Continuità Operativa

Posted on by
Reply

Per Continuità Operativa deve intendersi l’insieme delle attività finalizzate al minimizzare gli effetti dannosi di un evento che colpisce l’organizzazione, garantendo così la continuità delle attività.

La continuità operativa può essere intesa come “l’insieme di attività volte a ripristinare lo stato del sistema informatico o parte di esso, compresi gli aspetti fisici e organizzativi e le persone necessarie per il suo funzionamento, con l’obiettivo di riportarlo alle condizioni antecedenti a un evento disastroso”.

“La continuità operativa comprende sia gli aspetti strettamente organizzativi, logistici e comunicativi che permettono la prosecuzione delle funzionalità di un’organizzazione, sia la continuità tecnologica, che nel contesto delle pubbliche amministrazioni riguarda l’infrastruttura informatica e telecomunicativa (ICT) ed è conosciuta come “disaster recovery” (DR).”

Nell’ultima revisione del CAD, in riferimento alla continuità operativa è stato inserito l’articolo 50 bis “Continuità Operativa” che in sintesi prevede :

  • la predisposizione di un piano di continuità operativa (comma 3, punto a), inclusivo del piano di disaster recovery (comma 3, punto b), da parte di tutte le pubbliche amministrazioni, entro 15 mesi dalla data di entrata in vigore del D.Lgs. 235/2010 (25.01.2011);
  • la stesura, preventiva al precedente adempimento, di un apposito studio di fattibilità, sul quale deve essere obbligatoriamente richiesto parere di DigitPA (comma 4).

Per ogni ulteriore chiarimento in merito non esitate a contattarci compilando il form o direttamente

Print FriendlyStampa Pdf

DigitPA – Nuove regole per la Continuità Operativa e per il Disaster Recovery

Posted on by
Reply

Nuovi adempimenti in materia di sicurezza dei dati riguardano le PA.

Infatti DigitPA ha approvato definitivamente le linee guida per la garantire la Continuità Operativa il Disaster Recovery delle pubbliche amministrazioni,secondo quanto previsto al comma 3, punto b) dell’articolo 50-bis del Decreto Legislativo 30 dicembre 2010, n. 235. e s.m.i.

In base a quanto previsto dal suddetto articolo,  ciascuna P.A. deve adottare e gestire nel tempo un Piano di Continuità Operativa e di Disaster Recovery, piano redatto sulla base di un dettagliato studio di fattibilità tecnica, sul quale va  obbligatoriamente acquisito il parere di DigitPA.

Il Piano di Continuità Operativa va aggiornato almeno ogni due anni.
Il Piano di Disaster Recovery, parte integrante del primo, va aggiornato con cadenza almeno annuale, ed entro il 31 dicembre di ogni anno, va inviato (la versione aggiornata) al DigitPA.

La KP Technologies srl, azienda che vanta anni di esperienza nel settore della sicurezza informatica e nella redazione dei piani di sicurezza (CIE, DPS), offre tutto il supporto necessario ad ottemperare a questo nuovo obbligo che interessa le PA.

Per ogni ulteriore chiarimento in merito non esitate a contattarci compilando il form o direttamente

Print FriendlyStampa Pdf

Obblighi Trattamento Dati

Posted on by
Reply

Dopo le semplificazioni in materia di Trattamento Dati introdotti dal Decreto del 27 gennaio 2012, restano i seguenti obblighi :

