Misure di carattere tecnico e organizzativo (TOM)

 

1.  Controllo degli ingressi nelle strutture

Il termine "controllo degli ingressi" si riferisce all'accesso fisico da parte delle persone agli edifici e alle strutture in cui vengono gestiti e utilizzati i sistemi informatici utilizzati per il trattamento dei dati personali. Questi possono essere, ad esempio, data center in cui vengono gestiti server web, server applicativi, database, mainframe e sistemi di archiviazione e uffici in cui i dipendenti utilizzano computer desktop.

Misure di carattere tecnico

Misure di carattere organizzativo

•  Per proteggere le aree di sicurezza e i loro punti di accesso vengono messe in atto misure tecniche adeguate (ad es. sistemi di rilevamento delle intrusioni, sistemi di ingresso di sicurezza per una sola persona e sistemi di chiusura) •  I requisiti di protezione di un edificio o di un locale vengono determinati in base ai sistemi di trattamento dei dati in esso presenti
•  Viene definito un gruppo di persone con autorizzazione generale all'ingresso e le autorizzazioni all'ingresso nelle aree pertinenti per la sicurezza sono limitate a casi di assoluta necessità ("principio di autorizzazione minima"); l'ingresso è consentito solo a chi è autorizzato
•  È previsto un processo per la richiesta, l'approvazione, il rilascio, la gestione e l'accettazione della restituzione degli strumenti di accesso o per la revoca dei diritti di accesso (inclusa la gestione di chiavi, identità visive, transponder, chip card, ecc.); tutte le chiavi sono registrate
•  È stato istituito un processo per disciplinare l'ingresso di persone esterne all'azienda, quali ospiti e fornitori; vengono registrati i visitatori esterni; qualora sussista l'esigenza di una protezione rafforzata, il personale esterno deve essere accompagnato e vigilato durante lo svolgimento delle proprie attività lavorative

2.  Controllo degli accessi a dispositivi hardware

Misure per impedire a persone non autorizzate di accedere o utilizzare l'hardware utilizzato per trattare i dati personali:

Misure di carattere tecnico

Misure di carattere organizzativo

•  L'accesso ai sistemi di elaborazione dei dati su cui vengono trattati i dati è possibile solo dopo che la persona autorizzata è stata identificata e autenticata correttamente (ad es. con nome utente e password o chip card/PIN), utilizzando misure di sicurezza all'avanguardia
•  La strong authentication (autenticazione a due fattori) si basa sempre su più fattori (almeno 2), come qualcosa di posseduto, qualcosa di conosciuto o basato su un fattore one-time specifico per l'utente (solitamente processi biometrici); tra gli esempi si annoverano:


  • Chip card con certificati e PIN

  • One-time password (generatore OTP, SMS TAN, chip TAN) e password utente

  • Domande di sicurezza

  • Tutti i tentativi di accesso consenti e rifiutati vengono registrati (ID utente, computer, indirizzo IP utilizzato) e archiviati in un modulo di verifica di conformità per 1 anno; per individuare usi impropri vengono effettuate valutazioni periodiche tramite campionamento
  •  Le credenziali di autenticazione (come ID utente e password) non devono mai essere trasmesse in rete senza protezione
  •  Dopo ripetuti tentativi di autenticazione errati l'accesso viene bloccato; è stato stabilito un processo per reimpostare o sbloccare gli ID di accesso bloccati; gli ID utente che non vengono utilizzati per un lungo periodo di tempo
  • (per un massimo di 180 giorni) sono automaticamente bloccati o impostati come inattivi

• Il gruppo di persone autorizzate ad accedere ai sistemi IT deve essere limitato al minimo indispensabile per svolgere i propri compiti o funzioni nell'ambito dell'organizzazione operativa corrente
• Le password devono rispettare regole minime appropriate (ad es. lunghezza e complessità minime relative alla password); le password devono essere modificate a intervalli regolari; le password iniziali devono essere modificate immediatamente; l'implementazione dei requisiti relativi a lunghezza, complessità e validità delle password è garantita da impostazioni tecniche

3.  Controllo dell'accesso ai dati (Accesso limitato)

    3.1. Diritti di accesso limitati

Misure volte a garantire che l'accesso ai sistemi e ai dati sia limitato al personale autorizzato che opera nell'ambito della sua autorizzazione:

