Benvenuto su TuttoCamere.it Benvenuto su TuttoCamere.it  
  Registrati gratuitamente! Home  ·  Argomenti  ·  Stats  ·  Il tuo account  ·  Inserisci Articolo  ·  Top 10  

  Mappa del Sito
· Home
· Archivio Notizie
· Argomenti
· Calendario Eventi
· Cerca
· Contenuti
· Downloads
· FAQ
· Feedback
· Il Tuo Account
· La Camera di Commercio
· Link Utili
· Messaggi Privati
· Proponi Notizia
· Sondaggi
· Top 10

  Cerca con Google
Google
Web www.tuttocamere.it

  Sponsor

  Accorpamenti CCIAA
Gli accorpamenti delle Camere di Commercio
La riforma delle Camere di Commercio
Gli accorpamenti

  Software e servizi
La CARTA NAZIONALE DEI SERVIZI
LA CARTA NAZIONALE DEI SERVIZI delle Camere di Commercio d’Italia



FIRMA DIGITALE

FIRMA DIGITALE
Dike 6 e Business key
Il software di firma digitale



COMUNICA

LA COMUNICAZIONE UNICA D'IMPRESA
Registro imprese, Agenzia delle Entrate, INPS, INAIL, SUAP



FedraPlus
FedraPlus
Software per la compilazione della pratica Registro imprese

Versione corrente 06.97.01


COMUNICA Starweb
COMUNICA Starweb
Il servizio per la compilazione della Comunicazione Unica



L'ufficio online del Registro delle imprese

REGISTROIMPRESE.IT
L'ufficio online del Registro delle imprese
I dati ufficiali delle Camere di Commercio



Impresa in un giorno

Impresa in un giorno
La tua scrivania telematica
Gestisci online le pratiche per la tua attività



La pubblica amministrazione per l''impresa

La Pubblica Amministrazione per l''impresa

Nuovo accesso federato di Impresa.gov.it e Impresainungiorno.gov.it.


La posta certificata di Infocamere

PEC LEGALMAIL
La posta certificata di Infocamere



INI PEC

Qui puoi cercare gli indirizzi PEC di imprese e professionisti italiani



 SPID – Sistema Pubblico di Identità Digitale

SPID
Sistema Pubblico di Identità Digitale



I CONTO

”ICONTO”
Il conto per i pagamenti verso le Camere di Commercio e le altre PP.AA.



Incentivi.gov.it

INCENTIVI.GOV.IT
Al cuore dello sviluppo



BENVENUTA IMPRESA

BENVENUTA IMPRESA
I servizi camerali per l’impresa digitale



IMPRESA.ITALIA.IT

IMPRESA.ITALIA.IT
Un nuovo servizio per il cittadino imprenditore



DIRITTO ANNUALE – Calcola e Paga on line

DIRITTO ANNUALE CAMERALE – Calcola e Paga on line



ELENCO degli Atti depositati dagli Agenti della riscossione

ELENCO degli Atti depositati dagli Agenti della riscossione



FATTURAZIONE ELETTRONICA
FATTURAZIONE ELETTRONICA
Il servizio di fatturazione elettronica verso la P.A. semplice e sicuro
Scopri Legalinvoice



Fatturazione Elettronica verso la Pubblica Amministrazione

Fatturazione Elettronica verso la Pubblica Amministrazione
Servizio InfoCamere



Fatturazione Elettronica verso la Pubblica Amministrazione

Fatturazione Elettronica verso la Pubblica Amministrazione
Sistema di interscambio



Cert.Impresa

Cert.Impresa



NoiPA

NoiPA
Servizi PA a Persone PA



IO

IO – L’App dei servizi pubblici



LINEA AMICA

LINEA AMICA
Il portale degli italiani



Italia Sicura

ItaliaSicura
La mappa dei cantieri antidissesto



SoldiPubblici
Soldi Pubblici
Scopri quanto spende chi e per cosa.



