Allegato all’accordo AV:
misure tecniche e organizzative
  • Home
  • /
  • Allegato all’accordo AV: misure tecniche e organizzative

ai sensi dell’art. 32 1 GDPR

3. Marzo 2024

1. Riservatezza (art. 32 cpv. 1 lett. b) GDPR)

1.1. Controllo dell’accesso

Di seguito vengono elencate tutte le misure per impedire a persone non autorizzate di accedere agli impianti di elaborazione dei dati con cui vengono trattati o utilizzati i dati personali:

  • Campanello con telecamera
  • Schede chip / sistemi transponder
  • Porte con pomello esterno
  • Gestione chiavi / libro chiavi
  • Regolamento per l’assegnazione di badge
  • Regolamento per l’assegnazione di token
  • Visitatori / persone esterne accompagnate dal personale
  • Servizio di pulizia esterno,
  • Servizio di manutenzione esterno
  • Misure in caso di smarrimento di chiavi / badge / dongle / token/ schede chip 

1.2. Controllo dell’accesso

Di seguito vengono elencate tutte le misure per impedire a persone non autorizzate di accedere ai sistemi di elaborazione dei dati:

  • Login con nome utente + password
  • Login con dati biometrici
  • Software client antivirus
  • Firewall – Server
  • Accesso esterno tramite mobile office / home office (ad es. PC / laptop)
  • Accesso esterno da parte di fornitori di servizi esterni
  • Accesso esterno tramite smartphone / tablet
  • Crittografia dei supporti dati
  • Blocco automatico del desktop
    C
    rittografia di notebook / tablet
  • Crittografia in caso di utilizzo di WLAN (WPA2)
  • Creazione e gestione di profili e autorizzazioni utente
  • IstruzioniBlocco manuale del desktop
  • Direttiva “Password sicura
  • DirettivaEliminazione / distruzione”
  • Direttiva “Clean desk
  • Direttiva “Home/mobile office
  • Mobile device policy 

1.3. Controllo dell’accesso

Di seguito vengono elencate tutte le misure per impedire a persone non autorizzate di leggere, copiare, modificare o eliminare all’interno dei sistemi di elaborazione dei dati:

  • Distruggi documenti
  • Distruggi documenti esterno
  • Eliminazione fisica di supporti di dati
  • Concetto/i di autorizzazione
  • Numero minimo di amministratori
  • Cassaforte di protezione dei dati
  • Gestione dei diritti utente da parte degli amministratori 

1.4. Controllo di separazione

Di seguito vengono elencate tutte le misure per separare i dati personali raccolti per scopi diversi:

  • Separazione di ambiente di produzione e di test
  • Separazione fisica (sistemi / database / supporti di dati)
  • Multi tenancy di applicazioni pertinenti
  • Autorizzazioni di accesso basate sulle esigenze dei dipendenti
  • Definizione dei diritti del database 

1.5. Pseudonimizzazione (art. 32 cpv. 1 lett. a) e art. 25 cpv. 1 GDPR)

La pseudonimizzazione di record di dati viene attuata attraverso le seguenti misure:

Non è prevista la pseudonimizzazione dei record di dati.

2. Integrità (art. 32 cpv. 1 lett. b) GDPR)

2.1. Controllo del trasferimento

I dati personali devono essere sufficientemente protetti durante la trasmissione elettronica, per impedire la lettura, la copia e la modifica o la rimozione non autorizzate. A tal fine abbiamo adottato le seguenti misure tecniche e organizzative:

  • Crittografia della posta elettronica
  • Fornitura di connessioni tunnel (VPN)
  • Fornitura di connessioni crittografate
  • Procedure di firma elettronica
  • Registrazione degli accessi e recupero in file log
  • Cura nella selezione del personale di trasporto e dei veicoli 

2.2. Controllo delle immissioni

Utilizziamo le seguenti misure per controllare se e da chi vengono inseriti, modificati, bloccati o eliminati i dati personali nel sistema di elaborazione dei dati:

 

  • Registrazione tecnica di inserimento, modifica ed eliminazione di dati
  • Controllo manuale o automatizzato dei registri
  • Elenco dei software con programmi di elaborazione dei dati
  • Assegnazione di nomi utente individuali
  • Concetto di autorizzazione con assegnazione di diritti utente in base alle esigenze
  • Archiviazione sicura di documenti cartacei

3. Disponibilità e resilienza (art. 32 cpv. 1 lett. b) GDRP)

3.1. Controllo della disponibilità

Utilizziamo le seguenti misure per garantire la disponibilità dei dati personali in caso di distruzione o perdita accidentale o intenzionale:

  • Archiviazione dei supporti di backup in un luogo sicuro al di fuori della stanza dei server
  • Partizioni separate per sistemi operativi e dati

reev GmbH non gestisce server propri, ma ospita i dati in centri dati esterni del fornitore MCON con luogo di archiviazione in Germania. I TOM vengono verificati regolarmente nell’ambito del relativo rapporto di elaborazione degli ordini.