Misure di carattere tecnico

Misure di carattere organizzativo

• La persona autorizzata ad accedere ai dati deve anche identificarsi ed autenticarsi all'interno del sistema di trattamento dei dati sulla base di fattori univoci e verificabili, quali ID e password
•  Tutti gli schermi dei computer e dei dispositivi sono impostati con la modalità salvaschermo automatica protetto da password
•  Nella misura in cui dati di più soggetti vengono archiviati nella stessa banca dati o elaborati con lo stesso sistema di trattamento dei dati, sono previste limitazioni logiche di accesso mirate esclusivamente al trattamento dei dati relativi alla parte interessata (multi-tenancy)
• Misure aggiuntive conformemente alle sezioni precedenti
•  Un concetto di autorizzazione (diritti utente e amministrazione) garantisce che l'accesso ai dati nel sistema sia consentito solo nella misura necessaria all'utente per completare l'attività pertinente in base alla distribuzione interna delle attività e alla separazione delle funzioni dell'utente; sono definite regole e procedure per la creazione, modifica e cancellazione dei profili di autorizzazione e dei ruoli utente conformemente alle normative sulla protezione dei dati; le responsabilità sono regolamentate
• I diritti di accesso sono limitati a diversi livelli in base alla necessità di sapere e conformemente a una politica scritta relativa ai diritti di accesso
•  Indipendentemente dalle limitazioni tecniche, ai dipendenti viene richiesto di non accedere a dati non necessari per la loro funzione
•  Le password devono rispettare regole minime appropriate (ad es. lunghezza e complessità minime relative alla password); le password devono essere modificate a intervalli regolari; le password iniziali devono essere modificate immediatamente; l'implementazione dei requisiti relativi a lunghezza, complessità e validità delle password è garantita da impostazioni tecniche
•  Dati e file vengono regolarmente distrutti o eliminati in conformità con una politica di conservazione ed eliminazione dei dati in modo tale che una ricostruzione sia impossibile o possibile solo con sforzi sproporzionati; la distruzione e l'eliminazione sono protocollate; tali protocolli non contengono dati personali ma solo riferimenti a etichette o file
•  Misure aggiuntive conformemente alle sezioni precedenti

     3.2. Controllo dei supporti dati

    Misure volte a impedire l'accesso non autorizzato ai supporti dati:

Misure di carattere tecnico

Misure di carattere organizzativo

• I dati vengono crittografati o protetti da password durante il trasporto; i dati sensibili vengono inoltre crittografati o protetti da password durante l'uso
• Misure aggiuntive conformemente alle sezioni precedenti
• Sono disponibili registrazioni relative a tutti i supporti dati
• I supporti dati vengono conservati in armadi chiusi a chiave al di fuori dell'orario di lavoro
• I supporti dati sono trasportati in modo sicuro
• I supporti dati e i documenti vengono smaltiti conformemente alla norma DIN 66399 internamente o utilizzando un service provider certificato
• Misure aggiuntive conformemente alle sezioni precedenti

     3.3. Controllo delle modifiche

    Misure volte a impedire l'accesso non autorizzato o il trattamento di dati:

Misure di carattere tecnico

Misure di carattere organizzativo

• L'accesso ai dati viene registrato; i file di registro di esempio vengono riesaminati regolarmente
• Misure aggiuntive conformemente alle sezioni precedenti

Vengono registrate le seguenti informazioni:
• Modifiche di password/diritti di accesso/ruoli • Accesso in scrittura con i seguenti dettagli: utente, dati, file e software

• Per i dati sensibili, accesso anche in lettura

• È in vigore una politica scritta sull'ambito e sulla natura della registrazione, nonché sulla conservazione e sulla revisione dei registri

• Misure aggiuntive conformemente alle sezioni precedenti

     3.4. Controllo dell'esportazione

    Misure volte a impedire l'esportazione non autorizzata di dati al di fuori dei sistemi IT:

Misure di carattere tecnico

Misure di carattere organizzativo

• La rete interna è protetta mediante implementazione di gateway di sicurezza nei punti di trasferimento di rete (ad es. un firewall,
protezione da virus e rilevamento delle intrusioni (IDS))
• I dati vengono trasmessi solo via e-mail o crittografati (VPN, SSL)
• Le e-mail vengono protocollate in modo sicuro
• Misure aggiuntive conformemente alle sezioni precedenti
• L'utilizzo di cloud o altri servizi di elaborazione richiede la stipula di un contratto di trattamento dei dati e l'audit dell'incaricato del trattamento
•  Misure aggiuntive conformemente alle sezioni precedenti

4.  Controllo della trasmissione e del trasporto

L'obiettivo è garantire che i dati personali non possano essere letti, copiati, alterati o rimossi senza autorizzazione durante il trasferimento elettronico o il trasporto o durante la registrazione su supporti di conservazione dati. Allo stesso modo, l'obiettivo è consentire l'accertamento e la verifica degli enti a cui devono essere trasferiti i dati personali utilizzando strumenti di trasmissioni di dati.