VerifichePA

Il servizio delle Camere di Commercio per le PP.AA. per la verifica dell’autocertificazione d’impresa



Servizi gratuiti per lo sviluppo dell''impresa

Servizi gratuiti per lo sviluppo dell''impresa



Logo UnionCamere

Il portale delle Camere di Commercio d'Italia



Vorld Pass

Servizio di Conciliazione delle Camere di Commercio



Vorld Pass

ConciliaCamera
Il tuo spazio per la mediazione online



WORLD PASS

Scopri come internazionalizzare la tua impresa



DESTINAZIONE ITALIA

Aprire l’Italia ai CAPITALI e ai TALENTI del mondo



INDUSTRIA 4.0

INDUSTRIA 4.0
Piano nazionale Industria 4.0



PID

PID
Punto Impresa Digitale



Qui si parla di Start-up innovativa

Percorso per creare una Start-up innovativa



CONTRATTI DI RETE<br> COLLABORARE PER COMPETERE

CONTRATTI DI RETE
Portale che sostiene la nascita e lo sviluppo delle reti d’impresa in Italia



PROGETTO EXCELSIOR
PROGETTO EXCELSIOR
I programmi occupazionali delle imprese rilevati dal sistema delle Camere di Commercio



CRESCERE IN DIGITALE

CRESCERE IN DIGITALE
Entra nel mondo del lavoro digitale
Formazione e tirocini per i giovani



ECCELLENZE IN DIGITALI

ECCELLENZE IN DIGITALE
Sviluppa le tue competenze digitali



GARANZIA GIOVANI

GARANZIA GIOVANI
Un’impresa per il tuo futuro



Registro delle imprese storiche italiane

Registro delle imprese storiche italiane



Registro nazionale per l’alternanza <br>SCUOLA LAVORO

Registro nazionale per l’alternanza
SCUOLA LAVORO
Il portale delle Camere di Commercio

  ALTRI ORGANISMI
UNIONCAMERE
UNIONCAMERE
Unione italiana delle Camere di commercio, industria, artigianato e agricoltura



STARnet

La rete degli uffici studi e statistica delle Camere di Commercio



INFOCAMERE

INFOCAMERE
Società in-house delle Camere di Commercio italiane



UNIVERSITA’ MERCATORUM

L’Università di tutte le aziende italiane
La prima Startup University tutta italiana



ISTITUTO GUGLIELMO TAGLIACARNE

ISTITUTO GUGLIELMO TAGLIACARNE
Per la promozione della cultura economica

Fondazione di Unioncamere

  REGISTRO IMPRESE

Camera di Commercio di Sassari
IL REGISTRO DELLE IMPRESE NELLA GIURISPRUDENZA
Raccolta delle più importanti pronunce dei Giudici del Registro delle imprese dal 1996 in poi.

  ISTAT
ISTAT
Indice Nazionale dei prezzi al consumo



ISTAT
Classificazione delle attività economiche
ATECO 2007



Noi Italia

100 statistiche
per capire il Paese in cui viviamo

  ITALIA.IT
Sito ufficiale del turismo in Italia
Sito ufficiale del turismo in Italia

  Dona con PayPal!
Se ritieni che il lavoro che facciamo sia utile, valido e soprattutto soddisfi le tue aspettative professionali e vuoi dimostrare il tuo apprezzamento e sostegno con una donazione a piacere, utilizza il bottone "Donazione" qui sotto.
GRAZIE!

  Meteo Italia
Servizio Meteorologico Aeronautica
Servizio Meteorologico dell'aeronautica

  AvventuraMarche
... scopri il fascino di questa meravigliosa regione? AvventuraMarche.it

  Viaggiare Sicuri
 FARNESINA<br>Informatevi su dove volete andare

FARNESINA
Informatevi su dove volete andare

  Viaggiare Sicuri
 FARNESINA<br>Informatici dove siete nel mondo

FARNESINA
Informateci dove siete nel mondo
AMMINISTRATORE DI SISTEMA – DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (DPS)





L’AMMINISTRATORE DI SISTEMA

Il 15 dicembre 2009 (grazie ad una proroga dei termini precedentemente fissati al 30 giugno 2009) scadono i termini per l’adempimento di individuazione e nomina degli amministratori di sistema.
Un obbligo che implica l’adozione di iniziative tecniche ed organizzative e che per la sua complessità è già stato oggetto di un “rinvio” da parte del Garante.
Di seguito cerchiamo di rispondere ad alcune domande molto frequenti in materia.


