprio legale rappresentante pro tempore xxxx. Xxxxxx Xxxxxxx, con sede in Venezia, Santa Croce, 489
RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI
(di seguito il “Responsabile”)
con riferimento a tutti i trattamenti effettuati nell’ambito del rapporto contrattuale instaurato con il Titolare in virtù dei Contratti come sopra individuati.
In particolare, la nomina è riferita alle operazioni di trattamento dei dati personali effettuate nell’ambito delle seguenti attività (di seguito “Attività”) gestite dal Responsabile per conto del Titolare:
Le attività di gestione e riscossione della TARI in applicazione della L. 147/2013 (L. Stabilità 2014) e sue eventuali modifiche e integrazioni che pro tempore dovessero essere approvate, includono l’attività di accertamento, riscossione e riversamento, formazione ed adozione di tutti gli atti necessari e funzionali a tal fine e, in particolare, ad emettere gli avvisi di pagamento inerenti il tributo e a stare in giudizio per le eventuali controversie concernenti il tributo.
Nello specifico comprendono:
- l’elenco dettagliato delle attività, tutte relative al trattamento di dati personali, è riportato nell’articolo 4 del Disciplinare per l’affidamento a VERITAS SPA del servizio di gestione e riscossione del tributo comunale sui rifiuti TARI, di cui la presente nomina è parte integrante.
Per effettuare le Attività, Veritas Spa dovrà accedere alle banche dati del Comune come già attualmente avviene in virtù delle seguenti Convenzioni:
− Convenzione per gli archivi anagrafici del Comune di Venezia e l’accesso del Comune al sistema Qlikview. del 08.08.2017;
− Convenzione per l’accesso al servizio di visure anagrafiche della popolazione residente attraverso il portale dei servizi del Comune di Venezia del 06.04.2010;
− Accordo Comune/Veritas per la fornitura di servizi SCIA/DIA attività Commerciali del 22.11.2016;
− eventuali ulteriori convenzioni o accordi che costituiscano aggiornamento o integrazione di quelle sopra citate.
La presente nomina di Responsabile (di seguito la “Nomina”) è efficace a partire dalla data di sottoscrizione.
Le incombenze e le responsabilità oggetto della Nomina vengono affidate al Responsabile sulla base delle dichiarazioni dallo stesso fornite al Comune circa le caratteristiche di esperienza, capacità e affidabilità che vengono richieste dalla normativa vigente (art. 28 Regolamento UE 2016/679) per chi esercita la funzione di Responsabile.
Con la sottoscrizione del presente atto, il Responsabile si dichiara disponibile e competente per la piena attuazione di quanto ivi disposto, accetta la nomina, conferma la diretta ed approfondita conoscenza degli obblighi che assume in relazione al dettato del RGPD, conferma, altresì, di disporre di una propria organizzazione che dichiara idonea a consentire il trattamento dei dati nel pieno rispetto delle prescrizioni legislative, ivi compreso il profilo della sicurezza, e si impegna a procedere al trattamento dei dati personali attenendosi alle istruzioni impartite, nel pieno rispetto di quanto imposto dall’art. 28 del RGPD.
Onde consentire al Responsabile di espletare i compiti e le attribuzioni meglio specificati in seguito, con la presente Nomina vengono fornite le specifiche istruzioni per l’assolvimento del compito assegnato.
Resta inteso che la normativa applicabile comprende l’insieme delle norme rilevanti in materia di privacy e cioè il Regolamento europeo 2016/679 in materia di protezione dei dati personali (RGPD) e inoltre, in ogni tempo, ogni linea guida, norma di legge, codice o provvedimento rilasciato o emesso dagli organi competenti o da altre autorità di controllo.