  • Redazione Informative (Art. 13 DLgs 196/2003): Informative per Dipendenti e Collaboratori; Informative per Clienti, Fornitori, Cittadini, Potenziali Clienti,  Informative utenti sito web; Informativa Candidati all’assunzione; Privacy Policy sito web;
  • Nomina Incaricati al Trattamento Dati Personali (Art. 30 DLgs 196/2003): redazione documento che individua e indica esplicitamente l’ambito di trattamento dati personali consentito a ciascuna unità organizzativa; redazione lettere d’incarico per ciascun incaricato al trattamento dati personali;
  • Nomina Responsabili al Trattamento Dati Personali (Art. 29  DLgs 196/2003): redazione lettera di nomina per ciascun Responsabile al trattamento dati personali; analisi dei casi specifici di affidamento dati personali all’esterno dell’Azienda e/o dell’Ente; individuazione degli incarichi di trattamento dati, per soggetti esterni;
  • Disciplinare interno uso Internet e Posta elettronica (Art 154 comma 1 lett. c) DLgs 196/2003, Provvedimento Garante 1° Marzo 2007): redazione Disciplinare interno relativo all’uso di Internet e della posta elettronica;
  • Prescrizioni in tema di Amministratori di sistema (Art 154 comma 1 lett. c) e h) DLgs 196/2003, Provvedimento Garante 27 Novembre 2008): adempimenti procedurali e redazione documentazione richiesta dal Provvedimento Generale 27 novembre 2008 – Garante privacy;
  • Prescrizioni in materia di videosorveglianza (Art. 154 comma 1, lett. c) DLgs 196/2003, provvedimento garante 8 Aprile 2010);
  • Gestione Privacy Policy sito web, Newsletter e Servizi interattivi: procedure di gestione dati personali utenti sito web; procedure di attivazione e gestione servizio Newsletter; procedure di attivazione e accesso aree riservate;
  • Formazione del Personale.

Per ogni ulteriore chiarimento in merito non esitate a contattarci compilando il form o direttamente

Print FriendlyStampa Pdf

DPS non più obbligatorio?

Posted on by
1

Sul Decreto sulle liberalizzazioni si legge :

PRIVACY – eliminato l’obbligo di predisporre e aggiornare il documento programmatico sulla sicurezza (DPS) che, oltre a non essere previsto tra le misure di sicurezza richieste dalla Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, rappresenta un adempimento meramente superfluo. Restano comunque ferme le misure di sicurezza previste dalla normativa vigente. Il risparmio stimato per le PMI è di circa 313 milioni di euro all’anno.

Ciò significa che non sarà più necessario redarre il DPS ma resterà l’obbligo per i Titolari del Trattamento relativamente a :

  • autenticazione informatica;
  • adozione di procedure di gestione delle credenziali di autenticazione;
  • utilizzazione di un sistema di autorizzazione;
  • aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
  • protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
  • adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
  • adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Sembra ormai prossima una Direttiva Europea che verterà sull’argomento Privacy e che andrà a sostituire la normativa europea di riferimento (la direttiva 95/46 CE del 1995). La nuova normativa europea in materia di trattamento dati, verrebbe immediatamente applicata in tutti gli stati della comunità e consentirebbe di uniformare le regole in materia di tutela dei dati personali.

Le prime indiscrezioni dicono che la nuova Direttiva in materia di trattamento dati prevede per Enti e Aziende degli adempimenti alquanto onerosi, molto maggiori rispetto a quelli previsti per la redazione del DPS.

Per ogni ulteriore chiarimento in merito non esitate a contattarci compilando il form o direttamente

Print FriendlyStampa Pdf

Riforma UE : diritto oblio in rete

Posted on by
Reply

L’Unione Europea ha avviato la riforma della legge sul trattamento dati che introduce anche il diritto ad “essere dimenticati” dalla rete. Sarà possibile, quindi, cancellare i post in rete inclusi quelli inseriti su social network.

La proposta presentata dalla Commissaria alla Giustizia Viviane Reding, permetterà ‘lo sviluppo del mercato unico globale” consentendo di risparmiare alle aziende europee 2,3 miliardi di euro l’anno.

Secondo la Commissaria alla Giustizia Viviane Reding, la riforma consentirà ”lo sviluppo del mercato unico globale” attualmente frenato dai timori sulla sicurezza dei dati su Internet, consentendo un risparmio per aziende stimato in circa 2,3 miliardi di euro l’anno.

Sono previste anche delle semplificazioni per le imprese Reding, aziende fino a 250 lavoratori e le start-up ”saranno esonerate da alcune regole” come ”ad esempio l’obbligo di nominare funzionari per la protezione dati”.

Tra le principali novità, la possibilità per ogni cittadino della comunità europea di rivolgersi  all’authority nazionale che fungerà da gate per qualsiasi reclamo o richiesta.

”Anche le societa’ americane – ha affermato Reding – hanno filiali europee e devono applicare il diritto europeo, come tutti i soggetti che fanno affari nella Ue”.

Print FriendlyStampa Pdf

Google modifica le sue Policy Privacy

Posted on by
Reply

Il gigante Google ha pensato di rivedere le proprie policy per la privacy e le condizioni d’uso. In base alle nuove modifiche, i servizi offerti da Google riconosceranno un utente in ogni ambito esso si muova. Rispetto a prima l’utente accetterà una politica di privacy unica per tutto il mondo Google.

