BIPLANO Società Cooperativa Sociale - Rescogita · 2017. 12. 5. · BIPLANO Società Cooperativa Sociale DOCUMENTO PROGRAMMATICO sulle MISURE di SICUREZZA ADOTTATE per il TRATTAMENTO

BIPLANOSocietàCooperativaSociale

DOCUMENTOPROGRAMMATICOsulleMISUREdiSICUREZZAADOTTATEperilTRATTAMENTOdeiDATIPERSONALI

Inbasealdisciplinaretecnicoinmateriadimisureminimedisicurezza(AllegatoB)delD.lgs.30-06-03n.196

***Il sottoscritto Giacomo Ribaudo, in qualità di Presidente del C.d.A. della Società Cooperativa Sociale Biplano, con sede in Via BATTAINA 901 24059URGNANO(BG),P.I./C.F.02658860164,REA BG–312827,iscrittaall’AlbodelleCooperativeSocialidellaProvinciadiBergamosezioneBn°848indata08/07/2013.Per la sezioneA: iscrittaall'AlboRegionaledelleCooperativeSocialin°246,decretoprefettizion°492 indata22/07/1999,n°333sez.Coop.ProduzioneLavoro,n°114sez.Sociale.Iscrittaall'AlbonazionaledelleCooperativeSocialiamutualitàpermanenten°A113983dal22/07/1999nellacategoriaCooperativeSociali.

inconsiderazionedell’obbligodiadottaregliaccorgimentipergarantirelemisureminimedisicurezzaprevistedagliarticoli33-36delD.lgs.30-06-2003n.196alfinediproteggeregliarchivielettroniciecartaceicontenentiidatipersonali

REDIGEilseguente

DOCUMENTOPROGRAMMATICO

DPS BIPLANO 2017 Pagina 2

INDICE1ELENCODEITRATTAMENTIDEIDATIPERSONALI.............................................................................................................................................................................31.1Informazioniessenziali...................................................................................................................................................................................................31.2Ulteriorielementiperdescrivereglistrumenti..............................................................................................................................................................41.3Postazioniinformatiche/Strutture.................................................................................................................................................................................42DISTRIBUZIONEDEICOMPITIEDELLERESPONSABILITÀ.....................................................................................................................................................................53ANALISIDEIRISCHICHEINCOMBONOSUIDATI...............................................................................................................................................................................64MISUREINESSEREEDAADOTTARE.............................................................................................................................................................................................74.1Schedadescrittivadellemisuredaadottare..................................................................................................................................................................75CRITERIEMODALITÀDIRIPRISTINODELLADISPONIBILITÀDEIDATI.....................................................................................................................................................86PIANIFICAZIONEDEGLIINTERVENTIFORMATIVIPREVISTI..................................................................................................................................................................86.1Informazioniessenziali...................................................................................................................................................................................................87TRATTAMENTIAFFIDATIALL’ESTERNO.........................................................................................................................................................................................98DISTRIBUZIONEDEICOMPITIEDELLERESPONSABILITÀNELL’AMBITODELLESTRUTTUREPREPOSTEALTRATTAMENTODEIDATI......................................................................109PROCEDUREPERLASICUREZZADELTRATTAMENTODEIDATI...........................................................................................................................................................109.1Protezionedelleareeedeilocalirilevantiaifinidellalorocustodiaeaccessibilità....................................................................................................109.2Gestionestrumentielettronici.....................................................................................................................................................................................119.2.1Antivirus....................................................................................................................................................................................................................119.2.2Sistemaoperativo.....................................................................................................................................................................................................119.2.3Altrisoftware............................................................................................................................................................................................................119.2.4Firewallesistemidiantiintrusione...........................................................................................................................................................................129.2.5Gestionesupportirimovibilicontenentidatisensibili...............................................................................................................................................129.2.6Gestionemanutenzionestrumentielettronici...........................................................................................................................................................129.2.7Sistemadiidentificazioneeautenticazione..............................................................................................................................................................129.3Trattamentisenzal’ausiliodistrumentielettronici.....................................................................................................................................................139.4Criteriemodalitàdiripristinodelladisponibilitàdeidati............................................................................................................................................139.4.1Backupdati...............................................................................................................................................................................................................1310CONTROLLOGENERALESULLOSTATODELLASICUREZZA...............................................................................................................................................................1411MODALITÀAGGIORNAMENTODELDOCUMENTOPROGRAMMATICOPERLASICUREZZA.......................................................................................................................1412ALLEGATI..........................................................................................................................................................................................................................15• Regolamentodiutilizzodeglistrumentielettroniciegestionedeidocumenticartacei........................................................................................15• NominadelResponsabileperiltrattamentodeidati............................................................................................................................................18


• IstruzioneenominaIncaricatointerno..................................................................................................................................................................191ELENCODEITRATTAMENTIDEIDATIPERSONALIInbaseallaregola19.1deldisciplinaretecnico,ilTitolare(SocietàCooperativaSocialeBIPLANO)haprovvedutoall’elencazionedituttiitrattamenti,effettuatidirettamenteoattraversocollaborazioniesterne,conl’indicazionedellanaturadeidatiedellastrutturainternaodesternaoperativamentepreposta,nonchédeglistrumentielettroniciimpiegati.1.1InformazioniessenzialiCodice Descrizionesinteticadeltrattamento Natura

deidatitrattati

Strutturadiriferimento Altrestrutturecheconcorronoaltrattamento

Descrizionedeglistrumentiutilizzati

Finalitàperseguitaoattivitàsvolta

Categoriediinteressati

S

G

01 Approvvigionamentodibenie/oservizi

Fornitori S SegreteriaamministrativaViaBattaina90124059URGNANOBG

PC,reteLANconaccessoaInternet

Archivicartacei

02 GestionedelPersonaleRapportoSociTirocinantiInserimentilavorativi

PersonaleSociTirocinantiInserimenti

S G SegreteriaamministrativaViaBattaina90124059URGNANOBG

COESIServiziViaSanBernardino5924122BERGAMOBG


Archivicartacei

03 Fornituradibenieservizi ClientiUtenti S G SegreteriaamministrativaViaBattaina90124059URGNANOBG


Archivicartacei

010203

Approvvigionamentodibenie/oserviziGestionedelPersonaleFornituradibenieservizi

Tutti S G DirezioneViaBattaina90124059URGNANOBG


Archivicartacei

03 FornituradiserviziAgricolturaSocialeComunitàRiabilitativaCentroDiurnoResidenzialitàleggera

ClientiUtentiTirocinantiInserimenti

S G ResponsabilidiAreaViaBattaina90124059URGNANOBGViaDasteeSpalenga1424020GORLEBG

PC,reteLANconaccessoaInternetArchivicartacei


1.2UlteriorielementiperdescrivereglistrumentiCodice Eventualebancadati Ubicazionefisicadeisupportidimemorizzazione Tipologiadidispositivid’accesso01 Archiviofornitori.

