Disciplinare tecnico per l'utilizzo degli strumenti informatici e le misure di sicurezza
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Allegato cciaa_vt AOO1-CCIAA_VT - REG. CVTRP - PROTOCOLLO 0004168/U DEL 30/03/2020 14:40:09
Camera di commercio, industria, artigianato e
agricoltura di Viterbo
Disciplinare tecnico per l’utilizzo degli strumenti
informatici e le misure di sicurezza
ai sensi del Regolamento UE 679/2016 e dei Provvedimenti del Garante per
la protezione dei dati personali rilevantiSOMMARIO
PREMESSA ..................................................................................................................................................................... 3
RIFERIMENTI NORMATIVI.......................................................................................................................................... 3
MATRICE DELLA REDAZIONE E DELLE REVISIONI........................................................................................................ 4
LINEE GUIDA E SPECIFICHE ISTRUZIONI IMPARTITE ....................................................................................................... 5
DISPONIBILITÀ DELLE RISORSE DELL’ENTE ................................................................................................................. 5
SISTEMI DI AUTENTICAZIONE E GESTIONE DELLE CREDENZIALI DI ACCESSO A SISTEMI INFORMATICI ....................... 5
GESTIONE DELLE CREDENZIALI DI AUTENTICAZIONE................................................................................ 5
Scelta della password ............................................................................................................................ 6
Conservazione della password............................................................................................................... 7
PROTEZIONE DELLA POSTAZIONE DI LAVORO............................................................................................................ 7
SISTEMI DI SALVATAGGIO DEI DATI........................................................................................................................... 7
SISTEMI ANTINTRUSIONE .......................................................................................................................................... 7
UTILIZZO DELLE RISORSE DI SISTEMA ........................................................................................................................ 8
ARCHIVI INFORMATICI CONTENENTI DATI PARTICOLARI........................................................................................... 8
INSTALLAZIONE DI SOFTWARE ................................................................................................................ 8
UTILIZZO DI INTERNET............................................................................................................................. 8
UTILIZZO DELLA POSTA ELETTRONICA ISTITUZIONALE ............................................................................. 9
CONTINUITÀ DELLE COMUNICAZIONI.................................................................................................... 10
POSTA ELETTRONICA PERSONALE ......................................................................................................... 10
UTILIZZO DI DEVICE AZIEDALI .................................................................................................................................. 10
SMALTIMENTO SUPPORTI DI MEMORIZZAZIONE .................................................................................................... 11
MONITORAGGIO, VERIFICHE E CONTROLLI.................................................................................................................. 12
LOG DI SISTEMA ...................................................................................................................................................... 12
LOG DI NAVIGAZIONE.............................................................................................................................................. 13
CONSERVAZIONE DEI DATI DI LOG........................................................................................................................... 13
CONTROLLI SULLE EMAIL ISTITUZIONALI ................................................................................................................. 13
2PREMESSA
In attuazione degli specifici obblighi formali e sostanziali proposti dal Regolamento UE 679/2016 (di seguito anche
“GDPR”), dal d.lgs. 196/2003 – Codice in materia di protezione dei dati personali come modificato dal D.Lgs. 101/2018 (di
seguito anche WCodice”) e da specifici provvedimenti del Garante per la protezione dei dati personali (di seguito anche
“Garante Privacy” o “Garante”), si sottopone all’attenzione di tutti i dipendenti e collaboratori di Unioncamere il presente
“Disciplinare sull’utilizzo degli strumenti informatici e delle misure di sicurezza”.
Scopo del presente documento è definire i comportamenti da adottare e le regole di sicurezza da seguire al fine di:
garantire nel tempo – attraverso idonee misure di sicurezza - il livello di riservatezza, integrità e disponibilità dei dati
personali richiesto dalla normativa vigente e, più in generale, delle informazioni raccolte e gestite da Unioncamere in
qualità di Titolare o Responsabile del trattamento (in relazione ai progetti con altri Enti);
assicurare la funzionalità e il corretto utilizzo degli strumenti messi a disposizione dei lavoratori;
salvaguardare il patrimonio dell’Ente.
Il Disciplinare e le prescrizioni definite al suo interno:
a) deve essere conosciuto e condiviso quale norma di comportamento durante lo svolgimento delle attività lavorative,
ognuno per la propria Area/Servizio e per le mansioni di competenza. Il rispetto di tale documento costituisce il
primo passo per l’implementazione ed il mantenimento di un idoneo sistema di gestione sicura dei dati e delle
informazioni;
b) devono intendersi quali istruzioni impartite dal Titolare obbligatorie con decorrenza immediata e con valore di
ordine di servizio, il cui mancato rispetto costituisce inosservanza delle disposizioni al personale e può essere,
quindi, oggetto di provvedimenti disciplinari ai sensi della vigente normativa contrattuale e del Codice disciplinare di
Unioncamere;
c) integrano e completano, infine, l’informativa per il trattamento dei dati personali ai fini di gestione del rapporto di
lavoro/collaborazione, redatta e diffusa ai sensi dell’art. 13 del GDPR.
Il presente documento è approvato e diffuso a tutto il personale attraverso:
specifici interventi formativi ed informativi;
pubblicazione sulla intranet dell’Ente.
RIFERIMENTI NORMATIVI
Il presente documento risponde ai seguenti requisiti normativi:
1. Regolamento UE 679/2016 (tutto il documento)
2. UNI EN ISO 9001:2015 “Sistemi di gestione per la Qualità - Requisiti”.
3. Norme sulla tutela della libertà e dignità dei lavoratori, della libertà sindacale e dell'attività sindacale nei luoghi di
lavoro e norme sul collocamento (L. n. 300 del 20 maggio 1970, in G.U. n. 131 del 27 maggio 1970, come modificato
ed integrato in ultimo dal D.Lgs. 14 settembre 2015, n. 151, in G.U. Serie Generale n.221 del 23 settembre 2015 -
Suppl. Ordinario n. 53)
4. Modificazioni ed integrazioni alle norme del codice penale e del codice di procedura penale in tema di criminalità
informatica (L. 23 dicembre 1993 n. 547, in G.U. n. 305 del 30 dicembre 1993), come modificato ed integrato dalla L.
