documento programmatico sulla sicurezza dei dati
Transcript
documento programmatico sulla sicurezza dei dati
Documento Programmatico sulla Sicurezza Anno 2015 Documento Programmatico sulla Sicurezza 2015 INDICE 1.1 Premessa.....................................................................pag. 3 1.2 Trattamento dei Dati Personali.....................................pag. 4 1.3 Misure di sicurezza.......................................................pag. 5 1.3.1 Trattamento Dati Personali.................................................pag. 5 1.3.2 Trattamento Dati Sensibili...................................................pag. 8 1.3.3 Analisi dei Rischi e Contromisure.......................................pag. 9 1.3.4 Modalità di Ripristino........................................................pag. 10 1.3.5 Interventi Formativi...........................................................pag. 10 Ferrara, 26/03/2015 2 Documento Programmatico sulla Sicurezza 2015 DOCUMENTO PROGRAMMATICO della SICUREZZA 1.1 Premessa. Agenzia Mobilità e Impianti di Ferrara, AMI srl, deriva dalla trasformazione del Consorzio AMI avvenuta in data 26/10/2010. I soci sono Provincia di Ferrara e Comune di Ferrara. L’ Agenzia svolge funzioni per i propri soci e gli altri enti locali. Il suo ambito di competenze ed attività è chiaramente fissato dallo Statuto in conformità alla Legislazione Nazionale e Regionale relativa ad autonomie locali e trasporto pubblico (art. 19 L.R. 30/98 e s.m.i.). L’Agenzia è iscritta al Registro delle Imprese di Ferrara (n. R.E.A. 181838). Rientra nella categoria degli enti pubblici economici prevista nel D.lgs. 30/06/2003 n. 196 “Codice in materia di protezione dei dati personali”. Alle norme al riguardo dettate si fa quindi riferimento. Le finalità, le competenze e l’attività sostanzialmente nell’esercizio delle dell’Agenzia, funzioni di consistenti organizzazione e promozione dei servizi pubblici di trasporto, integrati fra loro e con la mobilità privata, di gestione delle procedure di affidamento dei servizi, di controllo sull’attuazione dei servizi medesimi, nonché di gestione degli impianti e delle dotazioni patrimoniali finalizzati al trasporto pubblico locale, comportano una modesta attività di trattamento di dati personali con una quota decisamente ridotta di dati sensibili-giudiziari. L’Agenzia ha un proprio server sul quale sono collocate le banche dati. Continuano ad essere trattati in AMI i dati relativi gli utenti che segnalano disservizi, reclami, suggerimenti o che richiedano informazione sulla 3 Documento Programmatico sulla Sicurezza 2015 mobilità ferrarese, nonché i dati del gestore dei servizi dei noleggiatori che svolgono attività di noleggio con conducente bus. i. Tutti i dati descritti sono pertanto presenti negli archivi cartacei e informatizzati di AMI. L’esame dei trattamenti effettuati, riportati nelle tabelle che seguono, consente di affermare che nessuno di tali trattamenti rientra tra quelli da notificarsi al Garante ai sensi degli art. 37 del citato decreto legislativo, né tra quelli da comunicarsi ai sensi dell’art. 39 del medesimo. I trattamenti in questione rientrano infatti nelle autorizzazioni generali rilasciate dal Garante ed in corso di validità di cui all’art. 40. Non vi è quindi necessità di presentare alcuna richiesta di autorizzazione art. 41 comma 1. Il DPS è aggiornato entro il 31 marzo di ogni anno a cura del Responsabile e comunicato all’organo amministrativo per formale presa d’atto e pubblicazione. Dell’avvenuto aggiornamento si darà atto nella relazione dell'Amministratore Unico, 1.2 Trattamento dei dati personali. I dipendenti hanno eseguito un attento aggiornamento dei trattamenti dei dati personali in atto presso l’Agenzia. Sono state ricordate - le conseguenze sul piano della responsabilità civile e penale derivanti dalla contravvenzione al Codice di protezione dei dati personali; - la fondamentale importanza dell’adozione di misure di sicurezza, tese ad evitare ogni danno, a partire dalle misure minime previste nell’allegato B al D.lgs 196/2003. Il trattamento dei dati relativi al personale dipendente e agli organi societari, resta affidato ad uno studio esterno specializzato. Resta confermato nella persona del Direttore il Responsabile preposto al trattamento dei dati, con i compiti indicati all’art. 5 del Regolamento. 