Securprivacy è il nuovo prodotto/servizio di Puntoblu con il quale PMI e Studi professionali, possono risolvere definitivamente i problemi di Sicurezza Informatica Attiva e Passiva, in base a specifiche esigenze od al DLGS 196/2003 Privacy. Securprivacy, rappresenta un percorso evolutivo globale, riguardo lo standard della Sicurezza attiva in azienda (ISO 27001), prescindendo dalla semplice azione di “protezione” da virus o da Malware, orientandosi invece, a configurare un sistema integrato e completo in grado di offrire un livello di sicurezza attiva vicino al 100% !!.
Securprivacy protegge dati e processi di aziende e professionisti, creando dei tunnel sicuri di comunicazione senza rischi (VPN) fra sedi centrali e periferiche. Protegge da attacchi esterni provenienti da Internet e da attacchi interni all’azienda (INSIDER). Securprivacy interviene sull’assetto dei client di rete, dei Server, dei database aziendali, sull’impostazione sistemistica e sulla profilazione utenti. Infine protegge l’area di back-up, di restore e di codifica protettiva del dato. Fornendo quindi, la possibilità di ricostruire l’ultimo dato salvato, nel momento del bisogno (DISASTER RECOVERY) ed eliminando possibili danni organizzativi ed economici.
Securprivacy quindi, consente di proteggersi con un basso impatto economico e organizzativo, seguendo un immaginario “Ring” concentrico dove, al centro è posto il massimo valore da proteggere e all’esterno il massimo potere di barriera/filtro :
.png)
Area UTM protezione periferica
Utilizzo di potenti ed efficaci tecnologie proattive Firewall e gateway dotati di analisi Intrusion detection/intrusion protection, generazione di VPN, Load Balancing del carico dati, Cluster di firewall con connessione attivo/passivo e/o Attivo/attivo, anti Hacker, anti dialer, anti banner, controllo accessi e molto altro, in grado di bloccare attacchi mirati e malware via internet …
Area Antivirus Endpoint
Utilizzo di Antivirus centralizzati ed aggiornati temporalmente, con la massima potenzialità di rilevamento ed annullamento di Virus, anti spam, anti spyware e molti altro …
Area Privacy (di seguito riportati) – Log di eventi – Log utenti
Servizi di audit, consulenza legale ed informatica, per la rispondenza alle normative legate al DLGS 196/2003 e successive modifiche/integrazioni quali la normativa per gli amministratori di sistema. Servizi di profilazione e sistemi di riconoscimento utenti …
Data protector – Data encriptor
Servizi che evitano la fuga di dati tramite un sistema che rileva ed identifica i possibili dispositivi connessi alle porte degli endpoint (USB, Firewire, Pcmcia …) tracciando azioni e bloccando quelli non autorizzati. Grazie al servizio di crittografia, il contenuto degli Hard-disk viene trattato per non essere letto qualora gli stessi vengano sottratti od in possesso di non autorizzati.
Area Back-up, Restore e Disaster Recovery
Servizi che garantiscono il salvataggio temporizzato del dato fino a pochi attimi prima del “CRASH”, di remotizzazione del servizio e/o della ridondanza su dispositivi esterni. Servizi che consentono il recupero del dato salvato e dell’ambiente di server presente al momento del “CRASH” sia su server fisici che su server virtuali.
Database e server sicuro
Servizi di protezione del singolo campo di database anche in ambiente AS400 e protezione degli accessi ai server aziendali …
SERVIZI DI AUDIT PRIVACY E PROTEZIONE DEI DATI PERSONALI
Il 30 giugno 2003 veniva emanato il Decreto Legislativo n. 196/2003 contenente il Codice in materia di protezione di dati personali con il quale l’Autorità Garante assicura che il trattamento dei suddetti dati si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato. Invero, la finalità perseguita dal legislatore è quella di garantire la riservatezza e la protezione dei dati personali. Per dato personale, in base alla vigente normativa comunitaria ed italiana, si intende tutto ciò che, in termini informativi – a prescindere dal supporto cartaceo o elettronico in cui è contenuto o dalla forma con cui è rappresentato – sia riferito o riferibile ad una persona, identificata o identificabile.
I dati personali possono essere:
- comuni, quando permettono l’identificazione diretta dell’interessato;
- sensibili, quando sono idonei a rivelare l’origine razziale, etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni di carattere religioso, filosofico, politico e sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
- giudiziari, quando rivelano informazioni circa eventuali implicazioni giudiziarie di un soggetto.
