documento programmatico - Aeroporto Internazionale di Napoli
annuncio pubblicitario
DOCUMENTO PROGRAMMATICO sulla SICUREZZA ai sensi della legge196/2003 FEBBRAIO 2016 PREMESSA Il presente documento viene realizzato con cadenza annuale da Gesac SpA sin dal 2001 per adempiere a quanto previsto dalle misure di sicurezza previste dalla normativa italiana sulla privacy. Le recenti modifiche legislative hanno reso non più obbligatoria la redazione di tale documento. Ciò premesso, Gesac, attribuendo allo stesso anche finalità gestionali interne connesse alll’attivazione, alla gestione ed alla verifica di tutto il sistema privacy aziendale ha deciso di continuare a redigere il proprio dps sulla falsariga di quanto realizzato negli anni precedenti. Al fine di dar conto delle attività avviate in azienda a cavallo tra fine 2015 ed inizio 2016 con un forte impatto in termini di privacy ( geolocalizzazione e profilazione utenti), si ne è ritardata la posticipandola di due mesi. Il Documento in esame descrive l’assetto organizzativo dell’azienda in termini di privacy e tutti gli interventi posti in essere a protezione delle banche dati mappate al 29/02/2016. Il Documento programmatico realizzato segue la falsariga del modello proposto dal Garante sulla privacy e contiene pertanto le seguenti sezioni: i responsabili e le aree di competenza; la mappatura delle banche dati; i rischi potenziali; le misura di sicurezza adottate e quelle da adottare; la policy informatica; il piano di salvataggio per le banche dati informatizzate; il piano di formazione aziendale; la videosorveglianza in Gesac; La mappatura delle banche dati, così come l’intero DPS, è stata realizzata con il contributo della Società di consulenza Studio Staff Napoli che si è avvalso del supporto di tutti i Responsabili del trattamento dati aziendali: a seguito di approfondite interviste si è provveduto prima a censire le banche dati aziendali e successivamente controllare e monitorare la rispondenza di quanto indicato nella mappatura delle banche dati a quanto effettivamente presenti nelle aree. Il presente documento, in relazione alle banche dati informatiche, recepisce la recente disposizione del Garante del 24/12/2008 avente ad oggetto nuovi obblighi a carico degli amministratori di sistema. In relazione agli amministratori di sistema esterni, presso l’ufficio IT è a disposizione del Titolare del trattamento un documento che monitora e mappa tutti i soggetti e tutte le misure di sicurezza adottate dai singoli fornitori esteni unitamente ai report sulle attività di audit effettuate. E’ a disposizione presso l’ufficio legale adeguata documentazione relativa alle attività di audit effettuate nel corso dell’anno. Presso l’ufficio del responsabile della sicurezza informatica è a disposizione un elenco aggiornato degli amministratori di sistema unitamente agli audit effettuati. Il Security manager detiene presso il proprio ufficio una mappatura costantemente aggiornata delle telecamere e degli utenti con la descrizione delle funzioni abilitate per singolo utente/telecamera. Si segnala altresì che nelle more tra il presente Documento ed il precedente DPS sono state effettuate due notificazioni al Garante in relazione rispettivamente ad un trattamento dati realizzato mediante geolocalizzazione ed ad un trattamento che prevede la profilazione dei dati 2 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 2 I RESPONSABILI E LE AREE DI COMPETENZA Ai sensi dell’art. 21 del decreto legislativo 196/2003 ed in funzione della propria complessità organizzativa l’azienda si è avvalsa della possibilità di nominare per iscritto più responsabili affidando ad ognuno di esse la responsabilità di specifiche banche dati. Le linee guida che hanno indirizzato l’azienda nell’individuazione dei Responsabili sono riassumibili nei seguenti principi: Le Responsabilità in termini di privacy vanno allocate lì dove le banche dati vengono generate e/o custodite. Le Responsabilità in termini di privacy vanno allocate lì dove ci sono anche responsabilità gestionali. Il responsabile della Sicurezza IT non è responsabile di specifiche banche dati ma è Responsabile della corretta applicazione delle misure di sicurezza informatiche su tutte le banche dati informatizzate aziendali. Attualmente i responsabili Privacy di GE.S.A.C. sono: RESPONSABILE RESPONSABILITÀ PRIVACY Davide Behar Risorse Umane Paola Bussetti Controllo di Gestione Domenico Ciervo ICT Security Giuseppe Cutillo Sicurezza & Ambiente Maurizio Dello Russo Legale Emilia De Santis Terminal Bernardo Di Lorenzo Manutenzione Antonio Guglielmucci Security Management Daniela Guerra Affari Societari Maria Concetta Tufano Audit Sergio Gallorini Commerciale Aniello Mattera Airfield Management Claudio del Vita Web marketing Giuseppe Musto Innovazioni tecnologiche e controllo sistemi Michele Miedico Ingegneria Giuliana Orlando Parking Maria Teresa Papagno Contabilità Generale & Tesoreria Maria Grazia Parlato Recupero Crediti 3 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 3 Giuseppina Petrone Acquisti Antonella Stefanile Pay-Roll Antonio Savarese Cartelle mediche dipendenti Flavia Scandone CRM Sandra Attadia Training- Attività operativa in turno di scalo (1/7) Elio Damiano Attività operativa in turno di scalo (2/7) Onorato Firmamento Attività operativa in turno di scalo (3/7) Raffaele Lavezza Attività operativa in turno di scalo (4/7) Luigi Moschetti Attività operativa in turno di scalo (5/7) Massimiliano Pecora Attività operativa in turno di scalo (6/7) Antonio Trotta Attività operativa in turno di scalo (7/7) Ai su indicati dipendenti è stata comunicata per iscritto la loro Responsabilità in materia di privacy attraverso comunicazione presente in allegato. Gli stessi sono altresì stati messi in condizione di svolgere efficacemente e consapevolmente tale compito grazie ad una adeguata attività di formazione personalizzata. Un elenco sempre aggiornato dei Responsabili e delle loro aree di responsabilità, unitamente alla policy privacy aziendale è presente sul sito aziendale nella sezione privacy. Rispetto al precedente organigramma privacy, l’attuale organigramma – in funzione delle recenti disposizioni organizzative, tiene conto delle seguenti modifiche: sostituzione nella’area Web Marketing” del responsabile del trattamento; introduzione nell’area “Attività operativa in turno di scalo”di un nuovo responsabile; introduzione dell’area “Training” affidata alla Sig.ra Sandra Attadia. Introduzione dell’area “Fly You” affidata alla Sig.sa Flavia Scandone Si segnala che la banche dati soggette a notificazione sono state attribuite in termini di responsabilità rispettivamente al Signor Aniello Mattera per quanto attiene ai dati trattati mediante geolocalizzazione ed alla Signora Flavia Scandone per quanto attiene ai dati profilati mediante l’applicazione FLY YOU 4 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 4 Nominativo Davide Behar Area aziendale Risorse Umane Posizione Risorse umane Database Tipo di archivio Database curricula Informatico Altamira Politiche retributive Informatico Applicativo Office Informatico HR Net/HR Val Anagrafica Corsi di formazione Dati retributivi Schede di valutazione Archivio pratiche contenziosi con dipendenti Scheda 1/5 Sistema informativo Cartaceo Informatico Archivio sindacati Cartaceo Comunicazioni ODV Cartaceo Informatico Excel Processo Aggregati di dati Tipologia di dato Selezione e recruiting Curricula candidati Personale Dati dei dipendenti Personale Dati dei dipendenti Personale Politiche retributive Formazione Politiche retributive Performance management Gestione contenziosi con dipendenti Gestione Excel ODV Archivio Prestiti Dipendenti Cartaceo Gestione del personale Cartella infortuni Cartaceo Gestione infortuni Citazione dipendente Documentazione d'appoggio Lista dipendenti iscritti Delega al sindacato per trattenuta Report Motivazione trattamento Acquisire e gestire candidature finalizzate a selezionare il personale Gestire le politiche retributive personali Gestione delle RU Personale Sensibile Personale Rispetto di procedura aziendale Informazioni relative al prestito ed al suo Personale Gestione del processo rimborso Documentazione Personale/sensibil Gestione dell’infortunio infortunio e 5 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 5 Nominativo Davide Behar Area aziendale Risorse Umane Posizione Responsabile Risorse umane Scheda 2/5 Database Tipo di archivio Sistema informativo Cartella personale del dipendente Cartaceo Processo Aggregati di dati Tipologia di dato Motivazione trattamento Gestione del personale Lettera di assunzione Copia titolo di studio Copia congedo militare Copia patente di guida Fotografie Banca d'appoggio, codice fiscale Certificato stato di famiglia Libretto di lavoro Modello di disoccupazione Autocertificazione carichi pendenti Lettera di dimissioni Copia documentazione per rilascio decreto GPC (dipendenti security) Verbale incontro di giustificazione Provvedimento disciplinare Personale sensibile Archiviare informazioni utili a gestire il personale 6 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 6 Nominativo Davide Behar Area aziendale Risorse Umane Posizione Responsabile Risorse umane Scheda 3/5 Database Tipo di archivio Sistema informativo Processo Aggregati di dati Tipologia di dato Motivazione trattamento Archivio ora ingresso/uscita dipendente Informatico Time&Work Rilevazione presenze Tempo di presenza in azienda del dipendente Personale Gestire la presenza in azienda dei dipendenti Elaborazione paghe Autorizzazione nominativa del responsabile allo straordinario Archivio autorizzazione straordinari Variazioni ore lavorate (ferie, permessi, ecc.) Archivio ore lavorate Archivio bonifici per accrediti salari/stipendi T rattenute mensili dipendenti (trattenute sindacali, anticipi stipendi, cessione Quinto, pignoramento verso terzi) Cartaceo Informatico Time&Work Cartaceo Informatico Informatico Informatico Excel Office Office Ricevere l'autorizzazione Personale a liquidare gli straordinari Modificare i turni pianificati e definire le ore da inserire in busta paga Archiviare i report relativi alle ore lavorate dai dipendenti Rilevazione presenze Variazioni ai turni per dipendente Personale Rilevazione presenze Stampa per dipendente delle ore lavorate Personale Elaborazione paghe Bonifici per accredito stipendi e salari per dipendente Archiviare le lettere di Personale bonifico per l'accredito di salari e stipendi Elaborazione paghe Modulo per la cessione del Quinto;richiesta svincolo del 70% della liquidazione per acquisto caso o causa malattia Pignoramenti ecc. Personale sensibile Identificare le trattenute da operare mensilmente sui salari e stipendi 7 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 7 Nominativo Davide Behar Area aziendale Risorse Umane Posizione Responsabile Risorse umane Scheda 4/5 Database Tipo di archivio Sistema informativo Archivio malattie Cartaceo Informatico Anagrafica dipendenti (sistema rilevazione presenze) Informatico Archivio variazioni ore lavorate (ferie, permessi, ecc.) Cartaceo Archivio turni per dipendente Informatico Archivio CUD Cartaceo/Informatico Excel Time&Work Time&Work PDF Processo Aggregati di dati Tipologia di dato Motivazione trattamento Gestione Certificato medico/nr.protocollo Sensibile Archiviare i certificati di malattia Gestire i dati utili a processare l'elaborazione delle paghe dei dipendenti Rilevazione presenze Dati identificativi del dipendente Personale Gestione del personale Piani ferie Richieste permessi Personale Rilevazione presenze Turni di presenza previsti Personale Pianificare la presenza in azienda dei dipendenti Gestione del personale Moduli di certificazione del reddito dipendente, copie ricevute contributi e ritenute Personale Archiviare il CUD e le altre documentazioni prodotte e consegnate al dipendente 8 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 8 Nominativo Davide Behar Area aziendale Risorse Umane Posizione Responsabile Risorse umane Scheda 5/5 Database Tipo di archivio Sistema informativo Processo Aggregati di dati Tipologia di dato Motivazione trattamento Archivio cedolini paga Cartaceo/Informatico PDF Elaborazione paghe Cedolini paga per dipendente Personale Archiviare i cedolini paga dei dipendenti Gestione del personale Lista dipendenti, tipologia e importo trattenuta Sensibile Cartaceo Stampa trattenute mensili dipendente Informatico PDF Dichiarazioni 770 Cartaceo/Informatico PDF Gestione del personale Dati contributivi e retributivi dei dipendenti Personale Obbligo di legge Riepilogativo Busta paga Informatico TXT Gestione del personale Dati riepilogativi busta paga Personale Controlli buste paghe Documenti a consulente Informatico Office Gestione del personale Dati diversi Personale 9 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 9 Nominativo Posizione Paola Bussetti Controllo di Gestione Controllo di Gestione Database Tipo di archivio Pratiche di investimento Gestione investimenti Area aziendale Scheda 1/1 Sistema informativo Processo Aggregati di dati Tipologia di dato Cartaceo Controllo di gestione Copia Fatture Personale Cartaceo Investimenti infrastrutturali Copia fatture Personale Investimenti infrastrutturali Copia documenti di gara copia contratti copia fatture copia quietanze di pagamento Personale Gestione investimenti finanziati UE Cartaceo Gestione variazioni personale Informatizzato Excel Pianificazione e controllo Lista nominativi Personale Gestione posizioni (politiche retributive) Informatizzato Excel Pianificazione e controllo Costi per lavoratore Personale Gestione contratti attivi Informatizzato Lotus notes Pianificazione e controllo Dati contrattuali Personale Gestione contratti passivi Informatizzato Lotus notes Pianificazione e controllo Dati contrattuali Personale Gestione Corrispondenza in uscita Copia delle comunicazioni in uscita Personale Protocollo Direzione Amministrativa Cartaceo Motivazione trattamento Procedura aziendale 10 10 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Area aziendale Posizione Database Scheda prevenzione rischi lavoratrici gestanti Infortuni rilevanti dipendenti Verbali inspection su aziende operanti all’interno del sedime e sui fornitori Giuseppe Cutillo Qualità, Sicurezza e Ambiente Responsabile della Qualità Sicurezza e Ambiente Tipo di archivio Scheda 1/2 Sistema informativo Cartaceo Cartaceo Processo Aggregati di dati Tipologia di dato prevenzione rischi Dati sul soggetto e Personale/sensibile sulla maternità prevenzione rischi copia libro infortuni data infortunio nome dipendente età - qualifica dinamica infortunio - danni provocati - giorni di malattia eventuali rapporti di indagine Personale Gestire le statistiche relative agli infortuni e consigliare azioni correttive finalizzate a ridurre i rischi Personale Gestire il processo di controllo effettuato sulle aziende operanti all’interno del sedime Cartaceo Informatico Lotus notes prevenzione rischi Verbale di ispezione Motivazione trattamento Verificare idoeneità al lavoro e richiesta parere medico 11 11 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Area aziendale Posizione Database Infortuni Utenti Giuseppe Cutillo Qualità, Sicurezza e Ambiente Responsabile della Qualità Sicurezza e Ambiente Tipo di archivio Scheda 2/2 Sistema informativo Cartaceo Processo Aggregati di dati Prevenzione rischi Dati relativi al passeggero ed all’incidente Prevenzione incidenti Rapporto di indagine Personale/sensibile Rispetto delle normative di scalo Dati patente Personale Lotus Notes Cartaceo Incidenti Certificazioni patenti* Informatico Lotus Notes Informatico Excel Tipologia di dato Motivazione trattamento Gestire le statistiche relative agli infortuni Personale/sensibile e consigliare azioni correttive finalizzate a ridurre i rischi *in attribuzione alla nuova funzione aziendale occupata dalla Resp. del trattamento Sandra AttadiaRes 12 12 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Emilia de Santis Area aziendale Terminal Posizione Terminal Manager Scheda 1/1 Database Tipo di archivio Sistema informativo Office Reclami Cartaceo/elettronico Attestazione Ritardi Cartaceo Turni pulizie Cartaceo Processo Aggregati di dati Database cartaceo ed elettronico contenente Gestione reclaami anagrafica indirizzo e oggetto del reclamo Generalità richiedente, motivo Attestazione Ritardi della richiesta, dati del volo Generalità dei Gestione delle pulizie capiturno, orario turno Tipologia di dato Motivazione trattamento Personale Gestire il processo Personale Gestire il processo Personale Monitoraggio del processo 13 13 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Maurizio dello Russo Area aziendale Legale Posizione Responsabile ufficio Legale Database Tipo di archivio Documentazione di gara sopra soglia Documentazione aggiudicazioni gara sopra soglia Contratti Documentazione legale Gestione gare Scheda 1/2 Sistema informativo Tipologia di dato Processo Aggregati di dati Cartaceo Gestire appalti, lavori, forniture e servizi sopra soglia Offerte imprese concorrenti Personale Cartaceo Gestire appalti, lavori, forniture e servizi sopra soglia Offerta aggiudicata Personale Cartaceo Gestire la contrattualistica aziendale Cartaceo Gestione del contenzioso Informatico Bravo Solution Cartaceo Gestione sinistri Informatico Lotus notes Gestione Gare Gestire i sinistri avvenuti all’interno del sedime aeroportuale Dati del fornitore relativi all’ufficio legale Dati delle parti in causa, documentazione probatoria contenzioso Tutta la documentazione relativa alle gare Dati relativi al sinistro Personale Personale Personale Personale/sensibi le Motivazione trattamento Acquisire le offerte per la definizione del fornitore Gestire l'offerta aggiudicataria per la predisposizione del contratto Formalizzare i contratti Gestione del rapporto con i legali Gestire efficacemente tutto il processo Gestire i sinistri avvenuti all’interno del sedime aeroportuale 14 14 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Area aziendale Maurizio dello Russo Legale Posizione Responsabile ufficio Legale Scheda 2/2 Database Tipo di archivio Sistema informativo Processo Aggregati di dati Tipologia di dato Motivazione trattamento Informatico Office Gestione servizi generali Contenuto del testo, destinatario e mittente Personale Gestione del servizio Rispetto di procedura aziendale Archivio Raccomandate e telegrammi Comunicazioni ODV Cartaceo Protocollo Direzione Affari legali Cartaceo Gestione polizze assicurative (Fornitori e subconcessionari) Informatico Lotus notes ODV Report Personale Gestione Corrispondenza in uscita Gestire gli obblighi assicurativi scaturenti dal regolamento di scalo, obblighi di legge o scelte aziendali Copia delle comunicazioni in uscita Personale Contratti assicurativi relativi a Gesac, fornitori e sub concessionari Personale Procedura aziendale Gestire gli obblighi assicurativi scaturenti dal regolamento di scalo 15 15 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Area aziendale Michele Miedico Technical department Posizione Resp. Ingegneria Scheda 1/2 Database Tipo di archivio Sistema informativo Subappalti Appalti (Sopra i 10.000 €) Processo Cartaceo Gestione opere pubbliche all'intero del sedime aeroportuale Cartaceo Gestione opere pubbliche all'intero del sedime aeroportuale Informatico Contabilità lavori Cartaceo Windows (Brickwin)Primus Contabilizzazione SAL Aggregati di dati Tipologia di dato Motivazione trattamento DURC In base al codice Documenti di subappalto sugli appalti Certificato CCIAA con antimafia l'appaltante deve Casellario giudiziario di Personale/sensibile richiedere tale amministratori, tecnici e legali documentazione rappresentanti (obblighi di SOA (qualificazione dell'impresa) legge) Documentazione richiesta dall'appaltante: Presentazione del Piano di In base al Codice dettaglio della Sicurezza sugli appalti la Copia libro matricola stazione Copia libro infortuni appaltante deve DURC DUVRI Personale/Sensibile richiedere tale Domanda di subappalto e documentazione documenti di subappalto (obblighi di Copia polizze assicurative legge) Certificazioni antimafia Comunicazioni di apertura e chiusura cantiere Dati economici e contabili sullo stato avanzamento lavori Personale Contabilizzare lo stato di avanzamento dei lavori 16 16 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Michele Miedico Area aziendale Technical department Posizione Resp Ingegneria Database Tipo di archivio Appalti (Sotto i 10.000 €) Cartaceo Scheda 2/2 Sistema informativo Processo Aggregati di dati Gestione opere pubbliche all'intero del sedime aeroportuale Documentazione richiesta dall'appaltante: Presentazione del Piano di dettaglio della Sicurezza Copia libro matricola Copia libro infortuni DURC DUVRI Domanda di subappalto e documenti di subappalto Copia polizze assicurative Certificazioni antimafia Comunicazioni di apertura e chiusura cantiere Tipologia di dato Motivazione trattamento In base al Codice sugli appalti la stazione appaltante deve Personale/Sensibile richiedere tale documentazione (obblighi di legge) 17 17 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Valerio di Lorenzo Area aziendale Technical department Posizione Resp.di Manutenzione Database Tipo di archivio Scheda 1/1 Sistema informativo Processo Aggregati di dati Tipologia di dato Iscrizione CCIAA – Doc. Valutazione Rischi-DurcDich organico medio e contratto di lavoro utilizzatoDenunce Enti Personale sensibile Verifica Idoneità Tecnica Impresa (L. 81/08) Cartaceo Creazione albo fornitori specialistico Contratti di manutenzione Cartaceo Manutenzione Dati contrattuali Personale Banca dati inspection sulle attività di cantiere Informatico Gestione operativa Dati relativi alle ditte che eseguono i lavori Personale Sigema Motivazione trattamento In base alla Legge 81/08 e smi, la stazione appaltante deve richiedere tale documentazione (obblighi di legge) Gestire efficacemente il processo Controllare la regolarità dell’operato delle imprese operanti in airfield. 