4 Documento Programmatico sulla Sicurezza 2015 Responsabilità particolare del medesimo è l’aggiornamento del piano programmatico della sicurezza nonché le variazioni relative agli incaricati che si rendano necessarie. Sono stati altresì individuati gli incaricati autorizzati a compiere le operazioni di trattamento, secondo le precise istruzioni del responsabile. Responsabile: Dott. Michele Balboni; Incaricati: Fiorini Antonio, Margutti Diana, Bosellini Ilaria, Bernaroli Marzia. Per quello che riguarda i trattamento affidato all’esterno si è verificata la osservanza da parte dello Studio Bovolenta (gestione del personale) e dello Studio Raddi (attività di consulenza ed assistenza fiscaleamministrativa-tributaria) delle norme del D.Lgs 196/2003 e l’attività si svolge con piena soddisfazione dell’Agenzia. 1.3 Misure di Sicurezza. Considerata la natura dei dati e le caratteristiche del trattamento si ritiene che le misure di sicurezza in atto siano adeguate per ridurre al minimo i rischi di distruzione o perdita, anche accidentale, di accesso non autorizzato, di trattamento non consentito. 1.3.1 Trattamenti Dati Personali. ELENCO TRATTAMENTI CON DATI PERSONALI TRATTAMENTO PERSONALE DIPENDENTE - Nome, Cognome, Codice Fiscale, Indirizzo, recapito telefonico, e-mail; - N. conto corrente; - Contratto di Lavoro: Parametro e Retribuzione; - Famigliari a carico; - Presenze giornaliere, Permessi, Ferie; - Busta Paga. - Segreteria: Bernaroli Marzia; - Amministrazione: Margutti Diana; - Consulente Esterno: Studio Bovolenta. Dati Incaricati 5 Documento Programmatico sulla Sicurezza 2015 Ubicazione banca dati ELENCO TRATTAMENTI CON DATI PERSONALI TRATTAMENTO Dati Incaricati Ubicazione banca dati ELENCO TRATTAMENTI CON DATI PERSONALI TRATTAMENTO Dati Incaricati Ubicazione banca dati ELENCO TRATTAMENTI CON DATI PERSONALI TRATTAMENTO - Archivio cartaceo chiuso a chiave; - Server. ORGANI SOCIETARI - Nome, Cognome, Codice Fiscale, Indirizzo, recapito telefonico, e-mail; - N. conto corrente; - Contratto di lavoro; - Famigliari a carico; - Presenze; - Busta Paga; - Tipo di macchina. - Segreteria: Bernaroli Marzia; - Amministrazione: Margutti Diana; - Consulente Esterno: Studio Bovolenta. - Archivio cartaceo chiuso a chiave; - Server. GESTORI (tpl e ncc) - Ragione Sociale, forma giuridica, Codice Fiscale, Partita Iva, Iscrizione Registro Imprese Indirizzo, recapiti telefonici, e-mail; - Segreteria: Bernaroli Marzia - Archivio cartaceo chiuso a chiave; - Server. CONCORRENTI GARE - Ragione Sociale, forma giuridica, Codice Fiscale, Partita Iva, Iscrizione Registro Imprese Indirizzo, recapiti Dati 6 Documento Programmatico sulla Sicurezza 2015 Incaricati Ubicazione banca dati ELENCO TRATTAMENTI CON DATI PERSONALI TRATTAMENTO Dati Incaricati Ubicazione banca dati ELENCO TRATTAMENTI CON DATI PERSONALI TRATTAMENTO Dati Incaricati Ubicazione banca dati ELENCO TRATTAMENTI CON DATI PERSONALI TRATTAMENTO Dati Incaricati Ubicazione banca dati ELENCO TRATTAMENTO 7 telefonici, e-mail; - N. conto corrente; - Segreteria: Bosellini Ilaria - Archivio cartaceo chiuso a chiave; - Server. FORNITORI - Ragione Sociale, forma giuridica, Codice Fiscale, Partita Iva, Iscrizione Registro Imprese Indirizzo, recapiti telefonici, e-mail; - N. conto corrente. - Amministrazione: Margutti Diana - Archivio cartaceo; - Server. CONSULENTI - Nome, Cognome, Codice Fiscale, Partita Iva, Indirizzo, recapiti telefonici, e-mail; - N. conto corrente (cod.iban) - Amministrazione: Margutti Diana - Archivio cartaceo; - Server. UTENTI - Nome, Cognome, Indirizzo, Recapiti telefonici, E-mail; - Relazioni esterne – Ilaria Bosellini - Archivio cartaceo; - Server. RIVENDITE Documento Programmatico sulla Sicurezza 2015 TRATTAMENTI CON DATI PERSONALI Dati Incaricati Ubicazione banca dati - Nome, Cognome, Codice Fiscale, Indirizzo, Recapiti telefonici, E-mail (abbonati); - Nome, Cognome, Ragione Sociale, Codice Fiscale, Partita Iva, Indirizzo, recapiti telefonici, e-mail (rivendite); - Sicurezza – Antonio Fiorini - Archivio cartaceo; - Server. 1.3.2 Trattamenti Dati Sensibili-Giudiziari ELENCO TRATTAMENTI CON DATI SENSIBILIGIUDIZIARI TRATTAMENTO Dati Incaricati Ubicazione banca dati ELENCO TRATTAMENTI CON DATI SENSIBILIGIUDIZIARI ELENCO TRATTAMENTI CON DATI PERSONALE DIPENDENTE - Ritenute sindacali - Permessi per malattia - Circolo Aziendale - Cassa prestiti Aziendale - Carichi Pendenti - Segreteria – Bernaroli Marzia - Amministrazione – Margutti Diana - Studio Bovolenta - Archivio cartaceo chiuso a chiave - Server TRATTAMENTO ORGANI SOCIETARI Dati Incaricati Ubicazione banca dati - Carichi Pendenti Segreteria- Bosellini Ilaria Archivio cartaceo chiuso a chiave TRATTAMENTO Dati 8 GESTORI – CONCORRENTI GARE - Carichi Pendenti Documento Programmatico sulla Sicurezza 2015 SENSIBILIGIUDIZIARI ELENCO TRATTAMENTI CON DATI SENSIBILIGIUDIZIARI Incaricati Ubicazione banca dati Segreteria – Bosellini Ilaria Archivio cartaceo chiuso a chiave TRATTAMENTO GESTORI NCC BUS - Carichi Pendenti (requisiti morali soci) - Capacità finanziaria Segreteria – Bernaroli Marzia Archivio cartaceo chiuso a chiave Dati Incaricati Ubicazione banca dati 1.3.3 Analisi dei Rischi e Contromisure. L’esperienza fin qui compiuta indica una bassa soglia di rischio, sia per quel che riguarda mal funzionamenti del sistema che cause addebitabili al personale o a persone esterne. Si evidenzia tuttavia che gli accessi dei computer alla rete internet avvengono con solo protezioni software. TIPOLOGIA CONTROMISUR E DESCRIZIONE Procedurali - Comportamentali - Fisiche Logiche Incaricato 1.3.4 Modalità di Ripristino. 9 Ced chiuso a chiave; Impianto allarme antincendio; Guardia notturna; Firewall di protezione. Aggiornamento antivirus; Controllo password. Accensione e modifiche userid su richiesta del responsabile; Cambio password ogni 60 gg. Divieto di utilizzare il pc se non per scopi di lavoro; Password mai scritta su carta, bigliettini e così via… Immediata segnalazione malfunzionamento software; Divieto di scaricare software da internet. Sicurezza – Antonio Fiorini Documento Programmatico sulla Sicurezza 2015 TIPOLOGIA RIPRISTINO DESCRIZIONE Hardware * - Reinstallazione librerie e dati dalle copie dei back-up. Procedure - Liste delle licenze del Operative software. Incaricato Sicurezza – Antonio Fiorini * La rete informatica di AMI ed il parco macchine di AMI risulta obsoleto, Software da diverso tempo non si provvede alla manutenzione ordinaria della rete nonché ad un aggiornamento della stessa con le nuove tecnologie offerte dal mercato informatico. A tal fine è stato conferito un incarico ad una ditta esterna di provvede al miglioramento della rete informatica nonché al rinnovo al rinnovo dei computer e apparecchiature hardware utilizzati. Le attività affidate alla ditta esterna (determina dell'Ammnistratore Unico n. 17 del 29/10/2014) che saranno svolte nel corso del 2015 riguardano: programmazione; assistenza; installazione macchine gnu/linux; disco backup esterno NAS A, contratto di assistenza annuale. 1.3.5 Interventi Formativi. INTERVENTI FORMATIVI TRATTAMENTO DESCRIZIONE Destinatari - Neo Assunti Contenuto - Illustrazione del D.Lgs. 196/2003 ”Codice in materia di protezione dei dati personali”; - Illustrazione del Documento Programmatico sulla Sicurezza e delle sue regole di sicurezza A cura del Responsabile Titolare del corso 10