DOCUMENTO PROGRAMMATICO SULLA SICUREZZA
PREMESSA
Dal 1° gennaio 2004 è entrato in vigore il Decreto Legislativo 30 giugno 2003
n. 196, noto come Nuovo Codice in materia di protezione dei dati personali. Il
provvedimento è di grande importanza perché riunisce in un unico testo una
grande varietà di provvedimenti che si erano stratificati nel tempo a livello
nazionale e comunitario, rendendo difficile la loro attuazione per l’operatore
che è già impegnato nelle proprie attività istituzionali. Ma è importante anche
perché, mentre mira a semplificare e snellire gli adempimenti, nello stesso
tempo rende più stringenti i comportamenti e gli obblighi.
L’Università della Tuscia di Viterbo è una realtà complessa per la serie di attività che esplica e per la presenza di 319 docenti, di 301 unità di personale tecnico-amministrativo, di circa 10.500 studenti.
Sul piano dell’organizzazione l’Università della Tuscia è articolata in Amministrazione Centrale, 6 Facoltà, 19 Dipartimenti, 8 Centri, 4 Biblioteche.
Nel pieno rispetto della normativa in materia si intende definire un programma di interventi che oltre a perseguire la salvaguardia dei fondamentali diritti alla riservatezza di tutti i soggetti interessati, tenga conto delle peculiari esigenze del comparto universitario a proseguire nelle proprie attività di studio e ricerca senza incontrare ostacoli o interruzioni. L’Università sta avviando percorsi formativi in materia di protezione dei dati personali. Il tema della sicurezza dei dati personali verrà monitorato nel tempo e mantenuto costantemente sotto controllo.
L’Università della Tuscia è dotata di proprio Regolamento e aggiorna periodicamente il presente DPS.
1) ELENCO DEI TRATTAMENTI DI DATI PERSONALI
Riferimento normativo: 19.1- All. B D.Lgs. 196/2003
La Tabella 1.1 “Elenco dei trattamenti – Informazioni essenziali” contiene l’elenco dei trattamenti dati personali gestiti dalla Struttura; in esso viene riportata la descrizione del trattamento, la natura dei dati, le strutture interessate e gli strumenti utilizzati.
Tabella 1.1 – Elenco dei trattamenti: informazioni essenziali
Natura dei dati:
S:sensibili;
G:giudiziari
|
ID |
Descrizione sintetica del trattamento |
Natura dei dati |
Struttura di riferimento |
Altre strutture interessate |
Strumenti utilizzati |
||
|
|
Finalità o attività |
Categorie interessate |
S |
G |
|
|
|
|
1.1 |
Sistema informativo segreterie studenti |
Studenti |
S |
Segreterie studenti |
Centro di Calcolo |
Server d’Ateneo + pc in rete geografica |
|
|
1.2 |
Sistema di contabilità integrata d’ateneo e sistema stipendi |
Dipendenti, collaboratori, fornitori, clienti |
S |
Amministrazione centrale e Segreterie amministrative di tutti i centri di spesa |
Centro di Calcolo |
Server d’Ateneo + pc in rete geografica |
|
|
1.3 |
Sistema protocollo |
Tutti |
S |
Ufficio Protocollo |
Centro di Calcolo |
Server d’Ateneo + pc in rete geografica |
|
|
1.4 |
Sito web d’Ateneo |
|
|
Centro di Calcolo |
|
Server d’Ateneo |
|
|
1.5 |
Gestione posta elettronica |
Dipendenti, collaboratori |
|
Centro di Calcolo |
|
Server d’Ateneo + pc in rete geografica
|
|
|
1.6 |
Gestione giuridico/ economica del personale |
Personale docente e personale tecnico-amministrativo, CEL, BAS
|
S, G |
Servizio Personale |
Servizio Trattamenti economici del Personale e Contabilità |
PC |
|
|
1.7 |
Fornitura beni e servizi |
Fornitori |
G |
Amministrazione centrale e Centri di Spesa |
|
|
|
|
1.8 |
Gestione presenze |
Personale tecnico-amm.vo |
S |
Servizio Personale |
Servizi dell’Amministrazione centrale e Strutture periferiche |
PC |
|
|
1.9 |
Stipula convenzioni |
Sottoscrittori |
|
Direzione Amministrativa |
|
|
|
|
1.10 |
Anagrafe delle prestazioni e degli incarichi retribuiti del personale docente, tecnico- amministrativo dell'Ateneo, nonché a professionisti esterni ex art 53 del D. Lgs. n° 165/2001 |
Personale docente e personale tecnico-amministrativo |
|
Direzione Amministrativa |
Servizio Personale, Centri di spesa A e B, Responsabili di Progetti |
PC |
|
|
1.11 |
