Sicurezza
Redatto ai sensi e per gli
effetti dell’articolo 34, comma 1, lettera G) del D.Lgs. 196/2003 e del
disciplinare tecnico
(allegato B del D.Lgs. 196/2003)
Premesso
che nell’ambito della propria attività
In
conformità con quanto prescritto al punto 19 del Disciplinare tecnico (allegato
B al D.Lgs.) nel presente documento si forniscono idonee informazioni
riguardanti:
1) Elenco dei trattamenti di dati
personali (punto 19.1) mediante
1.1
Individuazione
dei dati personali trattati;
1.2
Descrizione
delle aree, dei locali e degli strumenti con i quali si effettuano i
trattamenti;
1.1
Elaborazione
della mappa dei trattamenti effettuati;
1) Distribuzione dei compiti e delle
responsabilità nell’ambito delle strutture preposte al trattamento dei dati
(punto 19.2)
2.1
Organigramma
privacy;
2.2
Soggetti
incaricati;
2.3
Istruzioni
specifiche fornite ai soggetti incaricati;
2.4
Formazione
degli incaricati al trattamento;
2) Analisi dei rischi a cui sono soggetti
i dati (punto 19.3)
3.1
Strumenti impiegati nel trattamento;
3) Misure adottate e da adottare per
garantire l’integrità e la disponibilità dei dati (punto 19.4)
4.1 Protezione delle aree e dei locali;
4.2 Custodia e archiviazione dei dati;
4.3 Misure logiche di sicurezza:
a- Accesso ai dati e istruzioni impartite
agli incaricati;
b- Protezione di strumenti e dati;
c- Supporti rimovibili;
d- Regole per minimizzare i rischi da
virus;
4.4
Misure da adottare;
4) Criteri di modalità di ripristino dei
dati a seguito di distruzione o danneggiamento (punto 19.5);
5) Adozione delle misure di sicurezza in
caso di trattamento dei dati affidati all’esterno (punto 19.7);
6) Procedure per il controllo sullo stato
della sicurezza;
7) Dichiarazioni d’impegno e firma.
1.1 Tipologia dei dati Trattati
A seguito
dell’anali compiuta, la Soluzioni Immobiliari srl tratta i seguenti dati:
Ø dati comuni dei clienti, dei fornitori
o di terzi ricavati
da elenchi pubblici, visure camerali ed ipocatastali;
Ø dati comuni dei clienti, dagli stessi forniti per
l’espletamento degli incarichi affidati
all’agenzia, compresi i dati sul patrimonio e sulla situazione economica, o
necessari per fini fiscali o afferenti alla reperibilità ed alla corrispondenza
con gli stessi;
Ø dati comuni di terzi, forniti dai clienti per
l’espletamento degli incarichi affidati all’agenzia, compresi i dati sul
patrimonio e sulla situazione economica, o necessari a fini fiscali o afferenti
alla reperibilità ed alla corrispondenza con gli stessi;
Ø dati comuni dei fornitori concernenti la reperibilità e la
corrispondenza con gli stessi, nonché inerenti ai fini fiscali o dati di natura
bancaria;
Ø dati comuni del personale dipendente, quali quelli necessari al rapporto di
lavoro, alla reperibilità ed alla corrispondenza con gli stessi o richiesti ai
fini fiscali e previdenziali o dati di natura bancaria;
I dati non
pubblici vengono acquisiti previa l’informativa che si allega al presente DPS
Allegato D
1.2 Aree, locali e strumenti con
i quali si effettuano i trattamenti
Il
trattamento dei dati avviene nella sede e luogo di lavoro situata in un locale
al piano terra, l’accesso è controllato attraverso una porta in ferro ed una in
legno ognuna con serratura.
Nel locale d’ingresso è
collocata la segreteria, con la sala d’attesa per i clienti.
Sono
presenti inoltre una sala per il ricevimento dei clienti, ad accesso
controllato ed un archivio.
I supporti cartacei sono raccolti in schedari a
loro volta custoditi come segue:
Ø Archivio 1:
collocato nella sala ricevimento, ad accesso limitato, ove in un apposito
armadio dotato di serratura a chiave, vengono archiviati i supporti cartacei di
comune e continuo utilizzo.