1. ISTRUZIONI GENERALI AL RESPONSABILE
Il Responsabile - così individuato e nominato, in relazione ai trattamenti di dati personali rientranti nell’ambito operativo e funzionale di propria competenza - sebbene non in via esaustiva, avrà i compiti e le attribuzioni di seguito elencate e dunque dovrà:
1. trattare i dati personali secondo le istruzioni ricevute dal Titolare del trattamento;
2. effettuare la ricognizione delle banche dati e degli archivi elettronici relativi ai trattamenti effettuati in esecuzione dell’Attività;
3. concordare con il titolare, ove si renda necessario, le eventuali modalità di rilascio e i contenuti delle informative presenti sul sito del Responsabile ai sensi degli artt-. 12-14 ;
4. tenere un registro, come previsto dall’art. 30 del GDPR di tutte le categorie di attività relative al trattamento svolte per conto del Comune in qualità di responsabile;
5. organizzare le strutture, gli uffici e le competenze necessarie e idonee a garantire il corretto espletamento dell’Attività;
6. xxxxxxxsi dal trattare i dati personali oggetto dell’Attività per finalità proprie;
7. non diffondere o comunicare a terzi i dati trattati attraverso l’Attività, al di fuori di quanto necessario per l’assolvimento di obblighi di legge o di contratto;
8. garantire l'affidabilità di qualsiasi dipendente che accede ai dati personali del Titolare ed assicurare, inoltre, che gli stessi abbiano ricevuto adeguate istruzioni e formazione (quali incaricati/autorizzati del trattamento) con riferimento alla protezione e gestione dei dati personali e che siano vincolati al rispetto di obblighi di riservatezza conformi alla presente Nomina. Il Responsabile esterno risponderà di eventuali violazioni ai sensi dell’art. 2049 del codice civile;
9. procedere alla nomina del proprio/i amministratore/i di sistema, in adempimento di quanto previsto dal provvedimento del Garante per la protezione dei dati personali (Garante Privacy) del 27.11.08, pubblicato in G.U. n. 300 del 24.12.2008, ove ne ricorrano i presupposti, comunicandolo prontamente al Titolare, curando, altresì, l’applicazione di tutte le ulteriori prescrizioni contenute nel suddetto provvedimento;
10. assistere tempestivamente il Titolare con misure tecniche e organizzative adeguate, al fine di soddisfare l’obbligo del Titolare di procedere ad un DPIA (Valutazione di impatto sulla protezione dei dati) ai sensi art. 35 e ss del RGPD, con obbligo di notifica quando venga a conoscenza di un trattamento di dati che possa comportare un rischio elevato;
11. assistere il Titolare nel garantire il rispetto degli obblighi di cui agli artt. 32-36 RGPD, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile;
12. astenersi dal trasferire i dati personali trattati per conto del Comune al di fuori dello Spazio Economico Europeo senza il previo consenso scritto del Comune; in caso di consenso, la Società dovrà assicurarsi che il trattamento avvenga verso Paesi terzi e Organizzazioni internazionali che garantiscano un livello di sicurezza e protezione adeguato;
13. notificare al Comune, senza ingiustificato ritardo e comunque non oltre le ventiquattro (24) ore da quando ne abbia avuto conoscenza, ai sensi dell’art.33 del GDPR, se si sia verificato un Data breach anche presso i propri Sub-responsabili, adottando, di concerto con il Titolare, nuove misure di sicurezza atte a circoscrivere gli effetti negativi dell’evento e a ripristinare la situazione precedente;
14. avvertire prontamente il Comune, entro tre (3) giorni lavorativi, in merito alle eventuali richieste degli interessati che dovessero pervenire al Responsabile inviando copia delle istanze ricevute all’indirizzo di posta elettronica certificata xxxxxxxxxxxxxx@xxx.xxxxxx.xxxxxxx.xx e assistere il Titolare del trattamento con misure tecniche e organizzative adeguate al fine di soddisfare l’obbligo del Titolare di dare seguito alle richieste per l’esercizio dei diritti dell’interessato;
15. avvisare immediatamente, e comunque entro tre (3) giorni lavorativi, il Titolare del trattamento, di qualsiasi richiesta o comunicazione da parte dell’Autorità Garante o di quella Giudiziaria eventualmente ricevuta inviando copia delle istanze all’indirizzo di posta elettronica certificata xxxxxxxxxxxxxx@xxx.xxxxxx.xxxxxxx.xx per concordare congiuntamente il riscontro;
16. adottare adeguati processi e ogni altra misura tecnica idonea ad attuare le istruzioni fornite dal Titolare e predisporre idonee procedure interne finalizzate alla verifica periodica della corretta applicazione e della congruità degli adempimenti posti in essere.
