la sicurezza dei dati
è fondamentale.

Procedure per la tutela della privacy in azienda

PROCEDURE PER LA TUTELA DEI DATI PERSONALI, AZIENDALI E SENSIBILI AI SENSI DEL D.LEGS 196/03

  • Sopralluogo in azienda diretto alla verifica ed analisi dei dati trattati e della correttezza delle procedure
  • Individuazione delle misure minime di sicurezza e Redazione delle documentazione di supporto
  • Nomina del responsabile
  • Lettera agli incaricati
  • Informativa per clienti fornitori e dipendenti
  • Redazione del documento programmatico sulla sicurezza (DPS)

LA REGOLAMENTAZIONE DEGLI AMMINISTRATORI DI SISTEMA

Secondo le ultime direttive del Garante della Privacy (provvedimento 27 novembre 2008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” Pubblicato sulla G.U. n. 300 del 24-12-2008) l’amministratore di rete è tenuto a conservare -per un periodo minimo di sei mesi- i log degli accessi (access log) effettuati a tutti i sistemi di elaborazione che trattano dati personali. Con access log si intende la registrazione degli eventi generati dal sistema di autenticazione informatica all’atto dell’accesso o tentativo di accesso da parte di un amministratore di sistema o all’atto della sua disconnessione nell’ambito di collegamenti interattivi a sistemi di elaborazione o a sistemi software.

In linea generale si richiede che:
1. le registrazioni ai sistemi di elaborazione che trattano dati personali contengano i riferimenti necessari ad identificare l’amministratore ed il sistema: “username”, “data”, “ora”, “descrizione evento”, tipo di evento (logon/logoff), IP della macchina, nome DNS, … (Rif comma 2, lettera f)
2. i log non devono poter essere alterati. Proprio per questo nasce l’esigenza di trasferire immediatamente il log dai sistemi remoti ad una macchina centralizzata sottratta al controllo degli utenti (inalterabilità del log)
3. i dati siano visualizzabili attraverso una interfaccia di sola lettura, in modo da fornire uno strumento immediato per l’estrazione selettiva di dati relativi ad uno specifico periodo o ad una specifica tipologia di evento così da semplificare la creazione di report in caso di controlli (almeno una volta all’anno)
4. siano monitorati tutti i sistemi operativi, apparati di rete e key devices con lo scopo di prevenire guasti come la rottura di dischi con conseguente perdita di dati, abbassamenti della tensioni elettrica ecc.

 

Il Garante della Privacy precisa che per amministratore di sistema debba intendersi la figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise Resource Planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali, mentre non rientrano in tale definizione tutti quei soggetti che hanno potere d’intervento solo occasionale sui sistemi di elaborazione e sui sistemi software. (Il Garante ha escluso dall’ambito di applicazione del Provvedimento dunque quelle figure non espressamente dedite all’amministrazione dei sistemi ma che potrebbero saltuariamente svolgere delle funzioni ad essa assimilabili).
Il titolare del trattamento dei dati è tenuto ad instaurare un regime di conoscibilità dell’identità degli amministratori di sistema quale forma di trasparenza interna all’organizzazione a tutela dei lavoratori nel caso in cui un amministratore di sistema, oltre a intervenire sotto il profilo tecnico in generici trattamenti di dati personali tratti anche dati riferiti a lavoratori operanti nell’ambito della stessa organizzazione.
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità. Le registrazioni devono comprendere e riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo non inferiore a 6 mesi.
Sull’attività dell’amministratore di sistema almeno annualmente il Titolare del trattamento dei dati avvierà verifiche periodiche al fine di controllare che le attività svolte dall’amministratore di sistema siano conformi alle mansioni attribuite.
E’ nostra opinione che non esista una risposta unica per ogni realtà, ma che ciascuna Azienda debba valutare la linea d’azione più confacente alla propria realtà e alle proprie esigenze.

 

Besant srl è a disposizione per affrontare la questione singolarmente con ciascun Cliente, individuando caso per caso le migliori linee di azione tecniche e procedurali. Questo consentirà a ciascun Cliente di essere pronto alla imminente esecutività del provvedimento e alle scadenze che con questa verranno introdotte senza sorprese né emergenze operative.

 

Siamo vostra disposizione per ulteriori chiarimenti e per individuare con Voi le linee di azione più indicate per la Vostra Azienda.

Vuoi avere maggiori dettagli sul servizio?

Contattaci per avere maggiori informazioni sul servizio di tutela privacy. Siamo a tua disposizione per qualsiasi tua richiesta.