Ø Archivio 2:
collocato nell’archivio, ad accesso limitato, dotato di serratura a chiave,
vengono archiviati i supporti cartacei a fine ciclo lavorativo e tutti i
supporti cartacei di saltuario utilizzo.
Ø Archivio 3 :
collocato nella segreteria, ove in apposito armadio vengono custoditi i
supporti cartacei di comune e continuo utilizzo.
B – Elaboratori in rete
privata, rete pubblica e strumenti elettronici
Il sistema di lavoro della struttura avviene con
elaboratori in rete privata.
Ø n° 1 scanner
dislocato nell’area ufficio;
Ø n° 1
stampante/fotocopiatrice digitale dislocata nell’ area segreteria;
Ø n° 1 fax
collocato nella segreteria;
Ø n° 1
computer portatile
1.3 Mappa dei trattamenti effettuati
Dal
riepilogo dei dati trattati e dall’identificazione degli strumenti utilizzati
si delinea il seguente schema:
|
Tipologia trattamento |
Cartaceo |
PC in rete privata |
PC in rete Pubblica |
|
|
|
|
|
|
Dati
comuni relativi a clienti |
X |
|
|
|
Dati
relativi ai fornitori |
X |
|
|
|
Dati
comuni relativi a terzi |
X |
|
|
|
Dati
relativi al personale,candidati |
X |
|
|
2.1 Organigramma privacy
Titolare del trattamento: Immobiliare Leonessa
Responsabile
del trattamento dei dati: Felici Mario
Responsabile
della sicurezza informatica: Felici Mario
Custode
delle password: Felici Mario
Incaricati
del trattamento dei dati:
Ø Felici Mario
Il rischio
legato alla gestione per i dati comuni del personale dipendente, i dati comuni
dei clienti, i dati comuni di terzi, i dati comuni dei fornitori, può definirsi
basso.
I dati
sono trattati, oltre che dal titolare, anche da tutti gli incaricati.
I dati
afferenti i pagamenti a favore di terzi fornitori, la contabilità e i rapporti
bancari dell’agenzia sono esclusivamente tenuti da
Ø Felici Mario relativamente ai rapporti
bancari e ai pagamenti e alla prima nota;
Ø consulente commercialista Rag. Roberto
Bianchetti
Questi
dati sono in rete.
2.2 Soggetti incaricati
Il
trattamento dei dati personali viene effettuato solo da soggetti che hanno
ricevuto un formale incarico mediante designazione per iscritto di ogni singolo
incaricato, con il quale si individua l’ambito del trattamento consentito.
Le
lettere d’incarico, che vanno a completare il mansionario, sono allegate al
presente documento
Ø Allegato
A per incaricati interni all’agenzia;
Ø Allegato
B per gli incarichi in Out sourcing.
2.3 Istruzioni specifiche fornite ai soggetti
incaricati
Oltre alle
istruzioni generali su come devono essere trattati i dati personali, agli
incaricati sono fornite esplicite istruzioni relativamente a:
Ø procedure da seguire per la
classificazione dei dati personali;
Ø modalità di reperimento dei documenti
contenenti dati personali e modalità da osservare per la custodia e
l’archiviazione degli stessi;
Ø modalità per elaborare e custodire le
password necessarie per accedere agli elaboratori elettronici e ai dati in essi
contenuti, nonché per fornirne copia al soggetto preposto alla custodia della
user-name e password;
Ø prescrizione di non lasciare
incustoditi e accessibili gli strumenti elettronici mentre è in corso una
sessione di lavoro;
Ø procedure e modalità di utilizzo dei
programmi atti a proteggere i sistemi informativi;
Ø procedure per il salvataggio dei dati;
Ø modalità di utilizzo, custodia e
archiviazione dei supporti rimovibili contenenti dati personali;
Ø aggiornamento continuo, utilizzando il
materiale fornito dal titolare del trattamento, sulle misure di sicurezza;
2.4 Formazione degli incaricati al trattamento
Agli
incaricati al trattamento il titolare del trattamento (direttamente o tramite
soggetti da lui identificati) fornisce la necessaria formazione:
Ø al momento di ingresso in servizio;
Ø in occasione di cambiamento di
mansione;
Ø in occasione dell’introduzione di nuovi
strumenti o programmi informatici;
Ø ogni qualvolta si renda necessario
anche in seguito a cambiamenti relativi alle varie normative in merito;
La
formazione interesserà sia le norme generali in materia di privacy, sia agli
aspetti peculiari dei trattamenti effettuati. Essa tende a sensibilizzare gli
incaricati sulle tematiche di sicurezza, facendo comprendere i rischi e le
responsabilità (con specificazione delle sanzioni connesse penali e disciplinari)
che riguardano il trattamento dei dati personali.