Chi è l’amministratore di sistema?

L’Amministratore di sistema ( system administrator ) viene definito dal provvedimento dell’Autorità Garante del 27 novembre 2008 come una figura professionale destinata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti.

La definizione un po’ troppo generica è stata successivamente meglio inquadrata dall’Autorità con la pubblicazione delle FAQ dove ha precisato che alla gestione e manutenzione degli impianti di elaborazione va associato lo specifico trattamento di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali.
In altri termini la figura dell’amministratore di sistema è necessaria qualora vi sia una condivisione in rete di archivi contenenti dati personali.
In caso contrario non ha ragione di esistere.
Nell’ambito della figura degli amministratori di sistema rientrano anche gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi.

In sostanza, gli "amministratori di sistema" sono figure essenziali per la sicurezza delle banche dati e la corretta gestione delle reti telematiche. Sono esperti chiamati a svolgere delicate funzioni che comportano la concreta capacità di accedere a tutti i dati che transitano sulle reti aziendali ed istituzionali.
Ad essi viene affidato spesso anche il compito di vigilare sul corretto utilizzo dei sistemi informatici di un'azienda o di una pubblica amministrazione.
Per questo il Garante ha deciso di richiamare l'attenzione di enti, amministrazioni, società private sulla figura professionale dell'amministratore di sistema e ha prescritto l'adozione di specifiche misure tecniche ed organizzative che agevolino la verifica sulla sua attività da parte di chi ha la titolarità delle banche dati e dei sistemi informatici.


Chi è tenuto alla nomina dell’amministratore di sistema?

Le misure e le cautele dovranno essere messe in atto da parte di tutte le aziende private e da tutti i soggetti pubblici, compresi gli uffici giudiziari, le forze di polizia, i servizi di sicurezza.
Sono esclusi invece i trattamenti di dati, sia in ambito pubblico che privato, effettuati a fini amministrativo contabile, che pongono minori rischi per gli interessati.


Chi può essere nominato amministratore di sistema?

In realtà non viene creata una nuova figura nell’ambito del trattamento dei dati personali, ma con amministratore di sistema si intende una mansione specifica altamente specializzata che può essere attribuita ad un responsabile o ad un incaricato purché sia una designazione di carattere individuale.
Nello specifico sembra più opportuno che tale figura sia attribuita ad un incaricato del trattamento di dati personali, perché spesso il responsabile del trattamento è il capo del centro elettronico o della struttura informatizzata, cui l’azienda si appoggia.
E’ naturale, quindi, che a fianco di questo responsabile, operi un incaricato, che ad esempio può costruire i privilegi di accesso ai dati, secondo le istruzioni che vengono impartite dai responsabili coinvolti.


Come si verifica l’attività dell’amministratore di sistema?

Nel provvedimento del Garante del 27 novembre 2008, al punto e), si afferma che: “l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti”.
In effetti questo punto va letto in stretto collegamento con quello successivo che parla di registrazione degli accessi logici degli amministratori di sistema. Difatti è grazie a quest’ultima che sarà possibile accertare che le attività svolte dall’amministratore di sistema siano conformi alle mansioni attribuite, ivi compreso il profilo relativo alla sicurezza.


Ma come fare in concreto questa verifica?

Una buona idea potrebbe essere quella di predisporre un registro sul quale riportare gli estremi e gli esiti di ogni verifica annuale (ad esempio data, ora, numero di accessi individuati, risultanze, ecc.).
Nel caso poi vi siano dubbi su alcune operazioni svolte dall’amministratore si provvederà a contestargli formalmente per iscritto quanto accertato e si potrà anche procedere ad una verifica congiunta.


Registrazione degli accessi

Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema.
Le registrazioni devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste.
Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.


Elenco degli amministratori di sistema e loro caratteristiche

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati in un documento interno o nel documento programmatico sulla sicurezza da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.
Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti.


In sintesi

Ricapitolando, il provvedimento del Garante del 27 novembre 2008, successivamente modificato dal provvedimento del 25 giugno 2009, prevede quanto segue:
• l'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza;
• la designazione quale amministratore di sistema deve essere individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato;
• gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante;
• qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni;
• nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema;
• l'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti;
• devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.


