Torna a Caratteristiche
76x
001631
2021-02-25

Appendice 2 all'Accordo AV: Misure tecniche e organizzative

Di seguito, una descrizione delle principali misure di Dlubal per l'adesione alle norme sulla protezione dei dati ai sensi dell'art. 32 del GDPR seguirà. Tuttavia, si deve sottolineare che non tutte le misure di sicurezza possono essere divulgate; piuttosto, in particolare nell'interesse della protezione dei dati e della sicurezza dei dati, è indispensabile rinunciare a descrizioni riservate e dettagliate.

1 Riservatezza (art. 32 cpv. 1 lett. b GDPR)

1.1 Controllo degli accessi fisici

Misure idonee a impedire a persone non autorizzate l'accesso ai sistemi di elaborazione dei dati con i quali i dati personali sono trattati o utilizzati:

  • Gli uffici sono accessibili solo tramite un ingresso centrale. Le aree di accesso sono monitorate con una telecamera e occupate dal personale della reception. Nel caso in cui non sia presente il personale della reception, le porte di accesso sono chiuse e protette con un sistema di allarme.
  • Le sale server sono inoltre chiuse in modo permanente e accessibili solo da personale autorizzato.
  • Risoluzione dei problemi del prodotto Dlubal in cui sono memorizzati i dati personali, se necessario
  • Importanti sistemi server all'esterno dei locali dell'ufficio sono protetti in un datacenter tramite autorizzazione multifattoriale, videosorveglianza collegata alla polizia e contro gli attacchi terroristici.

1.2 Controllo elettronico degli accessi

Misure idonee a prevenire l'utilizzo di sistemi di elaborazione dati da parte di persone non autorizzate:

  • I dati sono disponibili per i dipendenti Dlubal solo nella misura necessaria tramite un sistema CRM basato su ruoli, gestibile con diritti configurabili.
  • I dipendenti hanno diritti di accesso basati sui ruoli.
  • I computer sono protetti dall'autenticazione con un nome utente e una password (Active Directory).
  • Password con maggiore sicurezza (struttura, lunghezza, data di scadenza).
  • I sistemi esterni sono collegati tramite tunnel VPN. Solo agli indirizzi noti è consentito l'accesso tramite una whitelist IP. Tutte le comunicazioni esterne sono crittografate.
  • I sistemi informatici sono dotati centralmente di software antivirus.
  • Le reti di dati sono protette con firewall.
  • Solo le persone specificamente autorizzate hanno accesso ai sistemi server.

1.3 Controllo accessi interno

Misure che garantiscono che le persone autorizzate all'uso di un sistema di elaborazione dati possano accedere ai dati solo nell'ambito del loro privilegio di accesso e che i dati personali non possano essere letti, copiati, alterati o cancellati senza autorizzazione durante l'elaborazione, l'utilizzo e dopo la conservazione :

  • Diritti: Tutti i servizi utilizzano il modello di accesso "nega per impostazione predefinita". Solo le persone e i gruppi autorizzati hanno un accesso appropriato. La matrice dei diritti di ogni singolo servizio è monitorata e può essere esportata nel pannello di amministrazione per ogni * servizio. Tutti i diritti sono gestiti dagli amministratori di sistema. Il numero di amministratori di sistema è ridotto al minimo.
  • File di registro: I server di archiviazione di rete dispongono di registri di controllo che includono la cronologia delle versioni dei file (CRUD). Il server Active Directory registra ogni richiesta di autorizzazione ai servizi nella rete.
  • Sistema di controllo della versione: Tutti i dati nella rete sono protetti tramite snapshot VSS e BTRFS. I database sono protetti tramite snapshot orari.

1.4 Controllo della separazione

Misure che garantiscono che i dati raccolti per diverse finalità possano essere elaborati separatamente:

  • Archiviazione fisicamente separata su sistemi o supporti dati separati
  • Creazione di un concetto di autorizzazione
  • Crittografia di set di dati, che vengono elaborati per lo stesso scopo
  • Assegnazione di attributi dello scopo/campi di dati ai set di dati
  • Istituzione dei diritti di database
  • Separazione logica dei dati del cliente secondo competenza e funzione

1.5 Pseudonimizzazione e cifratura (articolo 32 (1) lett. a GDPR; L'art. 25 (1) del GDPR)

Il trattamento dei dati personali in modo tale che i dati non possano essere attribuiti a un interessato specifico senza la consultazione di informazioni aggiuntive, a condizione che queste informazioni aggiuntive siano memorizzate separatamente e siano soggette ad adeguate misure tecniche e organizzative:

Se possibile per il rispettivo trattamento dei dati, le caratteristiche identificative principali dei dati personali sono rimosse dalla rispettiva applicazione dati e memorizzate separatamente.