3. ANALISI
DEI RISCHI CUI SONO
SOGGETTI I
DATI
L’analisi
dei possibili rischi che gravano sui dati è stata effettuata combinando due
tipi di rilevazioni:
Ø la tipologia dei dati trattati, la loro
appetibilità, nonché la loro pericolosità per la privacy dei soggetti cui essi
si riferiscono;
Ø le caratteristiche degli strumenti
utilizzati per il trattamento dei dati.
3.1
Strumenti impiegati nel trattamento
Sono stati individuati come sorgenti
soggette a rischio le seguenti categorie di strumenti utilizzati per il
trattamento:
Strumenti
Legenda
Schedari e altri supporti cartacei
custoditi nell’area controllata A
Elaboratori in rete privata custoditi
nell’area controllata B
Elaboratori in rete pubblica C
Fattori di
rischio Basso Medio Alto
|
Fattori di rischio |
Basso |
Medio |
Alto |
|
|
|
|
|
|
Rischio d’area legato all’accesso non
autorizzato nei Locali |
|
AB |
|
|
Rischio guasti tecnici hardware,
software, supporti |
|
B |
|
|
Rischio penetrazione nelle reti di
comunicazione |
C |
|
|
|
Rischio legato ad errori umani |
A |
|
|
|
Rischio d’area per possibili eventi
distruttivi |
|
|
ABC |
Per quanto
riguarda gli strumenti elettronici, possono verificarsi malfunzionamenti,
guasti, eventi naturali, alterazioni delle trasmissioni.
Per quanto
riguarda i software contenuti negli strumenti elettronici, possono verificarsi
errori, virus, intercettazioni dei dati.
Per quanto
riguarda gli strumenti elettronici, il rischio può essere definito basso,
essendo state adottate dall’agenzia le misure di sicurezza, tendenti a ridurre
il rischio gravante sui dati e derivante dalla gestione di detti strumenti.
Il rischio
di accesso ai singoli uffici e ai singoli strumenti può essere definito medio,
atteso che l’accesso da parte di terzi e dei clienti è controllato e la zona di
attesa dei clienti distanziata dagli strumenti ed essendo gli stessi clienti
controllabili dalla segreteria.
Per quanto
riguarda la documentazione cartacea, il rischio può essere definito basso,
essendo l’archivio chiuso a chiave, gli schedari chiusi, ed essendo state
adottate le altre misure indicate, fatta eccezione ovviamente per gli eventi
naturali.
Atteso
infine che gli incaricati al trattamento dei dati sono qualificati ed
affidabili e dimostrano riservatezza e attenzione nella gestione dei dati
stessi, il rischio afferente la riservatezza, o la distrazione, o l’incuria
degli stessi può essere definito basso.
Inoltre i
dati per gli affari trattati dall’agenzia ed il tipo di clientela non paiono
essere di particolare interesse per terzi.
4. MISURE
ATTE A GARANTIRE L’INTEGRITÀ E LA DISPONIBILITÀ DEI DATI
Alla luce dei
fattori di rischio e delle aree individuate nel presente paragrafo vengono
descritte le misure atte a garantire:
Ø la protezione delle aree e dei locali
ove si svolge il trattamento dei dati personali;
Ø la corretta archiviazione e custodia di
atti, documenti e supporti contenenti dati personali;
Ø la sicurezza logica, nell’ambito degli
strumenti elettronici;
Ø Le successive misure indicate a
sostegno della fase di protezione dei dati si suddividono in:
a.
misure già
adottate al momento della stesura del presente documento;
b.
ulteriori
misure finalizzate ad incrementare il livello di sicurezza nel trattamento dei
dati.
