Decreto Legislativo 30 Giugno 2003, N.196

Codice in materia di protezione dei dati personali

(supplemento ordinario alla G.U. del 29 luglio 2003, N. 123/L)

Tutte le Imprese, Dovranno Seguire i Seguenti Accorgimenti Entro Giugno 2004

 
Le Misure Minime di Sicurezza Secondo il Testo unico sulla Privacy
  1. Obblighi di Sicurezza
  • Art. 31 del Testo Unico:
I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati ed alle specifiche caratteristiche del trattamento, in modo da ridurre la minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

2. Codice per l'Identificazione
  • Ogni codice può essere utilizzato da un solo incaricato e non può essere assegnato ad altri incaricati, neppure in tempi diversi (6)
  • Ad ogni incaricato possono eventualmente essere assegnati più codici per l'identificazione (ad esmpio per funzioni diverse es: Bios, Accesso Rete, Accesso Programma Contabilità)
 

3. Parola Chiave
  • Riservata e conosciuta solamente dall'incaricato;
  • L'incaricato deve assumerne la riservatezza;
  • La lunghezza minima è di otto caratteri;
  • Non contiene riferimenti agevolmente riconducibili all'incaricato;
  • Modificata ogni 6 Mesi od ogni 3 Mesi (Trattamento di dati sensibili o Giudiziari)

4. Gestione della Riservatezza
  • L'incaricato deve assicurare la riservatezza delle parole chiave ;
  • Gli incaricati devono ricevere istruzioni che indichino in quale modo il computer non deve essere lasciato incustodito durante le sessioni di lavoro (screen saver, log-off);
  • Devono essere individuati per iscritto soggetti incaricati e modalità per l'accesso a dati o sistemi di elaborazione in caso di assenza dell'interessato per esclusive necessità di operatività o sicurezza del sistema (nomina del custode delle parole chiava);

5. Cos'è Cambiato dal DPR 318/99
  • Eliminata la classificazione dei sistemi di elaborazione: il sistema di autentificazione deve essere sempre utilizzato in modo INTEGRALE;
  • Rinforzata la definizione delle parole chive;
  • Le parole chiave non devono essere conosciute nemmeno dal custode;
  • Responsabilizzazione maggiore degli incaricati;

6. Aggiornamenti dei Programmi
  • Aggiornamenti di programmi per elaboratore volti a:

    • - Prevenire la vulnerabilità di strumenti elettronici;

    - Correggere difetti;

  • Devono essere eseguiti con cadenza almeno annuale;
  • In caso di trattamento di dati Sensibili o Giudiziari con cadenza almeno Semestrale;

7. Aggiornamenti dei Programmi
  • Quali programmi?

    • - Sistema operativo;

    - Programmi applicativi;

    - Programmi per il trattamento dei dati personali;

  • Quali Aggiornamenti?

    • - Service pack;

    - Nuove versioni a Pagamento;

  • In alcune condizioni un aggiornamento può non essere possibile, può non essere consigliabile, può essere molto costoso (ad es. può richiesere implementazioni dell'hardware ;

8. Cos'è Cambiato dal DPR 318/99
  • La misura minima di sicurezza non era prevista nel DPR/318.

9. Salvataggio dei Dati
  • E' obbligatorio il salvataggio dei dati personali (Unità Nastro, DVD-RW);
  • La frequenza del salvataggio deve essere almeno Settimanale, ma è opportuno che sia quotidiana
  • Devono essere protetti tutti i Dati:

    - Sistema operativo;

    - Programmi applicativi;

    • - Programmi per il trattamento dei dati personali;

  • Devono essere impartite istruzioni (scritte) di carattere tecnico ed organizzativo per definire le modalità di esecuzione;

10. Criteri per Garantire Integrità e Disponibilità
  • Sistema di autentificazione ed autorizzazione;
  • Sistema Antivirus;
  • Sistema Anti-Intruzione informatica ( FIREWALL HardWare);
  • Procedure di sviluppo e avviamento di nuove applicazioni;
  • Gestione degli aggiornamenti dei Programmi
  • Organizzazione degli archivi dei Clienti
  • Protezione delle aree e dei locali (generali o specifici ai locali informatici)

    - Sistemi anti-intruzione

    - Vigilanza e controllo accessi

    - Sistemi anti-incendio

11. Criteri e modalità per il ripristino dei dati
  • Sistema di Backup:

    • - Dispositivi

    - Archivi protetti

    - Modalità di esecuzione

    - Frequenza

    - Criteri di Rotazione e Archiviazione

    - Modalità di Verifica

    - Strumenti di segnalazione di eventuali errori

  • Sistemi per assicurare la continuità di alimentazione;
  • Sistemi rindondanti o ad alta affidabilità;

    • - RAID / Cluster / San ...

  • Disaster Recovery , Easy Recoveri per il recupero di dati cancellati erroneamente

12. Protezione anti-intruzione
  • I sistemi di elaborazione DEVONO essere protetti contro il rischio di intruzione mediante Firewall;
  • Un Firewall controlla in traffico da e Verso l'esterno della rete, in particolare con internet, bloccando quello indesiderato e potenzialmente pericoloso
  • Possono essere utilizzati:

    • - Firewall Software

    - Firewall Hardware (consigliato Synthesis)

  • E' necessario un costante aggiornamento del Firewall Software, mentre per quello Hardware non sarà neccessaria alcuna modifica, solo sotto richiesta del cliente;
  • In aggiunta al Firewall, può essere opportuno utilizzare un IDS (Intruzion Detection System);

13. Supporti Removibili
  • Devono essere impartite istruzioni organizzative e tecniche per regolare:

    • - Le modalità d'uso

    - Le modalità di Custodia

  • Quando non più utilizzati devono essere:

    • - Distrutti o resi inutilizzabili

    oppure

    - Resi non intelleggibili e in alcun modo ricostruibili

    (Cancellare prima in contenuto del Documento prima della cancellazione effettiv
Per Saperne di Più Leggi il Documento in pillole botta-risposta