documento programmatico
annuncio pubblicitario
DOCUMENTO PROGRAMMATICO sulla SICUREZZA ai sensi della legge196/2003 DICEMBRE 2009 PREMESSA Il presente documento nasce per adempiere a quanto previsto dalle misure di sicurezza previste dal Decreto legislativo 196/2003 ed in particolare dalla Regola 19 del Disciplinare Tecnico e recepisce le attività realizzate da GE.S.A.C. Spa per ottemperare ai dettami normativi in termini di privacy. Così come evidenziabile dalla mappatura delle banche dati di seguito riportata, GE.S.A.C. infatti tratta dati sensibili (con particolare riferimento a quelli legati al personale interno e quelli legati alla gestione degli appalti) su supporto informatizzato e pertanto ad essa è fatto obbligo di realizzare con cadenza annuale il Documento Programmatico della Sicurezza. A tal proposito si evidenzia che già dal 2001 GE.S.A.C. realizza tale Documento. Infatti l’aeroporto Internazionale di Napoli con le aziende del gruppo Baa Italia, ottempera in maniera compiuta agli obblighi ed agli adempimenti relativi alla legge sulla privacy ed attraverso un’opera di sensibilizzazione delle risorse che operano all’interno dell’aeroporto, ha fatto del rispetto della privacy uno dei concept di servizio. Si è infatti andati al di là del mero recepimento formale della normativa e si è posto alla base della filosofia aziendale l’attenzione alle problematiche della privacy, facendo del rispetto dell’identità personale e della riservatezza alcuni degli elementi distintivi del proprio agire. Il Documento in esame descriveva l’assetto organizzativo dell’azienda in termini di privacy e tutti gli interventi posti in essere a protezione delle banche dati mappate al 30/11/2009. Il Documento programmatico realizzato segue la falsariga del modello proposto dal Garante sulla privacy e contiene pertanto le seguenti sezioni: i responsabili e le aree di competenza; la mappatura delle banche dati; i rischi potenziali; le misura di sicurezza adottate e quelle da adottare; il piano di salvataggio per le banche dati informatizzate; il piano di formazione aziendale; In relazione alla struttura organizzativa aziendale si precisa che la stessa è consultabile sulla rete INTRANET aziendale attraverso l’applicativo HR NET che consente di visualizzare per ogni profilo aziendale posizione e funzioni. La mappatura delle banche dati, così come l’intero DPS, è stata realizzata con il contributo della Società di consulenza Studio Staff Napoli che si è avvalso del supporto di tutti i Responsabili del trattamento dati aziendali: a seguito di approfondite interviste si è provveduto prima a censire le banche dati aziendali e successivamente controllare e monitorare la rispondenza di quanto indicato nella mappatura delle banche dati e quanto effettivamente presenti nelle aree. Il Responsabile della Sicurezza dell’area IT ha invece contribuito per quanto concerne la descrizione delle misure di sicurezza informatiche. Il presente documento, in relazione alle banche dati informatiche, recepisce la recente disposizione del Garante del 24/12/2008 avente ad oggetto nuovi obblighi a carico degli amministratori di sistema. In relazione agli amministratori di sistema esterni, un documento allegato monitora e mappa tutti i soggetti e tutte le misure di sicurezza adottate dai singoli fornitori esteni. 2 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 2 I RESPONSABILI E LE AREE DI COMPETENZA Ai sensi dell’art. 21 del decreto legislativo 196/2003 ed in funzione della propria complessità organizzativa l’azienda si è avvalsa della possibilità di nominare per iscritto più responsabili affidando ad ognuno di esse la responsabilità di specifiche banche dati. Le linee guida che hanno indirizzato l’azienda nell’individuazione dei Responsabili sono riassumibili nei seguenti principi: Le Responsabilità in termini di privacy vanno allocate lì dove le banche dati vengono generate e/o custodite. Le Responsabilità in termini di privacy vanno allocate lì dove ci sono anche responsabilità gestionali. Il responsabile della Sicurezza IT non è responsabile di specifiche banche dati ma è Responsabile della corretta applicazione delle misure di sicurezza informatiche su tutte le banche dati informatizzate aziendali. Attualmente i responsabili Privacy di GE.S.A.C. sono: RESPONSABILE RESPONSABILITÀ PRIVACY Davide Behar Risorse Umane Paola Bussetti Controllo di Gestione Domenico Ciervo ICT Security Margherita Chiaramonte Commercial Department &Network Development Giuseppe Cutillo Qualità, Sicurezza & Ambiente Maurizio Dello Russo Legale Antonio Guglielmucci Security Management Daniela Guerra Affari Societari Maria Concetta Tufano Assicurazioni ed Audit Cristina Ippolito Operations Department Angelo Loi Airport Security e Services Office Aniello Mattera Airfield Management Maria Teresa Papagno Contabilità Generale & Tesoreria Maria Grazia Parlato Recupero Crediti Giuseppina Petrone Acquisti Concetta Ricchizzi Pay-Roll Antonio Savarese Cartelle mediche dipendenti Elsa Venzo Gestione rapporti Enti, Vettori, Operatori di Sedime 3 3 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 Alessandro Vetere Technical Department Sandra Attadia Attività operativa in turno di scalo (1/5) Elio Damiano Attività operativa in turno di scalo (2/5) Raffaele Lavezza Attività operativa in turno di scalo (3/5) Massimiliano Pecora Attività operativa in turno di scalo (4/5) Antonio Trotta Attività operativa in turno di scalo (5/5) Ai su indicati dipendenti è stata comunicata per iscritto la loro Responsabilità in materia di privacy attraverso comunicazione presente in allegato. Gli stessi sono altresì stati messi in condizione di svolgere efficacemente e consapevolmente tale compito grazie ad una adeguata attività di formazione personalizzata. Un elenco sempre aggiornato dei Responsabili e delle loro aree di responsabilità, unitamente alla policy privacy aziendale è presente sul sito aziendale nella sezione privacy Rispetto al precedente organigramma privacy, l’attuale organigramma tiene conto di tutte le modifiche organizzative intervenute in azienda nel corso del 2009 e garantisce una puntuale rispondenza tra attività gestite e responsabilità delle banche dati connesse a tali attività. 4 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 4 Nominativo Davide Behar Area aziendale Risorse Umane Posizione Risorse umane Scheda 1/3 Database Tipo di archivio Sistema informativo Informatico Altamira Processo Aggregati di dati Tipologia di dato Motivazione trattamento Selezione e recruiting Curricula candidati Personale Acquisire e gestire candidature finalizzate a selezionare il personale Applicativo Office Politiche retributive Dati dei dipendenti Personale Gestire le politiche retributive personali HR Net Formazione Politiche retributive Performance management Dati dei dipendenti Personale Gestione delle RU Gestione del personale dichiarazione infortunio certificato medico denuncia da parte azienda all'INAIL e Polizia Personale Richiesta di visita sensibile media all'INAIL Certificato INAIL Attestato ritorno in servizio Rimborso Inail Database curricula Cartaceo Politiche retributive Informatico Anagrafica Corsi di formazione Dati retributivi Informatico Schede di valutazione Job description Archivio infortuni Cartaceo Obbligo di legge 5 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 5 Nominativo Davide Behar Area aziendale Risorse Umane Posizione Risorse umane Scheda 2/3 Database Tipo di archivio Sistema informativo Archivio pratiche contenziosi con dipendenti Cartaceo Libro infortuni Cartaceo Archivio sindacati Cartaceo Pratica prestito personale a dipendente Informatico excel Processo Aggregati di dati Citazione Gestione contenziosi dipendente con dipendenti Documentazione d'appoggio Nominativo, età, qualifica, tipo Gestione del personale infortunio e verbale infortunio Lista dipendenti iscritti Gestione Delega al sindacato per trattenuta Modulo di Gestione gestione prestito personale Tipologia di dato Motivazione trattamento Personale Sensibile Obbligo di legge Sensibile Sensibile 6 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 6 Nominativo Davide Behar Area aziendale Risorse Umane Posizione Responsabile Risorse umane Scheda 3/3 Database Tipo di archivio Sistema informativo Cartella personale del dipendente Cartaceo Tipologia di dato Processo Aggregati di dati Gestione del personale Lettera di assunzione Copia titolo di studio Copia congedo militare Copia patente di guida Fotografie Banca d'appoggio, codice fiscale Certificato stato di famiglia Libretto di lavoro Modello di Personale disoccupazione sensibile Autocertificazione carichi pendenti Lettera di dimissioni Copia documentazione per rilascio decreto GPC (dipendenti security) Verbale incontro di giustificazione Provvedimento disciplinare Motivazione trattamento Archiviare informazioni utili a gestire il personale 7 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 7 Nominativo Paola Bussetti Area aziendale Controllo di Gestione Posizione Controllo di Gestione Scheda 1/1 Sistema Tipo di archivio informativo Database Processo Aggregati di dati Tipologia di dato Pratiche di investimento Cartaceo Controllo di gestione Fatture Personale Gestione investimenti Cartaceo Investimenti infrastrutturali Copia fatture Personale Investimenti infrastrutturali Copia documenti di gara copia contratti copia fatture copia quietanze di pagamento Personale Gestione investimenti finanziati UE Cartaceo Gestione variazioni personale Informatizzato Posta elettronica Pianificazione e controllo Lista nominativi Personale Gestione posizioni (politiche retributive) Informatizzato HR charter Pianificazione e controllo Costi per posizione Personale Motivazione trattamento Consentire l'effettuazione della COAN 8 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 8 Nominativo Area aziendale Margherita Chiaramonte Marketing, Sales property, Sales retail Posizione Responsabile Marketing, Sales property, Sales retail Database Tipo di archivio Contratti di vendita prestazioni accessorie Informatico Cartaceo Attività di audit Sistema informativo Cartaceo Gestione contratti Attività precontrattuale Scheda 1/1 Lotus notes Processo Aggregati di dati Dati sulle compagnie che Gestione clienti operano, che hanno operato o che potrebbero operare Dati contrattuali Dati di fatturato del Gestire i cliente contratti attivi Dati connessi alla non avio gestione del contratto Tipologia di dato Motivazione trattamento Personale Gestione commerciale Personale Gestire i contratti attivi non avio Cartaceo Dati economico Gestione clienti finanziari relativi ai potenziali cliente Personale Effettuare la decisone inerentela scelta dell’interlocutore con cui chiudere il contratto Cartaceo Dati relativi ad eventuali non Gestione clienti conformità rispetto Personale non avio agli obblighi contrattuali e normativi del cliente Gestire i contratti attivi non avio 9 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 9 Nominativo Giuseppe Cutillo Area aziendale Qualità, Sicurezza e Ambiente Responsabile della