ULTIME NEWS
- Data breach, Garante Privacy sanziona Postel per 900mila euro Una vulnerabilità, nota da tempo, ha reso inadeguate le misure di sicurezza e agevolato l’attacco
- Garante: stop al software che accede all’email del dipendente Sanzione di 80mila euro a un’azienda che effettuava i backup durante il rapporto di lavoro
- Calendario Corsi Videoconferenza Novembre – Dicembre 2024
- Le prime indicazioni dell’Ispettorato sulla patente a crediti
- D.lgs. resilienza dei soggetti critici, ok del Garante ma più tutele per la privacy
- Dal Garante Privacy sanzione di 5mln di euro a un fornitore di luce e gas Agenti porta a porta attivavano contratti non richiesti a clienti ignari
- Calendario Corsi Videoconferenza Settembre – Ottobre 2024
- L’obbligo di impedire l’instaurarsi di prassi di lavoro non sicure
- L’obbligo di Vigilanza del Datore di Lavoro sul comportamento del Preposto
- Telemarketing, dal Garante sanzione di oltre 6 milioni di euro a Eni Plenitude Dei 747 contratti stipulati in una “settimana campione”, 657 sono arrivati da un contatto illecito
- Il tempo di cui l’RSPP deve disporre per poter svolgere i suoi compiti
- GDPR e intelligenza artificiale, il Report della task force europea su ChatGPT
- Concorsi della P.A.: online solo le graduatorie definitive dei vincitori Il Garante sanziona l’INPS per illecita diffusione di dati personali
- Calendario Corsi Videoconferenza Giugno – Luglio 2024
- Telemarketing: dal Garante Privacy sanzioni di 100mila euro a due gestori di energia Telefonate senza consenso e attivazione di contratti non richiesti
- Lavoro: Garante Privacy, il dipendente ha il diritto di accedere ai propri dati Sanzione di 20mila euro ad una banca
- GDPR: L’ importante ruolo del “Referente privacy”
- Pa: trasparenza siti, il Garante Privacy chiede più tutele per i dati personali
- Dossier sanitario: il Garante Privacy sanziona una Asl
- Quando il preposto è ritenuto responsabile dell’infortunio accaduto a un lavoratore
Linee-guida per una corretta adozione del GDPR
Il CNIL (Garante Privacy Francese) ha emanato una guida pratica sulla gestione della sicurezza dei dati personali e sulla valutazione dei rischi. Ecco il risultato, in italiano, da prendere in considerazione per la propria adozione del GDPR.
Trasparenza
- E’ prevista l’informativa per ogni trattamento di dati personali?
- E’ stata predisposta e applicata una policy sull’utilizzo dei dispositivi, delle email, della navigazione internet da parte dei lavoratori?
Autenticazione
- E’ previsto un unico ID-utente (login) per ogni utente?
- Sono previste e applicate delle regole sulla creazione delle password?
- E’ chiesto a ogni utente di cambiare la password al primo utilizzo?
- E’ limitato il numero dei tentativi di accesso agli account?
Access Management
- Sono definiti dei profili di autorizzazione per i diversi trattamenti?
- Sono rimossi i permessi di accessi obsoleti in caso di cambio mansione?
- Viene eseguito un aggiornamento annuale delle autorizzazioni?
Log System e gestione degli incidenti
- E’ presente un log system?
- I lavoratori e altri utenti sono stati informati del funzionamento del log system?
- Il sistema di log e le informazioni di log sono protette?
- E’ presente una procedura per la notifica del Data Breach?
Sicurezza della postazione di lavoro
- E’ prevista le chiusura automatica delle sessioni di lavoro?
- Il sistema antivirus è aggiornato regolarmente?
- E’ installato un sistema firewall?
- E’ richiesto il consenso del lavoratore prima di ogni accesso alla sua postazione di lavoro?
Sicurezza dei dispositivi portatili
- Sono previste misure di cifratura per i dispositivi mobile? (es. Laptop e smartphone personali o aziendali)
- Vengono effettuati regolarmente backup e sincronizzazione dei dati?
- E’ prevista una procedura di autenticazione per lo sblocco degli smartphone?
Protezione della rete locale
- Limitare gli accessi alla rete allo stretto necessario.
- Gli accessi remoti da dispositivi informatici avviene tramite connessione VPN?
- La connessione WI-FI utilizza i protocolli WPA2 o WPA2-PSK?
Sicurezza del server
- Consentire l’accesso ai tool di amministrazione solo a soggetti specifici.
- Installare aggiornamenti importanti senza ritardo
- E’ facilitata la disponibilità dei dati?
Sicurezza dei siti web
- Sono utilizzati protocolli TLS o HTTPS?
- E’ verificato che nessuna password o user-ID sia trasferito tramite URL? (es. doc su Google Drive contenente lista delle password)
- E’ verificato se il contenuto richiesto dai form corrisponda a quello che si aspetta l’utente? (es. non chiedere informazioni eccedenti lo scopo del contatto)
- E’ presente l’informativa e il banner sull’utilizzo dei cookie?
Continuità Operativa
- Viene eseguito regolarmente il back up?
- I dispositivi di back up sono conservati in un luogo sicuro?
- Sono previste delle misure di sicurezza per il trasporto dei backup?
- E’ organizzata e verificata regolarmente la Continuità Operativa?
Procedure di archiviazione
- Sono implementati specifici metodi di accesso ai dati archiviati?
- Gli archivi obsoleti sono cancellati in modo sicuro?
Aggiornamento e cancellazione dei dati personali
- Gli interventi di manutenzione sono registrati?
- Durante la manutenzione una persona dell’organizzazione supervisiona il lavoro degli addetti terze parti?
- Prima dello smaltimento dell’hardware, vengono cancellati i dati personali?
Gestione dei responsabili del trattamento dei dati personali
- Nei contratti con i fornitori o consulenti vengono previsti gli obblighi privacy in modo specifico?
- Nei contratti con i fornitori o consulenti vengono previste le condizioni di restituzione e/o cancellazione dei dati personali al termine del servizio?
- Le misure di sicurezza, gli obblighi contrattuali e le garanzie previste sono applicate effettivamente? (es. invio di report regolari, visite di controllo, audit…)
Sicurezza delle comunicazioni
- I dati personali sono cifrati prima dell’invio?
- Viene verificato chi sia il giusto destinatario?
- Le informazioni segrete sono inviate separatamente e con differente canale?
Sicurezza fisica
- Gli accessi sono limitati tramite porte e armadi chiusi a chiave?
- E’ presente un sistema di allarme e viene verificato periodicamente?
Crittografia dei dati
- Vengono utilizzati algoritmi, software, librerie riconosciuti e/o sicure?
- Le informazioni segrete e le chiavi di cifratura sono conservate in modo sicuro?
Fonte: wps-group.it