    4.1. Controllo della trasmissione

    Misure volte a garantire che i destinatari di tutte le esportazioni di dati siano registrati:

Misure di carattere tecnico

Misure di carattere organizzativo

•  Misure conformemente alle sezioni precedenti • Tutti i diritti di accesso e trasmissione sono documentati nelle registrazioni delle attività di trattamento dei dati
•  Misure aggiuntive conformemente alle sezioni precedenti

    4.2. Controllo del trasporto

    Misure volte a garantire la protezione dei dati durante la trasmissione e il trasporto:

Misure di carattere tecnico

Misure di carattere organizzativo

•  Se i dati personali vengono trasmessi a sistemi esterni, la crittografia è assolutamente necessaria
•  Misure conformemente alle sezioni precedenti
• Misure conformemente alle sezioni precedenti

5.  Protocolli di trattamento

Misure volte a garantire che qualsiasi registrazione o modifica dei dati personali sia protocollata:

Misure di carattere tecnico

Misure di carattere organizzativo

•  Misure conformemente alle sezioni precedenti • Misure conformemente alle sezioni precedenti

6.  Controllo della conformità del responsabile del trattamento

Misure volte a garantire che i responsabili del trattamento o gli ulteriori responsabili del trattamento elaborino i dati solo in conformità con le istruzioni ricevute dal titolare del trattamento:

Misure di carattere tecnico

Misure di carattere organizzativo

• Separazione fisica o logica dei dati
• Misure aggiuntive conformemente alle sezioni precedenti
•  Formazione dei dipendenti, i dipendenti sono tenuti a firmare impegni formali
•  Documentazione scritta delle istruzioni
•  Selezione dei (sub-) responsabili del trattamento e redazione dei (sub-) contratti con due diligence; verifica iniziale e periodica delle misure tecniche e organizzative
•  Quando lavorano sui sistemi IT i service provider esterni devono essere soggetti a una supervisione continua
•  Misure aggiuntive conformemente alle sezioni precedenti

7.  Controllo dei danni

     7.1. Controllo della disponibilità

     Measures to ensure that data are secured against destruction or loss:

Misure di carattere tecnico

Misure di carattere organizzativo

•  Tutte le sale server sono dotate di climatizzazione, sistema di rilevamento dei fumi ed estintori; la temperatura e l'umidità vengono verificate regolarmente
•  Tutti i server sono dotati di gruppo di continuità (UPS) e sono protetti contro i sovraccarichi elettrici; tutti i server sono configurati per spegnersi automaticamente in caso di blackout prolungato
•  Misure aggiuntive conformemente alle sezioni precedenti
•  La protezione di backup e ripristino, gli utenti, i file di registro e la scansione antivirus dei server vengono riesaminati quotidianamente
•  Viene regolarmente revisionato quanto segue:

gruppo di continuità (UPS), serrature della sala server

•  È presente un piano di ripristino di emergenza e di continuità aziendale per garantire la continuazione delle attività in caso di un evento avverso prevedibile (guasto elettrico, incendio, inondazione, ecc.)
• Misure aggiuntive conformemente alle sezioni precedenti

    7.2. Ripristino dei sistemi

    Misure volte a garantire il rapido ripristino dei sistemi a seguito di un evento avverso:

Misure di carattere tecnico

Misure di carattere organizzati

•  Tutti i dati sono soggetti a regolare backup
•  I backup importanti vengono archiviati fuori sede
•  Misure aggiuntive conformemente alle sezioni precedenti
•  È disponibile una politica di backup scritta che specifica l'ambito, gli intervalli e i metodi di backup, il numero di generazioni, i supporti dati, il trasporto e l'archiviazione, nonché le responsabilità interne in relazione alle procedure di backup.
•  I backup vengono regolarmente riesaminati
•  Misure aggiuntive conformemente alle sezioni precedenti

    7.3. Affidabilità

     Misure volte a garantire che tutti i sistemi funzionino correttamente e che gli errori vengano rilevati:

