Misure tecniche e organizzative - MTO

Ai sensi dell’art. 32 RGPD

Le organizzazioni che raccolgono, trattano o utilizzano dati personali direttamente o per conto di altri devono adottare le misure tecniche e organizzative necessarie per garantire la conformità alle disposizioni delle leggi sulla protezione dei dati. Tali misure sono necessarie solo se il loro costo è ragionevolmente proporzionale allo scopo di protezione che si intende perseguire.

1.Riservatezza

1.1 Controllo dell’accesso ai locali e agli impianti

Misure idonee a prevenire l’accesso di persone non autorizzate ai sistemi di elaborazione dei dati con cui vengono trattati o utilizzati dati personali. Le misure di controllo all’accesso che possono essere utilizzate per mettere in sicurezza edifici e locali includono sistemi di controllo automatico degli accessi, uso di smart card e transponder, controllo degli accessi da parte di servizi di portineria e sistemi di allarme. I server, le apparecchiature di telecomunicazione, la tecnologia di rete e le apparecchiature simili devono essere protetti in armadi per server dotati di serratura. Inoltre, è opportuno supportare il controllo degli accessi con misure organizzative (per esempio istruzioni di servizio che prevedono la chiusura dei locali di servizio in caso di assenza).

Misure tecnicheMisure organizzative
Sistema di chiusura manuale in tutti gli ufficiRegolamento chiavi/Elenco disponibile
I servizi di pulizia non hanno accesso alla rete o ad altre apparecchiature tecniche

1.2 Controllo degli utenti

Misure idonee a impedire che i sistemi di elaborazione dati (computer) vengano utilizzati da persone non autorizzate. Il controllo degli utenti si riferisce alla prevenzione dell’uso non autorizzato dei sistemi. Può essere realizzato, ad esempio, mediante password di avvio, ID utente con password per i sistemi operativi e i prodotti software utilizzati, screen saver con password, l’uso di chip card per l’accesso e l’impiego di procedure di call-back. Inoltre, possono essere necessarie anche misure organizzative, ad esempio per impedire la consultazione non autorizzata (p. es. specifiche per l’impostazione delle schermate, indicazioni agli utenti su come scegliere una password sicura).

Misure tecnicheMisure organizzative
Autenticazione a due fattori per tutti i sistemi che contengono dati sensibiliGestione delle autorizzazioni per gli utenti in sistemi produttivi da parte di responsabili definiti
Codifica dei dischi fissi dei dispositivi del personale (laptop)Creazione di profili utente

1.3 Controllo dell’accesso ai dati

Misure per garantire che le persone autorizzate a utilizzare un sistema di elaborazione dati possano accedere solo ai dati per i quali dispongono di un’autorizzazione e che i dati personali non possano essere letti, copiati, modificati o rimossi senza autorizzazione durante il trattamento, l’utilizzo e dopo la memorizzazione. Il controllo dell’accesso ai dati può essere realizzato anche mediante sistemi idonei di autorizzazione che consentono un accesso differenziato ai dati, distinguendo le autorizzazioni sia in base al contenuto dei dati sia in base alle possibili funzioni di accesso. Inoltre, devono essere definiti meccanismi di controllo e responsabilità adeguati per documentare la concessione e la revoca delle autorizzazioni e per mantenerle aggiornate (per esempio in caso di assunzione, cambio di mansione, cessazione del rapporto di lavoro). Occorre sempre prestare particolare attenzione al ruolo e alle prerogative degli amministratori.

Misure tecnicheMisure organizzative
DistruggidocumentiChecklist personale onboarding e offboarding

1.4 Controllo del trattamento separato

Misure per garantire che i dati raccolti per scopi diversi possano essere trattati separatamente. Tali misure possono essere realizzate ad esempio mediante separazione logica o fisica dei dati.