Elezioni delle Rappresentanze del personale e degli studenti negli organi collegiali
|
Personale docente, tecnico-amministrativo, studenti |
S |
Servizio Affari Generali |
|
|
|
|
1.12 |
Rilevazioni deleghe sindacali |
Personale docente e personale tecnico-amministrativo |
S |
Servizio Trattamenti economici del personale e Contabilità |
|
PC |
|
Tabella 1.2 – Elenco dei trattamenti: ulteriori elementi
|
Identificativo trattamento |
Banca dati |
Ubicazione backup |
Tipologia dispositivi d’accesso |
Tipologia di interconnessione |
|
1.1 |
Microsoft SQL |
Locali centro di calcolo |
Personal computer |
Rete geografica |
|
1.2 |
DBMS Oracle |
Locali centro di calcolo |
Personal computer |
Rete geografica |
|
1.3 |
Proprietaria |
Locali centro di calcolo |
Personal computer |
Rete geografica |
|
1.4 |
Microsoft Exchange |
Locali centro di calcolo |
Personal computer, portatili |
Rete geografica |
|
1.5 |
Microsoft Access |
Locali centro di calcolo |
|
Rete geografica |
|
1.8 |
Microsoft SQL |
Locali centro di calcolo |
Personal computer |
Rete geografica
|
Elenco dei dati personali e “identificativi” relativi al personale docente, tecnico-amministrativo, ai collaboratori esterni e agli studenti, attualmente in possesso dell’Università degli Studi della Tuscia:
Personale docente, tecnico-amministrativo, ai collaboratori esterni:
- dati anagrafici, identificativi e informativi contenuti nel curriculum vitae;
- dati contenuti nel fascicolo individuale del personale docente o tecnico-amministrativo o dei collaboratori esterni;
- dati contenuti nei certificati medici per giustificazione di assenze (malattie, infortuni ecc.);
- dati inerenti lo stato di salute per esigenze di gestione del personale, assunzioni del personale appartenente alle c.d categorie protette, igiene e sicurezza sul luogo di lavoro, equo indennizzo, causa di servizio ecc.;
dati relativi alle carriere;
- dati relativi agli stipendi ed alle voci retributive;
- dati relativi alla adesione a sindacati o ad organizzazioni di carattere sindacale per gli adempimenti connessi al versamento delle quote di iscrizione o all’esercizio dei diritti sindacali;
- dati relativi ai riscatti ed alle ricongiunzioni previdenziali, dei trattamenti assicurativi e previdenziali obbligatori e contrattuali.
Tali dati sono oggetto di trattamento da parte delle competenti Strutture di Ateneo, ad opera dei soggetti ivi incaricati, con modalità sia manuale, cartacea che informatizzata, mediante il loro inserimento sia in archivi (contenenti documenti cartacei) sia nelle banche dati la cui titolarità è in capo alle competenti Strutture universitarie.
Studenti:
- dati anagrafici, identificativi e informativi contenuti nella domanda di iscrizione;
- dati relativi agli esiti scolastici, intermedi e finali o comunque connessi alla carriera universitaria;
- dati relativi agli studenti diversamente abili o ad elementi reddituali ai fini di eventuali esoneri dal versamento delle tasse universitarie;
Tali dati sono oggetto di trattamento da parte delle Strutture competenti, ad opera dei soggetti ivi incaricati, con modalità sia manuale, cartacea che informatizzata, mediante il loro inserimento sia in archivi (contenenti documenti cartacei) sia nelle banche dati degli studenti la cui titolarità è in capo alla Struttura di riferimento.
Si precisa che il trattamento di tutti i dati sopra citati avviene esclusivamente ai fini dell’adempimento delle prescrizioni di legge anche relative al rapporto di lavoro e di quelli connessi agli oneri fiscali e previdenziali, secondo quanto disposto sia dalla legislazione vigente in materia, sia dai contratti collettivi nazionali ed integrativi, ovvero per finalità di gestione amministrativa degli studenti e/o per finalità didattiche e/o per finalità afferenti alle elezioni delle rappresentanze studentesche negli Organi Accademici, ovvero per finalità connesse alle eventuali collaborazioni a tempo parziale degli studenti presso le Strutture universitarie.
Il conferimento dei dati è dunque obbligatorio.