Misure di carattere tecnico

Misure di carattere organizzati

•  I sistemi effettuano controlli automatici di plausibilità e integrità (ad es. procedure di checksum) per rilevare errori
•  Gli errori di protocollo dei sistemi e i sovraccarichi delle applicazioni (ad es. problemi di archiviazione o processi interrotti)
•  Misure aggiuntive conformemente alle sezioni precedenti
•  Tutto il software viene verificato e approvato dal reparto IT prima dell'installazione
•  È disponibile un regolare processo di revisione manuale dei sistemi, degli attributi dei dati e delle informazioni di processo, nonché di altre configurazioni materiali al fine di rilevare errori
•  È in vigore una politica che richiede la segnalazione e la documentazione di tutti gli errori dei sistemi IT o di comunicazione (ad eccezione degli errori rilevati e corretti automaticamente dai sistemi)
•  È in vigore una politica che prevede che gli errori possano essere corretti solo dal personale IT e che le modifiche più importanti vengano testate in un ambiente virtuale isolato prima dell'implementazione
•  Misure aggiuntive conformemente alle sezioni precedenti

    7.4. Integrità dei dati

    Misure volte a garantire che i dati non vengano danneggiati da malfunzionamenti del sistema:

Misure di carattere tecnico

Misure di carattere organizzati

•  I controlli di integrità dei dati sono inclusi e abilitati per impostazione predefinita dalla strategia di backup e dal set di strumenti
•  Eseguiti test di penetrazione e controlli di sicurezza
•  Misure conformemente alle sezioni precedenti
•  Politiche e procedure di sicurezza in atto
•  Formazione per i dipendenti sulle regole per l'inserimento e la conservazione dei dati
• Misure conformemente alle sezioni precedenti

8.  Controllo della separazione

Misure volte a garantire che i dati raccolti per scopi diversi siano chiaramente separati:

Misure di carattere tecnico

Misure di carattere organizzati

•  Separazione fisica o logica dei dati
•  I file aziendali sono separati in base alla posizione di archiviazione dedicata, sia presso la sede che nel cloud
•  Le sedi di archiviazione sono visibili e/o accessibili solo da persone autorizzate ad accedere ai rispettivi dati
•  Misure aggiuntive conformemente alle sezioni precedenti
•  Politiche e procedure di sicurezza in atto
•  Misure aggiuntive conformemente alle sezioni precedenti

9. Organizzazione generale

  1. Nella misura prevista dalle normative è stato nominato un responsabile della protezione dei dati. Una o più persone che fanno parte della direzione o che riportano direttamente alla direzione hanno la responsabilità della conformità in materia di protezione e sicurezza dei dati. Una o più persone all'interno del reparto IT hanno la responsabilità dell'implementazione di tutte le misure tecniche e organizzative, compreso il mantenimento continuo delle rispettive politiche. Sono in vigore normative chiare sulle rispettive responsabilità all'interno del reparto IT.
  2. Esiste una valutazione del rischio scritta e documentata e la determinazione delle misure adeguate in relazione alla protezione dei dati (inclusa la Privacy by Design) e alla sicurezza dei dati per tutti i sistemi e processi.
  3. Oltre ai requisiti indicati in precedenza, sono disponibili politiche e regolamenti scritti e documentati che garantiscono che tutti i trattamenti rispettino i principi di liceità, correttezza e trasparenza, limitazione delle finalità, minimizzazione dei dati, accuratezza, limitazione della conservazione, integrità e riservatezza del trattamento dei dati. Il responsabile del trattamento rispetta tutti i requisiti di responsabilità e/o documentazione previsti dalla legge.
  4. Tutti i dipendenti hanno ricevuto una formazione sui requisiti fondamentali della protezione e della sicurezza dei dati e si sono impegnati a rispettare tali requisiti.
  5. Sono in vigore procedure scritte e documentate tese a garantire che (a) i soggetti interessati possano esercitare i propri diritti legali in relazione ai propri dati; e (b) gli incidenti o le violazioni siano tempestivamente segnalati.
  6. Il reparto IT, in collaborazione con il responsabile della protezione dei dati, conduce regolarmente (almeno una volta all'anno) un'analisi completa dei rischi e della sicurezza di tutte le misure tecniche e organizzative e presenta un rapporto scritto alla direzione. Se necessario, la direzione può richiedere l'esecuzione di audit aggiuntivi. Nel caso in cui venga rilevata una non conformità, vengono documentate anche le misure per risolverla