Qualità Sicurezza e Ambiente Scheda 1/2 Sistema Tipo di archivio informativo Posizione Database Scheda prevenzione rischi lavoratrici gestanti Infortuni dipendenti Infortuni dipendenti esterni Cartaceo Cartaceo Cartaceo Verbali inspection su Cartaceo aziende operanti all’interno del Informatico sedime Processo Aggregati di dati Tipologia di dato certificato prevenzione rischi sospensione dal Personale/sensibile lavoro copia libro infortuni data infortunio nome dipendente prevenzione rischi età - qualifica Personale dinamica infortunio - danni provocati giorni di malattia prevenzione rischi copia libro infortuni Personale azienda esterna prevenzione rischi Verbale di ispezione Personale Lotus notes Motivazione trattamento Verificare idoeneità al lavoro e richiesta parere medico Gestire le statistiche relative agli infortuni e consigliare azioni correttive finalizzate a ridurre i rischi Gestire le statistiche relative agli infortuni e consigliare azioni correttive finalizzate a ridurre i rischi Gestire il processo di controllo effettuato sulle aziende operanti all’interno del sedime 10 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 10 Nominativo Giuseppe Cutillo Area aziendale Qualità, Sicurezza e Ambiente Posizione Responsabile della Qualità Sicurezza e Ambiente Scheda 2/2 Database Tipo di archivio Sistema informativo Documenti autorizzativi ditte di trasporto e smaltimento rifiuti Infortuni Utenti Processo Aggregati di dati Tipologia di dato Cartaceo Controllo del rispetto della normativa ambientale da parte di tutti i soggetti coinvolti Le informazioni di tutte le aziende relativamente alla Personale qualità e quantità dei reflui e dei rifiuti Cartaceo Dati relativi al prevenzione rischi passeggero ed all’incidente Motivazione trattamento Verificare il rispetto della normativa ambientale da parte di tutti i soggetti coinvolti Gestire le statistiche relative agli infortuni e Personale/sensibile consigliare azioni correttive finalizzate a ridurre i rischi 11 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 11 Nominativo Maurizio dello Russo Area aziendale Legale Posizione Responsabile ufficio Legale Database Tipo di archivio Documentazione di gara sopra soglia Cartaceo Gestire Offerte imprese appalti,lavori,forniture concorrenti e servizi sopra soglia Personale Documentazione aggiudicazioni gara sopra soglia Cartaceo Gestire appalti,lavori,forniture Offerta aggiudicata e servizi sopra soglia Personale Contratti Cartaceo Gestire la contattualistica aziendale Personale Formalizzare i contratti Personale Gestione del rapportocon i legali Personale Gestire efficacemente tutto il processo Informatico Documentazione legale Gestione gare Cartaceo Informatico Scheda 1/1 Sistema informativo CICE Processo Gestione del contenzioso Gestione Gare Aggregati di dati Dati del fornitore relativi all’ufficio legale dati delle parti in causa documentazione probatoria contenzioso Tutta la documentazione relativa allae gare Tipologia di dato Motivazione trattamento Acquisire le offerte per la definizione del fornitore Gestire l'offerta aggiudicataria per la predisposizione del contratto 12 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 12 Nominativo Antonio Guglielmucci Area aziendale Security Mangement Posizione Security Mangement Scheda 1/3 Database Tipo di archivio Dipendenti area Security Sistema informativo Cartaceo Office Dipendenti area Security Cartaceo/elettronico Processo Cartaceo/elettronico Tipologia di dato Dati dei soggetti Acquisire per i aziendali che devono dipendenti l'idoneità alla assumere il ruolo di Personale figura di Guardia Guardia particolare particolare giurata giurata Database cartaceo ed Erogazione formazione elettronico contenente iniziale e ricorrente anagrafica ed Personale prevista per legge o da informazioni relative a standard aziendali frequenza, risultati ed idoneità al ruolo Office Dipendenti area Security Aggregati di dati Pubblicazione del turno mensile Contiene i dati relativi alla presenza prevista Personale del personale sul posto di lavoro Motivazione trattamento Richiedere all'autorità preposta la certificazione per i dipendenti quale Guardia particolare giurata Archiviare i dati in funzione di attività di verifica da paerte di organi competenti Consentire la pubblicazione del dato al personale coinvolto ed alle risorse coinvolte nell’attività di pianificazione 13 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 13 Nominativo Antonio Guglielmucci Area aziendale Security Mangement Posizione Security Mangement Scheda 2/3 Database Tipo di archivio Sistema informativo Processo Office Operatori aeroportuali Passeggeri Personale aeroportuale Cartaceo/elettronico Cartaceo Cartaceo Valutazione delle performance individuali Controllo manuale del bagaglio da stiva Audit di sicurezza aeroportuale: verifica tesserini aeroportuali Aggregati di dati Database contenente i risultati delle valutazione effettuate sull’attività lavorativa della singola risorsa Tipologia di dato Motivazione trattamento Personale Verifica costante dell’aderenza agli standard aziendali delle prestazioni delle singole risorse, da mettere a disposizione anche per la valutazione del raggiungimento degli obiettivi di settore Database contenente i moduli riportanti il nominativo e firmati dai passeggeri come Personale autorizzazione al controllo in presenza del proprio bagaglio da stiva Database contenente nominativi di personale operante in ambito aeroportuale, oltre a Personale numero di tessera aeroportuale, data, orario e luogo in cui avviene il controllo Conservare per eventuali controversie traccia dell’autorizzazione del passeggero al controllo del bagaglio da stiva Verificare che il personale operante in ambito aeroportuale abbia indosso il tesserino aeroportuale secondo quanto previsto dalla regolamentazione vigente (PNS – Scheda n.5) 14 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 14 Nominativo Antonio Guglielmucci Area aziendale Security Mangement Posizione Security Mangement Scheda 3/3 Database Tipo di archivio Sistema informativo Personale Terzo Tipologia di dato Motivazione trattamento Cartaceo / elettronico Cartaceo Moduli e copie di carte di Gestione articoli identità (+ lettere di lasciati da pax donati ad accredito dell’ente) delle Personale enti di beneficenza persone autorizzate al ritiro di materiale Cartaceo/elettronico Database elettronico e cartaceo contenente tutte le informazioni relative Selezione del personale alle persone che Personale Security Management partecipano all’intero iter di selezione per le posizioni aperte in Security Office Personale Terzo Aggregati di dati Database elettronico Addestramento/formazi contenente le generalità one a società terze (ex di tutto il personale a cui Reg.CE/ IATA) è stata erogata attività d’aula Office Personale Terzo Processo Personale Mantenere costantemente aggiornato il database dei corsi per eventuali richieste di coppie di attestati da parte delle società clienti e per eventuali attività ispettive degli organi competenti. Conservare i moduli di ritiro da cui si evince l’ente (e la persona) che ha ritirato il materiale e che rappresenta scarico di responsabilità da parte di GeSAC per l’utilizzo di terzi dei prodotti ritirati Archiviazione dei dati delle persone al fine di verificare nel tempo eventuali ricandidature non ammesse da procedura GeSAC vigente (SEC025) 15 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 15 Nominativo Daniela Guerra Area aziendale Company Affair Posizione Company Affair manager Database Tipo di archivio Documenti relativi ai diversi organi societari Sistema informativo Cartaceo Informatico Documenti di attribuzione poteri Scheda 1/1 Aggregati di dati Tipologia di dato Lotus notes Motivazione trattamento Gestione organi societari Dati dei membri del Personale CdA Gestire le convocazioni, la redazione dei verbali e gli adempimenti previsti Gestione sistema dei poteri aziendali Dati dei soggetti cui Personale sono attribuiti poteri Attribuzione ad personam dei poteri Lotus notes Cartaceo Informatico Processo Posta aziendale in arrivo Cartaceo Gestione posta in arrivo Documentazione cartacea Cartaceo Archiviazione documentazione Tutte le comunicazioni di Personale Enti pubblici o a rilevanza pubblica Tutta la documentazione Personale cartacea che transita per l’ufficio L.231 16 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 16 Nominativo Cristina Ippolito Area aziendale Posizione Operations Department Assistano to Operations Department Scheda 1/1 Database Tipo di archivio Registro oggetti rinvenuti Sistema informativo Processo Aggregati di dati Tipologia di dato Motivazione trattamento Cartaceo Gestione oggetti rinvenuti in sedime aeroportuale Dati proprietario o delegato Personale Dimostrare la legittimità delle riconsegne Archivio documentazione Cartaceo/informatico Excel Gestione emissioni, scadenze certificati Enac Dati personale security Personale e decreti Controllare il processo connesso alle certificazioni Agenda Cartaceo/informatico Excel Gestione comunicazioni Dati telefonici verso l’esteno Gestire le comunicazioni verso l’esterno Personale 17 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 17 Nominativo Posizione Angelo Loi Airport Security e Services Office Airport Security e Services Office Database Tipo di archivio Area aziendale Scheda 1/3 Sistema informativo Processo Aggregati di dati Registro protocollo posta raccomandata e Cartaceo prioritaria Gestione servizi generali Dati mittente Archivio Raccomandate e telegrammi Gestione servizi generali Traffico voce e dati connesso alla telefonia mobile Traffico voce connesso alla telefonia fissa Gestione auto aziendali Cartaceo Informatico Excel Contenuto del testo, destinatario e mittente Tipologia di dato Motivazione trattamento Personale Gestione protocollo Personale Gestione del servizio Personale Controllare il rispetto della normativa aziendale da parte dei singoli utenti Personale Controllare il rispetto della normativa aziendale da parte dei singoli utenti Gestione della telefonia Dati relativi al traffio delle single utenze Gestione della telefonia Dati relativi al traffio delle single utenze Gestione del parco auto aziendale Dati relativi a sinistri e Personale multe Cartaceo Informatico Telcen Blue’s Professional Cartaceo Informatico Office Gestire le problematiche connesse alla conduzione delle auto 18 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 18 Nominativo Area aziendale Angelo Loi Airport Security e Services Office Posizione Airport Security e Services Office Database Tipo di archivio Archivio autorizzazioni ai neoassunti per l'accesso alle aree aeroportuali Scheda 2/3 Sistema informativo Processo Aggregati di dati Cartaceo Security Comunicazione con dati del soggetto Fotocopia della CI Esito richiesta autorizzazione Personale sensibile Cartaceo Assicurare la sicurezza nel sedime dell'aeroporto attraverso la gestione dei permessi di accesso definitivi per dipendenti ed esterni per dipendente: Dati del soggetto Fotocopia della CI per azienda