18 18 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Sergio Gallorini Area Aziendale Commercial Consumer Posizione Responsabile Commercial Consumer Scheda 1/1 Database Tipo di archivio Sistema informativo e-commerce Informatico Chauntry Gestione concorsi Informatico Excel Processo Aggregati di dati Dati targa auto, data parcheggio, dati sul volo Dati personali diversi sui quali Attività promozionale si è ottenuto una specifica autorizzazione Vendita servizi ancillari Tipologia di dato Motivazione trattamento Personale Gestione del processo Personale Gestione commerciale 19 19 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Giuliana Orlando Area Aziendale Parking Posizione Resp. parking e car rental Scheda 1/1 Database Tipo di archivio Sistema informativo Parcheggio Disabili Cartaceo Pagamento ritardato Cartaceo Convenzione parcheggi Informatico Excel Cartaceo Gestione accrediti Informatico Convenzione ordini professionali Informatico Skydata Processo Aggregati di dati Fotocopia documento di Gestione parcheggio riconoscimento e tesserino disabile Fotocopia carta Gestione pagamenti d’identità, dati successivi al ritiro auto, dati dell’auto parcheggio Targa autovettura, Gestione parcheggio generalità dei “convenzionati” Dati visitatore, Parcheggio visitatori orario parcheggio Nominativo, Gestione delle tessere ordine di nominativi ordini appartenenza , professionali dati parcheggio Tipologia di dato Motivazione trattamento Sensibile Controllo della regolarità del processo Personale Gestione del processo Personale Gestione del processo Personale Gestione del processo Personale Gestione del processo 20 20 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Claudio del Vita Area Aziendale Web Marcheting Posizione Responsabile Web Marketing Scheda 1/1 Database Tipo di archivio Sistema informativo Gestione servizi internet Informatico Excel Processo Garantire l’esecuzione contrattuale nel rispetto dell’attuale normativa Aggregati di dati e.mail, dati di traffico Tipologia di dato Personale Motivazione trattamento Consentire l’accesso a internet 21 21 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Daniela Guerra Area aziendale Posizione Company Affair Responsabile affari societari e segreteria corporate Database Tipo di archivio Scheda 1/1 Sistema informativo Processo Aggregati di dati Tipologia di dato Motivazione trattamento Gestione organi societari Dati dei membri del CdA Personale Gestire le convocazioni, la redazione dei verbali e gli adempimenti previsti Gestione sistema dei poteri aziendali Dati dei soggetti cui sono attribuiti poteri Personale Attribuzione ad personam dei poteri Personale L.231 Cartaceo Documenti relativi ai diversi organi societari Documenti di attribuzione poteri Informatico Lotus notes Cartaceo Informatico Lotus notes Tutte le comunicazioni di Enti pubblici o a rilevanza pubblica Tutta la documentazione cartacea che transita per l’ufficio Posta aziendale in arrivo Cartaceo Gestione posta in arrivo Documentazione cartacea Cartaceo Archiviazione documentazione Comunicazioni ODV Cartaceo ODV Report Personale Posta in uscita Cartaceo Archiviazione documentazione Documentazione Ad e Societario Personale Personale Rispetto di procedura aziendale 22 22 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Antonio Guglielmucci Area aziendale Security Mangement Posizione Security Manger Scheda 1/5 Database Tipo di archivio Sistema informativo Dipendenti area Security Dipendenti area Security Processo Acquisire per i dipendenti Dati dei soggetti aziendali l'idoneità alla figura che devono assumere il ruolo di Guardia di Guardia particolare giurata particolare giurata Cartaceo Office Cartaceo/elettronico Erogazione Database cartaceo ed formazione iniziale elettronico contenente e ricorrente prevista anagrafica ed informazioni per legge o da relative a frequenza, risultati standard aziendali ed idoneità al ruolo AOS Dipendenti area Security Divise dipendenti Pubblicazione del turno mensile Cartaceo/elettronico Cartaceo/elettronico Archivio Cartaceo/elettronico Gesac S.p.A.- D.Legisl. 196/2003 Documentazione Documento Programmatico della Sicurezza Febbraio 2016 Aggregati di dati Excel Excel Gestione DPI Tipologia di dato Personale Personale Contiene i dati relativi alla presenza prevista del personale sul posto di lavoro Personale Taglie dei dipendenti Personale Gestione emissione, Dati personale security scadenze certificati Enac e decreti Personale Motivazione trattamento Richiedere all'autorità preposta la certificazione per i dipendenti quale Guardia particolare giurata Archiviare i dati in funzione di attività di verifica da paerte di organi competenti Consentire la pubblicazione del dato al personale coinvolto ed alle risorse coinvolte nell’attività di pianificazione Gestire la consegna del vestiario Controllare 23 il processo 23 connesso alle certificazioni Area aziendale Antonio Guglielmucci Security Mangement Posizione Security Manger Database Tipo di archivio Nominativo Scheda 2/5 Sistema informativo Office Operatori aeroportuali Passeggeri Personale aeroportuale Cartaceo/elettronico Cartaceo Cartaceo Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Processo Aggregati di dati Database contenente i Valutazione delle risultati delle valutazione performance effettuate sull’attività individuali lavorativa della singola risorsa Controllo manuale del bagaglio da stiva Database contenente i moduli riportanti il nominativo e firmati dai passeggeri come autorizzazione al controllo in presenza del proprio bagaglio da stiva Audit di sicurezza aeroportuale: verifica tesserini aeroportuali Database contenente nominativi di personale operante in ambito aeroportuale, oltre a numero di tessera aeroportuale, data, orario e luogo in cui avviene il controllo Tipologia di dato Personale Personale Personale Motivazione trattamento Verifica costante dell’aderenza agli standard aziendali delle prestazioni delle singole risorse, da mettere a disposizione anche per la valutazione del raggiungimento degli obiettivi di settore Conservare per eventuali controversie traccia dell’autorizzazione del passeggero al controllo del bagaglio da stiva Verificare che il personale operante in ambito aeroportuale abbia indosso il tesserino aeroportuale secondo quanto previsto dalla regolamentazione vigente (PNS – Scheda n.5) 24 24 Area aziendale Antonio Guglielmucci Security Mangement Posizione Security Manger Scheda 3/5 Database Tipo di archivio Sistema informativo Nominativo Office Personale Terzo Personale Terzo Personale Terzo Cartaceo / elettronico Cartaceo Cartaceo/ Processo Aggregati di dati Tipologia di dato Database elettronico Addestramento/for contenente le generalità di mazione a società tutto il personale a cui è terze (ex Reg.CE/ stata erogata attività IATA) d’aula Personale Gestione articoli lasciati da pax donati ad enti di beneficenza Moduli e copie di carte di identità (+ lettere di accredito dell’ente) delle persone autorizzate al ritiro di materiale Personale Selezione del personale Security Management Database elettronico e cartaceo contenente tutte le informazioni relative alle persone che partecipano all’intero iter di selezione per le posizioni aperte in Security Personale Motivazione trattamento Mantenere costantemente aggiornato il database dei corsi per eventuali richieste di coppie di attestati da parte delle società clienti e per eventuali attività ispettive degli organi competenti. Conservare i moduli di ritiro da cui si evince l’ente (e la persona) che ha ritirato il materiale e che rappresenta scarico di responsabilità da parte di GeSAC per l’utilizzo di terzi dei prodotti ritirati Archiviazione dei dati delle persone al fine di verificare nel tempo eventuali ricandidature non ammesse da procedura GeSAC vigente (SEC025) 25 25 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Area aziendale Antonio Guglielmucci Security Mangement Posizione Security Manger Scheda 4/5 Database Tipo di archivio Sistema informativo Nominativo Archivio autorizzazioni ai neoassunti per l'accesso alle aree aeroportuali Cartaceo Cartaceo Gestione tesserini aeroportuali, permessi taxi, fornitori Informatico Gestione permessi visitatori area aerostazione e Terrminal 2 SCA Cartaceo Informatico SCA Processo Aggregati di dati Comunicazione con dati del soggetto Security Fotocopia della CI Esito richiesta autorizzazione Assicurare la sicurezza per dipendente: nel sedime Dati del soggetto dell'aeroporto attraverso Fotocopia della CI la gestione dei permessi per azienda esterna/dati di accesso definitivi per licenza taxi dipendenti ed Autocertificazione sulle esterni/consentire procedure, esp l’accesso ai taxi lavorative e di studio Assicurare la sicurezza nel sedime dell'aeroporto attraverso Dati del soggetto la gestione dei permessi di accesso definitivi per dipendenti ed esterni Assicurare la sicurezza nel sedime Dati dei soggetti dell'aeroporto attraverso aziendali che devono la gestione dei permessi accedere al sedime di accesso provvisori per società esterne Tipologia di dato Motivazione trattamento Personale sensibile Ricevere l'autorizzazione da parte degli enti preposti. dell'accesso al sedime aeroportuale del neoassunto Personale Generare e gestire i permessi di accesso al sedime Nel caso di esterni: Dimostrazione della presenza dei requisiti per ottenimento permesso Personale Generare e gestire i permessi di accesso al sedime Personale Generare e gestire i permessi di accesso al sedime 26 26 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Area aziendale Antonio Guglielmucci Security Mangement Posizione Security Manger Scheda 5/5 Database Tipo di archivio Sistema informativo Nominativo Gestione accessi Videosorveglianza Portineria Informatico Immagini digitali Immagini digitali Bagagli in custodia Cartaceo Reclami Cartaceo AOS DGEYES TVCC/DGEYES Processo Aggregati di dati Assicurare la Fotografie sicurezza nel sedime report accessi dell'aeroporto (timbrature) (nome attraverso la gestione cognome, matricola, degli accessi ai vari società, nr. badge) siti aziendali Assicurare la sicurezza nel sedime dell'aeroporto Immagini attraverso la videosorveglianza Assicurare la sicurezza attraverso la videosorveglianza Tipologia di dato Motivazione trattamento Personale Controllare gli accessi presso i varchi presidiati, sia in tempo reale ed ex-post Personale Controllare attraverso le immagini le aree aeroportuali, sia in tempo reale ed ex-post Immagini Personale Custodia bagagli Dati passeggero Personale Gestione sinistro Dati passeggero, oggetto del passeggero danneggiato Personale Controllare attraverso le immagini le aree aziendali (parcheggi /aree private) Consentire la riconsegna del bagaglio Avere traccia dell’accaduto 27 27 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Area aziendale Aniello Mattera Airfield Management Posizione Airfield Manager Scheda 1/2 Database Tipo di archivio Sistema informativo Eventi