Il Titolare si riserva, altresì, ove ne ravvisasse la necessità, di integrare ed adeguare di volta in volta le presenti istruzioni.
2. MISURE TECNICHE ED ORGANIZZATIVE AUDIT E DIRITTI DI VERIFICA DEL TITOLARE DEL TRATTAMENTO
Il Responsabile, oltre a quanto previsto dall’Allegato 1, si obbliga ad adottare ed implementare le misure tecniche ed organizzative di sicurezza (di seguito “Misure”) che – ai sensi dell’art. 32 RGPD siano adeguate ad eliminare o comunque a ridurre al minimo qualsiasi rischio di distruzione o perdita, anche accidentale dei dati trattati, di accesso non autorizzato o di trattamento non consentito o non conforme, con l’obbligo di documentarle se richiesto dal Titolare, fermo restando che le disposizioni di cui ai punti 3, 5, 7, 16, 18 e 23 dell’Allegato 1) potranno essere progressivamente implementate dal Responsabile in funzione delle complessità tecniche e delle compatibilità economico/finanziarie.
Il Titolare si riserva la facoltà di effettuare, nei modi ritenuti più opportuni, anche tramite l’invio di propri funzionari a ciò delegati presso i locali del Responsabile, previa comunicazione scritta da
effettuarsi con un preavviso di almeno 15 giorni, o tramite l’invio di apposite check list, verifiche tese a vigilare sulla puntuale osservanza delle disposizioni di legge e delle presenti istruzioni.
In alternativa a quanto sopra precisato, il Responsabile può fornire al Titolare copie delle relative certificazioni esterne audit report e/o altra documentazione sufficiente per il Titolare a verificare la conformità del Responsabile alle Misure della presente Nomina.
3. CORREZIONI, CANCELLAZIONE O BLOCCO DI DATI
Il Responsabile può correggere, cancellare o bloccare il trattamento dei dati personali a beneficio del Titolare.
Alla scadenza della Nomina, il Responsabile si obbliga a restituire al Titolare tutti i dati in suo possesso, provvedendo ad eliminare definitivamente dal proprio sistema informativo e dagli archivi cartacei, i medesimi dati o copie degli stessi, dandone conferma per iscritto al Titolare.
4. SUB-RESPONSABILI
Per l’esecuzione dell’attività, il Responsabile si avvale di Sub-responsabili.
a. Sub-responsabili autorizzati. I Sub-responsabili autorizzati fin da ora dal Titolare sono i seguenti:
Sub-Responsabile | Servizio Affidato |
CALL CENTER ONE SRL | CALL CENTER |
KOINE’ SRL | CALL CENTER |
MAGGIOLI S.P.A. | ACCERTAMENTI EVASORI/ELUSORI (sistema JTRIB) |
ENGINEERING SPA | Adeguamento e manutenzione sistema SAP per gestione e bollettazione utenze TIA/TARES/ TARI |
GRUPPO GPA | Data center SAP |
VENIS SPA | Data center per sistemi NON SAP per gestione Utenze TIA/TARES/TARI (es. Cartelle Condivise, ecc.) |
MAGGIOLI SPA | RECUPERO CREDITI (ANCHE COATTIVO, sistema CITYMAT) |
MAGGIOLI SPA | SERVIZIO GENERAZIONE PDF E LAYOUT DI STAMPA |
RTI: SELECTA SPA - SELECTA DIGITAL SERVICE SPA | STAMPA BOLLETTE |
RTI: QUAERIS SRL – DENETRA XXXXXXXX.XXX SRL | INDAGINI CUSTOMER SATISFACTION |
KGN SRL | GEOLOCALIZZAZIONE CONTENITORI/UTENTI |
BARON SRL | GEOLOCALIZZAZIONE CONTENITORI/UTENTI |
EMZ SRL | GEOLOCALIZZAZIONE CONTENITORI/UTENTI |
b. Designazione di nuovi Sub-responsabili. Se il Responsabile ritiene opportuno o necessario nominare nuovi Sub-responsabili, in aggiunta a quelli di cui al punto precedente, è autorizzato sin d’ora a nominarli, con l’obbligo di inoltrare la relativa documentazione al Titolare tempestivamente, da intendersi accettata fatte salve eventuali comunicazioni contrarie da parte del Titolare stesso, che provvederà ad inoltrarle entro il termine di 15 giorni.