4.1 La protezione di aree e locali
Per quanto
concerne il rischio che i dati vengano danneggiati o perduti a seguito di
eventi distruttivi naturali quali incendi, allagamenti, corto circuito, i
locali ove si svolge il trattamento dei dati sono protetti da:
Ø dispositivi antincendio previsti dalla
normativa vigente;
Ø gruppo di continuità dell’alimentazione
elettrica;
Ø impianto di condizionamento;
Ø adozione delle disposizioni di
sicurezza previste dalla legge 626/94;
L’ingresso in locali ad accesso
controllato da parte di estranei per operazioni di pulizia o di manutenzione
avviene solo se i contenitori dei dati sono chiusi a chiave e i computer sono spenti
oppure in modalità con protezione screensaver, oppure se le operazioni si
svolgono alla presenza dell’Incaricato del trattamento di tali dati.
4.2 Custodia e archiviazione dei dati
Agli
incaricati sono state impartite istruzioni per la gestione, la custodia e
l’archiviazione dei documenti e dei supporti. In particolare sono state fornite
direttive per:
Ø il corretto accesso ai dati personali;
Ø la conservazione e la custodia di
documenti, atti e supporti contenenti dati personali e sensibili;
Ø la definizione delle persone
autorizzate ad accedere ai locali archivio e le modalità di accesso;
Si è data
disposizione che i telefax
inviati su carta chimica vengano riprodotti su carta normale per evitarne il
deterioramento.
Si è data
disposizione che, terminata la trattazione di una pratica, ogni relativo file,
o dato, o documento cartaceo non più necessario, venga cancellato o distrutto.
E’ presente in agenzia una macchina distruggi documenti.
Si è
disposto che non siano lasciati incustoditi sulle scrivanie, o su altri
ripiani, atti, documenti e fascicoli delle pratiche. I fascicoli vanno conservati negli appositi
schedari e prelevati per il tempo necessario al trattamento per esservi poi
riposti. Le comunicazioni a mezzo posta, o a mezzo telefax, dovranno essere
tempestivamente smistate. Quando è dato
un ordine di stampa, il documento stampato dovrà essere prontamente prelevato
dall’interessato.
Al fine di
evitare eventi di perdita e di danneggiamento degli strumenti elettronici e dei
dati in essi contenuti, si prevede che per due volte all’anno sia effettuata
manutenzione in modo adeguato dal tecnico incaricato. La formazione degli
incaricati viene effettuata all’ingresso in servizio, all’installazione di
nuovi strumenti per il trattamento dei dati, e comunque con frequenza annuale.
4.3 Misure logiche di sicurezza
Per il
trattamento effettuato con strumenti elettronici si sono individuate le
seguenti misure.
Ø realizzazione e gestione di un sistema
di autenticazione informatica al fine di accertare l’identità delle persone che
hanno accesso agli strumenti elettronici;
Ø autorizzazione e definizione delle
tipologie di dati ai quali gli incaricati posso accedere e utilizzare al fine
delle proprie mansioni lavorative;
Ø protezione di strumenti e dati da malfunzionamenti
e attacchi informatici;
Ø prescrizione delle opportune cautele
per la custodia e l’utilizzo dei supporti rimovibili, contenenti dati
personali.
E’ stata
data disposizione che le direttive relative alla misure di sicurezza di seguito
riportate vengano osservate anche dagli incaricati al trattamento qualora
utilizzino notebook personali.
A- Accesso ai
dati e istruzioni impartite agli incaricati
Gli
incaricati al trattamento dei dati dovranno osservare le seguenti istruzioni
per l’utilizzo degli strumenti informatici.
Tutti gli
elaboratori elettronici sono provvisti di accesso controllato. Tale misura è
stata adottata dotando ciascun incaricato di una password di almeno 8 caratteri
alfa-numerici. Detta password non contiene, né conterrà, elementi facilmente
ricollegabili all’organizzazione o alla persona del suo utilizzatore, né
all’agenzia. La stessa viene autonomamente scelta dall’incaricato e dallo
stesso custodita in una busta chiusa, con all’esterno indicazione della
username, che viene consegnata al titolare del trattamento, il quale provvede a
conservarla in un cassetto con chiusura a chiave in un plico sigillato.