18 marzo 2008, n. 48: Ratifica ed esecuzione della Convenzione del Consiglio d'Europa sulla criminalità informatica,
fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell'ordinamento interno (in G.U. n. 80 del 4 aprile
2008)
5. Protezione del diritto d'autore e di altri diritti concessi al suo esercizio, (L. 22 aprile 1941 n. 633, in G.U. n. 166 del 16
luglio 1941) e successive modifiche ed integrazioni: Nuove norme di tutela del diritto d'autore (L. 18 agosto 2000, n.
248, in G.U. n. 206 del 4 settembre 2000)
6. Attuazione della direttiva 91/250/CEE relativa alla tutela giuridica dei programmi per elaboratore (D.Lgs. 29
dicembre 1992, n. 518, in G.U. n. 306 del 31 dicembre 1992)
7. Codice delle comunicazioni elettroniche (D.Lgs. 1 agosto 2003, n. 259, in G.U. n. 214 del 15 settembre 2003)
8. Misure urgenti per il contrasto del terrorismo internazionale (D.L. 27 luglio 2005, n. 144, in G.U. n. 173 del 27 Luglio
2005), convertito con la L. 31 luglio 2005 n. 155 (in G.U. n. 177 del 1 agosto 2005); Decreto Interministeriale del 16
Agosto 2005, in G.U. n. 190 del 17 agosto 2005
39. Regolamento recante codice di comportamento dei dipendenti pubblici, a norma dell'articolo 54 del decreto
legislativo 30 marzo 2001, n. 165" (D.P.R. 16 aprile 2013, n. 62)
10. Utilizzo di Internet e della casella di posta elettronica istituzionale sul posto di lavoro (Direttiva n. 02/2009 della
Presidenza del Consiglio dei Ministri, Dipartimento della Funzione Pubblica)
11. Lavoro: le linee guida del Garante per posta elettronica e internet (Provvedimento del 01 marzo 2007 del Garante
per la protezione dei dati personali, in G.U. n. 58 del 10 marzo 2007)
12. Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali (Provvedimento
del Garante per la protezione dei dati personali del 13/10/2008)
13. Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle
attribuzioni delle funzioni di amministratore di sistema (Provvedimento del 27 novembre 2008 del Garante per la
protezione dei dati personali, in G.U. n. 300 del 24 dicembre 2008) e s.m.i.
MATRICE DELLA REDAZIONE E DELLE REVISIONI
Data Stato Descrizione Approvazione
marzo 2020 In adozione Prima emissione Atto del Segretario Generale
4LINEE GUIDA E SPECIFICHE ISTRUZIONI IMPARTITE
DISPONIBILITÀ DELLE RISORSE DELL’ENTE
Le risorse di calcolo, memorizzazione e trasmissione1 sono di proprietà della Camera di commercio di Viterbo. Tali risorse
sono affidate ai dipendenti e collaboratori in uso NON ESCLUSIVO e temporaneo, per lo svolgimento di attività
istituzionali dell’Ente, nell’esercizio e nei limiti dei compiti, mansioni e dei doveri d’ufficio.
E’ fatto obbligo ai dipendenti e collaboratori di adottare comportamenti conformi al corretto espletamento della
prestazione lavorativa, ispirati ai principi della diligenza e correttezza ed idonei a non causare danni o pericoli ai beni
mobili, agli strumenti ad essi affidati ed ai dati ed informazioni che essi processano2.
L’utilizzo di strumenti aziendali per fini che non rientrano tra i compiti istituzionali è eccezionalmente tollerato in quanto
non comprometta l’utilizzo delle risorse e la sicurezza complessiva del patrimonio aziendale (beni, strumenti, dati ed
informazioni) nonché i diritti e le libertà degli interessati cui gli eventuali dati personali si riferiscono.
L’utilizzo di strumenti informatici di proprietà di dipendenti e collaboratori per finalità istituzionali è consentito previa
autorizzazione specifica del Titolare, o di suoi delegati, che provvederanno a valutarne il livello di sicurezza ai fini
dell’eventuale trattamento dei dati personali.
SISTEMI DI AUTENTICAZIONE E GESTIONE DELLE CREDENZIALI DI ACCESSO A SISTEMI INFORMATICI
GESTIONE DELLE CREDENZIALI DI AUTENTICAZIONE
Tutti gli utenti a cui vengono forniti accessi alla rete ed alle risorse informatiche della Camera di commercio di Viterbo
devono essere riconosciuti ed identificabili. Il servizio di dominio Active Directory3 - gestito dal CED dell’Ente - consente la
possibilità di gestire l’identificazione dell’utente, la gestione delle credenziali e l’accesso ai servizi di rete e di sistema cui
l’utente è abilitato in base al proprio profilo di autorizzazione. Alcune impostazioni di sicurezza sono, quindi, gestite
centralmente dal sistema e non sono gestibili direttamente dall’utente. In particolare, il sistema di autenticazione è
impostato in modo da:
non attribuire agli account utente i privilegi di amministratore della macchina (ad eccezione dai soggetti cui è
formalmente attribuito il ruolo di amministratore di sistema)
non consentire l’attivazione di userID già assegnate ad altri incaricati, neppure in tempi diversi;
segnalare al primo utilizzo e, in seguito ogni 182 giorni che è necessario cambiare la password; in caso di mancata
variazione della password, l’account si disabilita fino al rinnovo della stessa;
consentire all’utente, tramite appositi comandi, il cambio della password anche con una frequenza maggiore rispetto
alla scadenza predefinita;
verificare positivamente i seguenti criteri di composizione delle password:
REQUISITO DESCRIZIONE
LUNGHEZZA MINIMA 7 caratteri
La password deve contenere caratteri appartenenti ad almeno tre delle seguenti cinque
categorie:
caratteri maiuscoli dell'alfabeto inglese (A - Z).
caratteri minuscoli dell'alfabeto inglese (a - z).