Documentoelettronico.DocumenticartaceiProgrammadigestione:Office

Segreteriaamministrativa,DirezioneViaBattaina90124059URGNANOBG

PersonalComputerSOWindowsMicrosoft

01 Bancadatifornitori.Programmadigestione:Office

SegreteriaamministrativaViaBattaina90124059URGNANOBG


02 Archiviopersonale.DocumentoelettronicoProgrammadigestione:Office



02 Bancadatipersonale.Programmadigestione:Office



03 Archivioedocumenticlienti/utenti.DocumentoelettronicoProgrammadigestione:Office



03 Archivioedocumenticlienti/utenti.DocumentoelettronicoProgrammadigestione:Office

ResponsabilidiAreaViaBattaina90124059URGNANOBGViaDasteeSpalenga1424020GORLEBG


1.3Postazioniinformatiche/StruttureStrutturee/oServiziSegreteriaAmministrativa PC5Direzione PC1ResponsabiliAreeServizi PC5Totalecomputer:9PersonalComputer


2DISTRIBUZIONEDEICOMPITIEDELLERESPONSABILITÀInbaseallaregola19.2ilTitolare(SocietàCooperativaSocialeBIPLANO)hadescrittosinteticamentel’organizzazionedellastrutturadiriferimento,icompitielerelativeresponsabilità,inrelazioneaitrattamentieffettuati.Struttura Codicetrattamentieffettuati

dallastrutturaDescrizionedeicompitiedelleresponsabilitàdellastruttura

SegreteriaAmministrativa,Direzione

01,02,03

Acquisizione e caricamento dati relativi a fornitori, clienti/utenti e personale, consultazioneper il normale svolgimento dell’attività lavorativa, comunicazione a terzi per la gestionedell’amministrazioneedelpersonale,manutenzionetecnicadeiprogrammi(aggiornamento,acquisto…),gestionetecnicaoperativadellabasedati(salvataggio,ripristino…)

ResponsabiliAreeServizi

03

Acquisizione e caricamento dati relativi a clienti/utenti, fornitori e personale, consultazioneper il normale svolgimento dell’attività lavorativa, comunicazione a terzi per la gestionedell’erogazionedeiservizi,gestionetecnicaoperativadellabasedati(salvataggio,ripristino…)


3ANALISIDEIRISCHICHEINCOMBONOSUIDATIInbaseallaregola19.3laCooperativaBIPLANOoperainmododaridurrealminimo,mediantel’adozionediidoneeepreventivemisuredisicurezza,irischididistruzioneoperdita,ancheaccidentale,deidatistessi,diaccessononautorizzatooditrattamentononconsentitoononconformeallefinalitàdiraccolta.Rischi SI/NO Descrizionedell’impattosullasicurezza(gravità:alta,media,bassa)ComportamentodeglioperatoriSottrazionedicredenzialidiautenticazione SI Rischiofurtodati.GravitàBassaCarenzadiconsapevolezza,disattenzioneoincuria

SI Rischioperditadeidati.GravitàBassa

Comportamentislealiofraudolenti SI Rischiofurtodati.GravitàBassaErroremateriale SI Rischioperditadati.GravitàMediaEventirelativiaglistrumentiAzionedivirusinformaticiodiprogrammisuscettibilidirecaredanno

SI Rischiodanneggiamentooperditadati.GravitàMedia

Spammingotecnichedisabotaggio SI Rischiodanneggiamento,sottrazioneoperditadati.GravitàBassaMalfunzionamento,indisponibilitàodegradodeglistrumenti

SI Rischiodanneggiamentooperditadati.GravitàBassa

Accessiesterninonautorizzati SI Rischiodanneggiamentooperditadati.GravitàBassaIntercettazionidiinformazioniinrete SI Rischiodanneggiamento,sottrazioneoperditadati.GravitàBassaEventirelativialcontestoAccessinonautorizzatialocaliadaccessoristretto

SI Rischiodanneggiamento,sottrazioneoperditadatiinformaticiecartacei.GravitàBassa

Sottrazionedistrumenticontentidati SI Rischiodanneggiamento,sottrazioneoperditadatiinformaticiecartacei.GravitàBassaEventidistruttivi,naturalioartificiali,nonchédolosi,accidentaliodovutiaincuria

SI Rischiodanneggiamento,sottrazioneoperditadatiinformaticiecartacei.GravitàBassa

Guastoaisistemicomplementari/ausiliari SI Rischiodanneggiamento,sottrazioneoperditadatiinformaticiecartacei.GravitàBassaErroriumaninellagestionedellasicurezzafisica

SI Rischiodanneggiamentooperditadatiinformaticiecartacei.GravitàBassa


4MISUREINESSEREEDAADOTTAREInbaseallaregola19.4ilTitolare(SocietàCooperativaSocialeBIPLANO)haindicatoqualimisurehagiàpredisposteequaliadotteràpercontrastareirischiindividuati.Descrizionerischi Misure

Trattamentiinteressati

Misuregiàinessere

Misuredaadottare Strutturaopersoneaddetteall’adozione

Comportamentodeglioperatori

RedazionedelleProcedureperlasicurezza.Assegnazionedell’incaricodiResponsabilePrivacyediIncaricato/i

01,02,03

X LaDirezioneredigeleProcedureinterneperlasicurezzaenominailResponsabileperlaCooperativaegliIncaricatialtrattamento

Sistemidiprotezioneaccesso(userID,password) X IlResponsabileegliIncaricatialtrattamento.