incidentali Cartaceo Segnalazioni infrazioni al manuale ed al regolamento Registrazioni radio e telefoniche Sistema di Gestione Aviazione Generale Informatico Lotus notes Cartaceo Processo Aggregati di dati Tipologia di dato Gestione operativa Dati relativi ad eventuali incidenti in pista Personale Gestione operativa Informatico Gestione operativa Informatico Gestione operativa GASM Dati relativi all’azienda, alla persona a cui è stata contesta l’infrazione ed al tipo di infrazione Comunicazioni su canale 4 uhf frequenza 440.750 su canale vhf frequenza 131.675e su telefoni 790(rilascio aeromobili) 227 (rifornimento carburante) Dati aeromobile/Richieste di sosta Personale Motivazione trattamento Acquisire elementi per la valutazione dell’evento Acquisire dati per effettuare la richiesta di contestazione formale all’Enac Personale Gestire ed avere traccia delle comunicazioni che avvengono su tali canali in caso di incidenti Personale Gestire correttamente il relativo processo 28 28 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Aniello Mattera Area aziendale Airfield Management Posizione Airfield Manager Database Tipo di archivio Monitoraggio attività diversi operatori Informatico Safety report Scheda 2/2 Sistema informativo Processo Aggregati di dati Tipologia di dato Oracle Analisi delle performance aeroportuali I diversi eventi che generano i ritardi Personale Informatico Lotus notes Rilevazione eventi incidentali Segnalazioni infrazioni RdS Informatico Lotus notes Rispetto delle normative di scalo Sistem ATM Informatico Lotus notes Gestione attività di turn round Sistema di geolocalizzazione Informatico Controllo attività in pista Motivazione trattamento Monitorare le performance dei diversi soggetti che operano sullo scalo. Descrizione evento Gestire ed avere traccia Documentazione di Personale/Sensibile degli eventi incidentali supporto Monitorare le Generalità performance dei diversi Personale dipendenti soggetti che operano sullo scalo Dati Gestire ed avere traccia Personale aeromobile/pilota degli eventi in pista Avere traccia di quanto Localizzazione Personale avviene in pista per automezzi soggetto a notifica ragioni di safety 29 29 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Area aziendale Posizione Database Giuseppe Musto Control room e monitoraggio sistemi Innovazioni tecnologiche e controllo sistemi Tipo di archivio Scheda 1/3 Sistema informativo Processo Aggregati di dati Tipologia di dato Motivazione trattamento Personale Avere traccia degli accessi Personale Security Registro apertura gate Informatico Excel e AOS nice SCA Attività operative Dati persona fisica, orario richiesta, ente di appartenenza, PDO, SDO richiedente Apertura porta PB179 Informatico Excel Attività operative Dati dipendente ASL, orario, motivo AOS DGyes Controllo delle attività operative Immagini h/24 di persone e cose presenti all’interno del sedime Control Room Informatico Controllo in remoto delle attività operative, Videosorveglianza delle infrastrutture e degli impianti aeroportuali 30 30 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Area aziendale Posizione Database Giuseppe Musto Control room e monitoraggio sistemi Innovazioni tecnologiche e controllo sistemi Tipo di archivio Scheda 2/3 Sistema informativo Registro emergenze PEA e Incendio Cartaceo Registrazioni telefoniche e radio Informatico Excel Informatico Report Aos/excel Registro accessi videosorveglianza Apertura manuale da remoto Parcheggi Informatico Excel Processo Aggregati di dati Tipologia di dato Attività operative Dati su aeromobile e pilota e personale operativo Personale Attività operative Registrazioni comunicazioni radio e telefoniche Personale Registrazione evento Personale Monitoraggio delle attività operative Monitoraggio entrate/uscita manuale parcheggi in orario notturno Data, ora , nominativo, targa, motivazione Personale Motivazione trattamento Gestire ed avere traccia degli eventi incidentali e emergenze che coinvolgono aeromobili Gestire ed avere traccia delle comunicazioni operative e di emergenza Avere traccia dell’utilizzo delle videoregistrazioni Avere traccia delle aperture in manuale dei parcheggi 31 31 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Area aziendale Posizione Database Registro microfono, diffusori sonori Sistema automatico di allertamento Giuseppe Musto Control room e monitoraggio sistemi Innovazioni tecnologiche e controllo sistemi Tipo di archivio Informatico Informatico Scheda 3/3 Sistema informativo Processo Aggregati di dati Tipologia di dato Motivazione trattamento Excel Monitoraggio funzionamento dispositivi Data, ora , nominativo SDO, dispositivo Personale Avere traccia delle verifiche funzionali Personale Gestire ed avere traccia degli eventi incidentali e emergenze e dei processi operativi rilevanti necessità operative Everbridge Dati emergenze Gestione aeroportuali, comunicazioni e nominativi, numeri notifiche telefonici e cellulari, mail 32 32 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Posizione MariaTeresa Papagno Contabilità Generale & Tesoreria Resp. Amministrazione e Finanza Database Tipo di archivio Nominativo Area aziendale Archivio fatture attive Anagrafica clienti Archivio registri contabili Archivio ritenute d'acconto Archivio movimenti Scheda 1/3 Sistema informativo Cartaceo Informatico Oracle application Cartaceo Oracle application Aggregati di dati Tipologia di dato Motivazione trattamento Personale Produrre e contabilizzare il documento contabile Consentire la contabilizzazione attiva aziendale Contabilità clienti Fatture Contabilità clienti Campi con indicazione dei dati utili ad identificare il cliente in riferimento alle esigenze contabili Personale Registri di contabilità Personale Documenti contabili Personale Campi con indicazione dei dati utili ad identificare il movimento contabile Personale Contabilità generale Contabilità generale Cartaceo Informatico Processo Contabilità generale 33 33 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Area aziendale Posizione Database Archivio fatture passive Archivio deleghe di firma Archivio contabili bancarie; Documentazione movimenti MariaTeresa Papagno Contabilità Generale & Tesoreria Resp. Amministrazione e Finanza Scheda 2/3 Sistema Tipo di archivio informativo Cartaceo Informatico Oracle Cartaceo Cartaceo Informatico Piteco Anagrafica fornitori Informatico Oracle application Archivio Prima Nota Cartaceo Archivio DURC Cartaceo Processo Aggregati di dati Tipologia di dato Motivazione trattamento Contabilità fornitori Fatture Personale Verificare e contabilizzare il documento Rappresentare l'azienda verso terzi (banche, Deleghe Attestare il potere di firma agenzia delle fotocopie documenti dirigenti ed Personale da parte del entrate); amministratori dirigente/amministratore attestare ad uso interno il potere di firma Contabilità Documenti contabili Verificare e contabilizzare il Personale banche autorizzativi documento Contabilità Documenti obbligatori di verifica Verificare e contabilizzare il Personale banche di regolarità contributiva/fiscale documento Contabilità fornitori Contabilità generale Contabilità fornitori Campi con indicazione dei dati utili ad identificare il fornitore in Personale riferimento alle esigenze contabili Documenti contabili Personale Dati sulla regolarità contributiva Personale del fornitore Consentire la contabilizzazione passiva aziendale Verificare e contabilizzare il documento Obbligo di legge 34 34 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Posizione MariaTeresa Papagno Contabilità Generale & Tesoreria Resp. Amministrazione e Finanza Database Tipo di archivio Nominativo Area aziendale Informatizzato Scheda 3/3 Sistema informativo Excel/Oracle Gestione consulenti Cartaceo Gestione TFR Cartaceo Processo Aggregati di dati Tipologia di dato Motivazione trattamento Pagamento ritenute d’acconto consulenti Dati del consulente Personale Obbligo di legge Gestione Fondo TFR Dati retributivi del dipendente Personale Gestione contabile Personale Personale Archivio libri giornale Cartaceo Contabilità generale Registri di contabilità Comunicazioni ODV Cartaceo ODV Report Multe auto Informatico Excel Contabilità Archivio bonifici per accrediti salari/stipendi Informatico Office Elaborazione paghe Dati relativi alle singole multe Bonifici per accredito stipendi e salari per dipendente Personale Personale Verificare e contabilizzare il documento Rispetto di procedura aziendale Addebito costi ai singoli dipendenti Archiviare le lettere di bonifico per l'accredito di salari e stipendi 35 35 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Mariagrazia Parlato Area aziendale Recupero crediti Posizione Recupero crediti Database Tipo di archivio Gestione finanziaria clienti Informatizzato Contratti di fideiussione Cartaceo Scheda 1/5 Sistema informativo Oracle application Excel in condivisione Processo Aggregati di dati Tipologia di dato Gestione del credito Monte crediti per cliente Personale Recupero crediti Contratti di fideiussione rilasciate da compagnie aeree Pratiche clienti in contenzioso Cartaceo Recupero crediti Sistema di qualificazione servizi di ingegneria (> 100.000 Euro) Cartaceo Creazione albo fornitori specialistico Personale Motivazione trattamento Attestare l'avvenuto rilascio di garanzia da parte del cliente da utilizzare per eventuale recupero crediti Documenti Gestione dl recupero comprovanti il Personale dei crediti incagliati credito Domanda, dati Gestire anagrafici, dati efficacemente economici, dati Personale/sensibile l’affidamento degli professionali, incarichi dati giudiziari. professionali 36 36 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Area aziendale Posizione Database Giuseppina Petrone Acquisti& Company Services Responsabile Acquisti& Servizi Generali Scheda 2/5 Tipo di archivio Sistema informativo Informatico Oracle Processo Aggregati di dati Tipologia di dato Gestire gli Ordini di Acquisto Dati del fornitore Personale Oracle Gestire le Richieste di Acquisto da parte dei soggetti delegati Dati del fornitore Personale Oracle Gestire le Richieste di Acquisto da parte dei soggetti delegati Ordini di acquisto Cartaceo Richieste di acquisto Anagrafica fornitori (storico) Informatico Informatico Dati del fornitore Personale Motivazione trattamento Formalizzare e gestire l'acquisto e/o contratto di fornitura – Acquisizione dei CIG c/o sito A.V.C.P. Generare le richieste di acquisto ed indicare il fornitore selezionato solo in caso di beni catalogati e/o richiesta di affidamento diretto. Generare le richieste di acquisto ed indicare il fornitore scelto solo in caso di beni catalogati. 