Politica di sicurezza
- Amilon implementa una politica di sicurezza delle informazioni adeguata al suo campo di servizio, con particolare attenzione al trattamento dei dati personali.
- Amilon aggiorna la sua politica di sicurezza almeno annualmente e informa i suoi dipendenti, collaboratori e terzi coinvolti nel trattamento dei dati.
Ruoli e responsabilità
- Amilon definisce, documenta e informa gli altri sui ruoli e le responsabilità del personale coinvolto nella gestione dei processi di protezione dei dati.
- I ruoli e gli ambiti di responsabilità assegnati ai principali attori coinvolti nella gestione della protezione dei dati (ad es. responsabile della sicurezza, auditor della sicurezza, DPO) sono definiti nel rispetto del principio della separazione dei compiti, ossia sono il più possibile distinti e indipendenti.
Gestione degli accessi
- Amilon stabilisce, documenta e implementa una politica di accesso con regole precise per il controllo degli accessi, con diritti e restrizioni specifiche a seconda del ruolo svolto dall’utente nel trattamento dei dati personali.
- Sulla base di criteri di idoneità verificati, Amilon identifica i ruoli a cui sono concessi poteri di amministratore e limita la loro assegnazione a un numero minimo di utenti.
- Amilon implementa un sistema di controlli di accesso su tutti gli utenti dei sistemi informativi che prevede la creazione, l’approvazione, il monitoraggio e la cancellazione degli account.
- L’uso di account generici o condivisi non è permesso, quindi gli account sono individuali e unici.
- Il meccanismo di autenticazione implementato fornisce l’accesso ai sistemi attraverso l’uso di un ID utente e una password o attraverso l’autenticazione biometrica (impronte digitali). La password è complessa (lunghezza, numeri, lettere, caratteri speciali) ed è valida per un massimo di 90 giorni. Dopo 90 giorni l’utente è costretto a cambiarla.
- La politica delle password è formalmente documentata e distribuita al personale.
- Le password degli utenti sono memorizzate in forma hash, cioè criptate con un algoritmo che non permette la reversibilità della crittografia.
Gestione delle risorse
- Amilon redige un inventario dei beni informatici (hardware, software, rete) utilizzati per il trattamento dei dati personali e lo mantiene aggiornato; l’inventario contiene le seguenti informazioni: bene, tipo, ubicazione, responsabile del bene, assegnatario del bene.
- Amilon identifica il personale che può o non può avere accesso ad ogni asset informativo, specialmente se coinvolto nel trattamento di particolari dati personali.
Gestione del cambiamento
- Amilon registra e monitora tutte le modifiche apportate ai suoi beni informatici attraverso personale autorizzato.
- I compiti di sviluppo vengono svolti in un ambiente protetto e separato dai sistemi informatici utilizzati per il trattamento dei dati personali.
- L’ambiente di test, separato dagli ambienti di sviluppo e produzione, non contiene dati reali e, se presenti, sono protetti da misure di sicurezza equivalenti a quelle presenti nell’ambiente di produzione.
- Amilon stabilisce e documenta una politica di gestione dei cambiamenti che definisce i ruoli e le responsabilità delle funzioni coinvolte e il processo di controllo.
Gestione degli incidenti
- Amilon implementa un piano di gestione degli incidenti.
- Amilon implementa una procedura per la gestione della violazione dei dati e la notifica al garante della protezione dei dati.
- Amilon ha un record di incidenti ad alto impatto (comprese le violazioni dei dati) in cui indica le azioni di mitigazione adottate.
Continuità del business e disaster recovery
- Amilon stabilisce, documenta e implementa un piano di Business Continuity che definisce il livello di servizio garantito e identifica i ruoli e le responsabilità coinvolte nel processo.
- Amilon stabilisce, documenta e implementa un piano di Disaster Recovery.
Formazione del personale
- I principi di base e le regole di protezione dei dati sono diffusi a tutto il personale.
- Sono previsti programmi di formazione e aggiornamento specifici per il GDPR, a seconda del ruolo svolto dal personale nel trattamento dei dati personali.
Registrazione e monitoraggio
- I registri di accesso a tutti i sistemi informatici sono tracciati e conservati in modo sicuro.
- Le azioni intraprese dagli amministratori di sistema, tra cui l’aggiunta, la modifica o l’eliminazione di privilegi utente sono tracciate.