Sistemidisalvataggiodati X SegreteriaAmministrativa,DirezioneeResponsabili.Formazione X Amministratori,Responsabile,Incaricatialtrattamento

Eventirelativiaglistrumenti

UtilizzoFirewall.01,02,03

X SegreteriaAmministrativa,DirezioneeResponsabiliUtilizzoAntivirus X SegreteriaAmministrativa,DirezioneeResponsabiliRevisioneeaggiornamentoPCeperiferiche

X SegreteriaAmministrativaeDirezioneX Responsabili

Eventirelativialcontesto

Protezionefisicadeilocali,delleattrezzatureedeidati

01,02,03 X DirezioneeResponsabili

4.1SchedadescrittivadellemisuredaadottareMisura Descrizione Tempiattuazione


5CRITERIEMODALITÀDIRIPRISTINODELLADISPONIBILITÀDEIDATIInbaseallaregola19.5ilTitolare(SocietàCooperativaSocialeBIPLANO)haindicatoicriterieleprocedureadottatiperilripristinodeidatiincasodilorodanneggiamentoodiinaffidabilitàdellabasedati.Databasee/oarchiviodati

Strutture Criteriminimiperilsalvataggioeilripristinodeidati Pianificazionedelleprovediripristino

Fornitori


BackupgiornalierosuHDesterno.Salvataggiogiornalierosuserver.

Semestrale

Personale



Semestrale

Clienti/Utenti



Semestrale

Clienti/Utenti

Resp.AreeServizi


Semestrale

6PIANIFICAZIONEDEGLIINTERVENTIFORMATIVIPREVISTIInbaseallaregola19.6ilTitolare(SocietàCooperativaSocialeBIPLANO)hastabilitoqualiinterventiformativiritieneopportunopianificareinrelazioneaspecificigliobiettivielemodalitàdell’interventoformativo.6.1InformazioniessenzialiDescrizionesinteticadegliinterventiformativi

Classidiincaricootipologiediincaricatiinteressati Tempiprevisti


7TRATTAMENTIAFFIDATIALL’ESTERNOIn base alla regola 19.7 il Titolare (Società Cooperativa Sociale BIPLANO) ha descritto sinteticamente le attività affidate a terzi che comportano iltrattamentodidati,conl’indicazionesinteticadelquadrogiuridicoocontrattuale(nonchéorganizzativoetecnico)incuitaletrasferimentosiinserisce,inriferimentoagliimpegniassunti,ancheall’esterno,pergarantirelaprotezionedeidatistessi.Descrizionesinteticadell’attivitàesternalizzata

Trattamentididatiinteressati Soggettoesterno Descrizionedeicriteriedegliimpegniassuntiperl’adozionedellemisure

ConsulenzadellavoroeGestionedelPersonale(pagheecontributi)

Datipersonaliesensibilidelpersonale

COESIServiziViaSanBernardino5924122BERGAMOBG

LaCooperativaèpartnerdiCOESIchehacomemissionquelladellatutelaedelsupportodellecooperativeclienti.COESIsièimpegnatoeadottatuttelemisurenecessarieallaprotezionedeidatipersonaliutilizzati,finalizzatiall’erogazionediservizialleproprieassociate/clienti.


8DISTRIBUZIONEDEICOMPITIEDELLERESPONSABILITÀNELL’AMBITODELLESTRUTTUREPREPOSTEALTRATTAMENTODEIDATIIlSig.èstatanominataindata02-05-2017RESPONSABILEDELTRATTAMENTOatuttiglieffettilegali,secondoicriteri,lemodalitàeleistruzionidiseguitospecificateneldocumentodinominaallegatoinquestodocumentoprogrammaticosullasicurezza.Sièvalutatocheilmedesimosiainpossessodeirequisitidiesperienza,capacitàedaffidabilitàrichiestidalcomma2dell’art.29delD.Lgs.196/2003.Isignori: NOMEECOGNOME AREA/SERVIZIO GiacomoRibaudo DirezioneCinziaMorosini SegreteriaAmministrativaLucianoMaffioletti AgricolturaSocialeLucaFornoni CRMDanielaGladi CentroDiurnoCristinaChillè CentroDiurnoLiciaDeAngelis ResidenzialitàLeggeraSonostatinominatiINCARICATIDELTRATTAMENTOInquestoruoloeneilimitidellemansionialoroaffidate,talisoggettipotrannoeseguireleoperazioniditrattamentoriguardantilesopraddettebanchedati,attenendosialleistruzioniimpartitedalTitolareodalResponsabiledeltrattamento.Nelsingolodocumentodinominaallegato,sonoevidenziateleoperazioniriguardantiiltrattamentodidatipersonalidipropriacompetenzaelebanchedatiacuiilsingoloIncaricatopuòaccedere.9PROCEDUREPERLASICUREZZADELTRATTAMENTODEIDATI9.1ProtezionedelleareeedeilocalirilevantiaifinidellalorocustodiaeaccessibilitàL’accessofisicoallestanzecontentidocumentitrattantidatipersonalièpermessosoloagliincaricatideltrattamento.Gliarmadiincuisonodetenutidocumenticartaceiinerentidatipersonalidevonoesseredotatidiserraturaachiave.IlResponsabiledeltrattamentosioccupadellagestionedellechiaviinoggetto.

Nome Giacomo Cognome Ribaudo


9.2Gestionestrumentielettronici9.2.1AntivirusLaCooperativasièdotatadelseguentesoftware:Nomeprodottoantivirusindotazione KarsperskyDescrizioneprodotto L’antivirusinoggettocontrollainautomaticoognifilescaricatodallareteodallapostaelettronica

olettodasupportiesterniqualicd-romechiavetteModalitàdiaggiornamento L’aggiornamentodelprodottoantivirusinstallatoècontinuoefattoautomaticamentetramiteuna

funzionalitàadisposizionenelprodottostesso.Incaricatoaggiornamento ResponsabileeIncaricati9.2.2SistemaoperativoLaCooperativasièdotatadeiseguentisistemioperativi:Nomeprodottoindotazione WindowsXPeWindows10Descrizioneprodotto SistemaoperativoModalitàdiaggiornamento L’aggiornamento del prodotto installato è continuo e fatto automaticamente tramite una

funzionalitàadisposizionenelprodottostesso.Incaricatoaggiornamento DirezioneeResponsabilidelServizio-Amministrazione9.2.3Altrisoftware Nomeprodottoindotazione MicrosoftOffice2013Descrizioneprodotto Applicazioniperlarealizzazioneditesti,foglidicalcoloecc.Modalitàdiaggiornamento L’aggiornamento del prodotto installato è continuo e fatto automaticamente tramite una

funzionalitàadisposizionenelprodottostesso.Incaricatoaggiornamento DirezioneeResponsabilidelServizio-Amministrazione Nomeprodottoindotazione GescopDescrizioneprodotto GestionecartellinipresenzeModalitàdiaggiornamento L’aggiornamento del prodotto è garantito dalla possibilità di richieste di assistenza alla ditta

produttrice,siaon-sitechedaremoto.Frequenzaaggiornamento StabilitadalproduttoreIncaricatoaggiornamento ResponsabilidelServizio-Amministrazione