37 37 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Area aziendale Posizione Database Gestione vendor rating Banca Dati Portale Fornitori Documentazione per incarichi professionali sotto i 100.000 euro Giuseppina Petrone Acquisti& Company Services Responsabile Acquisti& Servizi Generali Tipo di archivio Informatico Informatico Informatico Scheda 3/5 Sistema informativo Processo Aggregati di dati Tipologia di dato Piattaforma BS Gestire i sistemi di qualificazione lavori e ingegneria Dati del fornitore Personale Piattaforma B.S. Marketing di acquisto Dati del fornitore qualificato (elementi utili a valutare il possesso dei requisiti ai fini della qualificazione) Requisiti Soa Oracle Gestire gli acquisti per importi sotto i 100.000 euro Dati fornitori Motivazione trattamento Monitoraggio della qualità dei servizi erogati su segnalazione di disservizio dell’utenza ed eventuale applicazioni delle penalità contrattualmente previste Personale Ricercare i fornitori classificati per categoria merceologica di appartenenza per supportare il processo di acquisto Personale Formalizzare e gestire l'incarico professionale Acquisizione dei CIG c/o sito A.V.C.P. 38 38 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Area aziendale Posizione Database Gara telematica/Asta elettronica Sopra/sotto soglia Indagini di mercato Acquisti non perfezionati Registro protocollo posta raccomandata e prioritaria Giuseppina Petrone Acquisti& Company Services Responsabile Acquisti& Servizi Generali Tipo di archivio Informatico (Smaterializzazione del cartaceo) Informatico Cartaceo Cartaceo Informatico Scheda 4/5 Sistema informativo Piattaforma B.S. Piattaforma B.S. Processo Gestione acquisti Marketing di acquisto Gestione acquisti Gestione servizi generali Aggregati di dati Dati dei fornitori qualificati Ricerche di mercato/indici di comparazione/verb ale di aggiudicazione Dati dei potenziali fornitori Dati mittente Tipologia di dato Personale Personale Personale Personale Motivazione trattamento Valutazione tecnico/economica delle offerte pervenute in formato digitale/comunicazione e-mail di aggiudicazione provvisoriaverbalizzazione della gara e relativi adempimenti Comunicazione di aggiudicazione c/o sito A.V.C.P., pagamento dei MAV se previsto, Informazioni Prefettizie Individuare il fornitore ottimale nel caso non siano qualificati sul Portale almeno n. 3 fornitori con le caratteristiche richieste – Vedi Regolamento ciclo passivo Storico delle procedure di acquisto inevase Gestione protocollo entrata ed uscita 39 39 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Posizione Giuseppina Petrone Acquisti& Company Services Responsabile Acquisti& Servizi Generali Database Tipo di archivio Sistema informativo Processo Aggregati di dati Tipologia di dato Motivazione trattamento Archivio Raccomandate e telegrammi Informatico Office Gestione servizi generali Contenuto del testo, destinatario e mittente Personale Gestione del servizio Informatico Nuvola (telecom) Gestione della telefonia Dati relativi al traffico delle singole utenze Personale Controllare il rispetto della normativa aziendale da parte dei singoli utenti Gestione della telefonia Dati relativi al traffico delle singole utenze Personale Controllare il rispetto della normativa aziendale da parte dei singoli utenti Gestione del parco auto aziendale Dati relativi a sinistri e multe Personale Gestire le problematiche connesse alla conduzione delle auto Gestione del parco telefonini aziendali Dati relativi ai numeri ed eventuali accadimenti Personali Nominativo Area aziendale Traffico voce e dati connesso alla telefonia mobile Traffico voce connesso alla telefonia fissa Gestione auto aziendali Gestione telefonini aziendali Scheda 5/5 Cartaceo Informatico Telcen Blue’s Professional Cartaceo Informatico Office Cartaceo Informatico Office Comunicazioni ODV Cartaceo ODV Report mensili Personale Comunicazioni ODV Cartaceo ODV Report trimestrali Personale Gestire le problematiche connesse alla gestione dei telefonini Rispetto di procedura aziendale per acquisti sotto i € 150.000 Rispetto di procedura aziendale per acquisti sopra i € 150.000 40 40 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Antonio Saverese Area aziendale Posizione Sicurezza e Ambiente Responsabile medico aziendale Database Tipo di archivio Cartella medica del dipendente Cartaceo Archivio Storico Cartaceo Classificazioni Informatico Scheda 1/2 Sistema informativo Excel Processo Aggregati di dati Tipologia di dato Motivazione trattamento Documenti diagnostici da esami esterni Archiviare le risultanze Documenti diagnostici da visita pre Sorveglianza delle visita mediche cui assunzione Sensibile Sanitaria sono stati sottoposti i Comunicazione esito visita dipendenti Documenti diagnostici da visite periodiche Stagionali, Personale in quiescenza, Personale selezionato e non assunto: Archiviare le risultanze Documenti diagnostici da esami Sorveglianza della visita medica di esterni Sensibile Sanitaria personale non in Documenti diagnostici da visita pre servizio assunzione Comunicazione esito visita Archiviare per classi le Gestione del Dati sanitari del personale in risultanze delle visita Sensibile personale servizio mediche cui sono stati sottoposti i dipendenti 41 41 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Antonio Saverese Area aziendale Sicurezza e Ambiente Posizione Responsabile medico aziendale Database Tipo di archivio Archivio Convocazioni Visite Cartaceo Scheda 2/2 Sistema informativo Processo Gestione programma sanitario aziendale Aggregati di dati Data e giorno convocazione Eventuali assenze Tipologia di dato Motivazione trattamento Personale Avere traccia delle convocazioni fatte i adempimento del programma sanitario aziendale. 42 42 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Flavia Scandone Area aziendale CRM Posizione Responsabile CRM Scheda 1/1 Database Tipo di archivio Sistema informativo FLY YOU Informatico Processo Profilazione utenti Aggregati di dati Tipologia di dato Motivazione trattamento Abitudini al consumo degli utenti Personale Soggetto a notifica Gestire in maniera più efficace i servizi al passeggero nei confronti dell’utente 43 43 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Area aziendale Posizione Database T rattenute mensili dipendenti (trattenute sindacali, anticipi stipendi, cessione Quinto, pignoramento verso terzi) Antonietta Stefanile Pianificazione e Controllo di gestione Analisi Staff Cost & Fiscale Tipo di archivio Informatico Scheda 1/2 Sistema informativo Office Processo Aggregati di dati Tipologia di dato Motivazione trattamento Elaborazione paghe Modulo per la cessione del Quinto;richiesta svincolo del 70% della liquidazione per acquisto caso o causa malattia Pignoramenti ecc. Personale sensibile Identificare le trattenute da operare mensilmente sui salari e stipendi 44 44 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Antonietta Stefanile Area aziendale Pianificazione e Controllo di gestione Posizione Analisi Staff Cost & Fiscale Scheda 2/2 Database Tipo di archivio Sistema informativo Processo Aggregati di dati Tipologia di dato Motivazione trattamento Archivio cedolini paga Informatico PDF Elaborazione paghe Cedolini paga per dipendente Personale Archiviare i cedolini paga dei dipendenti Gestione del personale Lista dipendenti, tipologia e importo trattenuta Sensibile Cartaceo Stampa trattenute mensili dipendente Informatico PDF Dichiarazioni 770 Cartaceo/Informatico PDF Gestione del personale Dati contributivi e retributivi dei dipendenti Personale Obbligo di legge Riepilogativo Busta paga Informatico TXT Gestione del personale Dati riepilogativi busta paga Personale Controlli buste paghe Documenti a consulente Informatico Office Gestione del personale Dati diversi Personale 45 45 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Area aziendale Posizione Maria Concetta Tufano Internal Auditing, Responsabile Internal Auditing, Componente ODV Database Tipo di archivio Gestione audit Scheda 1/1 Sistema informativo Processo Aggregati di dati Tipologia di dato Cartaceo Internal audit Risultati degli audit Personale Gestione audit ODV Cartaceo ODV Risultati audit ODV Personale ODV Flussi comunicazioni in entrata Informatico ODV Dati provenienti dalle diverse funzioni aziendali Personale Lotus notes Motivazione trattamento Gestione del processo di auditing Gestione del processo di vigilanza sul funzionamento e osservanza del MOG Processo ODV 46 46 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 Nominativo Sandra Attadia Elio Damiano Onorato Firmamento Raffaele Lavezza Luigi Moschetti Massimiliano Pecora Antonio Trotta Area aziendale Operations Posizione ADM Scheda 1/1 Database Tipo di archivio Sistema informativo Processo Aggregati di dati Safety report Informatico Lotus notes Rilevazione eventi incidentali/potenzial mente incidentali Descrizione evento Documentazione di supporto Airport daily report Informatico Lotus Notes Controllo delle attività operative Descrizione eventi Registro passaggio consegne Cartaceo Controllo delle attività operative Cartaceo Controllo Accessi Cartaceo Richieste Polaria Autorizzazioni di accesso temporanee in caso di urgenza Registro accessi videosorveglianza Fuori orario di ufficio Descrizione eventi/passaggio consegne Documentazione occorrente per il rilascio dei tesserini per l’accesso temporaneo Filmati Motivazione trattamento Gestire ed avere Personale/Sensibil traccia degli eventi e incidentali Avere traccia di Personale quanto accade nell’operativo Avere traccia di tutto Personale quanto accade nell’operativo Tipologia di dato Personale Rilascio del tesserino Personale Security 47 47 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 I RISCHI POTENZIALI In relazione alle attuali banche dati presenti in azienda ed al contesto organizzativo si considerano rischi potenziali quelli descritti in tabella. Si/No Descrizione dell'impatto sulla sicurezza (gravità: alta/media/bassa) Carenza di consapevolezza, disattenzione o incuria X Alto Comportamenti sleali o fraudolenti X Alto Errore materiale X Alto X Alto X Medio Malfunzionamento, indisponibilità o degrado degli strumenti X Medio Accessi esterni non autorizzati X Basso Accessi non autorizzati a locali/reparti ad accesso ristretto X Alto X Medio X Basso Guasto ai sistemi di utilities X Medio Errori umani nella gestione della sicurezza fisica X Medio Eventi relativi al contesto Eventi relativi agli strumenti Comportamenti degli operatori Rischi Azione di virus informatici o di programmi suscettibili di recare danno Spamming o tecniche di sabotaggio Sottrazione di strumenti contenenti dati Eventi distruttivi, naturali o artificiali, nonché dolosi, accidentali o dovuti ad incuria 48 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 48 MISURE DI SICUREZZA PRIVACY AZIENDALI M.S.P.01. Misura di sicurezza al fine di garantire una corretta informativa Al fine di garantire una corretta informativa è pubblicata sul sito internet Gesac la policy privacy aziendale: La stessa è aggiornata con cadenza semestrale. Misura a carico dell’ufficio Legale M.S.P.02. Misura di sicurezza al fine di garantire una corretta acquisizione di dati personali di terzi in caso di utilizzazione degli stessi per le finalità per le quali sono stati raccolti. Al fine di