Garantiamo il rapido ripristino della disponibilità (art. 32 cpv. 1 lett. c) GDPR) attraverso le seguenti misure.

reev GmbH non gestisce server propri, ma ospita i dati in centri dati esterni del fornitore MCON con luogo di archiviazione in Germania. I TOM vengono verificati regolarmente nell’ambito del relativo rapporto di elaborazione degli ordini.

4. Procedura per testare, verificare e valutare regolarmente

(art. 32 cpv. 1 lett. d) GDPR e art. 25 cpv. 1 GDPR)

Data della valutazione delle misure tecniche e organizzative: 10.01.23

4.1. Gestione dellaprotezione dei dati

Per garantire la protezione dei dati nella nostra azienda utilizziamo le seguenti misure per testare, verificare e valutare:

  • Soluzioni software per la gestione della protezione dei dati in uso
  • Documentazione centrale di tutte le procedure e i regolamenti sulla protezione dei dati con possibilità di accesso per dipendenti
  • Una verifica dell’efficacia delle misure di protezione tecniche viene effettuata almeno una volta all’anno
  • Responsabile esterna della protezione dei dati: Sophie Hohmann, SiDIT GmbH, info@sidit.de
  • Responsabile interno della sicurezza delle informazioni: José Carvalho, reev GmbH, josé.carvalho@reev.com
  • Dipendenti qualificati e obbligati alla riservatezza / segretezza
  • Sensibilizzazione regolare dei dipendenti almeno una volta all’anno
  • Se necessario viene effettuata la valutazione d’impatto sulla protezione dei dati (DPIA)
  • L’organizzazione rispetta gli obblighi di informazione ai sensi degli art. 13 e 14 GDPR
  • Processo formalizzato per l’elaborazione di richieste di informazioni, eliminazione e trasferimento dei dati da parte dell’interessato 

4.2. Gestione dell’incident response
(ai sensi dell’art. 33 GDPR)

In caso di rilevamento e notifica di violazioni della protezione dei dati utilizziamo le seguenti misure:

  • Utilizzo di firewall e aggiornamento regolare
  • Utilizzo di filtri antispam e aggiornamento regolare
  • Utilizzo di scanner antivirus e aggiornamento regolare
  • Processo documentato per il rilevamento e la notifica di incidenti di sicurezza / violazioni di dati
  • Procedura documentata per la gestione degli incidenti di sicurezza
  • Coinvolgimento dell’RPD in incidenti di sicurezza e violazioni di dati
  • Coinvolgimento dell’RSI in incidenti di sicurezza e violazioni di dati
  • Documentazione di incidenti di sicurezza e violazioni di dati
  • Processo formale e responsabilità per la successiva elaborazione di incidenti di sicurezza e violazioni di dati  

4.3. Protezione dei dati per impostazione predefinita

Nell’ambito della protezione dei dati per impostazione predefinita (art. 25 cpv. 2 GDPR) utilizziamo le seguenti misure:

  • Minimizzazione dei dati e limitazione delle finalità
  • Semplice esercizio (tecnico) del diritto di recesso dell’interessato attraverso misure tecniche

4.4. Controllo dell’ordine (Outsourcing)

Nell’ambito dell’esternalizzazione del trattamento dei dati personali da parte dei responsabili del trattamento, utilizziamo le seguenti misure per garantire il livello di protezione adeguato:

  • Verifica preventiva delle misure di sicurezza adottate dal contraente e della relativa documentazione
  • Selezione del contraente tenendo conto dell’accuratezza (in particolare per quanto riguarda la protezione e la sicurezza dei dati)
  • Stipula dell’accordo necessario sull’elaborazione dell’ordine o clausole contrattuali standard dell’UE
  • Istruzioni scritte al contraente
  • Obbligo dei dipendenti del contraente alla segretezza dei dati
  • Obbligo di nominare un responsabile della protezione dei dati da parte del contraente se esiste l’obbligo di nomina
  • Accordo sui diritti di controllo effettivi nei confronti del contraente
  • Regolamento sull’utilizzo di altri subappaltatori
  • Garanzia della distruzione dei dati al termine dell’ordine
  • In caso di collaborazione più lunga: verifica continua del contraente e del suo livello di protezione 

Contattaci

Siamo lieti di rispondere alle vostre domande o
di ricevere la vostra richiesta di prodotti.