Le nuove regole entreranno in vigore a partire dal 1 marzo 2012, semplificando e uniformando quelle attive.

Continueranno a non essere raccolte e catalogate le informazioni relative a dati personali o sensibili. Le nuove policy lascieranno inalterata la locazione dei dati, non utilizzabili da un utente diverso da chi li fornisce e tramite un apposito pannello di controllo sarà possibile selezionare delle preferenze.

Queste nuove regole, per l’utente Google, si tradurranno in una semplificazione d’uso e in una maggiore precisione dei risultati.

Print FriendlyStampa Pdf

Cosa sono i Dati Sensibili?

Posted on by
2

Si definiscono Dati Sensibili quei dati relativi a persona fisica, persona giuridica, ente od associazione, identificabili direttamente o indirettamente, idonei a rivelare :

  • l’origine razziale ed etnica;
  • le convinzioni religiose, filosofiche o di altro genere;
  • le opinioni politiche;
  • l’adesione a partiti, sindacati;
  • l’adesione ad associazioni o organizzazioni a carattere religioso;
  • l’adesione ad associazioni o organizzazioni a carattere filosofico;
  • l’adesione ad associazioni o organizzazioni a carattere politico;
  • l’adesione ad associazioni o organizzazioni a carattere sindacale;
  • lo stato di salute;
  • la vita sessuale.
Print FriendlyStampa Pdf

Quando Occorre Rinnovare il DPS?

Posted on by
Reply

Entro il 31 marzo 2012, come ogni anno, occorre procedere al rinnovo del Documento Programmatico sulla Sicurezza noto anche come DPS.

In alternativa al DPS, ma solo per i soggetti che trattano esclusivamente dati personali non sensibili, quando gli unici dati non sensibili sono quelli relativi ai propri dipendenti, è possibile predisporre un’autocertificazione come previsto dall’art. 34, comma 1 bis del D.Lgs 196/2003 e dell’art. 47 del D.P.R. 445/00.

In entrambe i casi è opportuno dare data certa ai documenti predisposti.

Si ricorda che occorre inserire nella relazione accompagnatoria al bilancio di esercizio, una dichiarazione in cui si attesta che è avvenuta la redazione e/o l’aggiornamento del DPS.

Per chi non adempie a quanto previsto dalla vigente normativa in materia di trattamento dati, sono previste gravose sanzioni.

Print FriendlyStampa Pdf

Log Amministratori di Sistema

Posted on by
Reply

Il Garante della Privacy, con un provvedimento del 27 novembre 2008, modificato con provvedimento del giugno 2009, ha introdotto l’obbligo per gli Amministratori di Sistema, di conservare i “log access” per almeno sei mesi in archivi immodificabili e inalterabili.

Devono quindi essere adottati sistemi idonei alla registrazione degli accessi logici ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Gli access log devono essere completi, inalterabili con la possibilità di essere verificati nella loro integrità.

Quindi gli access log devono avere  riferimenti temporali certi e la descrizione dell’evento che le ha generate. Inoltre gli access log devono essere conservati in maniera inalterabile per almeno sei mesi.

Sono tenuti ad adeguarsi a tale provvedimento Enti, Studi Professionali, Pubbliche Amministrazioni, Soggetti che operano in Campo Sanitario, Soggeti che operano in Campo Finanziario, …

Chi non si è adeguato al provvedimento, può incorrere in illeciti amministrativi e penali con sistema sanzionatorio severo.

 

Print FriendlyStampa Pdf

Cosa è il Documento Programmatico sulla Sicurezza (DPS) ?

Posted on by
Reply

E’ un documento che deve essere redatto per attestare l’adeguamento delle struttura alle normative vigenti in materia di trattamento dati.

L’adozione e l’aggiornamento del Documento Programmatico sulla Sicurezza, conosciuto anche come DPS, e’ un obbligo introdotto dal D.Leg. 196/2003 che ha sostituito e abbrogato la legge 675/96.

L’obbligo della redazione del DPS esiste per tutte le aziende, liberi professionisti, enti o associazioni che trattano dati personali, anche sensibili con strumento elettronici.

Print FriendlyStampa Pdf