Si ricorda, altresì che i trattamenti sopra menzionati possono riguardare anche i dati:
a) definiti “giudiziari” ai sensi dell’art. 4 comma 1 lettera e) del D.lgs 196/2003 e cioè: dati personali idonei a rivelare i provvedimenti di cui all’art. 3 comma 1 lettere da a) a o) e da r) a u) del d.p.r. 14 novembre 2002 n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o indagato ai sensi degli art. 60 e 61 del c.p.p.
b) definiti “sensibili” ai sensi dell’art. 4 comma 1 lett. d) del D.lgs 196/2003.
In questa categoria rientrano in particolare:
|
|
- i dati relativi all’iscrizione ai sindacati, ai fini dell’effettuazione delle trattenute e del versamento del contributo al sindacato indicato dal dipendente; |
|
|
|
|
|
- i dati inseriti nelle certificazioni mediche, ai fini della verifica dell’attitudine a determinati lavori, dell’idoneità al servizio, dell’avviamento al lavoro degli inabili; |
|
|
|
|
|
- i dati relativi allo stato di salute dei dipendenti assunti sulla base della L. 2 aprile 1968 n. 482 e successive modifiche; |
|
|
|
|
|
- i dati relativi all’appartenenza ad organizzazioni o fedi religiose ai fini dei permessi per festività. |
|
|
|
|
|
- dati relativi agli studenti diversamente abili ai fini di eventuali esoneri dal versamento delle tasse universitarie. |
Tutti i dati relativi al personale docente, tecnico-amministrativo o esterno dell’Ateneo, potranno essere comunicati solo ad enti pubblici o a pubbliche amministrazioni che per legge ne abbiano titolo.
L’Ateneo cura il trattamento dei dati personali del personale dipendente (tecnico-amministrativo, docente, personale non di ruolo).
Nell’ambito dei suddetti dati personali sono individuati come dati sensibili e/o giudiziari, ai sensi della normativa vigente e coerentemente con quanto sopra indicato, i dati relativi a:
|
|
1. buste paga (iscrizione al sindacato, indicazione delle categorie protette, assicurazione sanitaria, ecc. |
|
|
|
|
|
2.dati sanitari connessi ad attività di ricerca |
|
|
|
|
|
3.dati personali del personale docente e t.a. (ad. es. dati giudiziari) |
|
|
|
|
|
4.dati relativi agli studenti ( ad es. borse di studio per studenti) |
|
|
|
|
|
5.dati relativi a soggetti appartenenti a famiglie meno abbienti, eventuali corsi di formazione per categorie disagiate o speciali, ecc.) |
L’Allegato A) contiene lo schema di documento informativo trasmesso al personale docente, tecnico-amministrativo, ai collaboratori esterni ed agli studenti, ai sensi dell’art. 13 del D.Lgs. 30 giugno 2003, n. 196 – Codice in materia di protezione dei dati personali
2) Soggetti che effettuano il trattamento dei dati personali:
I. Il Titolare del trattamento dei dati personali
L’Università della Tuscia, nella persona del Rettore, è il titolare del trattamento dei dati personali mediante l’ausilio dei mezzi informatici o cartacei. Nel raccogliere i dati personali (direttamente dall’interessato od anche attraverso la cessione da parte di altri) decide come ed in base a quali finalità (ad esempio per rapporto di lavoro, per finalità didattica, etc.) effettuerà il trattamento dei dati raccolti.
II. Il Responsabile del trattamento dei dati personali
l’Università, nella persona del Rettore, nomina, con Decreto Rettorale, “Responsabili” del trattamento dei dati:
A) Per ciò che attiene le Strutture amministrative afferenti alla Sede Centrale:
Il Direttore Amministrativo, relativamente ai dati trattati dagli Uffici afferenti alla Direzione Amministrativa;
I Capi Servizio, ciascuno relativamente ai dati trattati dai rispettivi Servizi.
B) Per ciò che attiene il Servizio per la Gestione e lo sviluppo della rete di Ateneo:
Il Presidente del Centro di Calcolo relativamente ai dati trattati nell’ambito del predetto Centro;
C) Per ciò che attiene le Strutture didattiche, di ricerca e di servizio, ciascuno relativamente ai dati trattati dalle rispettive Strutture:
· I Presidi;
· I Direttori di Dipartimento;
· I Direttori dei Centri di Ricerca e di Servizio;
E) Per ciò che attiene le sedi distaccate che costituiscono poli didattici e di ricerca:
· Il Docente delegato dal Rettore, relativamente ai dati trattati nella relativa Struttura;
F) Per ciò che attiene i dati trattati dalla Segreteria del Rettore, dagli Uffici di diretta collaborazione del Rettore, il Rettore ne mantiene la responsabilità diretta;
Inoltre l’Ateneo si riserva di effettuare comunque ulteriori nomine di “Responsabili” laddove si rendesse necessario, per lo svolgimento di attività istituzionali, comunicare e/o delegare a soggetti terzi esterni all’Ateneo il trattamento di alcuni dati.