COMPLESSITÀ
10 cifre di base (0 - 9).
non alfanumerici (ad esempio, !, $, # o %).
caratteri Unicode.
La password non contiene tre o più caratteri del nome di account dell'utente
CRONOLOGIA Le ultime 24 (non possono essere riutilizzate)
MODIFICA Ogni 182 gg
Tali requisiti di sicurezza, ove non gestiti centralmente ed automaticamente dal sistema in utilizzo, dovranno essere
rispettati autonomamente da tutti i dipendenti e collaboratori che dispongano di utenze istituzionali.
1 Nel dettaglio: apparati hardware (postazioni di lavoro, dispositivi portatili, tablet, telefono aziendale) , software, supporti ottici e
magnetici; servizi di collegamento telematico e di gestione della rete; servizi applicativi e tutti quegli strumenti di interoperabilità (ad
es., email, sito internet ed intranet) che permettono ai soggetti autorizzati di accedere alla rete e di comunicare tra di loro.
2 Cfr. la Direttiva Utilizzo di Internet e della casella di posta elettronica istituzionale sul posto di lavoro, cit. in premessa.
3 servizio di directory compatibile con lo standart X500 che consente di gestire in modo centralizzato account utenti, applicazioni,
servizi, periferiche e tutto ciò che fa parte di un sistema distribuito
5E’ inoltre fatto obbligo agli utenti del sistema di scegliere le proprie password in modo che non contengano riferimenti
agevolmente riconducibili agli utenti stessi.
Le credenziali di autenticazioni (combinazione tra user-id e password) sono strettamente personali e non devono mai
essere divulgate ad altre persone. In proposito, per effetto dell’attribuzione univoca di credenziali di accesso ed
autorizzazione a risorse aziendali, il dipendente è consapevole che qualsivoglia atto, azione e/o fatto operato all'interno
del Sistema con i codici identificativi o dopo l'accesso al Sistema stesso attraverso l'utilizzo di detti codici sarà
inequivocabilmente attribuito al titolare degli stessi.
Nel caso in cui si abbia il dubbio che la propria password sia stata violata - ovvero un soggetto abbia effettuato un accesso
abusivo al sistema - è fatto obbligo agli utenti di avvertire immediatamente gli amministratori di sistema, che
provvederanno ad attivare le verifiche del caso (anche mediante analisi dei log di accesso) ed eventualmente a resettare
la password al fine di consentire all’utente di impostarne una nuova e sicura.
Gli amministratori di sistema provvedono:
a verificare e sospendere le utenze e relative credenziali nel caso di mancato utilizzo delle stesse da almeno 3 (tre)
mesi
a disabilitare le utenze il cui titolare abbia cessato il rapporto di lavoro o collaborazione con della Camera di
commercio di Viterbo.
Scelta della password
L’obiettivo da perseguire, quando viene scelta una password, è di rendere difficile una sua eventuale ricostruzione e/o
individuazione. La complessità con la quale viene costituita è importante per contrastare le tecniche di ‘brute-force’, che
tentano ogni possibile combinazione di lettere, numeri e caratteri per risolvere la password. Naturalmente una ricerca di
questo tipo, persino se processata su un computer capace di generare e testare migliaia di combinazioni al secondo
potrebbe, con un’appropriata politica di definizione delle password, richiedere molto tempo. Dunque solo una password
correttamente definita e gestita in modo da non essere divulgata può costituire un’appropriata tecnica per il controllo e la
discriminazione degli accessi ai sistemi informatici.
Le linee guida a seguire sono configurabili, se correttamente applicate, quale misura idonea di sicurezza.
Fermi restando i requisiti di sicurezza impostati come automatici (di cui al par. precedente), e comunque per tutti i sistemi
che presentano un secondo livello di autenticazione non gestito centralmente, nella scelta della password si raccomanda
di:
NON USARE per creare la propria password:
la UserID in qualsiasi forma (così com’è, invertito, scritto con caratteri maiuscoli, raddoppiato, etc…);
il nome e/o il cognome dell’utente, neanche se combinato ad altri dati personali;
altre informazioni che siano facilmente ottenibili conoscendo l’utente a cui è associata la password (ciò include ad
es.: numero telefonico, data di nascita, di compleanno, codice fiscale, nome della marca dell’automobile, il nome
della via di residenza, etc…);
il nome e/o cognome di parenti (moglie, figli), personaggi pubblici o personaggi dei fumetti (es. pippo, pluto, etc…);
il nome di mesi, giorni della settimana, stagioni, città, stati;
sigle di funzioni/uffici dell’Ente
il nome di progetti e/o dell’applicativo cui la password si riferisce;
i numeri scritti in cifre;
stringhe composte da più di 3 caratteri (numerici, alfabetici, speciali) consecutivi uguali;
USARE per creare la propria password:
stringhe costruite utilizzando contemporaneamente caratteri alfabetici, numerici e simboli speciali;
stringhe composte usando contemporaneamente caratteri alfabetici minuscoli e maiuscoli;
stringhe strutturate con:
un numero di caratteri alfabetici compresi tra 3 e 5;
un numero di caratteri speciali compresi tra 1 e 3;
un numero di caratteri numerici tra 2 e 4;
la password deve essere comunque definita in modo che l’utente sia in grado di impararla a memoria per evitare che
si renda necessario doverla scrivere e/o salvare. Un esempio di password conforme alle indicazioni sopra esposte è
la seguente:
6 UØva-SØd3 (Uova-Sode) ove la vocale “o” è stata sostituita con il numero “Ø” (zero), la vocale “e” con il numero
“3” (tre) e lo spazio con il simbolo “-”. La password siffatta contiene simboli speciali, numeri, e caratteri alfabetici
in maiuscolo e minuscolo, per cui ha una struttura complessa, però è anche semplice da ricordare.