garantire una corretta informativa e di rispettare quanto previsto dagli art. 13 e 15 del dlgs 196/2003, ogni qualvolta Gesac provvede ad acquisire dati di terzi per finalità di cui all’art.15 del su indicato dlgs., ivi compresi quelli connessi alla videosorveglianza -attraverso apposita dicitura- rende noto: il sito internet dove è possibile consultare la policy privacy Gesac; le finalità per le quali vengono trattati i dati; la modalità di raccolta e trattamento; l’impegno a non trattare i dati raccolti per finalità diverse da quelli per i quali sono stati raccolti. Misura a carico del singoli responsabili M.S.P.03. Misura di sicurezza al fine di garantire una corretta acquisizione di dati personali di terzi in caso di utilizzazione degli stessi per le finalità diverse da quelle per le quali sono stati raccolti. Al fine di garantire una corretta informativa e di rispettare quanto previsto dagli art. 13 e 15 del dlgs 196/2003, ogni qualvolta Gesac intende utilizzare dati di terzi per finalità diverse da quelle per cui sono stati raccolti -attraverso apposita dicitura- rende noto: il sito internet dove è possibile consultare la policy privacy Gesac; le finalità per le quali vengono trattati i dati; la modalità di raccolta e trattamento; i soggetti e/o le categorie di soggetti a cui i dati verranno dati Per poter diffondere tali dati o utilizzarli per finalità diverse provvede a farsi autorizzare per iscritto e provvede altresì a comunicare le conseguenze di un eventuale rifiuto. In nessun caso Gesac trasmette a terzi dati sensibili se non per obbligo di legge. Misura a carico del singoli responsabili 49 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 49 M.S.P.04. Misura di sicurezza al fine di garantire un corretto comportamento in termini di privacy da parte di tutto il personale Gesac Al fine di permettere a tutto il personale (stagisti, collaboratori con contratti a progetto, interinali, assunti a tempo indeterminato/determinato) presente in azienda di adeguare i propri comportamenti agli obblighi previsti dalla normativa ed alle misure di sicurezza aziendali, Gesac all’atto dell’inserimento in azienda provvede a: attivare user name e pw individuali per la fruizione del corso di formazione sulla privacy in modalità e-learning; consegnare la lettera istruzioni a firma del titolare del trattamento unitamente alla Policy Privacy aziendale; verificare che la formazione e-learning sia stata correttamente effettuata. Misura a carico di Risorse Umane M.S.P.05. Misura di sicurezza per la comunicazione all’esterno di dati personali a titolarità Gesac. In caso di trasmissione all’esterno di dati personali a titolarità Gesac, nella lettera/pagina di accompagnamento del documento contenente i su indicati dati, va apposta la seguente clausola: “Questo messaggio può contenere dati personali e/o di carattere riservato. Ogni uso diverso da quello per cui tali informazioni vengono fornite è da considerarsi non in linea con la normativa 196/2003 relativa al trattamento dei dati personali e pertanto non lecito. Nel trattare tale dati, si invita pertanto il destinatario, nel rispetto di quanto su indicato, ad adottare tutte le misure di sicurezza più adeguate.” Misura a carico del singoli responsabili M.S.P.06. Misura di sicurezza per il trattamento dei dati personali dei fornitori Su ogni ordine/contratto di Gesac è apposta la seguente clausola “Sul sito http:///www.gesac.it è presente l’informativa privacy di Gesac” Misura a carico di Acquisti M.S.P.07. Misura di sicurezza a protezione dei dati personali a titolarità Gesac nei confronti dei fornitori. Su ogni ordine/contratto che per sua natura non prevede di genere il trasferimento al fornitore di dati personali a titolarità Gesac, è apposta la seguente clausola: “Nell’espletamento dell’attività il fornitore potrà venire a conoscenza di dati/informazioni la cui titolarità del trattamento, ai sensi del decreto legislativo 196/2003 sul trattamento dei dati personali, è in capo a Gesac spa. In tal caso dovrà “trattare” i su indicati dati personali nel rispetto integrale della normativa 196/2003 ed in particolare modo della parte relativa alle misure di sicurezza. E’ fatto pertanto assoluto divieto di divulgare a terzi le informazioni personali acquisite se non in adempimento di obblighi di legge o a seguito di adempimento contrattuale con Gesac spa ed è altresì fatto obbligo di effettuare 50 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 50 ogni “trattamento” nel rispetto dei diritti dell’interessato e quindi permettere a cura del titolare del trattamento, la cancellazione, il blocco, l’aggiornamento, la rettifica o la modifica dei dati.” Misura a carico di Acquisti M.S.P.08. Misura di sicurezza a protezione della comunicazione a fornitori dei dati personali a titolarità Gesac. Su ogni ordine/contratto di Gesac che prevede per sua natura il trasferimento al fornitore di dati personali a titolarità Gesac, è apposto sull’ordine/contratto, in luogo della clausola prevista dalla misura di sicurezza M.S.P. 07, la seguente clausola: “Il fornitore nell’espletamento delle sue attività tratterà dati/informazioni la cui titolarità del trattamento, ai sensi della legge 196/2003 sul trattamento dei dati personali, è in capo a Gesac Spa. Tali su indicati dati personali dovranno essere trattati nel rispetto integrale della normativa 196/03 ed in particolar modo della parte relativa alle misure minime di sicurezza. E’ fatto pertanto assoluto divieto di divulgare a terzi le informazioni personali acquisite se non in adempimento ad un obbligo di legge o a seguito di adempimento contrattuale con Gesac Spa ed è altresì fatto obbligo di effettuare ogni “trattamento” nel rispetto dei diritti dell’interessato e quindi permettere, a cura del titolare del trattamento, la cancellazione, il blocco, l’aggiornamento, la rettifica o la modifica dei dati. A salvaguardia della propria posizione, Gesac SpA si riserva il diritto di attivare nei confronti del fornitore un’attività di audit per la verifica del rispetto integrale della normativa 196/2003, ed in particolare della presenza di adeguate misure di sicurezza a protezione dei dati e della modalità di trattamento dei propri dati. Il fornitore è tenuto ad indicare, qualora quest’ultimo fosse presente nella sua organizzazione, il nome del responsabile del trattamento dati.” Misura a carico di Acquisti M.S.P.09. Misura di sicurezza al fine di garantire un corretto comportamento in termini di privacy da parte di tutto il personale interinale. Nel caso di contratto avente ad oggetto la fornitura di lavoro, unitamente alla clausola di cui alla misura M.S.P. 08, è inserita la seguente clausola: “Qualora in ottemperanza agli obblighi contrattuali, Vostro personale/Ella dovesse svolgere l’attività presso gli uffici Gesac ed avere accesso a banche dati contenenti dati personali, al Vostro personale/Ella è fatto obbligo di documentarsi preventivamente sui contenuti della legge 196/2003 e seguire le indicazioni ed istruzioni contenute nelle ISTRUZIONI che sarà tenuto a procurarsi presso l’ufficio personale prima di iniziare l’attività lavorativa e di seguire le indicazioni impartite dal Responsabile al trattamento dati cui i dati fanno riferimento e di riferirsi a lui in merito alle misure di sicurezza da adottare.” Misura a carico di Risorse Umane 51 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 51 M.S.P.010. Misura di sicurezza per l’acquisizione di dati personali di candidati attraverso selezione gestita da società di selezione Sul contratto/ordine con la società di selezione è apposta la seguente clausola: La società affidataria si impegna a trattare i dati personali relativi ai candidati oggetto delle attività di selezione di cui al presente contratto, nel completo rispetto della legge 196/2003. Pertanto per tutti i dati personali che cederà a Gesac la società affidataria avrà provveduto ad ottenere adeguata autorizzazione dagli interessati e per ogni interessato di cui avrà fornito a Gesac dati personali, si impegna a fornire a Gesac -in copia- adeguata autorizzazione. Misura a carico di Risorse Umane M.S.P.011. Misura di sicurezza per la corretta gestione delle banche dati personali aziendali Per garantire una corretta gestione delle banche dati personali aziendali, le stesse sono mappate e codificate. Non è pertanto possibile costituire nuove banche dati personali senza l’autorizzazione del titolare del trattamento. Nel caso in cui nuovi processi aziendali e/o nuove procedure necessitino la creazione di nuove banche dati aziendali ne viene data comunicazione al Responsabile Ufficio Legale. Con cadenza trimestrale, in occasione dell’audit privacy, i singoli responsabili rilasciano una autocertificazione attestante la rispondenza tra le banche dati presenti nella propria area e quelle mappate e codificate. Misura a carico dei singoli responsabili M.S.P.012. Misure di sicurezza a protezione dei dati personali cartacecei Ogni incaricato al trattamento, nel trattare documenti cartacei contenenti dati personali non facenti parte delle banche dati aziendali: non riproduce mediante fotocopia o ristampa –se non quando previsto da procedure aziendali- i documenti; custodisce i documenti in luoghi ad accesso selezionato e comunque non permette la visone degli stessi a terzi; distrugge i documenti a valle dell’utilizzo a meno che gli stessi non debbano concorrere ad implementare una banca dati già esistente e codificata. Misura a carico dei singoli responsabili M.S.P.013. Misure di sicurezza a protezione fisica delle banche dati personali cartacee A protezione delle banche dati cartacee le stesse vanno archiviate in armadi con serratura. Qualora uno dei documenti in esse contenute dovesse essere “trattato” da un incaricato, il Responsabile a cui tale banca dati fa riferimento ha cura di verificare che lo stesso, a valle del trattamento, venga nuovamente archiviato nella banca dati di appartenenza. Misura a carico dei singoli responsabili 52 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 52 M.S.P.014. Misure di sicurezza a protezione fisica contro il rischio di intrusione nei luoghi dove sono custodite banche dati e dati cartacei. A protezione dei luoghi dove sono custodite banca dati personali e/o dati personali, l’accesso a tali luoghi è garantito attraverso un sistema selezionato di controllo accessi. Misura a carico di Airport Security e Services Office M.S.P.015. Misura di sicurezza per l’utilizzo della videosorveglianza Alfine di rispettare appieno la normativa privacy in materia di videosorveglianza Gesac adotta i seguenti accorgimenti: prima di avviare un nuovo trattamento ne verifica la liceità in base alle norme vigenti; informare le persone soggette a ripresa della presenza di attrezzature di video sorveglianza mediante appositi cartelli; effettuare le riprese in maniera congrua rispetto agli obiettivi prefissati, raccogliendo esclusivamente i dati strettamente necessari per il raggiungimento delle finalità perseguite, registrando le sole immagini indispensabili, limitando l'angolo visuale delle riprese, evitando -quando non indispensabili- immagini dettagliate, ingrandite o dettagli non rilevanti; stabilisce con precisione entro quanto tempo le immagini devono essere cancellate e prevede la loro conservazione solo in relazione ad illeciti che si siano verificati o ad indagini giudiziarie o di polizia; individua con designazione scritta le persone che possono utilizzare gli impianti e prendere visione delle registrazioni; impedisce l'accesso alle immagini da parte di persone non autorizzate; Misura a carico di Airport Security e Services Office M.S.P.016. Misura di sicurezza a protezione dei dati personali raccolti mediante sistemi di localizzazione dei veicoli nell'ambito del rapporto di lavoro per soddisfare esigenze organizzative, produttive ovvero per la sicurezza sul lavoro Affinché i suddetti dati siano trattati nel rispetto di quanto previsto dal dlgs. 196/2003 e di quanto previsto dal provvedimento del Garante n. 370 del 4 ottobre 2011 Su ogni automezzo soggetto a geo localizzazione va apposta una informativa sulla falsariga di quanto disposto nel su indicato provvedimento del Garante ; I dati personali legati a tale attività non potranno essere conservati per un periodo superiore a 60 giorni e saranno cancellati automaticamente dai sistemi informativi entro tale periodo di tempo. I dati potranno essere utilizzati esclusivamente per le finalità connesse a quanto previsto dal regolamento aeroportuale. La geo localizzazione sarà effettuata esclusivamente all’interno del sedime aeroportuale. 