esterna Personale Informatico Assicurare la sicurezza nel sedime dell'aeroporto attraverso Dati del soggetto la gestione dei permessi di accesso definitivi per dipendenti ed esterni Gestione tesserini aeroportuali Gestione permessi visitatori area aerostazione e Terrminal 2 SCA Cartaceo Informatico SCA Assicurare la sicurezza nel sedime Dati dei soggetti dell'aeroporto attraverso aziendali che devono la gestione dei permessi accedere al sedime di accesso provvisori per società esterne Tipologia di dato Personale Personale Motivazione trattamento Ricevere l'autorizzazione da parte degli enti preposti. dell'accesso al sedime aeroportuale del neoassunto Generare e gestire i permessi di accesso al sedime Nel caso di esterni: Dimostrazione della presenza dei requisiti per ottenimento permesso Generare e gestire i permessi di accesso al sedime Generare e gestire i permessi di accesso al sedime 19 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 19 Nominativo Posizione Angelo Loi Airport Security e Services Office Airport Security e Services Office Database Tipo di archivio Area aziendale Gestione accessi Videosorveglianza Portineria Informatico Immagini digitali Immagini digitali Scheda 3/3 Sistema informativo Processo Aggregati di dati AOS Assicurare la sicurezza nel sedime dell'aeroporto attraverso la gestione degli accessi ai vari siti aziendali Fotografie report accessi (timbrature) (nome cognome, matricola, società, nr. badge) DGEYES Assicurare la sicurezza nel sedime Immagini dell'aeroporto attraverso la videosorveglianza TVCC Assicurare la sicurezza attraverso la videosorveglianza Immagini Tipologia di dato Motivazione trattamento Personale Controllare gli accessi presso i varchi presidiati, sia in tempo reale ed expost Personale Controllare attraverso le immagini le aree aeroportuali, sia in tempo reale ed ex-post Personale Controllare attraverso le immagini le aree aziendali (parcheggi /aree private) 20 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 20 Nominativo Area aziendale Aniello Mattera Airfield Management Posizione Airfield Manager Scheda 1/2 Database Tipo di archivio Sistema informativo Eventi incidentali Cartaceo Segnalazioni infrazioni al manuale ed al regolamento Permessi di inizio e fine lavoro Informatico Aggregati di dati Tipologia di dato Gestione operativa Dati relativi ad eventuali incidenti in pista Personale Gestione operativa Dati relativi all’azienda, alla persona a cui è stata contesta l’infrazione ed al tipo di infrazione Personale Gestione operativa Dati relativi alla ditta che esegue i lavori Personale Permettere l’apertura del cantiere in airfield Dati relativi alle ditte che eseguono i lavori Personale Controllare la regolarità dell’operato delle imprese operanti in airfield. Access Cartaceo Informatico Motivazione trattamento Processo Excel Cartaceo Banca dati inspection di 1° livello sulle attività di cantiere Cartaceo Gestione operativa Banca dati aviazione generale Cartaceo Gestione operativa Registrazioni radio e telefoniche Informatico Gestione operativa Registro Aviazione generale Cartaceo Gestione operativa Dati relativi a specifiche comunicazione su presenza Personale di VIP Comunicazioni su canale 4 uhf frequenza 440.750 su Personale canale vhf frequenza 131.675e su telefoni 790 Dati aeromobile/Richieste Personale di sosta Acquisire elementi per la valutazione dell’evento Acquisire dati per effettuare la richiesta di contestazione formale all’Enac Garantire le adeguate condizioni di sicurezza. Gestire ed avere traccia delle comunicazioni che avvengono su tali canali in caso di incidenti Verificare la correttezza dell’operato del gestore 21 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 21 Nominativo Aniello Mattera Area aziendale Airfield Management Posizione Airfield Manager Scheda 2/2 Database Tipo di archivio Sistema informativo Processo Aggregati di dati Tipologia di dato Motivazione trattamento Dati performance attività aeroportuali Informatico Lotus notes Analisi delle performance aeroportuali Dati sui codici ritardi tratti da ATM Personale Fornire informazione delle performance ai diversi Enti interni ed esterni. Monitoraggio attività Informatico diversi operatori Office;cartella condivisa Analisi delle performance aeroportuali I diversi eventi che generano i ritardi Personale Report settimanale Informatico Office Analisi delle performance aeroportuali Report sistematizzato sui diversi codici di ritardo Personale Informatico Lotus notes Rilevazione eventi incidentali Descrizione evento Documentazione di supporto Personale/Sensibile Safety report Cartaceo Monitorare le performance dei diversi soggetti che operano sullo scalo. Fornire ai diversi Enti interni coinvolti le informazioni relative all’andamento delle attività di scalo Gestire ed avere traccia degli eventi incidentali 22 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 22 Area aziendale MariaTeresa Papagno Contabilità Generale & Tesoreria Posizione Contabilità Generale & Tesoreria Scheda 1/3 Database Tipo di archivio Nominativo Sistema informativo Processo Aggregati di dati Tipologia di dato Archivio fatture attive Cartaceo Contabilità clienti Fatture Personale Archivio fatture parcheggi Cartaceo Contabilità clienti Fatture Personale Contabilità clienti Campi con indicazione dei dati utili ad identificare il cliente in Personale riferimento alle esigenze contabili Anagrafica clienti Archivio registri contabili Archivio ritenute d'acconto Archivio movimenti Informatico Oracle application Contabilità generale Contabilità generale Cartaceo Cartaceo Informatico Oracle application Contabilità generale Registri di contabilità Personale Documenti contabili Personale Campi con indicazione dei dati utili ad identificare il movimento contabile Personale Motivazione trattamento Produrre e contabilizzare il documento contabile Contabilizzare il documento contabile Consentire la contabilizzazione attiva aziendale 23 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 23 Nominativo Area aziendale Posizione Database Archivio fatture passive MariaTeresa Papagno Contabilità Generale & Tesoreria Contabilità Generale & Tesoreria Scheda 2/3 Sistema Tipo di archivio informativo Processo Aggregati di dati Tipologia di dato Contabilità fornitori Fatture Personale Cartaceo Informatico Lotus notes Motivazione trattamento Verificare e contabilizzare il documento Archivio deleghe di firma Cartaceo Rappresentare l'azienda verso terzi (banche, Deleghe agenzia delle entrate); fotocopie documenti Personale attestare ad uso interno dirigenti ed amministratori il potere di firma Archivio contratti con banche Cartaceo Contabilità banche Contratti Personale Consultare i dati contrattuali per verifiche contabili Contabilità banche Documenti contabili Personale Verificare e contabilizzare il documento Contabilità fornitori Campi con indicazione dei dati utili ad identificare il Personale fornitore in riferimento alle esigenze contabili Consentire la contabilizzazione passiva aziendale Contabilità generale Documenti contabili Verificare e contabilizzare il documento Archivio contabili bancarie; documentazione movimenti Anagrafica fornitori Cartaceo Informatico Piteco Informatico Oracle application Archivio Prima Nota Cartaceo Personale Attestare il potere di firma da parte del dirigente/amministratore 24 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 24 Posizione MariaTeresa Papagno Contabilità Generale & Tesoreria Contabilità Generale & Tesoreria Database Tipo di archivio Nominativo Area aziendale Informatizzato Gestione consulenti Cartaceo Scheda 3/3 Sistema informativo Excel Aggregati di dati Pagamento ritenute d’acconto consulenti Dati del consulente Personale Gestione TFR Cartaceo Gestione Fondo TFR Deleghe verso l’esterno Cartaceo Gestione risorse Archivio libri giornale Cartaceo Archivio contratti rapporti Cartaceo controllante/controllate Tipologia di dato Processo Dati retributivi del dipendente Delega ai singoli dipendenti a rappresentare l’azienda verso l’esterno Motivazione trattamento Obbligo di legge Personale Gestione contabile Personale Identificare la tipologia di delega Verificare e contabilizzare il documento Contabilità generale Registri di contabilità Personale Gestione societaria Copia Contratti Documentazione contabile e finanziaria Personale 25 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 25 Nominativo MariaGrazia Parlato Area aziendale Recupero crediti Posizione Recupero crediti Scheda 1/1 Database Tipo di archivio Sistema informativo Processo Aggregati di dati Tipologia di dato Oracle application Excel in condivisione Gestione del credito Monte crediti per cliente Personale Personale Attestare l'avvenuto rilascio di garanzia da parte del cliente da utilizzare per eventuale recupero crediti Personale Gestione dl recupero dei crediti incagliati Gestione finanziaria Informatizzato clienti Contratti di fideiussione Cartaceo Recupero crediti Contratti di fideiussione rilasciate da compagnie aeree Pratiche clienti in contenzioso Cartaceo Recupero crediti Documenti comprovanti il credito Motivazione trattamento 26 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 26 Nominativo Giuseppina Petrone Area aziendale Acquisti Posizione Database Responsabile Acquisti Scheda 1/2 Tipo di archivio Sistema informativo Informatico Oracle Ordini di acquisto Cartaceo Cartaceo Documentazione Possibili Fornitori Documentazione di gara sotto soglia (RDA) Informatico Lotus Notes Informatico Excel Cartaceo Documentazione aggiudicazioni gara Cartaceo sotto soglia (Forniture complesse) Cartaceo Contratti di acquisto sotto soglia (Forniture complesse) Informatico Lotus Notes Processo Aggregati di dati Gestire gli Ordini Dati del fornitore di Acquisto Tipologia di dato Motivazione trattamento Personale Formalizzare e gestire l'acquisto e/o contratto Gestire le Richieste di Dati del fornitore Acquisto da parte (elementi utili a valutare Personale dei soggetti il possesso dei requisiti) delegati Generare le richieste diacquisto ed indicare il fornitore preferito per la segnalazione all'ufficio acquisti Gestire acquisti con importi sotto soglia Offerte imprese concorrenti Fidejussioni Acquisire le offerte per la definizione del fornitore Gestire acquisti con importi sotto soglia relativi a forniture complesse Offerta e documentazione imprese Personale concorrenti Dati del fornitore Fidejussioni, Gestire i contratti certificazioni ISO e con importi sotto SOA. DURC, N. soglia dipendenti, mezzi ed attrezzature) Personale Personale Gestire l'offerta aggiudicataria per la predisposizione del contratto Gestire i contratti 27 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 27 Nominativo Area aziendale Posizione Database Richieste di acquisto Giuseppina Petrone Acquisti Responsabile Acquisti Tipo di archivio Informatico Scheda 2/2 Sistema informativo Processo Oracle Gestire le Richieste di Acquisto da parte Dati del fornitore dei soggetti delegati Personale Dati del fornitore Personale Aggregati di dati Tipologia di dato Gestione rating supplier