Conservazione della password
Persino avendo scelto una password difficilmente indovinabile per tutelare gli accessi ai sistemi informatici, è comunque
consigliabile seguire le successive linee guida che forniscono indicazioni su come gestire, durante tutto il ciclo di vita, la
password di un utente:
bisogna evitare, per quanto possibile, di inserire le credenziali in presenza di altri soggetti;
la password, in particolare, deve essere custodita in modo appropriato: non deve mai essere scritta su fogli, biglietti,
post-it o su oggetti (unità di memorizzazione rimovibili, sotto la tastiera o mouse, etc.) lasciati nelle vicinanze del PC;
nel caso in cui non si possa fare a meno di annotare le proprie password in forma digitale su file, si raccomanda che
questo sia a sua volta opportunamente cifrato dall’utilizzatore (ad es., compressione zip/rar con password non
banale);
in ogni caso è necessario provvedere alla modifica della password se essa sia stata rivelata – pur essendo vietato - ad
altri consapevolmente (ad es., per consentire l’accesso momentaneo ad una base di dati in caso di assenza
dell’incaricato) o se si sospetta che questo possa essere accaduto accidentalmente.
PROTEZIONE DELLA POSTAZIONE DI LAVORO
In nessun caso bisogna lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento dei
dati personali, al fine garantire la protezione delle postazioni di lavoro accese e non utilizzate. Le istruzioni da seguire in
caso di assenza – anche temporanea – dalla postazione di lavoro sono, in ordine decrescente di importanza, le seguenti:
bloccare la postazione con il comando “blocca computer” attivabile digitando contemporaneamente i tasti CTRL -
ALT – CANC ovvero chiudere tutte le applicazioni aperte e le connessioni verso applicazioni remote, quando non più
necessarie;
attivare l’opzione Screen Saver Lock (c.d. “screensever con password”), che blocca la macchina dopo un periodo di
inattività (determinato una tantum dallo stesso utente) ovvero la disconnessione automatica dal sistema in uso;
minimizzare tutte le applicazioni/finestre aperte;
non rivolgere il monitor verso zone di transito.
In ogni caso è opportuno e fortemente consigliato di chiudere a chiave la porta dell’Ufficio in caso di assenza prolungata
di tutti gli incaricati ivi assegnati.
SISTEMI DI SALVATAGGIO DEI DATI
A tutto il personale che, a qualsiasi titolo, presta la propria attività lavorativa in Camera di commercio, viene assegnato
uno spazio di lavoro personale e dedicato della rete aziendale (cartelle personali ad accesso esclusivo), spazi di lavoro
condivisi a livello di gruppo (cartelle con accesso agli autorizzati) e spazi di lavoro condivisi tra tutti (cartelle con accesso
libero) sulla infrastruttura di rete localizzata presso il CED, disponibili per il salvataggio di tutti i database (da intendersi
anche come cartelle di file).
Lavorare esclusivamente in rete e non in locale e, di conseguenza, il salvataggio dei dati in queste cartelle costituisce
una fondamentale regola di prudenza, in quanto su queste risorse vengono gestite centralmente ed automaticamente
specifiche policy di back-up a norma.
Data la necessaria esiguità dello spazio a disposizione sul fileserver e l’erosione delle risorse di rete (ad es., connettività)
che il riversamento di file comporta, è fatto divieto di salvare nelle cartelle materiale non direttamente attinente
all’attività lavorativa.
SISTEMI ANTINTRUSIONE
Tutti i server utilizzati della Camera di commercio di Viterbo presso il CED sono equipaggiati con specifico antivirus i cui
aggiornamenti sono verificati e distribuiti centralmente attraverso specifiche policy automatiche.
Su ogni singola postazione di lavoro è inoltre installato un ulteriore antivirus (con aggiornamento automatico pianificato)
con funzioni di scansione in tempo reale su ogni dispositivo collegato e di scansione completa su richiesta.
Tali strumenti si occupano quindi automaticamente sia della ricerca periodica dei files delle firme digitali che consentono
al motore antivirus di intercettare i codici maligni, sia dell’installazione che dell’aggiornamento automatico della
protezione. Lo stato degli aggiornamenti e delle eventuali incidenze virali è monitorato centralmente da una o più
postazioni di consolle.
7Ove tecnicamente possibile in relazione all’attribuzione di account privilegiati, è fatto divieto di alterare, disabilitare o
modificare tale programma.
Nel caso in cui il software antivirus rilevi la presenza di un virus, ovvero l’utente riscontri una anomalia che possa essere
riconducibile all’aggressione di un agente dannoso (reindirizzamento di pagine web, messaggi indesiderati, blocco di
programmi, rallentamenti, etc.), è fatto obbligo di segnalare immediatamente il problema al CED.
UTILIZZO DELLE RISORSE DI SISTEMA
E’ vietato connettere autonomamente e senza autorizzazione alla rete informatica/telefonica dell’Ente apparati di
qualunque genere, inclusi Hub, Switch, Router, Access Point WiFi, Modem, Computer Laptop, Computer Desktop, Print
Server, Stampanti, Analizzatori di rete (Hardware e Software), apparati in genere dotati di interfaccia Ethernet. Tali
operazioni vanno preventivamente comunicate all’Amministrazione che ne valuterà l’effettiva necessità e la relativa
fattibilità ed, in caso di approvazione, prenderà in carico l’attività di configurazione e messa in sicurezza dell’apparato in
oggetto.
Gli utenti non devono abusare delle risorse informatiche e telematiche, alterandole o facendone cattivo uso attraverso:
tentativi intenzionali di apportare modifiche a sistemi o altre risorse informatiche per cui l’utente non possieda
idonea autorizzazione4;
modifiche di configurazioni di sistemi di uso collettivo;
tentativi intenzionali di bloccare o mandare fuori servizio computer, reti, servizi od altre risorse;
più in generale, attività intenzionali che portino in qualunque modo alla saturazione dei sistemi di elaborazione e di
trasmissione dati, rendendo anche temporaneamente indisponibili risorse di uso comune agli utenti;
danneggiamento o vandalismo nei confronti di apparati, software, files o altre risorse informatiche.