Misure tecnicheMisure organizzative
Separazione tra ambiente produttivo e ambiente di testControllo tramite sistema di autorizzazione integrato nel prodotto, nel sistema di archiviazione dei dati e in ambito analytics

2. Integrità

2.1 Controllo del trasferimento

Misure per garantire che i dati personali non possano essere letti, copiati, modificati o rimossi da persone non autorizzate durante la trasmissione elettronica, durante il trasporto o l’archiviazione su supporti dati, e che sia possibile verificare e stabilire a quali organismi i dati personali sono destinati a essere trasmessi dai dispositivi di trasmissione dati. Per garantire la riservatezza nella trasmissione elettronica dei dati, si possono utilizzare, ad esempio, tecniche di crittografia e reti private virtuali (VPN). Le misure per il trasporto o il trasferimento di dati possono essere realizzate mediante contenitori dotati di dispositivi di chiusura e l’adozione di norme per la distruzione dei supporti dati in conformità con le disposizioni legislative.

Misure tecnicheMisure organizzative
Protocollo degli accessi e delle consultazioniDocumentazione dei destinatari dei dati e della durata prevista per la cessione o dei termini di cancellazione

2.2 Controllo dell’introduzione

Misure per garantire la possibilità di controllare e stabilire a posteriori se e da chi i dati personali sono stati inseriti, modificati o rimossi dai sistemi di elaborazione dati. Il controllo dell’introduzione si ottiene attraverso registrazioni che possono avvenire a diversi livelli (per esempio sistema operativo, rete, firewall, database, applicazione). Inoltre, deve essere chiarito quali dati vengono registrati, chi ha accesso ai registri, da chi e in quale occasione/ora vengono controllati, per quanto tempo è richiesta la conservazione e quando avviene la cancellazione dei registri.

Misure tecnicheMisure organizzative
Registrazione tecnica di inserimento, modifica o cancellazione di datiTracciabilità di inserimento, modifica o cancellazione di dati mediante nomi utente individuali

3. Disponibilità e resilienza

3.1 Controllo della disponibilità

Misure per garantire che i dati personali siano protetti contro la distruzione o la perdita accidentale, ad esempio mediante gruppi di continuità, sistemi di condizionamento dell’aria, protezione antincendio, backup dei dati, archiviazione sicura dei supporti dati, protezione da virus, sistemi raid, mirroring dei dischi ecc.

Misure tecnicheMisure organizzative
Tutti i sistemi critici sono archiviati in servizi cloud o di colocation che garantiscono misure adeguate secondo le norme ISO 9001 e ISO 27001.Programma di back-up e recovery
Presenza di un piano di emergenza
I backup vengono regolarmente caricati su sistemi paralleli per verificare i processi di ripristino.

4. Procedure per il riesame, la valutazione e l’analisi periodici

4.1 Misure per la protezione dei dati

Misure tecnicheMisure organizzative
Gestione di datenschutz@flatfox.ch come indirizzo di contatto per le questioni relative alla protezione dei dati
Il personale viene istruito sulla sensibilità dei dati esistenti di Flatfox e viene ripetutamente avvisata degli scenari di minaccia.

4.2 Incident Response Management

Supporto nella risposta alla violazioni della sicurezza

Misure tecnicheMisure organizzative
L’isolamento dei sistemi produttivi interessati, indipendentemente dall’accesso ad essi, è possibile tramite Cloudflare.Sono presenti processi documentati di User Lockout in caso di attività sospette

4.3 Protezione dei dati per impostazione predefinita

Privacy by design / Privacy by default

Misure tecnicheMisure organizzative
I dati sensibili dei candidati che non vengono più utilizzati attivamente sono cancellati automaticamente dopo un periodo di tempo ragionevole (di solito 60 giorni).


4.4 Controllo del trattamento su mandato (outsourcing a terzi)

Misure per garantire che i dati personali trattati sulla base di un mandato possano essere trattati solo in conformità alle istruzioni del mandante. Oltre all’elaborazione dei dati per conto terzi, questo punto comprende anche l’esecuzione di interventi di manutenzione e assistenza ai sistemi sia in presenza che in remoto. Se per il trattamento commissionato il mandatario si avvale di fornitori di servizi, è sempre necessario disciplinare assieme a tali fornitori i seguenti punti.

Misure tecnicheMisure organizzative
Conclusione del necessario accordo sul trattamento su mandato o delle clausole contrattuali standard dell’UE
Istruzioni scritte al mandatario
Preview