Informatico Lotus Notes Gestire la valutazione dei fornitori e di eventuali eventi patologici Banche dati specializzate Informatico CD ROM Marketing di acquisto Dati del fornitore Personale Acquisti non perfezionati Cartaceo Gestione acquisti Dati dei potenziali fornitori Personale Indagini di mercati Informatico Marketing di acquisto Ricerche di mercato/indici di comparazione Personale Acquisti a regolarizzazione Cartaceo Audit degli acquisti Dai del fornitore, Personale fornitura, centro di costo Informatico Excel Excel Motivazione trattamento Generare le richieste diacquisto ed indicare il fornitore preferito per la segnalazione all'ufficio acquisti Fornire indicazioni all'ufficio acquisiti ed al fornitore sulla efficacia ed efficienza della prestazione del fornitore Ricercare nominativi di fornitori per supportare il processo di acquisto Avere una storia delle procedure di acquisto inevase Individuare il fornitore ottimale Verificare le irregolarità nel processo di acquisto 28 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 28 Nominativo Concetta Ricchizzi Area aziendale Paghe, Fiscale e Contabilità società controllate Posizione Amministrazione & Finanza ad interim Scheda 1/3 Database Tipo di archivio Sistema informativo Processo Aggregati di dati Tipologia di dato Motivazione trattamento Informatico Time&Work Rilevazione presenze Tempo di presenza in azienda del dipendente Personale Gestire la presenza in azienda dei dipendenti Elaborazione paghe Autorizzazione nominativa del responsabile allo straordinario Personale Rilevazione presenze Variazioni ai turni per dipendente Personale Rilevazione presenze Stampa per dipendente delle Personale ore lavorate Archivio ora ingresso/uscita dipendente Archivio autorizzazione straordinari Cartaceo Variazioni ore lavorate Informatico (ferie, permessi, ecc.) Archivio ore lavorate Archivio bonifici per accrediti salari/stipendi T rattenute mensili dipendenti (trattenute sindacali, anticipi stipendi, cessione Quinto, pignoramento verso terzi) Time&Work Cartaceo Informatico JOB Elaborazione paghe Informatico JOB Elaborazione paghe Bonifici per accredito stipendi e salari per Personale dipendente Modulo per la cessione del Quinto;richiesta svincolo del 70% della liquidazione per Personale acquisto caso o causa sensibile malattia Pignoramenti ecc. Ricevere l'autorizzazione a liquidare gli straordinari Modificare i turni pianificati e definire le ore da inserire in busta paga Archiviare i report relativi alle ore lavorate dai dipendenti Archiviare le lettere di bonifico per l'accredito di salari e stipendi Identificare le trattenute da operare mensilmente sui salari e stipendi 29 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 29 Nominativo Area aziendale Posizione Concetta Ricchizzi Paghe, Fiscale e Contabilità società controllate Amministrazione & Finanza Scheda 2/3 Processo Aggregati di dati Tipologia di dato Motivazione trattamento Cartaceo Gestione Certificato medico Sensibile Archiviare i certificati di malattia Anagrafica dipendenti (sistema elaborazione paghe) Informatico Elaborazione paghe Realizzazione Cud, 770, versamento contributi Dati identificativi del dipendente Personale Gestire i dati utili a processare l'elaborazione delle paghe dei dipendenti Archivio variazioni ore lavorate (ferie, permessi, ecc.) Cartaceo Gestione del personale Piani ferie Richieste permessi Personale Archivio turni per dipendente Informatico Rilevazione presenze Turni di presenza previsti Personale Gestione del personale Moduli di certificazione del reddito dipendente, Personale copie ricevute contributi e ritenute Database Tipo di archivio Archivio malattie Archivio CUD Cartaceo Sistema informativo JOB Time&Work Pianificare la presenza in azienda dei dipendenti Archiviare il CUD e le altre documentazioni prodotte e consegnate al dipendente 30 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 30 Nominativo Concetta Ricchizzi Area aziendale Paghe, Fiscale e Contabilità società controllate Posizione Amministrazione & Finanza ad interim Scheda 3/3 Database Tipo di archivio Sistema informativo Processo Aggregati di dati Tipologia di Motivazione trattamento dato Personale Obbligo di legge Libro Unico Cartaceo Gestione del personale Nominativo, indirizzo, recapito telefonico, data assunzione, tipo contratto, data dimissioni. Archivio cedolini paga Cartaceo Elaborazione paghe Cedolini paga per dipendente Personale Archiviare i cedolini paga dei dipendenti Deleghe verso l’esterno Cartaceo Gestione risorse Delega ai singoli dipendenti a rappresentare l’azienda verso l’esterno Personale Identificare la tipologia di delega Stampa trattenute mensili dipendente Gestione del personale Lista dipendenti, tipologia e importo trattenuta Sensibile Cartaceo 31 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 31 Nominativo Antonio Saverese Area aziendale Posizione Human Resources Responsabile medico aziendale Database Tipo di archivio Cartella medica del dipendente Archivio Storico Classificazioni Archivio Convocazioni Visite Scheda 1/1 Sistema informativo Processo Cartaceo Sorveglianza Sanitaria Cartaceo Sorveglianza Sanitaria Informatico Cartaceo Excel Aggregati di dati Documenti diagnostici da esami esterni Documenti diagnostici da visita pre assunzione Comunicazione esito visita Documenti diagnostici da visite periodiche Stagionali, Personale in quiescenza, Personale selezionato e non assunto: Documenti diagnostici da esami esterni Documenti diagnostici da visita pre assunzione Comunicazione esito visita Tipologia di dato Motivazione trattamento Sensibile Archiviare le risultanze delle visita mediche cui sono stati sottoposti i dipendenti Sensibile Archiviare le risultanze della visita medica di personale non in servizio Gestione del personale Dati sanitari del personale in servizio Sensibile Gestione programma sanitario aziendale Data e giorno convocazione Eventuali assenze Personale Archiviare le risultanze delle visita mediche cui sono stati sottoposti i dipendenti Avere traccia delle convocazioni fatte i adempimento del programma sanitario aziendale. 32 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 32 Nominativo Maria Concetta Tufano Area aziendale Assicurazioni Posizione Responsabile ufficio assicurazioni ed audit Database Tipo di archivio Scheda 1/1 Sistema informativo Cartaceo Gestione sinistri Gestione polizze assicurative Informatico Lotus Notes Informatico Lotus notes Cartaceo Processo Aggregati di dati Tipologia di dato Gestire i sinistri avvenuti nell'ambito del sedime aeroportuale Dati relativi al sinistro Personale Sensibile Gestire gli obblighi assicurativi scaturenti dal regolamento di scalo Contratti assicurativi relativi a Gesac, Baa, fornitori e sub concessionari Personale Motivazione trattamento Gestire i sinistri avvenuti nell'ambito del sedime aeroportuale Gestire gli obblighi assicurativi scaturenti dal regolamento di scalo 33 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 33 Nominativo Elsa Venzo Area aziendale Direzione Generale Posizione Assistant Scheda 1/1 Database Tipo di archivio Sistema informativo Comunicazioni in uscita Comunicazioni in entrata Processo Aggregati di dati Tipologia di dato Motivazione trattamento Cartaceo Relazione con i diversi soggetti coinvolti nei processi aeroportuali Rapporti con : *Enti di Stato. *Handlers *Compagnie Aeree *Retailers Personale Conservare copia delle comunicazioni in uscita Cartaceo Relazione con i diversi soggetti coinvolti nei processi aeroportuali Rapporti con : *Enti di Stato. *Handlers *Compagnie Aeree *Retailers Perrsonale Conservare copia delle comunicazioni in uscita Gestione delle attività di scalo Dati identificativi ed indirizzi relativi agli operatori Personali Poter svolgere correttamente e compiutamente il ruolo di gestore aeroportuale. Cartaceo Mappatura operatori Informatico Excel 34 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 34 Nominativo Alessandro Vetere Area aziendale Technical department Posizione Responsabile Technical Scheda 1/2 department Database Tipo di archivio Subappalti Cartaceo Informatico Contabilità lavori Cartaceo Sistema informativo Processo Aggregati di dati Gestione opere pubbliche all'intero del sedime aeroportuale DURC Dcumenti di subappalto Certificato CCIAA con antimafia Casellario giudiziario di amministratori, tecnici e legali rappresentanti SOA (qualificazione dell'impresa) Window (Brickwin)Primus Contabilizzazione SAL Tipologia di dato Motivazione trattamento Personale/sensibile In base al codice sugli appalti l'appaltante deve richiedere tale documentazione (obblighi di legge) Dati economici e contabili sullo Personale stato avanzamento lavori Contabilizzare lo stato di avanzamento dei lavori 35 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 35 Nominativo Alessandro Vetere Posizione Technical department Responsabile Technical department Database Tipo di archivio Sistema di qualificazione servizi di ingegneria Sistema di qualificazione servizi di impresa Area aziendale Appalti Scheda 2/2 Sistema informativo Processo Aggregati di dati Tipologia di dato Cartaceo Creazione albo fornitori specialistico Domanda, dati anagrafici, dati economici, dati professionali, dati giudiziari. Personale/sensibile Cartaceo Creazione albo fornitori specialistico Domanda, dati anagrafici, dati economici, dati professionali, dati giudiziari Personale sensibile Gestione opere pubbliche all'intero del sedime aeroportuale Documentazione richiesta dall'appaltante: Presentazione del Piano di dettaglio della Sicurezza Copia libro matricola Copia libro infortuni DURC Domanda di subappalto e documenti di subappalto Copia polizze assicurative Certificazioni antimafia Comunicazioni di apertura e chiusura cantiere Cartaceo Personale/Sensibile Motivazione trattamento Gestire efficacemente l’affidamento degli incarichi professionali Gestire efficacemente l’affidamento delle attività In base al Codice sugli appalti l'appaltante deve richiedere tale documentazione (obblighi di legge) 36 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 36 Nominativo Sandra Attadia Elio Damiano Raffaele Cavezza Massimiliano Pecora Antonio Trotta Area aziendale Operations Posizione ADM Scheda 1/3 Database Tipo di archivio Sistema informativo Processo Lotus notes Rilevazione eventi Descrizione evento incidentali/potenzialm Documentazione di ente incidentali supporto Safety report Informatico Registro consegna chiavi accesso aree sensibili Cartaceo Airport daily report Informatico Airport daily report Lotus Notes Cartaceo Autorizzazioni di accesso temporanee Cartaceo in caso di urgenza ADM Report Operativo Informatico Tipologia di dato Motivazione trattamento Personale/Sensibile Gestire ed avere traccia degli eventi incidentali Controllo Accessi Data, ora di accesso e nome dell’interessato Personale Avere traccia degli accessi nelle aree sensibili Controllo delle attività operative Descrizione eventi rilevanti Personale Avere traccia di quanto accade nell’operativo Controllo delle attività operative Descrizione Personale