c. Obblighi verso il Sub-responsabile. Il Responsabile:
(i) limiterà l'accesso del Sub-responsabile ai dati personali a quanto strettamente necessario per soddisfare gli obblighi del Responsabile ai sensi della Nomina; al Sub-responsabile sarà vietato l'accesso ai dati personali per qualsiasi altro scopo;
(ii) imporrà per iscritto ad ogni Sub-responsabile il rispetto di obbligazioni ed istruzioni equipollenti a quelle previste nella presente Nomina; nella sua totalità, ivi inclusi gli Allegati 1 e 2, nonché la possibilità di effettuare audit;
(iii) rimarrà pienamente responsabile nei confronti del Titolare per il rispetto degli obblighi derivanti dalla presente Nomina per qualsiasi atto o omissione del Sub-responsabile che comporti una violazione degli stessi.
5. MANLEVA
Il Responsabile tiene indenne e manlevato il Titolare (e ciascuno dei suoi rispettivi dipendenti e agenti) da ogni perdita, costo, spesa, multa e/o sanzione, danno e da ogni responsabilità di qualsiasi natura (sia essa prevedibile, contingente o meno) derivante da o in connessione con una qualsiasi violazione da parte del Responsabile degli obblighi della normativa applicabile o delle disposizioni contenute nella presente Nomina.
L’implementazione da parte del Responsabile delle misure tecniche e organizzative previste dal presente atto sarà effettuata nell’ambito delle attività contrattualmente pattuite e del relativo corrispettivo.
6. DURATA - LEGGE E FORO COMPETENTE
La Nomina decorre dalla data della sua sottoscrizione e rimarrà in vigore sino alla risoluzione o scadenza dei Contratti o cessazione dei servizi da eseguirsi in relazione alle Attività.
La presente nomina o qualsiasi reclamo, pretesa o rivendicazione derivante da essa o in relazione ai soggetti della presente nomina deve essere governata dalla Legge italiana. Si stabilisce la competenza esclusiva del Tribunale di Venezia per qualsiasi controversia derivante dalla presente nomina.
7. MODIFICHE DELLE LEGGI IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI
Nell’eventualità di qualsivoglia modifica delle norme in materia di trattamento dei dati personali applicabili al trattamento dei dati personali effettuato dal Comune, che generi nuovi requisiti, il Responsabile del trattamento collaborerà, nei limiti delle proprie competenze tecniche, organizzative e delle proprie risorse, con il Titolare affinché siano sviluppate, adottate e implementate misure correttive di adeguamento ai nuovi requisiti durante l’esecuzione del contratti.
8. CONTATTI E REFERENTI
Le parti stabiliscono che i referenti per l’esecuzione della Nomina sono: Per il Titolare del Trattamento: xxxx. Xxxxxx Xxxxxx
Per il Responsabile del Trattamento: p.i. Xxxxx Xxxxxxxx
Qualsiasi modifica relativa le sopramenzionate persone o la responsabilità delle persone di contatto deve essere immediatamente notificata all’altra parte.
Si allega, a costituire parte integrante e sostanziale della presente Nomina, l’Allegato “Misure tecniche e organizzative di sicurezza”
Il Titolare del Trattamento Il Responsabile, per conferma e accettazione
Sicurezza IT
ALLEGATO 1
Misure tecniche e organizzative di sicurezza
Il presente Allegato definisce i requisiti base per il rispetto dei livelli di sicurezza ritenuti necessari dal Titolare, la cui realizzazione da parte del Responsabile è parte integrante della presente Nomina.