ARCHIVI INFORMATICI CONTENENTI DATI PARTICOLARI
In relazione a specifiche funzioni (ad es., acquisti/risorse umane) o progetti con altri Enti (ad es., quelle che comportino
verifiche amministrative per conto di Titolari committenti sul possesso di determinati requisiti), è possibile che vengano
acquisiti e detenuti archivi (cartelle) contenenti dati sensibili/giudiziari. Queste cartelle/sottocartelle non devono mai
essere liberamente accessibili ma protette secondo livelli di autenticazione limitati ai soli soggetti autorizzati. Per evitare
che eventuali (improbabili ma sempre possibili) accessi abusivi dall’esterno possano compromettere la riservatezza di tale
documentazione, è necessario che tali archivi siano cifrati (ad es., zippati con password o analoga misura) e, se detenuti
in formato cartaceo, custoditi in contenitori chiusi a chiave ed accessibili solo agli autorizzati.
L’implementazione e la verifica del rispetto di tali misure è di competenza dei responsabili di Area/Servizio.
INSTALLAZIONE DI SOFTWARE
Ove tecnicamente possibile in relazione all’attribuzione di account privilegiati:
non è consentito installare autonomamente programmi (o file eseguibili) provenienti dall’esterno (ad es., software
scaricato da internet, contenuto in supporti allegati a riviste, libri e quotidiani, prestati da amici etc.)
è assolutamente vietato installare, anche solo temporaneamente, programmi ottenuti o sbloccati illegalmente
(programmi crackati, codici di sblocco ottenuti da internet, ecc.); è, inoltre, tassativamente proibito utilizzare i
calcolatori e l’infrastruttura di rete allo scopo di connettersi ad Internet nei circuiti/protocolli Peer2Peer e/o di
filesharing (ad es., BitTorrent, FastTrack, etc)
E’ vietato effettuare copie non autorizzate e/o distribuire software soggetto a copyright acquisito dall’Ente, al di fuori
dei termini delle licenze5.
UTILIZZO DI INTERNET
La stessa infrastruttura virtualizzata nonché numerosi sistemi informativi utilizzati della Camera di commercio di Viterbo
(e quindi strumentali all’attività istituzionale di cui deve essere garantita la assoluta continuità) sono web oriented, quindi
un eccessivo traffico internet non legato a motivi di lavoro può comportare disservizi / blocchi su sistemi critici.
Per questo, il servizio di navigazione su Internet a fini personali è eccezionalmente tollerato esclusivamente in quanto
non comprometta l’utilizzo delle citate risorse e la sicurezza complessiva del patrimonio aziendale (beni, strumenti, dati
4Ad es., rimuovere programmi software od apparati hardware.
5Si vedano, in proposito, gli obblighi imposti dal D.Lgs. 29 dicembre 1992 n. 518 e dalla L. 18 agosto 2000 n. 248, di cui gli estremi in
premessa.
8ed informazioni). Per questo motivo i proxy Infocamere sono stati implementati mediante sistemi di filtraggio del traffico
web, consistenti anche in black list comuni a livello di Sistema che inibiscono l’accesso a categorie di siti reputati non
pertinenti con l’attività lavorativa.
Questa soluzione non esime comunque il dipendente dall’utilizzo corretto della navigazione web.
E’ fatto esplicito divieto ai dipendenti della Camera di commercio di Viterbo di fornire la password del sistema wifi
(riservato ai dipendenti) a visitatori occasionali ovvero comunque a collaboratori non strutturati.
Quanto sopra perché l’utilizzo della connessione con dispositivi di proprietà di terzi che non dispongono di adeguate
misure di sicurezza espone la Camera di commercio di Viterbo all’incidenza di problematiche di sicurezza.
UTILIZZO DELLA POSTA ELETTRONICA ISTITUZIONALE
La Camera di commercio di Viterbo ha realizzato un sistema misto di caselle di posta elettronica “istituzionali” (con
dominio vt.camcom.it), identificabili come segue:
a) indirizzi individuali (nome.cognome@vt.camcom.it), basati sull’identità personale del dipendente ed attribuibili di
regola a personale dipendente/distaccato dell’Ente, con accesso esclusivo da parte del diretto interessato;
b) indirizzi di struttura/procedimento (ad esempio, nomeufficio/procedimento@vt.camcom.it), con accesso condiviso
tra più utenti della stessa Struttura organizzativa, individuati dal relativo responsabile; questi deve inoltre definire e
condividere all’interno della struttura le regole di gestione della e-mail, in modo da garantire la continuità ed
operatività del servizio e, contestualmente, i principi di stretta necessità e di non eccedenza nel trattamento dei dati
(art. 11 del Codice).
La casella di posta istituzionale è uno strumento di lavoro. Gli utenti assegnatari delle caselle di posta istituzionale sono
responsabili del corretto utilizzo della stessa. L’utilizzo della posta elettronica aziendale per finalità personali è
eccezionalmente tollerato in quanto non comprometta la sicurezza complessiva del patrimonio aziendale.