La legge individua diverse figure nella gestione dei dati e precisamente:
- Titolare, a cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento dei dati;
- Responsabile, soggetto preposto dal Titolare al trattamento dei dati;
- Incaricato, soggetto autorizzato dal Titolare o dal Responsabile a compiere operazioni di trattamento dei dati;
- Interessato, soggetto cui si riferiscono i dati personali.
Pertanto, chiunque, nell’ambito dello svolgimento dell’attività lavorativa, si trovi a gestire dati relativi ad altri soggetti (es: dipendenti, clienti, fornitori, consulenti esterni, rappresentanti, etc…), è tenuto ad osservare le disposizioni di cui al D.Lgs. 196/2003 e successive modifiche e/o integrazioni.
Il Garante indica, a tale scopo, gli adempimenti da osservare affinché sia tenuto un regolare trattamento dei dati.
Informativa ex art. 13
Uno dei cardini della disciplina consiste nel riconoscimento alla persona interessata di un effettivo ed efficace potere di controllare le informazioni che la riguardano e di conoscere quali siano i relativi flussi.
L’Interessato o la persona presso la quale sono raccolti i dati devono essere previamente informati, oralmente o per iscritto, circa tutti gli elementi del trattamento, in particolare circa la finalità e modalità del trattamento dei dati, la natura obbligatoria o facoltativa del conferimento degli stessi, le conseguenze del rifiuto di rispondere, i soggetti e le categorie di soggetti che possono venire a conoscenza dei dati in qualità di responsabili o incaricati, l’ambito di diffusione dei dati, gli estremi identificativi del Titolare e dell’eventuale Responsabile e i diritti dell’Interessato di cui all’art.7.
Tale informativa non deve essere fornita ad ogni operazione di utilizzazione dei dati, ma può essere resa agli interessati una tantum.
Può comunque essere redatta una informativa breve da piccole e medie imprese, liberi professionisti ed artigiani per correnti finalità amministrative e contabili, con esclusione di regola dei casi in cui vengano in rilievo informazioni di carattere sensibile o giudiziario.
La violazione di cui all’art. 13 è punita ex art. 161, con l’applicazione di una sanzione amministrativa da Euro seimila ad Euro trentaseimila.
Misure minime di sicurezza
La normativa pone precisi obblighi giuridici, sanzionabili anche penalmente, affinché vengano assunte, in via preventiva, specifiche misure tecniche, informatiche, logistiche, fisiche, organizzative e procedurali per proteggere i dati.
Esse devono essere rispettate da tutte le persone che operano quali Responsabili o Incaricati del trattamento, non solo per la custodia di documenti ed archivi cartacei, ma soprattutto quando si utilizzano strumenti elettronici, come computer, collegati in rete ed i relativi programmi, che possono aumentare i rischi di accesso ai dati da parte di terzi non autorizzati, di perdita anche accidentale e di trattamenti non consentiti o in violazione di legge.
Le misure minime di sicurezza – da regolare in base agli strumenti impiegati ed alla natura dei dati trattati – previste dal disciplinare tecnico sulla sicurezza contenuto nell’allegato B del Codice sono le seguenti:
- autenticazione informatica per l’accesso ai dati, consistente nell’inserimento di un codice identificativo associato ad una parola chiave;
- idonee procedure di gestione delle credenziali di autenticazione, con attribuzione ad ogni incaricato di credenziali individuali;
- sistema di autorizzazione poiché per gli Incaricati devono essere individuati profili di autorizzazioni diversi a seconda delle operazioni di trattamento alle quali sono preposti;
- aggiornamento periodico dell’individuazione dell’ambito di trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
- protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti ed accessi non consentiti da prevenire tramite firewall e sistemi di c.d. intrusion detection;
- procedure per la custodia di copie di sicurezza, nonché per il ripristino della disponibilità dei dati e dei sistemi (back up giornaliero, o almeno settimanale dei dati);
- redazione del documento programmatico sulla sicurezza (DPS), vale a dire di un documento contenente l’elenco dei trattamenti in essere, i compiti e le responsabilità delle strutture, l’analisi dei rischi che incombono sui dati e le misure adottate e da adottare per prevenirli o ridurli, nonché indicazioni relativamente ai criteri adottati per la sicurezza dei trattamenti affidati a soggetti esterni, alle procedure di ripristino e alla pianificazione degli interventi formativi per il personale incaricato.
Recentemente sono state introdotte delle semplificazioni aventi ad oggetto la sostituzione del DPS con una autocertificazione o un DPS semplificato.