III. L’Incaricato del trattamento dei dati personali
L’Incaricato è la persona fisica alla quale, nell’ambito delle proprie attività, il Titolare o il Responsabile affidano il trattamento dei dati personali (elaborazione, archiviazione, ecc.). L’Incaricato è, dunque, colui che operativamente effettua i “trattamenti”, attenendosi alle istruzioni del Titolare o del Responsabile.
L’Università affida ai Responsabili il compito di nominare “incaricati ” le persone fisiche, in relazione alle attività (e quindi ai trattamenti di competenza), svolte nell’ambito della struttura universitaria di appartenenza, impartendo loro adeguate istruzioni, secondo lo schema di cui all’allegato B.
Ogni incaricato è dotato di credenziali di autenticazione; l’autenticazione consente l’accesso ad uno specifico trattamento o ad un insieme di trattamenti.
Al codice di autenticazione dell’incaricato è associata una parola chiave riservata, conosciuta solo dall’incaricato; in alcuni casi la coppia codice utente/parola chiave è associato all’utilizzo di un ulteriore dispositivo di identificazione tipicamente lettore smart card.
Gli incaricati sono stati informati sulle modalità di custodia dei codici ricevuti al fine di preservarne la segretezza.
Le parole chiave rispettano gli standards minimali richiesti sufficienti a renderne massima la sicurezza d’uso: minimo 8 caratteri, stringa costruita senza riferimenti all’incaricato, modifica ogni 6 o 3 mesi a seconda dei dati trattati.
Il codice di identificazione è rigorosamente assegnato all’incaricato e non può essere successivamente assegnato ad altri soggetti e dopo 6 mesi di inutilizzo vengono disattivate.
IV. L’Amministratore di Sistema
L’Amministratore di Sistema è il soggetto che si occupa del sistema informatico e delle risorse operative.
La nomina dei suddetto Amministratore di Sistema è effettuata dal Rettore.
Compete all’Amministratore di Sistema:
- Attribuire a ciascun incaricato del trattamento, un codice identificativo personale per l’utilizzazione dell’elaboratore; uno stesso codice non potrà neppure in tempi diversi, essere assegnato a persone diverse;
- Assegnare e gestire i codici identificativi personali prevedendone la disattivazione nel caso di perdita della qualità che ne consente l’accesso all’elaboratore, ovvero nel caso di loro mancato utilizzo per un periodo superiore a sei mesi;
- Disporre ogni opportuna misura e ogni adeguata verifica, per evitare che soggetti non autorizzati possano avere accesso agli archivi delle parole chiave se leggibili;
- Provvedere affinché gli elaboratori del sistema informativo siano protetti contro il rischio di intrusione ad opera di programmi di cui all’art. 615 quinquies cod.pen., mediante idonei programmi la cui efficacia ed aggiornamento siano verificati con cadenza almeno semestrale;
- Assistere il Responsabile del trattamento in particolare per quanto concerne l’analisi dei rischi presso la propria Struttura e per le informazione che il Responsabile è tenuto ad inviare al Titolare per la stesura annuale del Documento Programmatico di Sicurezza (DPS).
V. Preposti alla custodia delle parole chiave
Il punto 10 dell’all. B. “Disciplinare tecnico” del Codice Privacy individua un “Preposto alla custodia delle parole chiave” il quale deve garantirne la segretezza e qualora , in assenza dell’incaricato, venga effettuato un trattamento utilizzando le stesse, deve tempestivamente informarne l’incaricato medesimo.
Compete al Preposto:
- Custodire, per un eventuale accesso di emergenza, la busta chiusa, controfirmata contenente il modulo utilizzato dal singolo incaricato per indicare la parola chiave dallo stesso prescelta;
- Accertare costantemente che gli incaricati utilizzino la parola chiave con diligenza e che la modifichino ogni qualvolta sussista il dubbio che essa sia stata manomessa. In tale occasione occorrerà provvedere all’aggiornamento della parola chiave contenuta in busta chiusa.
3) DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITA’ – AMBITO DEI TRATTAMENTI RIFERITI A CIASCUN UFFICIO
Riferimento normativo: 19.2 All. B D.L.Lgs. 196/2003
Il trattamento dei dati avviene nelle varie strutture dell’Ateneo come individuate nelle delibere del Consiglio di Amministrazione del 14/3/2003 e del 5/6/2003.