È espressamente vietato:
salvo diversa ed esplicita autorizzazione, utilizzare l’indirizzo istituzionale per finalità private, quali a puro titolo
esemplificativo:
partecipazione a dibattiti, forum o mailing-list, newsletter ed altri servizi on-line non pertinenti all’attività
lavorativa;
invio o ricezione di:
- informazioni indesiderate o invasive (spam), pubblicità non istituzionale, manifesta o occulta e comunicazioni
commerciali private;
- materiale pornografico o simile, che violi la dignità e riservatezza di eventuali interessati ovvero che violi
diritti di proprietà intellettuale di terzi (ad es., copyright).
utilizzare, per qualunque finalità – istituzionale o privata - un account di posta elettronica “apparentemente”
intestato alla Camera di commercio di Viterbo (ad es., camcomvt@hotmail.com), ad un servizio (ad es.,
acquisti.camcomvt@gmail.com) ovvero ad un altro dipendente che può indurre in errore altri utenti6
Per queste stesse motivazioni:
- di norma entro 30 gg. dalla cessazione del rapporto di lavoro viene comunicata ad InfoCamere la richiesta di
disattivazione della casella di posta elettronica alla ricezione/invio ed alla lettura;
- è prevista la conservazione da parte di InfoCamere sui server di back-up del contenuto della casella per ulteriori 90
gg. dall'ultimo accesso, su richiesta è possibile aumentare il periodo di conservazione sui server o recuperare tutto
tutto il contenuto della casella stessa.
Nell’utilizzare anche a fini istituzionali l’email aziendale, bisogna fare attenzione ai messaggi ricevuti, ed in particolare:
in caso di dubbio sul mittente o sul contenuto (allegati sospetti) occorre controllare che non contengano virus o altri
codici malevoli: salvare l’allegato ed effettuare lo "scan" con il software antivirus PRIMA di aprire il file;
la posta elettronica non desiderata (spam) o di cui non si conosce il mittente non deve essere aperta. Non bisogna
mai rispondere a tali mail poiché si potrebbe incorrere nel rischio di aprire un varco a potenziali pericoli (virus, worm,
trojan, etc.) ovvero semplicemente confermare l’esistenza dell’email ai fini dell’inserimento nelle liste di spam;
6 Tale condotta può configurare fattispecie di reato quali quelle previste dagli artt. 494 c.p. (sostituzione di persona: “chiunque …
induce taluno in errore, sostituendo illegittimamente la propria all’altrui persona, o attribuendo a sé o ad altri un falso nome o un falso
stato…”) e 640 c.p. (truffa: “chiunque, con artifizi o raggiri, indicendo taluno in errore …” ).
9 bisogna cestinare – a meno che il mittente non sia “sicuro” - le email che invitino a cogliere una nuova "opportunità
di lavoro", a dare le coordinate bancarie del proprio conto online o altri dati personali per verificarne l’attendibilità o
l’esattezza, etc.7.
Per quanto riguarda la posta elettronica in uscita:
bisogna fare attenzione all’indirizzo email digitato, per non compromettere la confidenzialità dei contenuti8;
qualora sia adottato un sistema di classificazione dei documenti interno alla Camera di commercio di Viterbo non
bisogna mai inviare tramite posta elettronica quelli classificati come confidenziali, riservati, esclusivi, a meno che non
si riferiscano allo stesso soggetto mittente;
se possibile, è sempre consigliabile utilizzare il comando Ccn o Bcc9 per inviare un messaggio a più soggetti, a meno
che i singoli destinatari debbano sapere esattamente a chi è destinato il messaggio;
nel caso in cui sia necessario inviare documenti contenenti dati particolari (sensibili/giudiziari), questi devono essere
cifrati (ad es., zippati con password) e la relativa password di apertura deve essere comunicata al destinatario con un
diverso canale di comunicazione (ad es., telefono/sms).
CONTINUITÀ DELLE COMUNICAZIONI
E’ possibile configurare il servizio di posta elettronica aziendale su device (aziendali o personali) quali telefoni cellulari o
tablet, nel qual caso si richiama l’attenzione sulla necessità di impostare quantomeno un pin all’accensione dello stesso
onde evitare in caso di smarrimento o furto e nei limiti delle misure disponibili sull’apparecchio, la possibilità di accesso ai
dati ed informazioni ivi detenuti.
Ove il dipendente non voglia o possa avvalersi di tale facoltà, in caso di assenza programmata (specie se di lunga durata)
ed al fine di garantire la continuità dell’attività lavorativa e prevenire la necessità di accedere alla casella di posta
elettronica in sua assenza, può autonomamente10:
a) attivare una funzione di risposta automatica ai messaggi ricevuti che consentano di inviare un avviso al mittente
contenente le “coordinate” (anche elettroniche o telefoniche) di un altro dipendente o altre modalità di contatto della
struttura;
b) attivare una funzione di inoltro automatico di tutta la posta in arrivo ad altro account istituzionale.
In caso di assenza non programmata la procedura - qualora non possa essere attivata dal lavoratore avvalendosi del
servizio web mail – potrà essere attivata a cura dell’ amministratore di sistema che potrà comunque sempre accedere
alla casella di posta per le sole finalità legate ad interventi diretti a garantire la sicurezza e la salvaguardia del sistema
informatico, per motivi tecnici e/o manutentivi e per garantire e/o ripristinare la normale operatività dell’Ente.
E’ assolutamente vietato invece attivare la funzione di inoltro automatico delle comunicazioni istituzionali al proprio
indirizzo email privato.
POSTA ELETTRONICA PERSONALE
L’utilizzo di posta elettronica personale del dipendente, mediante accesso a servizi di web mail è tollerato in quanto non
comprometta l’utilizzo delle risorse e la sicurezza complessiva del patrimonio aziendale (beni, strumenti, dati ed
informazioni).
E’ comunque espressamente vietato configurare il software client di posta11 installato su postazioni di lavoro della
Camera di commercio di Viterbo per la gestione di servizi di posta elettronica privata.
UTILIZZO DI DEVICE AZIEDALI
Per motivate esigenze di servizio, il personale della Camera di commercio di Viterbo può essere dotato di apparato
telefonico mobile e/o di altri strumenti di connettività, da utilizzare (quali PC portatili, tablet, ecc.) per consentire la
7 Si tratta del fenomeno conosciuto come phishing (letteralmente "spillaggio” -di dati sensibili-): attività che, sfruttando una tecnica di
ingegneria sociale, è utilizzata per ottenere illecitamente l'accesso a informazioni personali o riservate con la finalità del furto di
identità mediante l'utilizzo delle comunicazioni elettroniche, soprattutto messaggi di posta elettronica fasulli o messaggi istantanei
8 Tale condotta, pur non potendo configurare – in assenza di dolo - un trattamento illecito di dati personali per
comunicazione/diffusione a soggetti non autorizzati ai sensi dell’art. 167 del Codice, può dar luogo al risarcimento del danno
eventualmente richiesto dal soggetto che ritenga lesa la sua dignità/riservatezza.