IL DOCUMENTO PROGRAMMATICO SULLA SICUREZZA - DPS

Il Documento Programmatico sulla Sicurezza

Il Documento Programmatico sulla Sicurezza (DPS) è l'unico documento in grado di attestare l'adeguamento della struttura alla normativa sulla tutela dei dati personali.
Il DPS è un manuale di pianificazione della sicurezza dei dati in azienda: descrive come si tutelano i dati personali di dipendenti, collaboratori, clienti, utenti, fornitori ecc. in ogni fase e ad ogni livello (fisico, logico, organizzativo) e come si tuteleranno in futuro (programmazione, implementazione misure, verifiche, analisi dei risultati ecc.).


Da chi deve essere adottato

Il Documento Programmatico sulla Sicurezza deve essere adottato da chiunque effettua un trattamento di dati sensibili o giudiziari dove con il termine ”trattamento” si intende qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.

L'adozione di un documento programmatico sulla sicurezza (DPS) è un obbligo previsto dal D. Lgs. n. 196/2003 (Codice in materia di protezione dei dati personali).
L'obbligo esiste per tutte le aziende, liberi professionisti, enti o associazioni che trattano i dati personali, anche sensibili con strumenti elettronici.
Il documento, a partire dal 31 marzo 2006 (ultima proroga concessa per mettersi definitivamente in regola) va predisposto ed aggiornato annualmente entro il 31 marzo successivo, affinché si attesti la corretta adozione delle previste procedure che riguardano il trattamento dei dati personali e deve soddisfare anche deteminati obblighi di legge, se previsti (p.e. se ne deve dare comunicazione nella relazione allegata al Bilancio d'esercizio).


I contenuti del Documento Programmatico sulla Sicurezza

Come abbiamo precisato sopra, il DPS è un manuale per la pianificazione della sicurezza dei dati in azienda, nel quale viene descritto e specificato come si tutelano i dati personali di dipendenti, collaboratori, clienti, utenti, fornitori e prevedendo tutta una serie di parametri di controllo.
I contenuti del documento sono elencati al punto 19 del Disciplinare tecnico in materia di misure minime di sicurezza e sono:
1. l'elenco dei trattamenti di dati personali;
2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
3. l'analisi dei rischi che incombono sui dati;
4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;
6. la pianificazione degli interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
8. l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato, per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24.



APPROFONDIMENTI E RIFERIMENTI

. Se vuoi visitare il sito del Garante sulla Privacy, clicca QUI

. Se vuoi scaricare la Guida operativa per redigere il Documento Programmatico sulla Sicurezza (DPS) , clicca QUI

. Se vuoi scaricare Disciplinare tecnico in materia di misure minime di sicurezza, clicca QUI


MODULISTICA

. Fac-simile del modello per la nomina dell’amministratore di sistema e lettera di incarico al trattamento dei dati.


RIFERIMENTI NORMATIVI

. D. Lgs. 30 giugno 2003, n. 196: Codice in materia di protezione dei dati personali. Artt. 31 – 36 e Allegato B.

. Autorità Garante per la Protezione dei Dati Personali – Provvedimento del 27 novembre 2008: Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008.

. Autorità Garante per la Protezione dei Dati Personali – Provvedimento del 25 giugno 2009: Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento.










Copyright © by TuttoCamere.it All Right Reserved.

Pubblicato su: 2009-11-26 (2965 letture)

[ Indietro ]
Content ©
© 2006-2018 by L. Maurizi & C. Venturi
© 2002-2005 by Leaff Engineering
Informativa completa sul trattamento dei dati personali
Ottimizzazione per motori di ricerca grazie a sitemapper script
Potete collegare le nostre news sul vostro sito usando il file backend.php or ultramode.txt
Questo sito contiene link a indirizzi web esterni. Gli autori del sito non sono in alcun modo responsabili del contenuto dei siti raggiungibili attraverso questi link.
Web site engine's code is Copyright © 2002 by PHP-Nuke. All Rights Reserved. PHP-Nuke is Free Software released under the GNU/GPL license.
Generazione pagina: 0.094 Secondi