La presente sezione descrive la struttura organizzativa funzionale al trattamento dei dati personali e le singole responsabilità.
Tabella 2 – Competenze e responsabilità :informazioni essenziali
|
Struttura |
Trattamenti |
Compiti |
|
Segreterie studenti |
Dati studenti |
Acquisizione e caricamento dati, consultazione e comunicazione a terzi |
|
Centro di calcolo |
Dati studenti |
Consultazione e comunicazione a terzi, manutenzione tecnica programmi, gestione tecnica operativa della base dati |
|
Amministrazione centrale e Segreterie amministrative di tutti i centri di spesa |
Dati contabili amministrativi |
Acquisizione e caricamento dati, consultazione e comunicazione a terzi |
|
Centro di Calcolo |
Dati contabili amministrativi |
Manutenzione tecnica programmi, gestione tecnica operativa della base dati |
|
Ufficio Protocollo |
Lettere da protocollare |
Acquisizione e caricamento dati, consultazione e comunicazione a terzi |
|
Centro di Calcolo |
Pubblicazione dati su WEB |
Aggiornamento dati, Manutenzione tecnica programmi, gestione tecnica operativa del sito WEB |
|
Centro di Calcolo |
Gestione account posta elettronica |
Aggiornamento dati, Manutenzione tecnica programmi, gestione tecnica operativa della base dati
|
|
Ufficio Personale e strutture decentrate |
Gestione presenze personale |
Acquisizione e caricamento dati, consultazione. |
L’Allegato B) contiene lo schema di lettera di nomina individuale a Incaricato del trattamento dei dati personali
4) ANALISI DEI RISCHI CHE INCOMBONO SUI DATI
Riferimento normativo: 19.3 All. B D.Lgs. 196/2003
Questa sezione definisce i criteri e le modalità operative adottate per individuare i beni da proteggere e i principali eventi potenzialmente dannosi per la sicurezza dei dati, con la valutazione delle possibili conseguenze e gravità in relazione al contesto fisico–ambientale di riferimento e agli strumenti elettronici utilizzati.
Tabella 3 – Analisi dei rischi:informazioni essenziali
|
Rischi |
Si/No |
Descrizione dell’impatto sulla sicurezza (Gravità: alta/media/bassa) |
|
|
Comportamento degli operatori |
Sottrazione di credenziali di autenticazione |
No |
Media |
|
Carenza di consapevolezza, disattenzione o incuria |
No |
Bassa |
|
|
Comportamenti sleali o fraudolenti |
Sì |
Bassa |
|
|
Errore materiale |
Sì |
Bassa |
|
|
Altro evento |
|
|
|
|
Eventi relativi agli strumenti |
Azione di virus informatici o di programmi suscettibili di recare danno |
No |
basso |
|
Spamming o tecniche di sabotaggio |
Sì |
Media |
|
|
Malfunzionamento, indisponibilità o degrado degli strumenti |
Sì |
Basso |
|
|
Accessi esterni non autorizzati |
No |
Media |
|
|
Intercettazione di informazioni in rete |
Sì |
Media |
|
|
Altro evento |
|
|
|
|
Eventi relativi al contesto |
Accessi non autorizzati a locali/reparti ad accesso ristretto |
No |
Bassa |
|
Estrazione di strumenti contenenti dati |
Sì |
Media |
|
|
Eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ecc.), nonché dolosi, accidentali o dovuti ad incuria |
Sì |
Media |
|
|
Guasto ai sistemi complementari (impianto elettrico, climatizzazione, ecc.) |
Sì |
Media |
|
|
Errori umani nella gestione della sicurezza fisica |
No |
Bassa |
|
|
Altro evento |
|
|
|
Impatto sulla sicurezza: i rischi sono medio/bassi e fondamentalmente legati nel caso dei virus al breve periodo durante il quale non è ancora reso disponibile l’aggiornamento dell’antivirus installato sui server.
5) MISURE DI SICUREZZA IN ESSERE E DA ADOTTARE
Riferimento normativo: 19.4 All. B D.L.Lgs. 196/2003
In questa sezione sono descritte, in forma sintetica, le misure adottate e le eventuali ulteriori misure di sicurezza da adottare per contrastare i rischi individuati. Per misura si intende lo specifico intervento tecnico od organizzativo posto in essere (per prevenire, contrastare o ridurre gli effetti relativi ad una specifica minaccia).