Il Responsabile garantisce che:
● all’interno della propria organizzazione è individuata la struttura di Information Security ed il suo responsabile;
● nella struttura di Information Security sono adottate misure di sicurezza adeguate e che sono eseguite le opportune periodiche verifiche di sicurezza e gli audit;
● i Sub-responsabili nominati sono qualificati e certificati ‘sicuri’ secondo la procedura aziendale di selezione fornitore in essere, restando in ogni caso a carico del Responsabile la responsabilità dell’affidabilità degli stessi in termini di sicurezza.
Di seguito vengono riportate le attività che il Responsabile svolgerà.
1. Sviluppare e mantenere aggiornati gli standard di sicurezza.
2. Rimanere aggiornato su norme, regole o vulnerabilità segnalate e relative alla sicurezza.
3. Mettere a disposizione una struttura di riferimento per il monitoring continuo della sicurezza e per la gestione degli assessment (su richiesta del Titolare).
4. Fornire costantemente personale specializzato a supporto dello staff del Titolare.
5. Fornire il piano di sicurezza IT e le infrastrutture necessarie in base ai requisiti di sicurezza, della Normativa applicabile e delle procedure.
6. Implementare i piani di sicurezza fisica e logica previste dal registro dei trattamenti aziendale del responsabile.
7. Recepire le richieste di abilitazione, di accesso, di pubblicazione di Applicazioni e Servizi, provenienti dal Titolare, formulate necessariamente ad alto livello, e trasformarle in Policy/Regole di implementazione e configurazione di dettaglio per tutti gli apparati in ambito (es. firewall, router, switch, IDS/IPS, antivirus, ecc.).
8. Stabilire la profilazione degli accessi relativi alle utenze e le policy per adding, changing, enabling/disabling.
9. Eseguire la profilazione degli accessi infrastrutturali relativi alle utenze.
10. Eseguire le modifiche di accesso a livello di sistema operativo e software di sistema come previste dal registro dei trattamenti aziendale del responsabile.
11. Garantire che tutti i supporti di backup e di archiviazione che contengono informazioni riservate del Titolare siano conservati in aree di memorizzazione sicure e controllate a livello ambientale, detenute o gestite dal Responsabile. Le aree di archiviazione utilizzate per
memorizzare tali supporti dovranno essere programmate per ridurre ragionevolmente impatti derivanti da minacce ambientali.
12. Assicurare che i sistemi utilizzati per i trattamenti effettuati per conto del Titolare impediscano adeguatamente i tentativi di accesso da parte di utenti non autorizzati.
13. Garantire che le chiavi crittografiche e i certificati digitali siano gestiti in modo sicuro in qualsiasi momento, in conformità con i requisiti di controllo documentati e le procedure coerenti con le best practice.
14. Assicurare che tutte le connessioni esterne ai propri sistemi (inclusi, senza limitazione, reti o accesso remoto) siano individuate, verificate, registrate e approvate.
15. Applicare le misure minime di sicurezza conformemente alla circolare AGID n. 2/2017.
16. Condurre Vulnerability assesment periodici (almeno due volte all’anno) e presentare esiti e remediaton plans per le parti richieste.
17. Fornire log su connessioni e accessi, includendo adempimenti degli amministratori di sistema.
18. Perseguire l’adeguamento di sistemi e degli applicativi al fine di garantire un adeguato livello di log e di tracciamento delle attività di trattamento dei dati.
19. Risolvere le violazioni di sicurezza fornendo adeguata reportistica al Titolare.
20. Risolvere eventuali violazioni esterne (es. denial-of-service attacks, spoofing, Web exploits, etc.).
21. Verificare tutte le patch di sicurezza rilevanti per l'ambiente e classificare la necessità e la priorità con cui le patch di sicurezza devono essere installate.
22. Mantenere aggiornata tutta la documentazione possibile per i controlli di sicurezza e di controllo interno e per i test di controllo.
23. Posizionare i sistemi di supporto che contengono dati sensibili in aree ad accesso controllato e conformemente alla Normativa applicabile. Ai soli utenti con un accesso valido e autorizzato sarà permesso di entrare in queste aree.