eventi/passaggio consegne Controllo Accessi Lotus Notes Aggregati di dati Controllo delle attività operative Documentazione occorrente per il rilascio Personale dei tesserini per l’accesso temporaneo Tutte le attività fuori standard anche se non Personale hanno avuto ripercussioni sull’operativo Avere traccia di tutto quanto accade nell’operativo Rilascio del tesserino Avere traccia di tutto quanto accade nell’operativo 37 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 37 Nominativo Sandra Attadia Elio Damiano Raffaele Cavezza Massimiliano Pecora Antonio Trotta Area aziendale Operations Posizione ADM Scheda 2/3 Database Tipo di archivio Sistema informativo Processo Aggregati di dati Tipologia di dato Motivazione trattamento Scheda Enac Informatico e-mail Attività operative Dati rilevanti e informazioni standard Personale Adempiere ad un obbligo di convenzione Codici ritardo Informatico Comunicazioni Vigili del Fuoco Cartaceo Control Room Informatico Office DGyes Controllo delle attività operative Codici ritardi Personale Verificare la qualità dell’operato dell’attività operativa dei diversi soggetti coinvolti Attività operative Informazioni trasmesse Personale ai vigili del fuoco Adempiere ad un obbligo di convenzione Controllo delle attività operative Immagini h/24 di persone e cose presenti Videosorveglianza all’interno del sedime Controllo in remoto delle attività operative Personale Personle Registro emergenze Cartaceo Attività operative Dati su aeromobile e pilota Registrazioni telefoniche Informatico Attività operative Registrazioni comunicazioni su canale uhf 1 e 2 Gestire ed avere traccia degli eventi incidentali che coinvolgono aeromobili Gestire ed avere traccia delle comunicazioni che avvengono su tali canali in caso di incidenti. 38 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 38 Nominativo Sandra Attadia Elio Damiano Raffaele Cavezza Massimiliano Pecora Antonio Trotta Area aziendale Operations Posizione ADM Scheda 3/3 Database Tipo di archivio Sistema informativo Processo Aggregati di dati Registro apertura gate Informatico Excel Attività operative Dati persona fisica, orario richiesta, ente di Personale appartenenza Avere traccia degli accessi Registro anomalie parcheggi Informatico Excel Attività operative Dati cliente, causa anomalia, orario Personale Security Apertura porta PB178 Informatico Excel Attività operative Dati dipendente USL, orario, motivo Peronale Security Tipologia di dato Motivazione trattamento 39 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 39 Elenco Server/Applicazioni Aziendali 40 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 40 Nome Sistema Funzione/Servizio/Applicazione ADMIN Pub DNS #1 - APPs old File Server ADMIN-BCK Pub DNS #2 APPCLU01 Cluster 2003 - DR - Application #1 APPCLU02 Cluster 2003 - DR - Application #2 ARCOGWSRL Arco Gateway Seriale BOARDSRV Board BOSCH-STATION Bosch Station COBRA01 Public Address o/ cobra.net #1 COBRA02 Public Address o/ cobra.net #2 DBCLU01 Cluster 2003 - DR - Database #1 DBCLU02 Cluster 2003 - DR - Database #2 DC01 nap.com domain DC01 DC02 nap.com domain DC02 DNASRV Servizi Generali - Telefonia - EDA DNA Server ERPNAP Oracle Applications Server ERPNAPDB Oracle Applications DB Server GISPUB WSUS Server - Gis Publishing GSC102 Doc. Addebiti GSCBACK02 Symantec Backup Exec 11.0 Server GSCBACKUP Tape Backup DLT GSCFAXSRV OneBox FaxServer GSCRMR01 Cluster 2003 Crews Apps, FS, Rumore #1 GSCRMR02 Cluster 2003 Crews Apps, FS, Rumore #2 GSCSEC02 WebSense, Phone o/IP Server GTW2000-AZ00 GW AZ 2609 line GTW2000-AZ01 GW AZ 1704 line GTW2000-AZ02 GW AZ 1703 line GTW2000-AZ04 GW AZ 2606 line GTW2000-AZ05 GW AZ 1702 line GTW2000-BA00 GW BA 01 GTW2000-BA01 GW BA 02 LDMSRV01 Cluster 2003 - LDMSRV - ArcoGtw #1 LDMSRV02 Cluster 2003 - LDMSRV - ArcoGtw #2 MANAGEMENT Console Netowork Management NOTES Domino svr 1 - SQL NOTESBB Domino Server - BlackBerry PRTLCLU01 Cluster 2003 - Oracle Portal - Internet/Intranet Gesac #1 PRTLCLU02 Cluster 2003 - Oracle Portal - Internet/Intranet Gesac #2 PRTLWEB01 Oracle Portal - Wev Cache #1 PRTLWEB02 Oracle Portal - Wev Cache #2 PRTLWEB03 Oracle Portal - Wev Cache #3 PRTLWEB04 Oracle Portal - Wev Cache #4 SITA01 GW Sita SQLCLU01 Cluster 2003 - SQL Server 2000/2005 #1 - Solari SQLCLU02 Cluster 2003 - SQL Server 2000/2005 #2 - Solari SRVVPN VPN/RAS - SQL - Aos Rpts - Telemaco TAB001 Tabellone Parcheggi TELCEN01 Eda Doc. Addebiti #1 41 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 41 TELCEN02 Eda Doc. Addebiti #2 TOTEM Totem Leonardo TTMAN Totem Manutenzione 02 TTMMAN Totem Manutenzione 01 W2KLAB AOS - ambiente di test 42 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 42 Mappatura degli accessi alle banche Dati Informatizzate 43 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 43 44 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 44 45 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 45 46 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 46 47 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 47 48 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 48 49 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 49 50 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 50 51 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 51 52 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 52 LOTUS NOTES Fornitori Roles Amministratore di sistema Owner Editors Roles Amministratore di sistema Owner Editors Readers Roles Amministratore di sistema Owner Editors Roles Amministratore di sistema Owner Editors Readers Names Società Software Design (esterno) • Domenico Ciervo Responsabile ICT Security (interno) PINA PETRONE SARA TOSCANO ANDREA MAROTTA Rating Suppliers Names Società Software Design (esterno) • Domenico Ciervo Responsabile ICT Security (interno) PINA PETRONE SARA TOSCANO ANDREA MAROTTA Staff Gesac Company Scadenza attività Procurement Names Società Software Design (esterno) • Domenico Ciervo Responsabile ICT Security (interno) PINA PETRONE SARA TOSCANO ANDREA MAROTTA Scadenza Contratti Names Società Software Design (esterno) • Domenico Ciervo Responsabile ICT Security (interno) PINA PETRONE SARA TOSCANO, ANDREA MAROTTA MARCO CONSALVO ANGELO LOI MANUELA RUGGIERI 53 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 53 Roles Amministratore di sistema Owner Editors Readers AUDIT Names Società Software Design (esterno) • Domenico Ciervo Responsabile ICT Security (interno) ANTONIO PASCALE, GIUSEPPE CUTILLO AIRPORT DUTY MANAGER, ALESSANDRO VETERE, ANGELO LOI, ANIELLO MATTERA, ANTONELLA CICERONE, ANTONIO GUGLIELMUCCI, DAVIDE BEHAR, DAVIDE MASONI, FRANCESCA CAPASSO, GIULIA ATTANASIO, GUGLIELMO CIRILLO, LIBERATO IANNUCCI, MARCO CONSALVO, MARIELLA AIELLO, VINCENZO SEPE, VINCENZO SERMIENTO AIRFIELD DUTY OFFICER, ANDREA MAROTTA, ANNALAURA ALEMAGNA, APRON MANAGEMNT, CARMINE MENNA, CLAUDIA RUSCIANO, CONCETTA RICCHIZZI, CUSTOMER SERVICE, ELSA VENZO, GIANFRANCO PALMISANO, IMMACOLATA GIANNATTASIO, LUCA MORMONE, LUIGI MOSCHETTI, MARIACRISTINA TASSARI, MAINTENANCE DUTY OFFICER, MARIO PAGANO, MARISA MORELLI, MASSIMILIANO PECORA, MAURIZIO DELLO RUSSO, MAURO POLLIO, MICHELE MIEDICO, PINA PETRONE, RINALDO MONTENERI, SABRINA RUGGIERO, SALVATORE GENTILE, SARA TOSCANO, TIZIANO BERARDI, VALERIO DI LORENZO Gestione Gare Roles Names Amministratore di sistema Società Software Design (esterno) • Domenico Ciervo Responsabile ICT Security (interno) MAURIZIO DELLO RUSSO MARISA MORELLI RAFFAELE CAPUOZZO ALBERTO CHIROLA Owner Editors Readers Roles Amministratore di sistema Owner Editors Readers Archivio Societario Names Società Software Design (esterno) • Domenico Ciervo Responsabile ICT Security (interno) DANIELA GUERRA, SANDRO MATTIA DANIELA GUERRA, SANDRO MATTIA MAURO POLLIO, MARISA MORELLI 54 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 54 Owner Amministratore di sistema Roles Editors Readers Permessi di lavoro GIULIA ATTANASIO Società Software Design (esterno) • Domenico Ciervo Responsabile ICT Security (interno) Names AIRPORT DUTY MANAGER, ALBERTO CHIROLA, ANGELA PALMA, ANGELO LOI, ALESSANDRO PERERANO, ANIELLO MATTERA, ANTONELLA CICERONE, ANTONIO GUGLIELMUCCI, ANTONIO SERVILLO, CARMINE MENNA, FILIPPO AGRESTI, FRANCESCA CAPASSO, GENNARO CORCIONE, GAETANO BELLOTTI, GIUSEPPE CUTILLO, GIUSEPPE MUSTO, LIBERATO IANNUCCI, LUCA MILANO, MAINTENANCE DUTY OFFICER, MARCO BUONOMO, MARCO CONSALVO, MARIELLA AIELLO, MARIO SCANDURRA, MASSIMO MANGUSO, MICHELE MIEDICO, ONORATO FIRMAMENTO, PIETRO CELESTINO, RINALDO MONTENERI, SALVATORE BARONE, SALVATORE GENTILE, SECURITY DUTY OFFICER, TERMINAL DUTY OFFICER, TIZIANO BERARDI, VINCENZO PASSETTO, VINCENZO RUSSO, VALERIO DI LORENZO, VINCENZO SEPE ADDETTI PARKING, ANDREA SAVASTANO, FILOMENA DE VIVO, GIULIANA ORLANDO, GUGLIELMO CIRILLO, LUCA MORMONE, SABRINA RUGGIERO, Airside Report Roles Amministratore di sistema Owner Editors Full Readers Names Società Software Design (esterno) • Domenico Ciervo Responsabile ICT Security (interno) ANIELLO MATTERA AIRFIELD DUTY OFFICER, MARIELLA AIELLO AIRFIELD INSPECTOR, AIRPORT DUTY MANAGER, ALESSANDRO PERERANO, ANIELLO MATTERA, APRON MANAGEMENT, ELSA VENZO, GENNARO CORCIONE, GIANFRANCO PALMISANO, GIULIA ATTANASIO, GIUSEPPE CUTILLO, GIUSEPPE MUSTO, MARCO CONSALVO, MICHELE MIEDICO, PIETRO CELESTINO, RENZO ROSSETTI, RINALDO MONTENERI, TIZIANO BERARDI, VALERIO DI LORENZO, VINCENZO SEPE 55 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 55 Safety Authority Roles Amministratore di sistema Owner Editors Full Editors parte A, B Names Società Software Design (esterno) • Domenico Ciervo Responsabile ICT Security (interno) AIRPORT DUTY MANAGER AIRPORT DUTY MANAGER AIRFIELD DUTY OFFICER, ANGELA PALMA, MAINTENANCE DUTY OFFICER, SECURITY DUTY OFFICER, TERMINAL DUTY OFFICER SABRINA RUGGIERO, TIZIANO BERARDI, GIULIANA ORLANDO, GUGLIELMO CIRILLO, MARCO BUONOMO CARMINE MENNA, MARIELLA AIELLO, VALERIO DI LORENZO, MARIO GIZZI Editors parte D ALESSANDRO VETERE, LIBERATO IANNUCCI SALVATORE GENTILE, MARGHERITA CHIARAMONTE, VALERIO DI LORENZO, ANIELLO MATTERA, ANGELO LOI, ANTONELLA CICERONE, ANTONIO GUGLIEMUCCI Editors parte B, QSA, ABI GIULIA ATTANASIO GIUSEPPE CUTILLO Editors parte D, QSA ANTONIO PASCALE, RENZO ROSSETTI Readers A MARCO CONSALVO, MARIA CONCETTA TUFANO , Readers parte A, B, C, D, RINALDO MONTENERI ABI, QSA GIUSEPPE MUSTO, ELSA VENZO, MAURIZIO DELLO RUSSO Roles Amministratore di sistema Owner Editors Readers Scadenza attività assicurazioni Names Società Software Design (esterno) • Domenico Ciervo Responsabile ICT Security (interno) MARIA CONCETTA TUFANO MARIA CONCETTA TUFANO ALBERTO CHIROLA, ANTONIO DI BERNARDO, AIRPORT SECURITY OFFICE, CARMINE MENNA, FRANCESCA FENDERICO, GIULIANA ORLANDO, LIBERATO IANNUCCI, MAURIZIO DELLO RUSSO, PINA PETRONE, SABRINA RUGGIERO, SANDRO MATTIA, TIZIANO BERARDI Sinistri Aeroportuali Roles Amministratore di sistema Owner Editors Readers Names Società Software Design (esterno) • Domenico Ciervo Responsabile ICT Security (interno) MARIA CONCETTA TUFANO MARIA CONCETTA TUFANO MAURIZIO DELLO RUSSO 56 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 