Tabella 4 – Le misure di sicurezza adottate o da adottare :informazioni essenziali
|
Misure |
Descrizione dei rischi contrastati |
Trattamenti interessati |
Misure già in essere |
Misure da adottare (*) |
Struttura o persone addette all’adozione |
|
Protezione dell’ambiente dagli eventi naturali |
Danni naturali |
Tutti i sistemi informativi con server |
Attivazione accortezze nei locali che ospitano i server |
|
Personale centro di Calcolo, Ufficio Tecnico e Sicurezza |
|
Attivazione sistemi di backup adeguati |
Atti terroristici, vandalici, … |
Tutti i sistemi informativi con server |
Attivazione sistemi di backup adeguati conservati separatamente |
Miglioramento attivazione sistemi di backup adeguati |
Personale centro di Calcolo, Ufficio Tecnico e Sicurezza |
|
Attivazione sistemi di backup adeguati con architetture ridondate |
Rottura server, dischi,… |
Tutti i sistemi informativi con server |
Attivazione sistemi di backup adeguati conservati separatamente |
Miglioramento attivazione sistemi di backup adeguati |
Personale centro di Calcolo |
|
Utilizzo di UPS di potenza adeguata |
Sbalzi e/o cali di tensione non gestiti |
Tutti i sistemi informativi con server |
Utilizzo di UPS di potenza adeguata |
|
Personale centro di Calcolo, Ufficio Tecnico |
|
Rete di backup |
Danneggiamento fisico della rete di trasmissione |
Tutti i sistemi informativi con server |
Nessuna |
Nessuna data la non criticità |
Personale centro di Calcolo, Ufficio Tecnico |
|
Utilizzo di impianti di condizionamento adeguati |
Troppo elevata temperatura dell’ambiente |
Tutti i sistemi informativi con server |
Utilizzo di impianti di condizionamento adeguati |
|
Personale centro di Calcolo, Ufficio Tecnico |
|
Attivazione di un adeguato sistema di protezione agli ingressi estranei |
Furti |
Tutti i sistemi informativi |
Chiusura manuale locali |
Introduzione sistemi di sicurezza adeguati per limitare gli accessi |
Sicurezza, Personale centro di Calcolo, Ufficio Tecnico ma in realtà tutti. |
|
Definizione di password di accesso e relativa politica di gestione a cui attenersi |
Manomissione dati per fini dolosi |
Tutti i sistemi informativi |
Definizione di password di accesso e relativa politica di gestione a cui attenersi |
Verifica corretto utilizzo password di accesso anche mediante attività di formazione del personale |
tutti |
|
Definizione di password di accesso e relativa politica di gestione a cui attenersi |
Manomissione dati per fini dolosi |
Tutti i sistemi informativi |
Definizione di password di accesso e relativa politica di gestione a cui attenersi |
Verifica corretto utilizzo password di accesso ed attività di formazione |
tutti |
|
Promuovere un’adeguata politica di formazione “informatica” e “gestionale” sull’utilizzo dello strumento software e sulle regole di trattamento informatico del dato. Adeguamento delle procedure per evitare il più possibile la creazione di situazioni anomale e/o pericolose. |
Danneggiamento dati per errori legati ad errato inserimento dati, errato utilizzo e alla perdita dei dati |
Tutti i computer sia server che pc locali |
Competenze acquisite in precedenza |
Promuovere un’adeguata politica di formazione “informatica” e “gestionale” sull’utilizzo dello strumento software e sulle regole di trattamento informatico del dato.
|
tutti |
|
Attivazione di un sistema di backup restore e custodia dei supporti in luoghi diversi. Creazione di cluster per applicazione “mission critical” o almeno architetture ridondate con dischi hot swap |
Perdita di dati dovuta a mancanza di adeguate e pianificate operazioni di backup e relativo restore |
Tutti i computer sia server che pc locali con priorità differenti |
Attivazione di un sistema di backup restore e custodia dei supporti in luoghi diversi.