9 CCN = Copia Conoscenza Nascosta; BCC = Blind Carbon Copy
10 Ovvero richiedendo il supporto dell’Amministratore di sistema
11 Ad es., Outlook, Thunderbird, Eudora, etc
10connessione ai servizi informatici dell’Ente anche fuori sede e oltre l’orario di lavoro, nel rispetto delle disposizioni di
seguito indicate.
L’utilizzo - anche al di fuori dell’orario di lavoro – deve comunque essere inerente all’attività lavorativa.
I PC portatili utilizzati all’esterno (convegni, riunioni in CCIAA, ecc.), in caso di allontanamento, devono essere custoditi in
un luogo protetto.
L’assegnatario del dispositivo è responsabile del suo corretto utilizzo dal momento della presa in consegna fino alla
restituzione e/o revoca e dovrà porre ogni cura nella sua conservazione, per evitare danni, smarrimenti o sottrazioni dello
stesso e dei dati ed informazioni ivi contenuti.
In particolare, i telefoni cellulari possono essere utilizzati soltanto per ragioni di servizio e quale strumento di lavoro,
ponendo la massima attenzione al contenimento della spesa.
SMALTIMENTO SUPPORTI DI MEMORIZZAZIONE
I supporti contenenti dati personali vengono smaltiti in modo da evitare il recupero di informazioni riservate, come
previsto dal Provvedimento del Garante 13/10/2008 “Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure
di sicurezza dei dati personali”. La dismissione o formattazione per eventuale riassegnazione ad altro utilizzatore di tali
supporti viene effettuata esclusivamente dall’Amministratore di sistema utilizzando una delle seguenti soluzioni:
a) specifici programmi informatici (quali wiping program o file shredder) che provvedono, una volta che l'utente abbia
eliminato dei file da un'unità disco o da analoghi supporti di memorizzazione con i normali strumenti previsti dai
diversi sistemi operativi, a scrivere ripetutamente nelle aree vuote del disco (precedentemente occupate dalle
informazioni eliminate) sequenze casuali di cifre "binarie" (zero e uno) in modo da ridurre al minimo le probabilità di
recupero di informazioni anche tramite strumenti elettronici di analisi e recupero di dati
b) formattazione "a basso livello" dei dispositivi di tipo hard disk (low-level formatting–LLF), laddove effettuabile,
attenendosi alle istruzioni fornite dal produttore del dispositivo e tenendo conto delle possibili conseguenze tecniche
su di esso, fino alla possibile sua successiva inutilizzabilità
c) sistemi di punzonatura o deformazione meccanica ovvero distruzione fisica o disintegrazione (usata per i supporti
ottici come i cd-rom e i dvd).
11MONITORAGGIO, VERIFICHE E CONTROLLI
L’attività di verifica/monitoraggio sull’osservanza dei contenuti del presente Disciplinare è una specifica competenza
del DPO della Camera di commercio di Viterbo. Inoltre, il datore di lavoro, può riservarsi di verificare, anche tramite
delegati, se il prestatore utilizza la prescritta diligenza e osserva le disposizioni impartitegli, anche al fine dell’eventuale
esercizio del potere disciplinare.
Nell’esercizio di tale prerogativa il datore di lavoro garantisce il rispetto della libertà e della dignità dei lavoratori, in
particolare per ciò che attiene alla installazione ed utilizzo di “strumenti dai quali derivi anche la possibilità di controllo a
distanza dell’attività dei lavoratori” (art. 4, comma 1, Statuto dei Lavoratori12).
Si rammenta che tali tutele non sono riferibili a fatti estranei alla prestazione lavorativa che presentino ad es., profili di
illiceità od una aggressione a un bene oggetto di tutela di titolarità dell’azienda: se il controllo tecnologico non è
“preventivo” né “sistematico” ma “reattivo”, ovvero finalizzato ad accertare condotte illecite del lavoratore, può essere
legittimamente utilizzato nel rispetto dello Statuto dei lavoratori (art. 4, comma 2)13.
La Camera di commercio di Viterbo può avvalersi delle prerogative sopra menzionate per implementare un sistema di
controllo e monitoraggio avente le seguenti finalità:
a) Controlli di routine
audit finalizzati all’applicazione della normativa in materia di privacy e delle misure di sicurezza, comprese le
istruzioni impartite dal Titolare/Responsabile del trattamento attraverso il presente Disciplinare;
verifiche annuali sugli amministratori di sistema, come previsto dal provvedimento del Garante citato in
premessa.
b) Controlli occasionali o per specifiche finalità
verifiche a campione sulla funzionalità e sicurezza di strumenti, apparati, e sistemi14;
verifiche ed indagini mirate a seguito di anomalie ed incidenti di sicurezza15, anche occulti purché effettuati per
finalità difensive16;
controlli in occasione di attività di manutenzione di dati e sistemi17 e per necessità collegate alla sicurezza sul
lavoro;
controlli e verifiche effettuate sulla base di specifica richiesta dell’autorità inquirente o della polizia giudiziaria.
In ogni caso, è esclusa l’effettuazione di controlli prolungati, costanti ed indiscriminati, con finalità di controllo a distanza
dell’esatto adempimento delle obbligazioni derivanti dal rapporto di lavoro (c.d. “non lavoro” o “tempo/macchina”).