56 Roles Amministratore di sistema Owner Editors Readers Scadenza Anagrafica contratti commerciali Names Società Software Design (esterno) • Domenico Ciervo Responsabile ICT Security (interno) MARGHERITA CHIARAMONTE ANTONIO DI BERNARDO, FILOMENA DE VIVO, FRANCESCA FENDERICO, GIULIANA ORLANDO, SABRINA RUGGIERO, CONCETTA RICCHIZZI, ELSA VENZO,EUGENIO BIDDIRI, GUGLIELMO CIRILLO, MANUELA RUGGIERI, MARCO CONSALVO, MARGHERITA CHIARAMONTE, MARIA CONCETTA TUFANO, MARIAGRAZIA PARLATO, MARIATERESA PAPAGNO, MARIO PAGANO, MAURIZIO DELLO RUSSO, PAOLA BUSSETTI, SANDRO MATTIA 57 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 57 I RISCHI POTENZIALI In relazione alle attuali banche dati presenti in azienda ed al contesto organizzativo si considerano rischi potenziali quelli descritti in tabella. Eventi relativi agli strumenti Comportamenti degli operatori Rischi Si/No Carenza di consapevolezza, disattenzione o incuria X Alto Comportamenti sleali o fraudolenti X Alto Errore materiale X Alto Azione di virus informatici o di X programmi suscettibili di recare danno Spamming o tecniche di X sabotaggio Alto Medio Malfunzionamento, indisponibilità o degrado X degli strumenti Medio Accessi esterni non autorizzati Basso X Accessi non autorizzati a locali/reparti ad accesso X ristretto Eventi relativi al contesto Descrizione dell'impatto sulla sicurezza (gravità: alta/media/bassa) Sottrazione di strumenti contenenti dati Eventi distruttivi, naturali o artificiali, nonché dolosi, accidentali o dovuti ad incuria Alto X Medio X Basso Guasto ai sistemi di utilities X Medio Errori umani nella gestione della sicurezza fisica X Medio 58 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 58 MISURE DI SICUREZZA PRIVACY AZIENDALI M.S.P.01. Misura di sicurezza al fine di garantire una corretta informativa Al fine di garantire una corretta informativa è pubblicata sul sito internet Gesac la policy privacy aziendale: La stessa è aggiornata con cadenza semestrale. Misura a carico di Legale & Acquisti M.S.P.02. Misura di sicurezza al fine di garantire una corretta acquisizione di dati personali di terzi in caso di utilizzazione degli stessi per le finalità per le quali sono stati raccolti. Al fine di garantire una corretta informativa e di rispettare quanto previsto dagli art. 13 e 15 del dlgs 196/2003, ogni qualvolta Gesac provvede ad acquisire dati di terzi per finalità di cui all’art.15 del su indicato dlgs., ivi compresi quelli connessi alla videosorveglianza -attraverso apposita dicitura- rende noto: il sito internet dove è possibile consultare la policy privacy Gesac; le finalità per le quali vengono trattati i dati; la modalità di raccolta e trattamento; l’impegno a non trattare i dati raccolti per finalità diverse da quelli per i quali sono stati raccolti. Misura a carico del singoli responsabili M.S.P.03. Misura di sicurezza al fine di garantire una corretta acquisizione di dati personali di terzi in caso di utilizzazione degli stessi per le finalità diverse da quelle per le quali sono stati raccolti. Al fine di garantire una corretta informativa e di rispettare quanto previsto dagli art. 13 e 15 del dlgs 196/2003, ogni qualvolta Gesac intende utilizzare dati di terzi per finalità diverse da quelle per cui sono stati raccolti -attraverso apposita dicitura- rende noto: il sito internet dove è possibile consultare la policy privacy Gesac; le finalità per le quali vengono trattati i dati; la modalità di raccolta e trattamento; i soggetti e/o le categorie di soggetti a cui i dati verranno dati Per poter diffondere tali dati o utilizzarli per finalità diverse provvede a farsi autorizzare per iscritto e provvede altresì a comunicare le conseguenze di un eventuale rifiuto. In nessun caso Gesac trasmette a terzi dati sensibili se non per obbligo di legge. Misura a carico del singoli responsabili 59 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 59 M.S.P.04. Misura di sicurezza al fine di garantire un corretto comportamento in termini di privacy da parte di tutto il personale Gesac Al fine di permettere a tutto il personale (stagisti, collaboratori con contratti a progetto, interinali, assunti a tempo indeterminato/determinato) presente in azienda di adeguare i propri comportamenti agli obblighi previsti dalla normativa ed alle misure di sicurezza aziendali, Gesac all’atto dell’inserimento in azienda provvede a: attivare user name e pw individuali per la fruizione del corso di formazione sulla privacy in modalità e-learning; consegnare la lettera istruzioni a firma del titolare del trattamento unitamente alla Policy Privacy aziendale; verificare che la formazione e-learning sia stata correttamente effettuata. Misura a carico di Amministrazione del Personale & Relazioni Industriali M.S.P.05. Misura di sicurezza per la comunicazione all’esterno di dati personali a titolarità Gesac. In caso di trasmissione all’esterno di dati personali a titolarità Gesac, nella lettera/pagina di accompagnamento del documento contenente i su indicati dati, va apposta la seguente clausola: “Questo messaggio può contenere dati personali e/o di carattere riservato. Ogni uso diverso da quello per cui tali informazioni vengono fornite è da considerarsi non in linea con la normativa 196/2003 relativa al trattamento dei dati personali e pertanto non lecito. Nel trattare tale dati, si invita pertanto il destinatario, nel rispetto di quanto su indicato, ad adottare tutte le misure di sicurezza più adeguate.” Misura a carico del singoli responsabili M.S.P.06. Misura di sicurezza per il trattamento dei dati personali dei fornitori Su ogni ordine/contratto di Gesac è apposta la seguente clausola “Sul sito http:///www.gesac.it è presente l’informativa privacy di Gesac” Misura a carico di Legale & Acquisti M.S.P.07. Misura di sicurezza a protezione dei dati personali a titolarità Gesac nei confronti dei fornitori. Su ogni ordine/contratto che per sua natura non prevede di genere il trasferimento al fornitore di dati personali a titolarità Gesac, è apposta la seguente clausola: “Nell’espletamento dell’attività il fornitore potrà venire a conoscenza di dati/informazioni la cui titolarità del trattamento, ai sensi del decreto legislativo 196/2003 sul trattamento dei dati personali, è in capo a Gesac spa. In tal caso dovrà “trattare” i su indicati dati personali nel rispetto integrale della normativa 196/2003 ed in particolare modo della parte relativa alle misure di sicurezza. E’ fatto pertanto assoluto divieto di divulgare a terzi le informazioni personali acquisite se non in adempimento di obblighi di legge o a seguito di adempimento contrattuale con Gesac spa ed è altresì fatto obbligo di effettuare 60 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 60 ogni “trattamento” nel rispetto dei diritti dell’interessato e quindi permettere a cura del titolare del trattamento, la cancellazione, il blocco, l’aggiornamento, la rettifica o la modifica dei dati.” Misura a carico di Legale & Acquisti M.S.P.08. Misura di sicurezza a protezione della comunicazione a fornitori dei dati personali a titolarità Gesac. Su ogni ordine/contratto di Gesac che prevede per sua natura il trasferimento al fornitore di dati personali a titolarità Gesac, è apposto sull’ordine/contratto, in luogo della clausola prevista dalla misura di sicurezza M.S.P. 07, la seguente clausola: “Il fornitore nell’espletamento delle sue attività tratterà dati/informazioni la cui titolarità del trattamento, ai sensi della legge 196/2003 sul trattamento dei dati personali, è in capo a Gesac Spa. Tali su indicati dati personali dovranno essere trattati nel rispetto integrale della normativa 196/03 ed in particolar modo della parte relativa alle misure minime di sicurezza. E’ fatto pertanto assoluto divieto di divulgare a terzi le informazioni personali acquisite se non in adempimento ad un obbligo di legge o a seguito di adempimento contrattuale con Gesac Spa ed è altresì fatto obbligo di effettuare ogni “trattamento” nel rispetto dei diritti dell’interessato e quindi permettere, a cura del titolare del trattamento, la cancellazione, il blocco, l’aggiornamento, la rettifica o la modifica dei dati. A salvaguardia della propria posizione, Gesac SpA si riserva il diritto di attivare nei confronti del fornitore un’attività di audit per la verifica del rispetto integrale della normativa 196/2003, ed in particolare della presenza di adeguate misure di sicurezza a protezione dei dati e della modalità di trattamento dei propri dati. Il fornitore è tenuto ad indicare, qualora quest’ultimo fosse presente nella sua organizzazione, il nome del responsabile del trattamento dati.” Misura a carico di Legale & Acquisti M.S.P.09. Misura di sicurezza al fine di garantire un corretto comportamento in termini di privacy da parte di tutto il personale interinale. Nel caso di contratto avente ad oggetto la fornitura di lavoro, unitamente alla clausola di cui alla misura M.S.P. 08, è inserita la seguente clausola: “Qualora in ottemperanza agli obblighi contrattuali, Vostro personale/Ella dovesse svolgere l’attività presso gli uffici Gesac ed avere accesso a banche dati contenenti dati personali, al Vostro personale/Ella è fatto obbligo di documentarsi preventivamente sui contenuti della legge 196/2003 e seguire le indicazioni ed istruzioni contenute nelle ISTRUZIONI che sarà tenuto a procurarsi presso l’ufficio personale prima di iniziare l’attività lavorativa e di seguire le indicazioni impartite dal Responsabile al trattamento dati cui i dati fanno riferimento e di riferirsi a lui in merito alle misure di sicurezza da adottare.” Misura a carico di Amministrazione del Personale e Relazioni Industriali 61 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 61 M.S.P.010. Misura di sicurezza per l’acquisizione di dati personali di candidati attraverso selezione gestita da società di selezione Sul contratto/ordine con la società di selezione è apposta la seguente clausola: La società affidataria si impegna a trattare i dati personali relativi ai candidati oggetto delle attività di selezione di cui al presente contratto, nel completo rispetto della legge 196/2003. Pertanto per tutti i dati personali che cederà a Gesac la società affidataria avrà provveduto ad ottenere adeguata autorizzazione dagli interessati e per ogni interessato di cui avrà fornito a Gesac dati personali, si impegna a fornire a Gesac -in copia- adeguata autorizzazione. Misura a carico di Sviluppo & Organizzazione M.S.P.011. Misura di sicurezza per la corretta gestione delle banche dati personali aziendali Per garantire una corretta gestione delle banche dati personali aziendali, le stesse sono mappate e codificate. Non è pertanto possibile costituire nuove banche dati personali senza l’autorizzazione del titolare del trattamento. Nel caso in cui nuovi processi aziendali e/o nuove procedure necessitino la creazione di nuove banche dati aziendali ne viene data comunicazione al Responsabile Ufficio Legale. Con cadenza trimestrale, in occasione dell’audit privacy, i singoli responsabili rilasciano