53 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 53 Il trattamento di tali dati dovrà essere adeguatamente notificato al Garante. Tutte le risorse aziendali (Responsabile ed incaricati) riceveranno adeguata istruzione circa il provvedimento del Garante n. 370 del 4 ottobre 2011 Misura a carico dell’airfied manager M.S.P.017. Misura di sicurezza per l’attuazione della normativa 196/2003 in relazione agli Organi Societari ed Assembleari Alfine di rispettare appieno la normativa privacy nei confronti di tutti gli organi societari ed assembleari sia in termini di informativa che di istruzioni, Gesac provvede a consegnare ad ogni titolare di incarico societario o assembleare – all’atto della nomina- apposita comunicazione denominata “Informativa agli Organi Societari e di Controllo” Misura a carico di Affari Societari & Servizi Generali M.S.P.018. Misura di sicurezza a protezione del sistema privacy aziendale Al fine di garantire un efficace gestione del sistema privacy aziendale, sono state definite le seguenti procedure interne: con cadenza annuale viene rivisitato il sistema di responsabilità al fine di verificarne la rispondenza con l’assetto organizzativo; con cadenza trimestrale viene effettuato un audit tra i singoli responsabili al fine di verificare il rispetto dell’attuazione delle misure di sicurezza; con cadenza annuale viene realizzato il DPS. Misura a carico di Legale M.S.P.019. Misura di sicurezza a protezione della privacy informatica Al fine di garantire il rispetto della deliberazione n. 13 dell 2007 emanata dal Garante, Gesac provvede ad aggiornare e rendere noto a tutti i propri dipendenti il Regolamento informatico e si adopera affinché le norme in esso contenute vengano rispettate da tutti gli utilizzatori delle risorse informatiche Misura garantita a cura di ICT Security M.S.P.020. Misura di sicurezza a protezione dell’accesso da parte di non autorizzati delle banche dati informatizzate. Affinché abbiano accesso alle singole banche dati personale esclusivamente gli incaricati al trattamento specificatamente preposti a ciò ogni incaricato provvede a cambiare la propria pw di accesso ogni sei mesi nel caso in cui abbia accesso a dati personali ordinari e ogni tre mesi nel caso in cui abbia accesso a dati personali particolari; ogni incaricato deve provvedere ad attivare sulla propria postazione informatizzata lo screen saver con pw. Misura a carico dei singoli responsabili 54 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 54 M.S.P.021. Misura di sicurezza a protezione delle banche dati informatizzate contro il rischio di malfunzionamento, indisponibilità o degrado degli strumenti, Al fine di garantire un corretto funzionamento della rete intranet e dei server centralizzati contenenti banche dati personali in Gesac è applicato il programma di manutenzione programmata di seguito specificato. Gestione del Dominio di Windows Monitoraggio, manutenzione e aggiornamento dei S.O. server Backup, Ripristino e Pianificazione del monitoraggio di Active Directory Creazione, modifica e configurazione di oggetti Criteri di gruppo (GPO) Configurazione e modifiche delle condizioni per l'applicazione dei Criteri di gruppo Verifica dei Criteri di gruppo e risoluzione dei problemi relativi Distribuzione del software Configurazione, manutenzione e aggiornamento del software distribuito Configurazione e modifiche all’accesso alle stampanti gestite da active directory Gestione della memorizzazione dei dati e delle risorse hardware Risoluzione dei problemi relativi Pianificazione strategica Gestione dei Log Audit, reporting e scheduling dei file di log per: Accesso alle PDL, accesso ad internet, accesso alla posta elettronica, web server, mail server, event viewer dei server aziendali, proxy filtraggio siti Gestione Backup Pianificazione della politica di Backup aziendale Gestione delle politiche di Backup e di Ripristino sui server aziendali di produzione e di testing Router, collegamenti VPN/sicurezza Configurazione e manutenzione dei router aziendali Gestione, configurazione e aggiornamento del software proxy per l’accesso ad internet Gestione, configurazione e aggiornamento del software di filtraggio dei siti web vietati e risoluzione delle problematiche inerenti all’accesso ai siti web Monitoraggio, gestione ed eventuali risoluzione di problematiche di sicurezza inerenti a router e Gestione, configurazione e monitoraggio del servizio “Windows Server Update Services” per tutte le postazioni della rete aziendale 55 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 55 Gestione, configurazione e monitoraggio del sistema antivirus “CA ETrust ” per tutte le postazioni della rete aziendale Gestione, configurazione e monitoraggio delle area aziendali dei dati sottoposti a “Privacy” e gestione dell’integrità e conservazione degli stessi Servizi Internet, DNS, Mail e Web Server Gestione, manutenzione e aggiornamento del servizio DNS interno su Microsoft Windows 2000 Server Gestione, manutenzione e aggiornamento del servizio Web (Oracle Portal) su Microsoft Windows 2000 Server Gestione, manutenzione e aggiornamento del servizio Mail Interna su Lotus Domino Windows 2000 Server Sulla infrastruttura tecnologica che ospita le banche dati informatizzate adeguate misure informatiche software e hardware impediscono che le su indicate banche dati vadano perse o risultino anche temporaneamente inaccessibili. (Piano di desaster & recovery) Misura garantita a cura di ICT Security M.S.P.022. Misura di sicurezza a protezione delle banche dati informatizzate contro il rischio di accessi esterni non autorizzati e contro il rischio intrusione e dall’azione di programmi di cui all’art. 615 quinques del codice penale Sulla infrastruttura tecnologica che ospita le banche dati informatizzate, adeguate misure informatiche software e hardware impediscono che le stesse risultino danneggiate o violate attraverso le azioni di cui in oggetto. Misura garantita a cura di ICT Security. M.S.P.023. Misura di sicurezza a protezione dei server contro il rischio fisico di intrusione. I server su cui sono archiviate le banche dati personali sono custoditi in luoghi chiusi a chiave e l’accesso agli stessi è permesso esclusivamente a personale autorizzato. Misura garantita a cura di ICT Security. M.S.P.024. Misura di sicurezza in applicazione di quanto disposto dal Provvedimento del Garante pubblicato sulla G.U. del 24/12/2008 avente ad oggetto nuovi obblighi a carico degli amministratori di sistema In Gesac le attività IT sono affidate tutte in outsourcing. Al fine di garantire una corretta applicazione del provvedimento in oggetto, Gesac oltre ad acquisire una dichiarazione di responsabilità da parte dei fornitori, circa le modalità di applicazione del predetto provvedimento, effettua con cadenza annuale un audit volto alla verifica della congruenza o meno tra quanto indicato nella dichiarazione di responsabilità e quanto realmente messo in essere. In particolare ad ogni fornitore viene espressamente richiesto di predisporre sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici (nella qualità di “amministratore di sistema”); tali registrazioni (access log) devono avere 56 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 56 caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Misura garantita a cura di ICT Security M.S.P.025. Misura di sicurezza in applicazione di quanto disposto dal Provvedimento del Garante del 2 marzo 2011riguardante il trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web “. Tutti i documenti e le informazioni che Gesac ritiene di dover pubblicare sul proprio sito WEB in adempimento di specifici obblighi normativi saranno formattati con una filigrana in sottofondo contenente il logo Gesac e la data di pubblicazione in modo da renderli quanto meno decontestualizzabili. La pubblicazione avverrà inoltre seguendo procedure tecniche che impediscano la duplicazione automatica di tali documenti su server esterni Misura garantita a cura di ICT Security 57 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 57 POLICY INFORMATICA AZIENDALE MSP 018 ai sensi della Deliberazione del Garante sulla privacy n.13 del 1° marzo 2007 58 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 58 Premessa La presente policy, esprime i principi ispiratori del modello informatico aziendale, stabilisce le modalità e i termini di utilizzo delle risorse informatiche da parte degli utenti, definisce, altresì, i sistemi di controllo e le misure di sicurezza informatiche che, ai sensi del decreto legislativo 196/2003 “trattamento dei dati personali”, l’azienda adotta. I Principi Ispiratori del modello informatico aziendale Tutte le risorse informatiche SW e HW in uso in azienda, unitamente ai dati- personali e non- in esso memorizzati, sono di esclusiva proprietà aziendale e pertanto ogni uso che non sia strettamente connesso alla finalità per cui le stesse sono date in uso ai differenti utenti è vietata. In relazione a ciò l’azienda, tramite i Sistemi Informativi, si fa carico di garantire che i dati trattati informaticamente siano sempre esatti e rispondenti alle specifiche funzionali ed in linea con quanto definito dai principi di correttezza e trasparenza. Tutte le attività di sviluppo sw recependo quanto previsto dalle deliberazioni del Garante sulla privacy sono orientate al principio di necessità e riducono