Nomeprodottoindotazione MagoDescrizioneprodotto Gestionecontabilitàgeneraleemagazzino,gestioneclienti,fatturazioneModalitàdiaggiornamento L’aggiornamentodelprodotto installatoègarantitodallapossibilitàdirichiestediassistenzaalla

dittaproduttrice,siaon-sitechedaremoto.Frequenzaaggiornamento StabilitadalproduttoreIncaricatoaggiornamento ResponsabilidelServizio-Amministrazione9.2.4FirewallesistemidiantiintrusioneLaCooperativasièdotatadelseguentesistemafirewallNomeprodotto FunzionediWindowsFirewallHardwaresullareteLANIncaricatoallagestioneeall’aggiornamento Direzionetramiteincaricatiassistenzasoftware9.2.5GestionesupportirimovibilicontenentidatisensibiliNelregolamentooperativoallegatosonostateforniteistruzioniorganizzativeetecnicheadhocperlacustodiael’usodisupportirimovibilicontenentidatisensibiliegiudiziari(floppydisk,chiavetteharddisk,cdriscrivibili,ecc.).9.2.6GestionemanutenzionestrumentielettroniciLamanutenzionedeglistrumentielettronicivieneaffidataalladitta:Ragionesociale PCAssistanceIndirizzo ViaGaribaldi3524068SeriateBGPartitaIVA 133146301569.2.7SistemadiidentificazioneeautenticazioneLaCooperativahaattivatounsistemad’autenticazioneperognunodegliincaricatichetrattanodatipersonali.Èstatoattribuitouncodiceidentificativo(username,userID)strettamentepersonaleperl'utilizzazionedeglistrumentielettronici(disolitopersonalcomputer)delsistemainformaticodellaCooperativa.Icodiciidentificativisonofrequentementeaggiornati,inserendoquellideinuoviincaricatiecancellandoquellidegliincaricatinonpiùautorizzati.Ilsistemadiautenticazioneprevedel’utilizzodiparolechiave(password)siaalivellodisistemaoperativosiaalivellodisingolaapplicazione.IlResponsabiledeltrattamentoèIncaricatodellagestionedellepassword.Vienesegnalatoagli incaricatichela lunghezzadellapassworddautilizzarenondeveessereinferioreadottocaratteri,salvolimitazionitecnicheneisoftwareinuso.


Sisollecital’Incaricatochericeveunapasswordamodificarlaalprimoutilizzo.L’IncaricatodevesegnalarealResponsabiledeltrattamentooalcustodenominatolasuapasswordinuso.VienesegnalatoadogniIncaricatolanecessitàdicambiarelapasswordalmenoogni6mesi.Nell’ipotesiditrattamentodidatisensibilivienesegnalatoadogniIncaricatolanecessitàdicambiarelapasswordalmenoogni3mesi.ÈprevistaunascadenzanellavaliditàdiognipasswordutilizzatainCooperativa.SonovietateinCooperativacredenzialidiautenticazione(usernameepassword)condivisefrapiùpersone.Lecredenzialidiautenticazionenonutilizzatedaalmenoseimesivengonodisattivate.Lecredenzialidiautenticazionevengonoimmediatamenterevocateincasodiprovvedimentidisciplinarioquandosipresentanosituazionichepossonocomprometterelasicurezza.Sonostateconsegnateistruzioniscritteagliincaricatiinmeritoallemodalitàdigestioneedicustodiadellepassword.Incasodiprolungataassenzadell’Incaricato,ilResponsabiledeltrattamentoèautorizzatoadrivelarelapasswordinusoperassicurareladisponibilitàdeidatiedeglistrumentielettronici.Lavisualizzazionedellapasswordsulloschermodeipersonalcomputerèimpeditadatuttiisoftwareinuso.Ilsistemadiidentificazioneedautenticazioneèoperativoanchesuicomputerportatiliesuipalmarichepossonogestireeconteneredatipersonali.9.3Trattamentisenzal’ausiliodistrumentielettroniciNellasezione“gestionedocumenticartacei”delRegolamentodiutilizzodeglistrumentielettroniciallegatoalpresentedocumento,sonoimpartiteagliincaricatiistruzioniscritte,finalizzatealcontrolloedallacustodia,perl’interociclonecessarioallosvolgimentodelleoperazioniditrattamento,degliattiedeidocumenticontenentidatipersonali.Lepersoneammesse,aqualunquetitolo,dopol’orariodichiusuradegliuffici,neiluoghicontenentigliarchivicontenentidatisensibiliogiudiziarisonoidentificateeregistrate.IlResponsabiledeltrattamentoèincaricatodellagestionedelleautorizzazionineiluoghicontenentiarchivididatisensibili.9.4Criteriemodalitàdiripristinodelladisponibilitàdeidati9.4.1BackupdatiAlfinedigarantirenonsololaintegrità,maanchelaprontadisponibilitàdeidati,laCooperativasièdotatadistrumentieproceduredibackup.SièvalutatailsistemaelacapienzadellostrumentosceltopiùchesufficienteperlamoledidatiattualmentegestitadallaCooperativastessa.TuttiidatipersonaligestiticonstrumentielettronicinellaCooperativavengonoinclusinellaproceduradibackup.Lafrequenzaconcuivengonoeffettuatelecopiedisicurezzaèmensile.Isupportidibackupvengonotitolatielalorocustodiaetichettata.OgnivoltavieneeffettuatadalResponsabiledeltrattamentounaverificadellaleggibilitàedintegritàdelsupportodibackup.