2 Integrità (art. 32 cpv. 1 lett. b GDPR)

2.1 Controllo degli input

Misure che garantiscono la possibilità di verificare e determinare retroattivamente se i dati personali sono stati inseriti, modificati o cancellati nei sistemi di elaborazione dati e da chi:

  • Registrazione di input, alterazioni e cancellazioni di dati
  • Tracciabilità dell'immissione, della modifica e della cancellazione dei dati tramite i singoli nomi utente
  • Assegnazione dei diritti per l'immissione, la modifica e la cancellazione dei dati sulla base di un concetto di autorizzazione
  • Gestione dei documenti

2.2 Controllo del trasferimento dei dati

Misure che garantiscono che i dati personali non possano essere copiati, modificati o cancellati senza autorizzazione durante la trasmissione elettronica, o durante il loro trasporto o conservazione su supporti di dati:

  • Il server di posta elettronica utilizza il Sender Policy Framework (SPF) per prevenire l'uso non autorizzato dei nostri domini. In questo modo, il destinatario dell'e-mail può verificare se l'e-mail proviene da un server autorizzato.
  • Le e-mail sono firmate con firme DKIM per garantire l'autenticità.
  • Le e-mail sensibili possono inoltre essere crittografate tramite crittografia end-to-end.
  • I servizi FTP e VPN funzionano con la crittografia SSL/TLS.

3 Disponibilità e resilienza (Art. 32 (1) lett. b GDPR)

3.1 Controllo della disponibilità

Misure che garantiscono che i dati personali siano protetti dalla distruzione o dalla perdita accidentale:

  • Concetto di backup e ripristino
  • Gruppo di continuità (UPS)
  • Mirroring del disco rigido
  • Uso di sistemi RAID
  • Sistemi di dati BTRFS e ReFS per il rilevamento e la correzione degli errori e per la prevenzione della perdita nascosta di dati
  • Cluster ad alta disponibilità e mirroring di dati e servizi in diverse posizioni
  • Backup delle connessioni Internet e dei router per evitare lunghi tempi di inattività
  • Memoria ECC su tutti i server per rilevare errori di memoria, modifiche dei dati e perdita di dati
  • Agente Microsoft System Data Protection Manager installato su ogni server
  • Backup tramite archiviazione DPM almeno una volta al giorno
  • Windows Backup + iSCSI LUN
  • I servizi importanti sono monitorati da strumenti di rete e segnalano servizi che non funzionano, tempi di inattività, attacchi DoS e DDoS.
  • Sala server protetta
  • Schede delle prese di protezione nella sala server
  • Ispezione regolare delle apparecchiature elettriche da parte di un'azienda specializzata
  • Allarmi antincendio e antifumo, attrezzature antincendio
  • Piani di emergenza e gestione delle crisi
  • Firewall con antivirus e rilevamento, protezione e prevenzione di intrusi (AV/IDS/IDP, Zywall Security Gateway)
  • ESET Mail Security for Exchange per proteggere il server di posta elettronica da spam, virus, ransomware, truffe, ecc.
  • ESET Security Antivirus su tutti i computer come protezione degli utenti degli endpoint con ESET Remote Administration Console
  • ClamAV antivirus open source per la protezione dei server di rete e dello storage
  • Aggiornamenti periodici del sistema gestiti tramite WSUS
  • Criteri di gruppo di Active Directory per tutti i computer

3.2 Recuperabilità

Misure che consentono di ripristinare rapidamente la disponibilità dei dati personali e l'accesso ad essi dopo un incidente fisico o tecnico: Tutti i dati sono protetti dalla perdita tramite backup periodici. Diversi strumenti consentono di recuperare questi dati con il minimo sforzo in caso di incidenti fisici o tecnici. Le misure specifiche sono:

  • Concetto di backup e ripristino
  • Backup tramite archiviazione DPM almeno una volta al giorno
  • Windows Backup + iSCSI LUN

4 Procedure per la revisione periodica, la valutazione e la valutazione (articolo 32 (1) lett. d GDPR; L'art. 25 (1) del GDPR)

4.1 Gestione della privacy

  • Corsi di formazione dei dipendenti sulla protezione dei dati
  • Obbligo dei dipendenti al trattamento riservato dei dati personali
  • Nomina di un responsabile della protezione dei dati
  • Linee guida dei dipendenti per il trattamento dei dati personali
  • Conservazione di un registro delle attività di elaborazione iSd Art. 30 (1) e (2) GDPR
  • Implementazione di un sistema di gestione della protezione dei dati

4.2 Controllo dell'applicazione

Misure che garantiscono che i dati personali elaborati nell'ordine possano essere elaborati solo secondo le istruzioni del cliente ai sensi dell'art. 28 del GDPR:

  • Chiara progettazione del contratto
  • Gestione degli ordini formalizzata
  • Selezione dell'appaltatore sotto un'attenta considerazione
  • Istruzioni scritte al contraente tramite il contratto di elaborazione dei dati
  • Obbligo del contraente alla riservatezza
  • Supervisione continua dell'appaltatore e delle sue attività