al minimo l’utilizzazione dei dati personali. L’azienda tramite i Sistemi Informativi provvede a fare in modo che vengano rispettati i diritti di copyright relativi ai software. L’uso personale ed esclusivo delle credenziali di accesso rappresenta lo strumento principe attraverso il quale l’azienda garantisce - lato utente - che l’accesso alle risorse aziendali avvenga nel rispetto di quanto previsto e dalle misure di sicurezza della privacy. A tal proposito si adopera affinché sia diffusa al proprio interno una cultura che faccia del rispetto della riservatezza della proprie credenziali di accesso uno strumento cardine per l’accesso e l’utilizzo in sicurezza delle risorse informatiche. I Sistemi Informativi garantiscono altresì che l’accesso alle funzioni ed ai dati avvenga attraverso un sistema di abilitazioni, tramite password rilasciata a chi, in funzione dei ruoli definiti dai processi aziendali, sia il legittimo titolato, e ne assicura nel tempo il rispetto e l’aggiornamento. Le modalità di utilizzo delle risorse informatiche da parte degli utenti 1. Norme relative all’utilizzo della propria postazione informatizzata La propria postazione di lavoro informatizzata può essere utilizzata esclusivamente per finalità aziendali e nell’utilizzo della stessa è fatto obbligo di rispettare le norme di seguito descritte. a. E’ consentito accedere alla rete GESAC aziendale esclusivamente mediante l’utilizzo di postazioni di lavoro informatizzate fisse collegate in rete. b. Onde evitare il grave pericolo di introdurre virus informatici nonché di alterare la stabilità delle applicazioni dell'elaboratore, non è consentito installare programmi provenienti dall'esterno. c. Non è consentito l'uso di programmi non distribuiti ufficialmente dai Sistemi Informativi (v., in proposito, gli obblighi imposti dal dlgs 29 dicembre 1992, n. 518, sulla tutela 59 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 59 d. e. f. g. giuridica del software e dalla legge 18 agosto 2000, n. 248, contenente nuove norme di tutela del diritto d'autore). Non è consentito utilizzare strumenti software e/o hardware atti a interpretare, falsificare, alterare o sopprimere il contenuto di comunicazioni e/o documenti informatici. Non è consentito modificare le configurazioni definite dai Sistemi Informativi ed impostate sul proprio PC. Non è consentito upgradare/integrare la propria postazione di lavoro ne introdurre in azienda hw di proprietà personale. Attraverso la propria postazione di lavoro non è consentito estrarre dati se non per finalità lavorative: qualora tale estrazione fosse prevista, non è consentito portare i dati estratti all’esterno della propria sede lavorativa fatta salva autorizzazione aziendale. h. E’ fatto obbligo di cambiare la propria password di accesso almeno ogni 6 mesi. i. E’ fatto obbligo di attivare sulla propria postazione informatizzata lo screen saver con password. j. E’ fatto obbligo di rispettare tutte le misure di sicurezza della privacy previste dall’azienda 2. Norme relative all’utilizzo della rete internet L’accesso ad internet è subordinato ad una specifica autorizzazione. Coloro i quali hanno accesso ad internet sono tenuti al rispetto delle seguenti norme a. non è consentito navigare in siti non attinenti allo svolgimento delle mansioni assegnate; b. non è consentita l'effettuazione di ogni genere di transazione finanziaria ivi compreso le operazioni di remote banking, acquisti on-line e simili per scopi personali; c. non è consentito lo scarico di software gratuiti (freeware) e shareware, di musica, filmati e quanto altro prelevato da siti internet; d. è vietata ogni forma di registrazione a siti i cui contenuti non siano legati all'attività lavorativa; qualora detta registrazione fosse dettata da finalità lavorative, la stessa deve essere preventivamente autorizzata. e. non è permesso l'utilizzo di chat line, di bacheche elettroniche e le registrazioni in guest book anche utilizzando pseudonimi (o nickname); f. non è consentita ne la consultazione, ne la memorizzazione di documenti informatici di natura oltraggiosa e/o discriminatoria per sesso, lingua, religione, razza, origine etnica, opinione e appartenenza sindacale e/o politica. Al fine di garantire il rispetto di tali norme di utilizzo i Sistemi informativi attraverso strumenti software automatici provvedono a definire una lista di siti o di categorie di siti considerati non correlati con la prestazione lavorativa ed ad inibirne il relativo accesso. 3. Norme specifiche relative all’utilizzo della Posta elettronica: La posta elettronica è uno strumento di lavoro e l’attivazione di una casella di posta elettronica è subordinata a specifica autorizzazione aziendale ed è strettamente personale. Coloro i quali hanno avuto configurato dall’azienda un proprio indirizzo aziendale di posta elettronica sono tenuti al rispetto delle seguenti norme: 60 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 60 a. non è consentito utilizzare la posta elettronica per motivi non attinenti allo svolgimento delle mansioni assegnate; b. non è consentito inviare o memorizzare messaggi (interni ed esterni) di natura oltraggiosa e/o discriminatoria per sesso, lingua, religione, razza, origine etnica, opinione e appartenenza sindacale e/o politica; c. la posta elettronica diretta all'esterno della rete intranet aziendale può essere intercettata da estranei e, dunque, è opportuno non usarla per inviare documenti di lavoro «strettamente riservati»; d. qualora vengano ricevute e-mail inviate da destinatari sconosciuti o aventi un contenuto poco chiaro è opportuno non aprire eventuali files allegati ed i caso di dubbi è consigliabile rivolgersi ai Sistemi Informativi. 4. Norme relative all’utilizzo di dispositivi esterni per il servizio di consultazione della posta elettronica aziendale al di fuori della propria postazione lavorativa, firma digitale, ecc. a. Per i possessori di kit Firma digitale, non lasciare incustodito o in luogo non riservato l’apparato hw che consente l’utilizzo del servizio; b. rispettare le procedure aziendali previste per l’utilizzo dell’apparato c. rispettare le specifiche misure di sicurezza della privacy di tipo aziendali previste dall’azienda. I Sistemi di controllo Al fine di far rispettare le su indicate modalità di utilizzo delle risorse informatiche, l’azienda si riserva –attraverso la funzione sistemi informativi- di effettuare controlli generici su tutti gli utenti relativamente alle ore di navigazione, al numero di e-mail ed allo spazio di memoria occupato nella propria area riservata sui server aziendali. Qualora tali controlli (non invasivi e rispettosi della privacy personale) dovessero evidenziare particolari anomalie d’uso, previa comunicazione ai diretti interessati, l’azienda si riserva il diritto di effettuare controlli mirati e specifici volti a verificare i contenuti di tali anomalie. A salvaguardia della sicurezza informatica, l'azienda si riserva altresì la facoltà di procedere alla rimozione di ogni file o applicazione installati in violazione della presente policy 61 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 61 Descrizione dei rischi contrastati Trattamenti interessati Misure Comportamenti degli operatori MSP 04 Carenza di consapevolezza, disattenzione o incuria Tutti i trattamenti Comportamenti sleali o fraudolenti 1. Tutti i trattamenti 2. Trattamenti informatizzati MPS 018, 019, 020, 21, 22, Tutti i trattamenti MPS 04 Errore materiale MSP 017 Misura da adottare Tipo di rischio Misura già in essere LE MISURE DI SICUREZZA ADOTTATE E QUELLE DA ADOTTARE Struttura o persone addette all'adozione Misure già in Misure da essere adottare 1. Legale & Acquisti X 2. Legale & Acquisti MSP 04, 013, 014, 015, 016, 017 X 1. Legale & Acquisti 2. Responsabile IT Secutity X Legale & Acquisti 23 62 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 62 Trattamenti interessati Misure Misura da adottare Descrizione dei rischi contrastati Misura già in essere Tipo di rischio Struttura o persone addette all'adozione Misure già in Misure da essere adottare Eventi relativi agli strumenti Azione di virus informatici o di programmi suscettibili di recare danno Trattamenti informatizzati MSP 018, 021 X 1. Responsabile Sicurezza IT 2. Incaricati 3. Responsabile Sicurezza IT Spamming o tecniche di sabotaggio Trattamenti informatizzati MSP 018, 021 , 023 X 1. Responsabile Sicurezza IT 2. Incaricati Malfunzionamento, indisponibilità o degrado degli strumenti Trattamenti informatizzati MSP 020 X 1. Responsabile Sicurezza IT X 1. Responsabile Security 2. Responsabile Sicurezza IT 3. Incaricati 4. Responsabile Sicurezza IT Accessi esterni non autorizzati Trattamenti informatizzati MSP 018, 019, 022, 023 63 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 63 Trattamenti interessati Misure Accessi non autorizzati a locali/reparti ad accesso ristretto Tutti i trattamenti MSP 014 X Responsabile Security X 1. Responsabile Security 2. Responsabile Sicurezza IT 1. Tutti i trattamenti Eventi relativi al contesto Sottrazione di strumenti contenenti dati 2. Trattamenti informatizzati su server centralizzato Misura da adottare Descrizione dei rischi contrastati Misura già in essere Tipo di rischio Struttura o persone addette all'adozione Misure già in Misure da essere adottare MSP 013 MSP 018; 022 Eventi distruttivi, naturali o artificiali, nonché dolosi, accidentali o dovuti ad incuria Tutti i trattamenti Piano aziendale di safety X Responsabile Aziendale della Sicurezza Guasto ai sistemi di utilities Trattamenti informatizzati MSP 020 X Responsabile Sicurezza IT Errori umani nella gestione della sicurezza fisica Tutti i trattamenti MSP 04 X Legale & Acquisti 64 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 64 IL PIANO DI FORMAZIONE AZIENDALE Descrizione sintetica degli interventi formativi Classi di incaricati Attività di sensibilizzazione sulle tematiche della privacy, descrizione delle misure di sicurezza aziendali mediante la consegna di un documento informativo/formativo e l’effettuazione di un corso di formazione in modalità elearning con verifica finale del livello di apprendimento. Realizzato all'atto Tutti i dipendenti dell'attivazione delle misure aziendali che trattano di sicurezza aziendali e per i dati personali. nuovi assunti all’atto dell’assunzione. Attività di formazione sulla legge 196/2003, sul sistema di responsabilità Gesac e sulle misure di sicurezza aziendali I Responsabili trattamento Attività di formazione sulla legge 196/2003, sul sistema di responsabilità Gesac e sulle specifiche misure di sicurezza aziendali Gli addetti al trattamento dati nell’ambito della All’atto dell’affidamento videosorveglianza e dell’incarico del trattamento dati dipendenti Tempi previsti del All’atto dell’affidamento dell’incarico 65 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 65 La videosorveglianza in Gesac 66 Gesac S.p.A.- D.Legisl. 196/2003 Documento Programmatico della Sicurezza Febbraio 2016 66