Le copie di backup non sono conservate nello stesso luogo fisico ove si trovano gli strumenti elettronici con cui si gestiscono i dati personalimavengonodepositatedalResponsabiledeltrattamentoLuogocustodia AbitazionedelResponsabileIltempomassimoperlaconservazionedellecopiedibackupèstatostabilito:Tempomassimoconservazione 6mesiIl temponecessarioperrecuperare idatidellecopiedisicurezza,a frontediunagenericaemergenza,vienestimato inpocheoredalverificarsidelpossibileaccadimentonegativo,comunqueampiamentesottoillimitedeisettegiorniprevistidalpunto23dell’allegatoBdelD.Lgs.196/2003inipotesiditrattamentodidatisensibili.10CONTROLLOGENERALESULLOSTATODELLASICUREZZAIlResponsabilemantieneaggiornatelemisuredisicurezzaalfinediadottareglistrumentipiùidoneiperlatuteladeidatitrattati.Egliverificainoltreconfrequenzaalmenomensilel’efficaciadellemisureadottaterelativamentea:Ø accessofisicoalocalidovesisvolgeiltrattamentoØ procedurediarchiviazioneecustodiadatitrattatiØ efficaciaeutilizzomisuredisicurezzastrumentielettroniciØ integritàdeidatiedellelorocopiedibackupØ distruzionedeisupportimagneticinonpiùriutilizzabiliØ livellodiinformazionedegliinteressati11MODALITÀAGGIORNAMENTODELDOCUMENTOPROGRAMMATICOPERLASICUREZZAIlpresentedocumentoredatto indataodierna,vienefirmato incalcedalPresidentedellaCooperativa inqualitàdiTitolareeverràaggiornatoognivoltachevisianocambiamentisignificativinellaCooperativaimpattantisullemisureminimedisicurezza.IlResponsabileèilsoggettoprepostoall’aggiornamentoeallacustodiadeldocumentoprogrammaticoperlasicurezza.Nelcasodicambiamentiorganizzativi,aperturadinuoviserviziocambiodipersonale,ilTitolaredeltrattamento(odilResponsabileperlasicurezzasenominato)dovràprocedereallacompletarevisionedeldocumentoinoggetto.L’originaledelpresentedocumentoècustoditopressolasededellaCooperativa,peressereesibitoincasodicontrollo.Unacopiaverràconsegnataairesponsabilidideterminatitrattamentididatiappositamentenominati.


12ALLEGATI• RegolamentodiutilizzodeglistrumentielettroniciegestionedeidocumenticartaceiPremessaI dipendenti, i collaboratori e i soci devono ispirarsi ad un principio generale di diligenza e correttezza nell'utilizzo delle risorse informatiche,telematicheedelpatrimonio informativodellaCooperativa.Ogniutilizzodel sistema informativodellaCooperativadiversoda finalità strettamenteprofessionalièespressamentevietato.Di seguitovengonoesposte regoleminimecomportamentalidaseguireperevitareeprevenirecondottecheanche inconsapevolmentepotrebberocomportarerischiallasicurezzadelsistemainformativoeall'immaginedellaCooperativastessa.La Cooperativa s’impegna a formare gli incaricati in merito ai rischi, alle procedure operative, alla prevenzione dei danni e, più in generale, alleproblematicherelativeallasicurezzainmateriaditrattamentodeidati.IlregolamentodeveessereportatoaconoscenzaedistribuitoatuttiicomponentidellaCooperativa.-Art.1-FINALITA'DELTRATTAMENTODEIDATI"SENSIBILI"LaCooperativaperl'esclusivosvolgimentodellepropriefunzioni istituzionalieffettuailtrattamentodidati"sensibili"nell'ambitodellaerogazionediservizidieducazione,assistenzaecura,senzascopodilucro,correlateaiservizirivoltiagliutenti(ospitatienon).LaCooperativaeffettuaancheiltrattamentodidati"sensibili"riguardantiilpersonaledipendenteenondipendenteoperantepressoiServizialfinedellaregolaregestionedelrapportodilavorodipendenteoinconvenzioneodivolontariato.-Art.2-IDENTIFICAZIONEDATI"SENSIBILI"TRATTATICon riferimento alle finalità di interesse pubblico di cui all'art. 1 del presente regolamento ed ai sensi delle disposizioni della vigente normativaidentificaidati"sensibili",indicatinelcapitolo1delpresentedocumento,dicuièeffettuatoiltrattamentopressol'ente.-Art.3-DATITRATTATII dati trattati sono quelli essenziali allo svolgimento delle attività istituzionali che non possono essere adempiute, caso per caso, mediante iltrattamentodidatianonimiodidatipersonalidinaturadiversa.-Art.4–OPERAZIONIPERTINENTIEDESEGUIBILILeoperazionistrettamentepertinentineltrattamentodeidati"sensibili",previstedallalegge,sonoquelleindispensabiliall'erogazionedelleprestazioniassistenzialieriabilitativeagliutentiedallagestionedeirapportidilavorooinconvenzioneodivolontariato.