|
Verifica modalità backup restore. Creazione di cluster per applicazione “mission critical” o almeno architetture ridondate con dischi hot swap |
Tutti ed in particolare Centro di Calcolo |
|
Definizione di un adeguato piano di formazione del personale, sostituzione periodica delle password |
Errata gestione del supporto informatico in termini di mancanza di cautele minimali nel garantire che nessuno possa accedere ai dati di propria competenza in caso di assenza momentanea. |
Tutti i computer |
Competenze minimali già in possesso |
piano di formazione del personale, sostituzione periodica delle password |
Tutti ed in particolare Centro di Calcolo |
|
Installazione di misure di protezione (firewall) in numero e potenza adeguata alla dimensione della rete. Installazione di un server che tenga monitorato il numero e la provenienza di richieste di accesso "non autorizzate". Creazione di una "certificazione" fra i server (e se necessario i PC) in modo che dialoghino tra loro solo le macchine autenticate |
Danneggiamento dei dati a causa di intrusione di hacker |
Tutti i computer |
Installazione di firewall |
Installazione di misure di protezione (firewall) in numero e potenza adeguata alla dimensione della rete. Installazione di un server che tenga monitorato il numero e la provenienza di richieste di accesso "non autorizzate". Creazione di una "certificazione" fra i server (e se necessario i PC) in modo che dialoghino tra loro solo le macchine autenticate |
Centro di calcolo |
|
Installazione di misure di protezione (firewall) in numero e potenza adeguata alla dimensione della rete. Installazione di un server che tenga monitorato il numero e la provenienza di richieste di accesso "non autorizzate". Creazione di una "certificazione" fra i server (e se necessario i PC) in modo che dialoghino tra loro solo le macchine autenticate. Criptazione dei dati in transito sulla rete ed attivazioen di una corretta gestione della password. Introduzione di filtri a livello internet che interdicano la navigazione su siti "portatori" di programmi cosiddetti "spia" che possono catturare user-id e password per ovvi scopi fraudolenti |
Furto e/o utilizzo fraudolento dei dati da parte di hacker penetrati nella rete |
Tutti i computer |
Installazione di firewall |
Installazione di misure di protezione (firewall) in numero e potenza adeguata alla dimensione della rete. Installazione di un server che tenga monitorato il numero e la provenienza di richieste di accesso "non autorizzate". Creazione di una "certificazione" fra i server (e se necessario i PC) in modo che dialoghino tra loro solo le macchine autenticate. Criptazione dei dati in transito sulla rete ed attivazioen di una corretta gestione della password. Introduzione di filtri a livello internet che interdicano la navigazione su siti "portatori" di programmi cosiddetti "spia" che possono catturare user-id e password per ovvi scopi fraudolenti
|
Centro di calcolo |
|
Installazione di misure di protezione (firewall) in numero e potenza adeguata alla dimensione della rete. In casi complessi sezionamento della rete ed ulteriore protezione con firewall in modo da limitare il propagarsi del virus all'interno della rete |
Danneggiamento dei dati a causa di virus penetrati dall’esterno |
Tutti i computer |
Installazione antivirus |
Installazione di misure di protezione (firewall) in numero e potenza adeguata alla dimensione della rete. In casi complessi sezionamento della rete ed ulteriore protezione con firewall in modo da limitare il propagarsi del virus all'interno della rete |
Centro di Calcolo e utenze locali |
|
Installazione di misure di protezione (firewall) in numero e potenza adeguata alla dimensione della rete e posizionanti in punti della rete ritenuti "strategici" (per es. laboratori informatici). In casi complessi sezionamento della rete ed ulteriore protezione con firewall in modo da limitare il propagarsi del virus all'interno della rete. Aggiornamento dei PC con antivirus standardizzato a livello di Ateneo ed aggiornato automaticamente da un server centrale (policy orchestrator) |
Danneggiamento dei dati a causa di virus importati dall’interno |
Tutti i computer |
Installazione antivirus |
|
Centro di Calcolo e utenze locali |
|
Installazione di software "anti-spam" integrato con la gestione della posta elettronica |
Impossibilità di fruizione del dato a causa del fenomeno denominato "spamming"
Danneggiamento dei dati a causa di virus penetrati dall’esterno tramite posta elettronica |
Server posta |
Installazione di software "anti-spam" integrato con la gestione della posta elettronica |
|
|
|
Installazione di misure di protezione (firewall) in numero e potenza adeguata alla dimensione della rete con azione di filtro su richieste provenienti dall'esterno e non certificate. Creazione di una "certificazione" fra i server (e se necessario i PC) in modo che dialoghino tra loro solo le macchine autenticate. Definizione di una politica di autenticazione utente per l'accesso ai servizi legati alla rete |
Furto dei dati a causa di intercettazioni in reti di tipo "wireless" |
|
|
|
|
|
Gestione degli indirizzi di rete dei server / PC in modo non fisso ed ovviamente non pubblico. Utilizzo di DHCP per ottimizzare e migliorare la gestione degli indirizzi IP |
Intrusione di esterni all’interno del sistema informatico reso possibile dalla gestione di indirizzi fisici, fissi e pubblici a livello client |
|
|
|
|
|
Introduzione di filtri a livello internet che interdicano la navigazione su siti "portatori" di programmi cosiddetti "spia" che possono catturare user-id e password per ovvi scopi fraudolenti |
Furto e/o utilizzo fraudolento dei dati causato dall’installazione automatica e non monitorata a livello client di “programmi spia” acquisiti tramite la navigazione su siti internet non protetti e/o pericolosi |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
6) PIANIFICAZIONE DEGLI INTERVENTI FORMATIVI PREVISTI
Riferimento normativo: 19.6- All. B D.Lgs. 196/2003
L’Ateneo organizza periodici corsi di aggiornamento sulla materia che, secondo scaglioni preordinati, consentano di acquisire una base di conoscenza comune sulle problematiche della normativa di settore. Tali corsi sono rivolti sia ai docenti che al personale dipendente; è prevista inoltre la predisposizione di un opuscolo da distribuire agli studenti ed ai collaboratori esterni.