LOG DI SISTEMA
Alcuni strumenti di elaborazione (ad es.: sistemi operativi, specifici software gestionali) implementano sistemi di
memorizzazione di alcune informazioni relative all’accesso ed all’utilizzo degli stessi (c.d. file di log). Le informazioni
gestite sono del tipo access log, ovvero registrazione degli eventi (event records) generati dal sistema di autenticazione
informatica: contengono usualmente i riferimenti allo “username” utilizzato, alla data e all’ora dell’evento (timestamp),
una descrizione dell’evento (sistema di elaborazione o software utilizzato, se si tratti di un evento di log-in, di log-out).
In proposito si specifica che:
con riferimento alla generalità dei dipendenti della Camera di commercio di Viterbo, non sono installati né
utilizzati specifici software per il monitoraggio delle attività informatiche ma possono essere utilizzati
retroattivamente quelli “nativi” così come sono resi disponibili dai sistemi in uso. Tale impostazione è compatibile
con la citata recente modifica dell’art. 4 dello Statuto dei Lavoratori, nella parte in cui chiarisce che non possono
essere considerati strumenti di controllo a distanza quelli che vengono assegnati al lavoratore "per rendere la
prestazione lavorativa” e gli strumenti “di registrazione degli accessi e delle presenze”;
12 Come modificato dall’art. 23 del D.Lgs. 14 settembre 2015, n. 151
13 Inproposito, ad es., Corte di Cassazione n° 2722/2012
14 Ad es., controlli a campione sulle impostazioni degli applicativi atti a prevenire l’incidenza di codici maligni (c.d. antivirus); controlli a
campione sugli spazi di backup assegnati agli utenti, al fine di verificare che l’eventuale salvataggio di file non relativi alle normali
attività lavorative non causi blocchi o malfunzionamenti al sistema ovvero non configuri ipotesi di reato; salvataggio di file di cui
l’operatore non detiene i diritti di utilizzazione (file audio e video scaricati dalla rete, programmi ottenuti o sbloccati illegalmente), file
corrotti da virus/spyware in grado di compromettere l’intera infrastruttura informatica, etc.
15 Ad es., incidenza di virus, commissione di illeciti, accessi abusivi a sistemi e dati, etc.
16 ovvero forme di intervento, controllo o monitoraggio diretti ad accertare condotte illecite del lavoratore che integrino, appunto,
lesione del patrimonio dell’Ente ovvero delle vere e proprie fattispecie di reato, al fine di far valere il proprio diritto in sede giudiziaria.
17 con l’obbligo dei soggetti incaricati della manutenzione - formalizzato con apposite lettere d’incarico - di svolgere solo operazioni
strettamente necessarie al perseguimento delle relative finalità.
12 esclusivamente nel caso delle utenze di amministratore di sistema, la Camera di commercio di Viterbo potrà dotarsi
di uno specifico sistema di log management che ne garantisca il monitoraggio con caratteristiche di completezza,
inalterabilità e possibilità di verifica della loro integrità. Si specifica che in questo caso, l’adempimento è richiesto
specificamente dal provvedimento 27/11/2008 del Garante privacy in materia di “Misure e accorgimenti prescritti ai
titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di
amministratore di sistema” citato in premessa, per finalità di verifica della rispondenza del loro operato alle misure
organizzative, tecniche e di sicurezza previste dalle norme vigenti ed impartite dal Titolare del trattamento.
Infine si ribadisce che non sono in alcun modo utilizzati sistemi per:
la lettura e la registrazione dei dati sull’attività interattiva (ad es., caratteri inseriti tramite la tastiera o analogo
dispositivo);
l’analisi occulta di computer affidati in uso;
Sistemi MDM (Mobile Device Management) per la localizzazione dei device aziendali.
LOG DI NAVIGAZIONE
La Camera di commercio di Viterbo attualmente non implementa soluzioni per il tracciamento e l’elaborazione della
navigazione internet.
Qualora - per specifiche finalità - il Titolare disponga il monitoraggio dei log relativi alla navigazione in internet, il relativo
servizio sarà richiesto ad Infocamere, in quando gestore della connessione Internet (ICrete) della Camera di commercio di
Viterbo, e comunicato al personale.
L’eventuale riscontro di un utilizzo non corretto18, in caso di abusi isolati, è segnalato mediante una nota informativa a
tutti i dipendenti assegnati alla Struttura. In caso di abusi reiterati, ovvero che possano configurare ipotesi di reato o di
violazione delle istruzioni impartite dal Titolare, saranno attivate forme alternative di controllo (ad es., specifici audit
informatici).
CONSERVAZIONE DEI DATI DI LOG
I sistemi in utilizzo sono programmati e configurati in modo da cancellare periodicamente ed automaticamente
(attraverso procedure di sovraregistrazione come, ad esempio, la c.d. rotazione dei log file) i record la cui conservazione
non sia necessaria o richiesta da specifiche disposizioni legislative.
Può essere disposta la conservazione oltre i limiti previsti esclusivamente nei casi in cui sia necessario per:
1) l’indispensabilità del dato rispetto all’esercizio o alla difesa di un diritto in sede giudiziaria;
2) ottemperare ad una specifica richiesta da parte delle pubbliche autorità (magistrato o forze dell’ordine con funzioni
di polizia giudiziaria);
3) ottemperare al Provvedimento del Garante relativo alle attività degli amministratori di sistema.
CONTROLLI SULLE EMAIL ISTITUZIONALI
Il controllo del contenuto delle email istituzionali da parte del Titolare del trattamento è previsto, come ipotesi residuale,
ed esclusivamente per le seguenti finalità:
verifiche ed indagini mirate a seguito di anomalie ed incidenti di sicurezza, anche all’insaputa del dipendente, purché
effettuati per finalità difensive del patrimonio/reputazione aziendale;
necessità di accedervi per esclusive e motivate ragioni di servizio, in caso di assenza improvvisa o programmata del
dipendente, qualora non siano state seguite le cautele all’uopo previste.
18 Ovvero considerato oltre i limiti (range) definiti dagli standard e best practice di settore.
13Puoi anche leggere