- L’accesso ai registri e le eventuali modifiche sono a loro volta tracciate dai registri.
- Viene implementato un processo di monitoraggio periodico dei registri.
Sicurezza del database e del server
- I database e i server applicativi sono configurati secondo il principio della minimizzazione dei dati (nei sistemi non ci sono più dati di quelli strettamente necessari).
- Account separati sono richiesti per operare a livello di Database e Application Server, mentre a livello di sistema operativo sono concessi privilegi minimi.
Sicurezza della stazione di lavoro
- Gli utenti assegnati alla stazione di lavoro non possono disabilitare o bypassare le impostazioni di sicurezza.
- Il software antivirus e di rilevamento delle firme è configurato su tutti i computer.
- I computer sono impostati per bloccare automaticamente la sessione dopo un certo periodo di inattività dell’utente (5 minuti).
- L’utente viene bloccato per 10 minuti in caso di 5 inserimenti errati della password di accesso.
- Gli aggiornamenti rilevanti rilasciati dallo sviluppatore del sistema operativo sono installati regolarmente.
- La possibilità di trasferire dati personali dalla stazione di lavoro a un supporto di memorizzazione esterno (ad esempio USB, dischi rigidi esterni, CD/DVD) è scoraggiata dalla definizione di norme di comportamento.
Sicurezza della rete e delle comunicazioni
- Le trasmissioni di informazioni via Internet sono protette attraverso l’uso di protocolli di comunicazione criptati; in particolare Amilon adotta i protocolli https/ftps.
- L’accesso ai sistemi informatici tramite la rete wireless è consentito solo agli utenti e ai sistemi autorizzati dal Dipartimento dei Sistemi.
- Laddove necessario, l’accesso remoto viene effettuato solo da dispositivi pre-autorizzati tramite Virtual Private Network (VPN).
- Il traffico in entrata e in uscita dai sistemi IT è monitorato e controllato attraverso firewall e sistemi di rilevamento delle intrusioni.
Backup e ripristino
- I backup sono conservati in modo sicuro, secondo regole e procedure stabilite in base al tipo di dati e al servizio che li utilizza.
- L’esecuzione dei backup è monitorata e vengono condotti test periodici di ripristino per valutarne la consistenza e la completezza.
- I backup totali e incrementali dei dati dei movimenti delle carte regalo sono fatti su base giornaliera.
Dispositivo mobile
- L’uso di dispositivi mobili e portatili è regolato dalla redazione e pubblicazione di regole di comportamento.
Sicurezza del ciclo di vita delle applicazioni
- Durante le prime fasi dello sviluppo del software, vengono definiti alcuni requisiti di sicurezza.
- Il ciclo di vita delle applicazioni è guidato dall’uso e dalla consultazione delle migliori pratiche e degli standard di codifica sicuri (https://safecode.org/).
- La valutazione della vulnerabilità e i test di penetrazione sono condotti periodicamente.
- Le patch sono testate e autorizzate nell’ambiente di prova prima di essere installate nell’ambiente di produzione.
Cancellazione e smaltimento dei dati
- Tutti i dispositivi sono soggetti a riscrittura prima dello smaltimento.
- Amilon scoraggia l’uso di supporti cartacei per i documenti contenenti dati personali e/o classificati; tuttavia, se necessario, questi documenti sono conservati in modo sicuro in armadi e/o cassetti chiusi a chiave, o distrutti in modo sicuro.
- I dispositivi informatici i cui dati non possono essere cancellati in modo sicuro devono essere distrutti fisicamente in modo tale da rendere i dati irrecuperabili.
Sicurezza fisica
- I sistemi informatici sono protetti attraverso l’uso di barriere fisiche contro l’accesso non autorizzato.
- Gli ingressi alle stanze che contengono sistemi informatici sono registrati e monitorati.
- Il personale di manutenzione e i visitatori sono registrati e accompagnati da un referente interno autorizzato per tutto il tempo della loro visita.
- Amilon ha un piano di sicurezza fisica e, attraverso un adeguato programma di informazione, si ricorda ai suoi dipendenti e collaboratori di comportarsi in modo appropriato.
- L’accesso agli uffici da parte del personale è consentito attraverso l’uso di badge magnetici.