una autocertificazione attestante la rispondenza tra le banche dati presenti nella propria area e quelle mappate e codificate. Misura a carico dei singoli responsabili M.S.P.012. Misure di sicurezza a protezione dei dati personali cartacecei Ogni incaricato al trattamento, nel trattare documenti cartacei contenenti dati personali non facenti parte delle banche dati aziendali: non riproduce mediante fotocopia o ristampa –se non quando previsto da procedure aziendali- i documenti; custodisce i documenti in luoghi ad accesso selezionato e comunque non permette la visone degli stessi a terzi; distrugge i documenti a valle dell’utilizzo a meno che gli stessi non debbano concorrere ad implementare una banca dati già esistente e codificata. Misura a carico dei singoli responsabili M.S.P.013. Misure di sicurezza a protezione fisica delle banche dati personali cartacee A protezione delle banche dati cartacee le stesse vanno archiviate in armadi con serratura. Qualora uno dei documenti in esse contenute dovesse essere “trattato” da un incaricato, il Responsabile a cui tale banca dati fa riferimento ha cura di verificare che lo stesso, a valle del trattamento, venga nuovamente archiviato nella banca dati di appartenenza. Misura a carico dei singoli responsabili 62 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 62 M.S.P.014. Misure di sicurezza a protezione fisica contro il rischio di intrusione nei luoghi dove sono custodite banche dati e dati cartacei. A protezione dei luoghi dove sono custodite banca dati personali e/o dati personali, l’accesso a tali luoghi è garantito attraverso un sistema selezionato di controllo accessi. Misura a carico di Security & Passenger Services M.S.P.015. Misura di sicurezza per l’utilizzo della videosorveglianza Alfine di rispettare appieno la normativa privacy in materia di videosorveglianza Gesac adotta i seguenti accorgimenti: prima di avviare un nuovo trattamento ne verifica la liceità in base alle norme vigenti; informare le persone soggette a ripresa della presenza di attrezzature di video sorveglianza mediante appositi cartelli; effettuare le riprese in maniera congrua rispetto agli obiettivi prefissati, raccogliendo esclusivamente i dati strettamente necessari per il raggiungimento delle finalità perseguite, registrando le sole immagini indispensabili, limitando l'angolo visuale delle riprese, evitando -quando non indispensabili- immagini dettagliate, ingrandite o dettagli non rilevanti; stabilisce con precisione entro quanto tempo le immagini devono essere cancellate e prevede la loro conservazione solo in relazione ad illeciti che si siano verificati o ad indagini giudiziarie o di polizia; individua con designazione scritta le persone che possono utilizzare gli impianti e prendere visione delle registrazioni; impedisce l'accesso alle immagini da parte di persone non autorizzate; Misura a carico di Security & Passenger Services M.S.P.016. Misura di sicurezza per l’attuazione della normativa 196/2003 in relazione agli Organi Societari ed Assembleari Alfine di rispettare appieno la normativa privacy nei confronti di tutti gli organi societari ed assembleari sia in termini di informativa che di istruzioni, Gesac provvede a consegnare ad ogni titolare di incarico societario o assembleare – all’atto della nomina- apposita comunicazione denominata “Informativa agli Organi Societari e di Controllo” Misura a carico di Affari Societari & Servizi Generali M.S.P.017. Misura di sicurezza a protezione del sistema privacy aziendale Al fine di garantire un efficace gestione del sistema privacy aziendale, sono state definite le seguenti procedure interne: con cadenza annuale viene rivisitato il sistema di responsabilità al fine di verificarne la rispondenza con l’assetto organizzativo; con cadenza trimestrale viene effettuato un audit tra i singoli responsabili al fine di verificare il rispetto dell’attuazione delle misure di sicurezza; con cadenza annuale viene realizzato il DPS. Misura a carico di Legale & Acquisti 63 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 63 M.S.P.018. Misura di sicurezza a protezione della privacy informatica Al fine di garantire il rispetto della deliberazione n. 13 dell 2007 emanata dal Garante, Gesac provvede ad aggiornare e rendere noto a tutti i propri dipendenti il Regolamento informatico e si adopera affinché le norme in esso contenute vengano rispettate da tutti gli utilizzatori delle risorse informatiche Misura garantita a cura di ICT Security M.S.P.019. Misura di sicurezza a protezione dell’accesso da parte di non autorizzati delle banche dati informatizzate. Affinché abbiano accesso alle singole banche dati personale esclusivamente gli incaricati al trattamento specificatamente preposti a ciò ogni incaricato provvede a cambiare la propria pw di accesso ogni sei mesi nel caso in cui abbia accesso a dati personali ordinari e ogni tre mesi nel caso in cui abbia accesso a dati personali particolari; ogni incaricato deve provvedere ad attivare sulla propria postazione informatizzata lo screen saver con pw. Misura a carico dei singoli responsabili M.S.P.020. Misura di sicurezza a protezione delle banche dati informatizzate contro il rischio di malfunzionamento, indisponibilità o degrado degli strumenti, Al fine di garantire un corretto funzionamento della rete intranet e dei server centralizzati contenenti banche dati personali in Gesac è applicato il programma di manutenzione programmata di seguito specificato. Gestione del Dominio di Windows Monitoraggio, manutenzione e aggiornamento dei S.O. server Backup, Ripristino e Pianificazione del monitoraggio di Active Directory Creazione, modifica e configurazione di oggetti Criteri di gruppo (GPO) Configurazione e modifiche delle condizioni per l'applicazione dei Criteri di gruppo Verifica dei Criteri di gruppo e risoluzione dei problemi relativi Distribuzione del software Configurazione, manutenzione e aggiornamento del software distribuito Configurazione e modifiche all’accesso alle stampanti gestite da active directory Gestione della memorizzazione dei dati e delle risorse hardware Risoluzione dei problemi relativi Pianificazione strategica Gestione dei Log Audit, reporting e scheduling dei file di log per: Accesso alle PDL, accesso ad internet, accesso alla posta elettronica, web server, mail server, event viewer dei server aziendali, 64 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 64 proxy filtraggio siti Gestione Backup Pianificazione della politica di Backup aziendale Gestione delle politiche di Backup e di Ripristino sui server aziendali di produzione e di testing Router, collegamenti VPN/sicurezza Configurazione e manutenzione dei router aziendali Gestione, configurazione e aggiornamento del software proxy per l’accesso ad internet Gestione, configurazione e aggiornamento del software di filtraggio dei siti web vietati e risoluzione delle problematiche inerenti all’accesso ai siti web Monitoraggio, gestione ed eventuali risoluzione di problematiche di sicurezza inerenti a router e Gestione, configurazione e monitoraggio del servizio “Windows Server Update Services” per tutte le postazioni della rete aziendale Gestione, configurazione e monitoraggio del sistema antivirus “CA ETrust ” per tutte le postazioni della rete aziendale Gestione, configurazione e monitoraggio delle area aziendali dei dati sottoposti a “Privacy” e gestione dell’integrità e conservazione degli stessi Servizi Internet, DNS, Mail e Web Server Gestione, manutenzione e aggiornamento del servizio DNS interno su Microsoft Windows 2000 Server Gestione, manutenzione e aggiornamento del servizio Web (Oracle Portal) su Microsoft Windows 2000 Server Gestione, manutenzione e aggiornamento del servizio Mail Interna su Lotus Domino Windows 2000 Server Sulla infrastruttura tecnologica che ospita le banche dati informatizzate adeguate misure informatiche software e hardware impediscono che le su indicate banche dati vadano perse o risultino anche temporaneamente inaccessibili. (Piano di desaster & recovery) Misura garantita a cura di ICT Security M.S.P.021. Misura di sicurezza a protezione delle banche dati informatizzate contro il rischio di accessi esterni non autorizzati e contro il rischio intrusione e dall’azione di programmi di cui all’art. 615 quinques del codice penale Sulla infrastruttura tecnologica che ospita le banche dati informatizzate, adeguate misure informatiche software e hardware impediscono che le stesse risultino danneggiate o violate attraverso le azioni di cui in oggetto. Misura garantita a cura di ICT Security. 65 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 65 M.S.P.022. Misura di sicurezza a protezione dei server contro il rischio fisico di intrusione. I server su cui sono archiviate le banche dati personali sono custoditi in luoghi chiusi a chiave e l’accesso agli stessi è permesso esclusivamente a personale autorizzato. Misura garantita a cura di ICT Security. M.S.P.023. Misura di sicurezza in applicazione di quanto disposto dal Provvedimento del Garante pubblicato sulla G.U. del 24/12/2008 avente ad oggetto nuovi obblighi a carico degli amministratori di sistema In Gesac le attività IT sono affidate tutte in outsourcing. Al fine di garantire una corretta applicazione del provvedimento in oggetto, Gesac oltre ad acquisire una dichiarazione di responsabilità da parte dei fornitori, circa le modalità di applicazione del predetto provvedimento, effettua con cadenza annuale un audit volto alla verifica della congruenza o meno tra quanto indicato nella dichiarazione di responsabilità e quanto realmente messo in essere. In particolare ad ogni fornitore viene espressamente richiesto di predisporre sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici (nella qualità di “amministratore di sistema”); tali registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Misura garantita a cura di ICT Security 66 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 66 POLICY INFORMATICA AZIENDALE MSP 018 ai sensi della Deliberazione del Garante sulla privacy n.13 del 1° marzo 2007 67 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 67 Premessa La presente policy, esprime i principi ispiratori del modello informatico aziendale, stabilisce le modalità e i termini di utilizzo delle risorse informatiche da parte degli utenti, definisce, altresì, i sistemi di controllo e le misure di sicurezza informatiche che, ai sensi del decreto legislativo 196/2003 “trattamento dei dati personali”, l’azienda adotta. I Principi Ispiratori del modello informatico aziendale Tutte le risorse informatiche SW e HW in uso in azienda, unitamente ai dati- personali e non- in esso memorizzati, sono di esclusiva proprietà aziendale e pertanto ogni uso che non sia strettamente connesso alla finalità per cui le stesse sono date in uso ai differenti utenti è vietata. In relazione a ciò l’azienda, tramite i Sistemi Informativi, si fa carico di garantire che i dati trattati informaticamente siano sempre esatti e rispondenti alle specifiche funzionali ed in linea con