Ogni sei
mesi ciascun incaricato provvede a sostituire la propria password. E’ fatto
assoluto divieto di divulgare la password di accesso al sistema.
La
comunicazione della password dovrà avvenire attraverso il modulo, predisposto
dal titolare del trattamento, allegato al presente DPS, Allegato C.
Si è
altresì disposto che le password vengano automaticamente disattivate dopo tre
mesi di non utilizzo.
Inoltre si
è disposto che a tutti gli utilizzatori di strumenti elettronici non lascino
incustodito, o accessibile, lo strumento elettronico stesso.
A tale
riguardo, per evitare errori e dimenticanze, è stato inserito lo screensaver
automatico dopo 5 minuti di non utilizzo, con ulteriore password segreta per la
prosecuzione del lavoro.
Essendo
gli incaricati autorizzati a trattare la quasi totalità dei dati non si è provveduto a dare disposizioni in caso di
prolungata assenza o impedimento dell’incaricato.
Gli
incaricati al trattamento dei dati dovranno altresì osservare obbligo di
assoluta riservatezza.
B- Protezione
di strumenti e dati
Ogni
singolo computer è dotato di dispositivo antivirus, che viene aggiornato con
funzione automatica e con scansione per ogni aggiornamento antivirus, e
comunque settimanale.
Il server
non è dotato di dispositivo antivirus, infatti il sistema operativo è Windows
XP.
Sul
computer è stato installato un firewall, dispositivo anti-intrusione,.
Il sistema è
altresì impostato per l’aggiornamento periodico automatico di protezione. Agli
incaricati è stato affidato il compito di aggiornare periodicamente il sistema di protezione.
E’ stato
disposto, qualora all’interno del computer dovessero essere inseriti dati
sensibili, l’obbligo di provvedere ad un back up settimanale dei dati e dei
sistemi installati sul server su nastro magnetico, in copia criptata, i quali
vengono conservati e chiusi in un cassetto.
Si è data
disposizione che il nuovo back up venga soprascritto sullo stesso nastro
magnetico utilizzato per il precedente, al fine di cancellare i dati relativi
al backup precedente.
I dischi
di installazione dei programmi software adottati sono conservati chiusi in un
cassetto.
Custode di
detti backup è stato nominato l’incaricato Felici Mario.
C- Supporti
rimovibili
Anche se le
norme prevedono particolari cautele solo per i supporti rimovibili contenenti
dati sensibili e giuridici, la tutela per il trattamento viene estesa ai dati
personali come segue:
Ø custodia dei supporti in contenitori
chiusi a chiave in locali con accesso ai soli autorizzati;
Ø cancellazione e/o distruzione del
supporto una volta cessate le ragioni per la conservazione;
Ø protezione, ove necessario e possibile,
mediante user-name e password delle eventuali memorie di massa
D –
Regole per minimizzare i rischi da virus
Per minimizzare il rischio da
virus informatici, gli utilizzatori dei PC adottano le seguenti regole:
Ø controllare (scansionare con un
antivirus aggiornato) qualsiasi supporto di provenienza sospetta prima di
operare su uno qualsiasi dei file in esso contenuti;
Ø evitare l'uso di programmi shareware e
di pubblico dominio se non se ne conosce la provenienza, ovvero divieto di “scaricare“
dalla rete internet ogni sorta di file, eseguibile e non. La decisione di
“scaricare” può essere presa solo dal responsabile del trattamento;
Ø disattivare gli Activex e il download
dei file per gli utenti del browser Internet Explorer;
Ø disattivare la creazione di nuove
finestre ed il loro ridimensionamento e impostare il livello di protezione su
“chiedi conferma” (il browser avvisa quando uno script cerca di eseguire
qualche azione);
Ø attivare la protezione massima per gli
utenti del programma di posta Outlook Express al fine di proteggersi dal codice
html di certi messaggi e-mail (buona norma è visualizzare e trasmettere
messaggi in formato testo poiché alcune pagine web, per il solo fatto di essere
visualizzate possono infettare il computer);
Ø non aprire gli allegati di posta se non