Sicurezza fisica
I servizi di sicurezza fisica sono associati ai controlli degli accessi fisici implementati per garantire la sicurezza degli apparati, impianti e sistemi di gestione del Titolare e del Responsabile.
Il responsabile si affida a sub-responsabili certificati IS 27001 e si appoggia a DataCenter certificati minimo TIER 3
Il Responsabile adotta, di norma, le seguenti misure di sicurezza fisiche nelle sedi presso cui risultano ubicati server dipartimentali ed apparati tecnici della rete informatica aziendale:
− Sistemi antincendio;
− Sistemi di videosorveglianza e/o sistemi antintrusione con collegamento allarmi a società di vigilanza;
− Presenza di personale di portineria in orario diurno (nelle sedi aperte al pubblico);
− Presenza di Guardia Giurata fissa in orario notturno e festivo. In alternativa servizi ispettivi notturni e festivi;
− Locali con accesso controllato (apertura mediante chiave custodita dal personale di portineria oppure tramite Badge) e/o armadiature tecniche chiuse a chiave.
Il Responsabile si impegna inoltre a:
● proteggere fisicamente e conservare i supporti portatili che contengono dati del Titolare assicurandosi che l’accesso agli stessi sia permesso solo al personale autorizzato.
● far sì che i sistemi informatici consentano la possibilità di revocare immediatamente l'accesso alle apparecchiature di elaborazione dati, ai servizi e ai supporti di memorizzazione;
● mantenere registri di controllo degli accessi informatizzati.
● Il Responsabile garantisce che i locali in cui vengono eseguite le lavorazioni dei processi sono dotati di servizio di portineria o di videocitofono e controllo degli ingressi, registrazione e rilascio di badge di identificazione.
IT Identity e Access Management
I servizi di IT Identity e Access Management (IAM) sono le attività associate ad autorizzare, autenticare e fornire il controllo degli accessi a tutti i sistemi informativi che risiedono nell’infrastruttura del Titolare.
Di seguito vengono riportate le attività che il Responsabile deve svolgere:
● definire i ruoli, le attività autorizzate e i privilegi minimi concessi;
● fornire il servizio di IT Identity e Access Management in conformità con le policy, procedure e practice aziendali (tra cui le policy di sicurezza);
● mantenere l’IT Identity e Access Management allineato alle practice, policy e procedure aziendali soprattutto nel caso di modifiche al perimetro (e.g., il cambiamento delle tecnologie, aggiunte o modifiche di ruoli);
● definire i ruoli, le attività autorizzate e i privilegi minimi concessi al personale del Responsabile e al personale del Titolare (inclusi gli account non-personali);
● definire e gestire il processo per la definizione, l’assegnazione, la modifica e la revoca degli account utente e per supportare gli accessi temporanei;
● utilizzare password complesse (minimo 8 caratteri di tipologia differente, reimpostazione password obbligatoria al primo accesso, scadenza password);
● assegnare ad ogni utente credenziali (user e password) personali, uniche e non assegnabili ad altri utenti;
● rimuovere gli account inattivi o non più necessari in accordo alle policy e norme del Titolare;
● rivedere sistematicamente gli account IT secondo la procedura aziendale di gestione utenze .
In merito al sistema di Identity e Access Management (IAM), il Responsabile coordina la gestione degli accessi tramite comunicazioni tra gli uffici coinvolti (in particolare HR e Sistemi informativi) ed è coadiuvato da sistemi di reportistica che permettono di tenere traccia delle variazioni.
Servizi di sicurezza di rete
Di seguito vengono riportate le attività garantite dal Responsabile e inerenti la gestione dei firewall, dei Servizi di Intrusion Prevention e Detection del datacenter e dei Security Vulneralibity assessment e Penetration testing:
● definire practice, policy e procedure per la gestione dei firewall, dei Servizi di Intrusion Detection, Intrusion Prevention, Security Vulnerability e Penetration;
● erogare i servizi in conformità con le policy e i requisiti definiti.