quanto definito dai principi di correttezza e trasparenza. Tutte le attività di sviluppo sw recependo quanto previsto dalle deliberazioni del Garante sulla privacy sono orientate al principio di necessità e riducono al minimo l’utilizzazione dei dati personali. L’azienda tramite i Sistemi Informativi provvede a fare in modo che vengano rispettati i diritti di copyright relativi ai software. L’uso personale ed esclusivo delle credenziali di accesso rappresenta lo strumento principe attraverso il quale l’azienda garantisce - lato utente - che l’accesso alle risorse aziendali avvenga nel rispetto di quanto previsto e dalle misure di sicurezza della privacy. A tal proposito si adopera affinché sia diffusa al proprio interno una cultura che faccia del rispetto della riservatezza della proprie credenziali di accesso uno strumento cardine per l’accesso e l’utilizzo in sicurezza delle risorse informatiche. I Sistemi Informativi garantiscono altresì che l’accesso alle funzioni ed ai dati avvenga attraverso un sistema di abilitazioni, tramite password rilasciata a chi, in funzione dei ruoli definiti dai processi aziendali, sia il legittimo titolato, e ne assicura nel tempo il rispetto e l’aggiornamento. Le modalità di utilizzo delle risorse informatiche da parte degli utenti 1. Norme relative all’utilizzo della propria postazione informatizzata La propria postazione di lavoro informatizzata può essere utilizzata esclusivamente per finalità aziendali e nell’utilizzo della stessa è fatto obbligo di rispettare le norme di seguito descritte. a. E’ consentito accedere alla rete GESAC aziendale esclusivamente mediante l’utilizzo di postazioni di lavoro informatizzate fisse collegate in rete. b. Onde evitare il grave pericolo di introdurre virus informatici nonché di alterare la stabilità delle applicazioni dell'elaboratore, non è consentito installare programmi provenienti dall'esterno. 68 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 68 c. Non è consentito l'uso di programmi non distribuiti ufficialmente dai Sistemi Informativi (v., in proposito, gli obblighi imposti dal dlgs 29 dicembre 1992, n. 518, sulla tutela giuridica del software e dalla legge 18 agosto 2000, n. 248, contenente nuove norme di tutela del diritto d'autore). d. Non è consentito utilizzare strumenti software e/o hardware atti a interpretare, falsificare, alterare o sopprimere il contenuto di comunicazioni e/o documenti informatici. e. Non è consentito modificare le configurazioni definite dai Sistemi Informativi ed impostate sul proprio PC. f. Non è consentito upgradare/integrare la propria postazione di lavoro ne introdurre in azienda hw di proprietà personale. g. Attraverso la propria postazione di lavoro non è consentito estrarre dati se non per finalità lavorative: qualora tale estrazione fosse prevista, non è consentito portare i dati estratti all’esterno della propria sede lavorativa fatta salva autorizzazione aziendale. h. E’ fatto obbligo di cambiare la propria password di accesso almeno ogni 6 mesi. i. E’ fatto obbligo di attivare sulla propria postazione informatizzata lo screen saver con password. j. E’ fatto obbligo di rispettare tutte le misure di sicurezza della privacy previste dall’azienda 2. Norme relative all’utilizzo della rete internet L’accesso ad internet è subordinato ad una specifica autorizzazione. Coloro i quali hanno accesso ad internet sono tenuti al rispetto delle seguenti norme a. non è consentito navigare in siti non attinenti allo svolgimento delle mansioni assegnate; b. non è consentita l'effettuazione di ogni genere di transazione finanziaria ivi compreso le operazioni di remote banking, acquisti on-line e simili per scopi personali; c. non è consentito lo scarico di software gratuiti (freeware) e shareware, di musica, filmati e quanto altro prelevato da siti internet; d. è vietata ogni forma di registrazione a siti i cui contenuti non siano legati all'attività lavorativa; qualora detta registrazione fosse dettata da finalità lavorative, la stessa deve essere preventivamente autorizzata. e. non è permesso l'utilizzo di chat line, di bacheche elettroniche e le registrazioni in guest book anche utilizzando pseudonimi (o nickname); f. non è consentita ne la consultazione, ne la memorizzazione di documenti informatici di natura oltraggiosa e/o discriminatoria per sesso, lingua, religione, razza, origine etnica, opinione e appartenenza sindacale e/o politica. Al fine di garantire il rispetto di tali norme di utilizzo i Sistemi informativi attraverso strumenti software automatici provvedono a definire una lista di siti o di categorie di siti considerati non correlati con la prestazione lavorativa ed ad inibirne il relativo accesso. 69 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 69 3. Norme specifiche relative all’utilizzo della Posta elettronica: La posta elettronica è uno strumento di lavoro e l’attivazione di una casella di posta elettronica è subordinata a specifica autorizzazione aziendale ed è strettamente personale. Coloro i quali hanno avuto configurato dall’azienda un proprio indirizzo aziendale di posta elettronica sono tenuti al rispetto delle seguenti norme: a. non è consentito utilizzare la posta elettronica per motivi non attinenti allo svolgimento delle mansioni assegnate; b. non è consentito inviare o memorizzare messaggi (interni ed esterni) di natura oltraggiosa e/o discriminatoria per sesso, lingua, religione, razza, origine etnica, opinione e appartenenza sindacale e/o politica; c. la posta elettronica diretta all'esterno della rete intranet aziendale può essere intercettata da estranei e, dunque, è opportuno non usarla per inviare documenti di lavoro «strettamente riservati»; d. qualora vengano ricevute e-mail inviate da destinatari sconosciuti o aventi un contenuto poco chiaro è opportuno non aprire eventuali files allegati ed i caso di dubbi è consigliabile rivolgersi ai Sistemi Informativi. 4. Norme relative all’utilizzo di dispositivi esterni per il servizio di consultazione della posta elettronica aziendale al di fuori della propria postazione lavorativa, firma digitale, ecc. a. Per i possessori di kit Firma digitale, non lasciare incustodito o in luogo non riservato l’apparato hw che consente l’utilizzo del servizio; b. rispettare le procedure aziendali previste per l’utilizzo dell’apparato c. rispettare le specifiche misure di sicurezza della privacy di tipo aziendali previste dall’azienda. I Sistemi di controllo Al fine di far rispettare le su indicate modalità di utilizzo delle risorse informatiche, l’azienda si riserva –attraverso la funzione sistemi informativi- di effettuare controlli generici su tutti gli utenti relativamente alle ore di navigazione, al numero di e-mail ed allo spazio di memoria occupato nella propria area riservata sui server aziendali. Qualora tali controlli (non invasivi e rispettosi della privacy personale) dovessero evidenziare particolari anomalie d’uso, previa comunicazione ai diretti interessati, l’azienda si riserva il diritto di effettuare controlli mirati e specifici volti a verificare i contenuti di tali anomalie. A salvaguardia della sicurezza informatica, l'azienda si riserva altresì la facoltà di procedere alla rimozione di ogni file o applicazione installati in violazione della presente policy 70 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 70 Descrizione dei rischi contrastati Trattamenti interessati Comportamenti degli operatori MSP 04 Carenza di consapevolezza, disattenzione o incuria Tutti i trattamenti Comportamenti sleali o fraudolenti 1. Tutti i trattamenti 2. Trattamenti informatizzati Errore materiale Misure Tutti i trattamenti MSP 017 Struttura o persone addette all'adozione Misure già in Misure da essere adottare 1. Legale & Acquisti X 2. Legale & Acquisti MSP 04, 013, 014, 015, 016, 017 MPS 018, 019, 020, 21, 22, Misura da adottare Tipo di rischio Misura già in essere LE MISURE DI SICUREZZA ADOTTATE E QUELLE DA ADOTTARE X 1. Legale & Acquisti 2. Responsabile IT Secutity X Legale & Acquisti 23 MPS 04 71 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 71 Trattamenti interessati Misure Misura da adottare Descrizione dei rischi contrastati Misura già in essere Tipo di rischio Struttura o persone addette all'adozione Misure già in Misure da essere adottare Eventi relativi agli strumenti Azione di virus informatici o di Trattamenti programmi suscettibili di informatizzati recare danno MSP 018, 021 X 1. Responsabile Sicurezza IT 2. Incaricati 3. Responsabile Sicurezza IT Spamming o tecniche di sabotaggio Trattamenti informatizzati MSP 018, 021 , 023 X 1. Responsabile Sicurezza IT 2. Incaricati Malfunzionamento, indisponibilità o degrado degli strumenti Trattamenti informatizzati MSP 020 X 1. Responsabile Sicurezza IT X 1. Responsabile Security 2. Responsabile Sicurezza IT 3. Incaricati 4. Responsabile Sicurezza IT Accessi esterni non autorizzati Trattamenti informatizzati MSP 018, 019, 022, 023 72 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 72 Accessi non autorizzati a locali/reparti ad accesso ristretto Eventi relativi al contesto Sottrazione di strumenti contenenti dati Trattamenti interessati Misure Tutti i trattamenti MSP 014 1. Tutti i trattamenti 2. Trattamenti informatizzati su server centralizzato Misura da adottare Descrizione dei rischi contrastati Misura già in essere Tipo di rischio Struttura o persone addette all'adozione Misure già in Misure da essere adottare X Responsabile Security X 1. Responsabile Security 2. Responsabile Sicurezza IT MSP 013 MSP 018; 022 Eventi distruttivi, naturali o artificiali, nonché Tutti i trattamenti dolosi, accidentali o dovuti ad incuria Piano aziendale di safety X Responsabile Aziendale della Sicurezza Guasto ai sistemi di utilities Trattamenti informatizzati MSP 020 X Responsabile Sicurezza IT Errori umani nella gestione della sicurezza fisica Tutti i trattamenti MSP 04 X Legale & Acquisti 73 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 73 IL PIANO DI FORMAZIONE AZIENDALE Descrizione sintetica degli interventi formativi Classi di incaricati Tempi previsti Attività di sensibilizzazione sulle tematiche della privacy, descrizione delle misure di sicurezza aziendali mediante la consegna di un documento informativo/formativo e l’effettuazione di un corso di formazione in modalità elearning con verifica finale del livello di apprendimento. Tutti i dipendenti aziendali che trattano dati personali. Realizzato all'atto dell'attivazione delle misure di sicurezza aziendali e per i nuovi assunti all’atto dell’assunzione. Attività di formazione sulla legge 196/2003, sul sistema di responsabilità Gesac e sulle misure di sicurezza aziendali I Responsabili del trattamento All’atto dell’affidamento dell’incarico Rappel di sensibilizzazione sulle tematiche della privacy mediante la consegna di una nota informativa Tutti i dipendenti aziendali che trattano dati personali. In corso Il Presente documento si compone di n. Pagine unitamente a n. Allegati 74 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Dicembre 2009 74