-Art.5–INCARICATIDELTRATTAMENTOL'accessoel'utilizzodeidati"sensibili"èconsentitoaisoliincaricatideltrattamento,preposticasopercasoallespecifichefasidelleattivitàistituzionalidell'entesecondoilprincipiodellapertinenzadeidatidivoltainvoltatrattati.Utilizzodell'elaboratoree/odellareteinternaL'accessoall'elaboratoredellapropriapostazionedilavoro,siaessocollegatoinreteo"standalone",èprotettodaunsistemadiautenticazione.LaCooperativahaattivatounsistemad’autenticazioneperognunodegliincaricatichetrattanodatipersonali.Èstatoattribuitouncodiceidentificativo(username,userID)strettamentepersonaleperl'utilizzazionedeglistrumentielettronici(disolitopersonalcomputer)delsistemainformaticodellaCooperativa.Lapasswordassegnatanondeveesseredivulgataedeveesserecustoditadall'assegnatarioconlamassimadiligenza. Il sistemadiautenticazioneprevede l’utilizzodiparolechiave (password) siaa livellodi sistemaoperativosiaa livellodi singolaapplicazione.IlResponsabiledeltrattamentoèIncaricatodellagestionedellepassword.Vienesegnalatoagli incaricatichela lunghezzadellapassworddautilizzarenondeveessereinferioreadottocaratteri,salvo limitazionitecnicheneisoftware in uso. Si sollecita l’Incaricato che riceve una password a modificarla al primo utilizzo. L’Incaricato deve segnalare al Responsabile deltrattamentooalcustodenominatolasuapasswordinuso.VienesegnalatoadogniIncaricatolanecessitàdicambiarelapasswordalmenoogni6mesi.Èvietatoistallarequalsiasisoftwareanchedemo,senzaautorizzazione.Su ogni elaboratore della Cooperativa è stato installato un software antivirus ed un software ad-ware per prevenire eventuali danneggiamentiall’hardwareo al software causati dalla presenzaodall’azionedi programmi virus informatici. È importanteutilizzarequesti software antivirus percontrollarequalsiasifilediprovenienzaesternaallaCooperativa.Ècuradiciascunoperatoreprovvedereall’aggiornamentodeisoftware,concadenzaminimasettimanale,dell’antivirusinstallato.Si ricorda che nonostante la presenza del software antivirus è possibile che riescano ugualmente ad installarsi nei computer virus informatici nonidentificati o riconoscibili. Pertanto in caso si evidenzino anomalie di funzionamento del computer è importante darne rapida segnalazione alResponsabiledeltrattamento.L’elaboratore,leunitàdireteeleareedicondivisionecontengonoinformazionistrettamenteprofessionalienonpossonoessereutilizzateperscopidiversi.Nonbisognadislocarestampantie fax inareeaccessibiliasoggettinonabilitatial trattamentoenonpresidiate (adesempio icorridoidegliuffici).GestionesupportirimovibilicontenentidatisensibiliSenza specifica autorizzazione è fatto divieto di usare supporti rimovibili contenenti dati sensibili e giudiziari (floppy disk, chiavette hard disk, cdriscrivibili,ecc.).UtilizzoservizivarisuinternetIservizionlinedevonoessereesclusivamentefinalizzatialreperimentodiinformazioniutiliallaCooperativa.Ognialtrautilizzazionedell’accessosuinternet,nonfinalizzataalreperimentodiinformazioniutiliallaCooperativa,nonpertinenteall’attivitàlavorativaoditipopersonalenonèconsentita.AlfinedinoncomprometterelasicurezzadellaCooperativaediprevenireconseguenzelegaliodialtrogenereacaricodellastessa,gliutentidovrannoadottareiseguenticomportamenti:


-evitareloscaricamentodiprogrammisoftware,anchegratuiti,senonperesigenzestrettamenteprofessionaliefatticomunquesalviicasidiesplicitaautorizzazione;- è vietata la partecipazione a Forum non professionali, l'utilizzo di chat, di bacheche elettroniche e, più in generale, qualunque utilizzo di serviziInternet,attualiofuturi,nonstrettamenteinerentiall'attivitàprofessionale;UtilizzodelserviziodipostaelettronicaIlserviziodipostaelettronicavienefornitoperpermetterelacomunicazioneconsoggettiterziinterniedesterniperlefinalitàdellaCooperativaedinstrettaconnessioneconl’effettivaattivitàemansionidelsoggettodipendenteocollaboratorecheutilizzatalefunzionalità.NonèpossibileutilizzaretaleservizioperfinalitàincontrastoconquelledellaCooperativa,ononpertinentiall’attivitàlavorativaopersonali.AlfinedinoncomprometterelasicurezzadellaCooperativaediprevenireconseguenzelegaliacaricodellastessabisognaadottareleseguentinormecomportamentali:- se nonostante i controlli preventivi antispamminge antivirus automatici, si ricevonomail dadestinatari sconosciuti contenenti file (in particolareprogrammieseguibiliofilediwordprocessorefoglidicalcolocontenentidellemacro,filecompressi)evitarediapriretalimailetalifileeprocedereallaloroimmediataeliminazione.Ilcomportamentosopradescrittovaseguitoanchesesiricevonofilenonconcordatidadestinatariconosciuti;-èfattodivietodiutilizzare lecaselledipostaelettronicaper l'inviodimessaggipersonalioper lapartecipazioneadibattiti, forumomail listsalvodiversaedesplicitaautorizzazione;- la casella di posta elettronica assegnata deve essere mantenuta in ordine, cancellando i documenti inutili specialmente se contengono allegatiingombranticomedimensione;GestionedeidocumenticartaceiLa documentazione cartacea contenente dati personali o sensibili deve essere protetta in appositi armadi dotati di chiavi. Le chiavi devono essereconservateacuradelResponsabiledell’ufficio.Ogni volta che un soggetto autorizzato preleva documenti contenenti dati sensibili da tali archivi è tenuto a lasciarne traccia mediante appositasegnalazioneriportanteilproprionome,dataeoradelprelevamentoinunappositoregistro.Tuttiidocumenticontenentidatipersonalioaziendalichesiritienedebbanoessereeliminatidevonoesseredistruttienongettatineicestini.Èvietatoildepositodidocumentidiqualsiasigenerenegliambientiditransitoopubblici,comeperesempiocorridoiosaleriunioni.