7) TRATTAMENTI AFFIDATI ALL’ESTERNO
Riferimento normativo: 19.7- All. B D.Lgs. 196/2003
In questa sezione sono descritte le attività affidate a terzi che comportano il trattamento di dati
Tabella 5 – Trattamenti affidati all’esterno: informazioni essenziali
|
Descrizione sintetica dell’attività esternalizzata |
Trattamenti di dati interessati |
Soggetto esterno |
|
Elaborazione trattamenti economici del personale |
Dati stipendi e contabilità |
CINECA |
|
Rilevazione presenzeI |
Dati presenze |
SELESTA |
L’Ateneo acquisisce dal soggetto esterno l’impegno a relazionare periodicamente sulle misure di sicurezza adottate e ad informare tempestivamente il titolare del trattamento in caso di situazioni anomale o di emergenze.
Il presente documento verrà aggiornato periodicamente entro il 31/3 di ogni anno.
L’originale è custodito presso la Direzione Amministrativa.
Allegato A
Al Sig.
Oggetto: Documento informativo ai sensi di cui all’articolo 13, D.Lgs. 196/2003
Ai sensi dell’art. 13 D.Lgs. 196/2003 “Codice in materia di protezione dei dati personali”, si comunica quanto segue:
a) i dati che qui di seguito conferisce saranno utilizzati per_______________________;
b)
c)
il trattamento dei dati è effettuato con mezzi informatici e/o con mezzi ____________e comunque con l’osservanza delle misure minime cautelative della sicurezza e riservatezza dei dati previste dalla normativa vigente.
I suoi dati, oggetto del trattamento, potranno in seguito comunicati e diffusi a:
Ø
Ø
Il conferimento dei dati è obbligatorio per l’assolvimento degli obblighi di legge. Un eventuale rifiuto al conferimento impedirà la possibilità di ____________________________
E’ possibile esercitare i diritti di cui all’art. 7 del D.Lgs. 196/2003, ed in particolare quello di conoscere, in ogni momento, quali sono i Suoi dati e come essi vengono utilizzati, nonché il diritto di farli aggiornare, integrare, rettificare o cancellare, chiederne il blocco ed opporsi al loro trattamento facendone esplicita richiesta al sotto citato Titolare del trattamento.
Titolare del trattamento è l’Università degli Studi della Tuscia, con sede in Via S. Maria in Gradi, 4 – 01100 Viterbo, Responsabile è ______________________________telefono n. _____________, e-mail___________.
Firma del titolare
…………………
Allegato B
Designazione di Incaricato del Trattamento Dati – Art. 30 D.Lgs. 30 giugno 2003, n. 196 -
Il sottoscritto …………………………….., in qualità di Responsabile del trattamento dei dati personali della Struttura………………………, nominato dal Titolare quale Responsabile del trattamento dei dati personali con D.R. n. del presso la sopra indicata struttura dell’Università degli Studi della Tuscia
Incarica
Il Sig…………………………………………, in servizio presso la struttura ……………………………………., ad effettuare i trattamenti dei dati personali, anche sensibili e giudiziari, con accesso ai dati la cui conoscenza sia strettamente necessaria per adempiere ai compiti assegnati.
In particolare i trattamenti ai quali lei ha accesso in quanto Incaricato sono i seguenti:
La S.V. dovrà attenersi ai criteri previsti dalla normativa vigente sulla tutela dei dati personali e sulle misure di sicurezza relative, anche con riferimento alle norme ed alle modalità tecniche adottate da questa Università.
Viterbo,
Il Responsabile del Trattamento
………………………………..