L’autocertificazione, resa dal Titolare del Trattamento, può essere adottata da piccole e medie imprese, liberi professionisti ed artigiani che trattano solo dati personali non sensibili, ovvero come unici dati sensibili quelli concernenti lo stato di salute o malattia dei dipendenti o collaboratori anche a progetto senza indicazione della relativa diagnosi e quelli relativi alla adesione ad organizzazioni sindacali o a carattere sindacale.
Il DPS semplificato può essere adottato da coloro che trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare liberi professionisti, artigiani e piccole e medie imprese. Si consiglia comunque, ai fini della completezza e maggiore sicurezza del quadro gestionale dell’Azienda, la tenuta di un DPS ordinario.
Il DPS deve essere aggiornato con cadenza annuale al 31 marzo di ogni anno.
Sono, inoltre, previste delle misure specifiche per i trattamenti effettuati senza l’ausilio di strumenti elettronici.
In questo caso è necessario:
- aggiornare periodicamente l’individuazione dell’ambito di trattamento consentito ai singoli incaricati mediante istruzioni scritte;
- prevedere procedure per l’idonea custodia di atti e documenti affidati agli incaricati;
- prevedere procedure per la conservazione di determinati atti in archivi ad accesso selezionato.
Il mancato adeguamento a quanto sopra comporta l’applicazione, ex art. 162 comma II bis della sanzione amministrativa del pagamento di una somma da Euro 10.000,00 ad Euro 120.000,00, escluso il pagamento in misura ridotta, nonché, ex art. 169, la sanzione penale dell’arresto sino a 2 anni.
Amministratori di Sistema
In data 15 dicembre 2009 scadeva il termine previsto dal Garante per l’adeguamento in materia di Amministratori di Sistema, vale a dire i soggetti cui è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di base dati e di consentirne l’utilizzazione.
Le sanzioni previste dal provvedimento del 27 novembre 2008, in caso di inottemperanza allo stesso, sono quelle previste dall’art. 162 comma 2-ter del Codice sulla protezione dei dati personali le quali comportano il pagamento di somme comprese tra Euro 30.000,00 e Euro 180.000,00, con possibilità di aggravamento della sanzione nel caso in cui durante l’ispezione dovessero rilevarsi ulteriori omissioni nell’applicazione della normativa.
Videosorveglianza
Il Garante della Privacy ha di recente specificato le modalità di adozione dei sistemi di videosorveglianza effettuati dalle Aziende.
Anche in questo caso sono state previste sanzioni piuttosto severe, della portata di quelle già indicate per gli altri adempimenti.
ADEMPIMENTI PRIVACY E SANZIONI
La violazione di cui all’art. 13 è punita ex art. 161, con l’applicazione di una sanzione amministrativa da Euro 6000 ad Euro 36.000.
Misure minime di sicurezza
Per il trattamento dati a mezzo strumenti elettronici:
- autenticazione informatica per l’accesso ai dati
- idonee procedure di gestione delle credenziali di autenticazione
- sistema di autorizzazione
- aggiornamento periodico
- protezione degli strumenti elettronici e dei dati
- procedure per la custodia di copie di sicurezza
- redazione del documento programmatico sulla sicurezza (DPS) ovvero del DPS semplificato ovvero dell’autocertificazione
Per il trattamento dati cartacei:
- aggiornamento periodico
- procedure per l’idonea custodia di atti e documenti
- procedure per la conservazione di determinati atti
Il mancato adeguamento a quanto sopra comporta l’applicazione, ex art. 162 comma II bis della sanzione amministrativa del pagamento di una somma da Euro 10.000,00 ad Euro 120.000,00, escluso il pagamento in misura ridotta, nonché, ex art. 169, la sanzione penale dell’arresto sino a 2 anni.
Amministratori di Sistema
Le sanzioni previste dal provvedimento del 27 novembre 2008, in caso di inottemperanza allo stesso, sono quelle previste dall’art. 162 comma 2-ter del Codice sulla protezione dei dati personali le quali comportano il pagamento di somme comprese tra Euro 30.000,00 e Euro 180.000,00, con possibilità di aggravamento della sanzione nel caso in cui durante l’ispezione dovessero rilevarsi ulteriori omissioni nell’applicazione della normativa.
Videosorveglianza
Anche in questo caso sono state previste sanzioni piuttosto severe, della portata di quelle già indicate per gli altri adempimenti.
| < Prec. | Succ. > |
|---|