• NominadelResponsabileperiltrattamentodeidatiEgregioSig.Aisensidell’art.29deldecretolegislativo196/2003edinbasealleinteseintercorse,inconsiderazionedellefunzionidaLeiespletatenellaCooperativa,LecomunichiamolanominaaResponsabiledelTrattamentodellebanchedatipresentiinCooperativaediquellecheinfuturoLeverrannoaffidate.NelsuoincaricodovràattenersialleistruzioniimpartiteecontenutenelDPS,edinparticolare:1. catalogareanaliticamentelebanchedaticontuttiglielementinecessari,ancheaifinidell’eventualenotificaalGarante2. individuaregliincaricatideltrattamentoesuccessivamentediramareleistruzioniscrittenecessarieperuncorretto,lecito,sicurotrattamento,inriferimentoancheaquantocontenutoeprescrittonelDPS3. attuaregliobblighidiinformazioneeacquisizionedelconsenso,quandorichiesto,neiconfrontidegliinteressati4. ove necessario, predisporre la notificazione iniziale e le eventuali successive variazioni verificando l’esattezza e la completezza dei daticontenuti,predisporrelarichiestadiautorizzazionepreventivaaltrattamentodidatisensibilidainviarealGarante5. applicareledisposizionicontenutenelleautorizzazionigeneralidelGaranterelativealtrattamentodeidatisensibiliegiudiziari6. garantireall’interessatol’effettivoeserciziodeidirittiprevistidall’art.7deldecretolegislativon.196/2003,inordineall’accessoaidatieatuttiidirittidiaggiornamento,rettificazione,cancellazioneediopposizione7. collaborareperl’attuazionedelleprescrizionidelGarante8. predisporreedaggiornareun sistemadi sicurezza idoneoa rispettare leprescrizionidell’art. 31deldecreto legislativon. 196/2003,nonchéadeguareilsistemaallenormeregolamentariinmateriadisicurezza,curandonel’applicazionedapartedegliincaricatiNell’espletamentodellesuefunzionidovràapplicarelemisuredisicurezzadispostedallaCooperativae,specificatamente,nellegestionedelleparolechiavedovrà:9. riceveredaisingoliincaricatideltrattamentocomunicazioneriservatadellasostituzionedipasswordeffettuata10. custodire le stesse parole chiave con modalità (fisiche ed organizzative) atte a garantire la segretezza delle stesse parole chiave e la lorointegrità(vediD.P.S.)11. interveniresulprofiloautorizzativodelsingoloIncaricatoperpermettereallaCooperativa,Titolaredeltrattamento,diaccedereaidatitrattatida ogni Incaricato con le modalità fissate dalla Cooperativa stessa, al solo fine di garantire l’operatività, la sicurezza del sistema ed il normalesvolgimentodell’attivitàincasodiprolungataassenzaodimpedimentodell’Incaricatocherendaindispensabileedindifferibilel’intervento12. informaretempestivamentel’Incaricatodell’interventodiaccessorealizzato Data02-05-2017ilPresidenteGiacomoRibaudo________________________ilResponsabileGiacomoRibaudo___________________________

Nome Giacomo Cognome Ribaudo


• IstruzioneenominaIncaricatointernoEgregioSig.NOMEECOGNOME AREA/SERVIZIO FIRMA DATA GiacomoRibaudo Direzione 02-05-2017 CinziaMorosini SegreteriaAmministrativa 02-05-2017 LucianoMaffioletti AgricolturaSociale 02-05-2017 LucaFornoni CRM 02-05-2017 DanielaGladi CentroDiurno 02-05-2017 CristinaChillè CentroDiurno 02-05-2017 LiciaDeAngelis ResidenzialitàLeggera 02-05-2017 Ildecretolegislativo30giugno2003n.196sullatuteladellariservatezzaneltrattamentodidatipersonalihaintrodottorilevantiobblighiacaricodellaCooperativa,obblighi la cui inosservanzaè sanzionatapenalmenteedesponea responsabilità civili.Questodecretoha la finalitàdigarantireche iltrattamentodidatipersonalisisvolganelpienorispettodeidirittidell’interessato,siaessopersonafisicachesocietà,enteodassociazione.Laleggeprescrive(art.30)chevenganoimpartitedapartedelodelResponsabilespecificheistruzioniagli“incaricatiinternodeltrattamento”e,cioè,acoloroche,nell’ambitodell’organizzazionestessaedinrelazioneallemansioniaffidate,trattanodatipersonalisiamediantesistemiinformaticichemediantedocumenticartacei.Pertanto,nell’ambitodellemansionialeiassegnate,vienedesignato“Incaricatodeltrattamento”.Oltrealregolamentointernocheètenutoadosservarelevengonoimpartiteleseguentiistruzioniatteagarantireuntrattamentolecito,correttoesicurodeidati.


IstruzionispecifichesultrattamentodeidatiLerammentiamoquantodispostodall’art.11delD.Lgs.196/2003exart.9legge675/96Idatipersonalioggettoditrattamentodevonoessere:Ø trattatiinmodolecitoesecondocorrettezzaØ raccoltieregistratiperscopideterminati,esplicitielegittimi,edutilizzatiinaltreoperazionideltrattamentointerminicompatibilicontaliscopiØ esattiesenecessarioaggiornatiØ pertinenti,completienoneccedentirispettoallefinalitàperlequalisonoraccoltiesuccessivamentetrattatiØ conservatiinunaformacheconsental’identificazionedell’interessatoperunperiododitempononsuperioreaquellonecessarioagliscopiperiqualiessisonostatiraccoltiesuccessivamentetrattatiInoltresirichiedelaSuaparticolareattenzioneaiseguentipunti,aventispecificaattinenzaconlasicurezzadeidatitrattati:Ø proceduredaseguireper laclassificazionedeidatipersonali,al finedidistinguerequelli sensibiliegiudiziari,osservando lemaggioricauteleditrattamentochequestotipodidatirichiedonoØ modalitàdireperimentodeidocumenticontenentidatipersonaliemodalitàdaosservareperlacustodiael’archiviazionedeglistessiØ modalitàperelaborareecustodirelepasswordnecessarieperaccedereaglielaboratorielettronicieaidatiinessicontenuti,nonchéperfornirnecopiaalprepostoallacustodiadellaparolachiaveØ prescrizionedinonlasciareincustoditieaccessibiliglistrumentielettronici,mentreèincorsounasessionedilavoroØ procedureemodalitàdiutilizzodeglistrumentiedeiprogrammiattiaproteggereisistemiinformativi,nonchéprocedureperilsalvataggiodeidatiØ modalitàdiutilizzo,custodiaearchiviazionedeisupportirimuovibilicontenentidatipersonaliModalitàoperativedaseguireperiltrattamentodeidatiAlfinedellacorrettagestionedeidatiintrattamentolainvitiamopertantoadattenersialleseguentiindicazioni:Ø richiedereeutilizzaresoltantoidatinecessariallanormaleattivitàlavorativaØ custodireidatioggettodeltrattamentoinluoghinonaccessibilianonautorizzatiØ nonlasciareincustoditoilpropriopostolavoroprimadiaverprovvedutoallamesseinsicurezzadeidatiØ nonlasciareincustoditieaccessibiliaterziglistrumentielettronici,mentreèincorsounasessionedilavoroØ procedere all’archiviazione definitiva, nei luoghi predisposti, dei supporti cartacei e dei supporti magnetici una volta terminate le ragioni diconsultazioneØ custodireenondivulgareilcodicediidentificazionepersonale(username)elapassworddiaccessoaglistrumentielettroniciØ accertarsicheiterzisianoaconoscenzaeabbianoautorizzatol’usodeidatirichiestiØ accertarsidell’identitàditerziedellaloroautorizzazionealritirodidocumentazioneinuscitaØ nonforniretelefonicamenteoamezzofaxdatisenzaspecificaautorizzazionee/oidentificazionedelrichiedente