si è certi della loro provenienza, e in ogni caso analizzarli con un software
antivirus. Usare prudenza anche se un messaggio proviene da un indirizzo
conosciuto (alcuni virus prendono gli indirizzi dalle mailing list e della
rubrica di un computer infettato per inviare nuovi messaggi
"infetti");
Ø non cliccare mai un link presente in un
messaggio di posta elettronica da provenienza sconosciuta,(in quanto potrebbe
essere falso e portare a un sito-truffa);
Ø non utilizzare le chat;
Ø consultare con periodicità settimanale
la sezione sicurezza del fornitore del sistema operativo e applicare le patch
di sicurezza consigliate;
Ø non attivare le condivisioni dell'HD in
scrittura;
Ø seguire scrupolosamente le istruzioni fornite
dal sistema antivirus nel caso in cui tale sistema antivirus abbia scoperto
tempestivamente il virus (in alcuni casi esso è in grado di risolvere il
problema, in altri chiederà di eliminare o cancellare il file infetto);
Ø avvisare l’Amministratore di sistema
nel caso in cui il virus sia stato scoperto solo dopo aver subito svariati
malfunzionamenti della rete o di qualche PC, ovvero in ritardo (in questo caso
è possibile che l'infezione abbia raggiunto parti vitali del sistema);
5. CRITERI E MODALITA’ DI
RIPRISTINO DATI
Nell’ipotesi
di distruzione o danneggiamento dei dati o degli strumenti elettronici, si è
predisposto il seguente piano di ripristino, impartendo le seguenti istruzioni:
Ø avvertire il titolare del trattamento
dei dati e l’incaricato che ha in custodia i back up nonché i cd contenenti i
vari software dell’agenzia installati sugli strumenti elettronici;
Ø rivolgersi immediatamente e chiedere
l’intervento del tecnico manutentore sollecitandone al più presto l’intervento;
Ø reinstallare i programmi danneggiati o
distrutti, sempre che non sia necessario sostituire l’intero hardware,
provvedere a reinstallare tutti i dati contenuti nei cd e nei back up;
Ø provvedere all’aggiornamento dei
sistemi operativi una volta reinstallati;
Ø viene data esplicita istruzione che il
ripristino dei dati e dei sistemi sia effettuato entro e non oltre i 7 giorni;
Ø al fine di evitare eventi di perdita e
di danneggiamento degli strumenti elettronici e dei dati in essi contenuti, si
prevede che per due volte l’anno sia effettuata manutenzione in modo adeguato
dal tecnico incaricato.
6.
AFFIDAMENTO DI DATI PERSONALI ALL’ESTERNO
Nello
svolgimento dell’attiva, vengono
affidati dati personali
all’esterno.
Sono
state impartite istruzioni per iscritto al terzo destinatario, al fine di
rispettare quanto prescritto dal codice della privacy.
Di
seguito i soggetti esterni che collaborano con l’agenzia:
I dati personali
afferenti le pratiche dei clienti con particolare riguardo agli aspetti tecnici
sono trattati da due collaboratori esterni:
Ø geometra Aloisi Alberto
Ø geometra Coppari Pierluigi
7. CONTROLLO
GENERALE SULLO STATO DELLA SICUREZZA
Il responsabile per la sicurezza mantiene aggiornate le misure di
sicurezza al fine di adottare gli strumenti più idonei per la tutela dei dati
trattati. Egli verifica inoltre con frequenza almeno mensile l’efficacia delle
misure adottate relativamente a:
Ø accesso fisico a locali dove si svolge
il trattamento;
Ø procedure di archiviazione e custodia
dati trattati;
Ø efficacia e utilizzo misure di
sicurezza strumenti elettronici;
Ø integrità dei dati e delle loro copie
di backup;
Ø distruzione dei supporti magnetici non più
riutilizzabili;
Ø livello di informazione degli
interessati;
8.
DICHIARAZIONE D’IMPEGNO E FIRMA
Il presente
documento redatto in data 20 Gennaio 2007, viene firmato in calce da Felici
Mario, in qualità di titolare, e verrà aggiornato periodicamente entro il 20
Gennaio di ogni anno.
L’originale
del presente documento è custodito presso la sede della società, per essere
esibito in caso di controllo.
Una copia
verrà consegnata ai responsabili di determinati trattamenti di dati
appositamente nominati.
Felici
Mario
Rieti,
20/01/2009