AccessoabanchedatiaziendaliLebanchedaticuièautorizzatoadaccederepereffettuareitrattamenti(sia informaticichecartacei),semprestrettamentepertinentiallemansionisvolte e per le finalità previste dalla Cooperativa, rispettando i principi fondamentali sanciti dall’art. 11del decreto legislativon.196/2003, sono leseguenti:archivioutenti,archiviofornitori.L’IncaricatoperlaSegreteriaamministrativapotràaccedereinoltreall’archiviodipendenti.Creazionenuovebanchedati.GestioneprogrammiSenzapreventivaautorizzazionedelTitolareodelResponsabileovenominatononèpermessorealizzarenuoveedautonomebanchedati,confinalitàdiversedaquellegiàpreviste.TrattamentodeidatipersonaliIltrattamentodeidatipersonalideveessereeffettuatoesclusivamenteinconformitàallefinalitàprevisteedichiaratedallaCooperativae,pertanto,inconformitàalleinformazionichelastessahacomunicatoagliinteressati.L’eventualeraccoltadidatidovràavvenirenelrispettodelleprocedureedeimodelli di informativa e/o consenso elaborati dalla Cooperativa. L’Incaricato deve prestare particolare attenzione all’esattezza dei dati trattati eprovvedere,inoltre,all’aggiornamentodeglistessi.ComunicazioneediffusionedeidatiInrelazioneallebanchedatidicuièautorizzatoiltrattamentonellosvolgimentodellemansioniaffidate,èautorizzatalacomunicazionedeidatistessiesclusivamenteai soggettiesterniche laCooperativastessa indica.Ogni ipotesidiversadicomunicazioneo,addirittura,didiffusionedeidatidovràesserepreventivamenteautorizzatadivoltainvoltadallaCooperativa.MisuredisicurezzaOgni Incaricatoè tenutoadosservare tutte lemisurediprotezioneesicurezzaatteaevitare rischididistruzione,perdita,accessononautorizzato,trattamentononconsentito,giàpredispostedallaCooperativa,nonchéquellecheinfuturoverrannocomunicate.SistemiinformaticiPerogniIncaricatovienecreatauna“credenzialediautenticazione”checonsentel’accessoinreteaidati,attraversounaproceduradiautenticazione(login).Atalfine,adogniIncaricatoèstataassegnatainviariservataunacredenzialeperl’autenticazionecheconsisteinuncodiceidentificativo(userid) edunaparola chiave riservata (password). Taleparola chiavenonva comunicataadaltri incaricati; le variazionidisposteautonomamentedallostessoIncaricatoconperiodicitàsemestrale(trimestraleincasoditrattamentodidatisensibiliogiudiziari)devonoesserecomunicate,sempreinmodoriservato, al custode delle credenziali. La postazione informatica non va lasciata incustodita lasciando accessibili i dati; tutti i supporti magneticiutilizzativannoripostinegliarchivi;isupportinonpiùutilizzatipossonoessereeliminatisolodopocheidaticontenutisonostatiresieffettivamenteinutilizzabili.SiricordachelaCooperativa,Titolaredeltrattamento,neicasiincuièindispensabileedindifferibileaccedereaidatitrattatidall’Incaricatoedaglistrumentiinformaticiindotazioneallostessosiaperleesigenzeproduttiveassociativesiaperlasicurezzaedoperativitàdellostessosistema


informatico (ad esempio nei casi di prolungata assenza od impedimento dell’Incaricato), potrà accedere mediante intervento del custode dellecredenzialinominatodallaCooperativastessa.L’IncaricatononpuòinstallareedutilizzareprogrammiperelaboratorenonautorizzatidallaCooperativaenéprividilicenzachelegittiminol’uso.Glistrumentiinformaticietelematicimessiadisposizionecostituisconodeglistrumentidilavorodautilizzareesclusivamenteperl’esecuzionedellemansioniaffidate.TrattamenticartaceiInbasealprincipiodistrettapertinenzadeitrattamentirispettoallemansionisvolte,potràaccedereagliarchivirelativiallebanchedatiditipocartaceoubicatepressolesedidellaCooperativa.L’Incaricatoneltrattaredocumenticontenentidatisensibiliogiudiziariètenutoacustodirlifinoallarestituzioneinmododaevitarel’accessoaglistessidatiapersoneprivediautorizzazione.L’Incaricatodeve,inoltre,custodiregliarchivicontenentidocumenticondatisensibiliegiudiziari,edevitarechepersonalenonautorizzatoviacceda.L’accessofuoridall’orariodi lavoro impone laregistrazionee identificazionedellepersoneammesseai locali. Idocumenti(ocopiadeglistessi)nonpossono,senzaspecificaautorizzazione,essereportatifuoridailuoghidilavoro,salvoicasidicomunicazionedeidatiaterzipreventivamenteautorizzatiinviageneraledallaCooperativa.! InmeritoalleMisureeaccorgimentiprescrittiaititolarideitrattamentieffettuaticonstrumentielettronicirelativamentealleattribuzionidellefunzionidiamministratoredisistema(27novembre2008modificatoinbasealprovvedimentodel25giugno2009),ilTitolare(CooperativaBiplano)nonhaprovvedutoanominaregliAmministratoridiSistema,inquantolaretedeiPCdesktopeportatilinonsiconfiguracome“sistema”,nonvengonoregistratiaccessi logici, idatinonvengonocatalogati, trattatioutilizzatiperaltroscoposenon l’erogazionedeglistessiservizioper lagestionedeinormalirapportidilavoro.Data02-05-2017ilResponsabileGiacomoRibaudo___________________________ilPresidenteGiacomoRibaudo___________________________

Documents

BIPLANO Società Cooperativa Sociale - Rescogita · 2017. 12. 5. · BIPLANO Società Cooperativa Sociale DOCUMENTO PROGRAMMATICO sulle MISURE di SICUREZZA ADOTTATE per il TRATTAMENTO