Misure di sicurezza applicate nella propria azienda

E’ possibile verificare e confrontare le misure di sicurezza applicate nella propria azienda utilizzando la checklist predisposta dal CNIL(Autorità francese per la protezione dei dati).

Il documento originale è stato già pubblicato nel blog in questa sezione.

 Trasparenza

  • E’ prevista l’informativa per ogni trattamento di dati personali?
  • E’ stata predisposta e applicata una policy sull’utilizzo dei dispositivi, delle email, della navigazione internet da parte dei lavoratori?

Autenticazione

  • E’ previsto un unico ID-utente (login) per ogni utente?
  • Sono previste e applicate delle regole sulla creazione delle password?
  • E’ chiesto a ogni utente di cambiare la password al primo utilizzo?
  • E’ limitato il numero dei tentativi di accesso agli account?

Access Management

  • Sono definiti dei profili di autorizzazione per i diversi trattamenti?
  • Sono rimossi i permessi di accessi obsoleti in caso di cambio mansione?
  • Viene eseguito un aggiornamento annuale delle autorizzazioni?

Log System e gestione degli incidenti

  • E’ presente un log system?
  • I lavoratori e altri utenti sono stati informati del funzionamento del log system?
  • Il sistema di log e le informazioni di log sono protette?
  • E’ presente una procedura per la notifica del Data Breach?

Sicurezza della postazione di lavoro

  • E’ prevista le chiusura automatica delle sessioni di lavoro?
  • Il sistema antivirus è aggiornato regolarmente?
  • E’ installato un sistema firewall?
  • E’ richiesto il consenso del lavoratore prima di ogni accesso alla sua postazione di lavoro?

Sicurezza dei dispositivi portatili

  • Sono previste misure di cifratura per i dispositivi mobile? (es. Laptop e smartphone personali o aziendali)
  • Vengono effettuati regolarmente backup e sincronizzazione dei dati?
  • E’ prevista una procedura di autenticazione per lo sblocco degli smartphone?

Protezione della rete locale

  • Limitare gli accessi alla rete allo stretto necessario.
  • Gli accessi remoti da dispositivi informatici avviene tramite connessione VPN?
  • La connessione WI-FI utilizza i protocolli WPA2 o WPA2-PSK?

Sicurezza del server

  • Consentire l’accesso ai tool di amministrazione solo a soggetti specifici.
  • Installare aggiornamenti importanti senza ritardo
  • E’ facilitata la disponibilità dei dati?

Sicurezza dei siti web

  • Sono utilizzati protocolli TLS o HTTPS?
  • E’ verificato che nessuna password o user-ID sia trasferito tramite URL? (es. doc su Google Drive contenente lista delle password)
  • E’ verificato se il contenuto richiesto dai form corrisponda a quello che si aspetta l’utente? (es. non chiedere informazioni eccedenti lo scopo del contatto)
  • E’ presente l’informativa e il banner sull’utilizzo dei cookie?

Continuità Operativa

  • Viene eseguito regolarmente il back up?
  • I dispositivi di back up sono conservati in un luogo sicuro?
  • Sono previste delle misure di sicurezza per il trasporto dei backup?
  • E’ organizzata e verificata regolarmente la Continuità Operativa?

 Procedure di archiviazione

  • Sono implementati specifici metodi di accesso ai dati archiviati?
  • Gli archivi obsoleti sono cancellati in modo sicuro?

Aggiornamento e cancellazione dei dati personali

  • Gli interventi di manutenzione sono registrati?
  • Durante la manutenzione una persona dell’organizzazione supervisiona il lavoro degli addetti terze parti?
  • Prima dello smaltimento dell’hardware, vengono cancellati i dati personali?

Gestione dei responsabili del trattamento dei dati personali

  • Nei contratti con i fornitori o consulenti vengono previsti gli obblighi privacy in modo specifico?
  • Nei contratti con i fornitori o consulenti vengono previste le condizioni di restituzione e/o cancellazione dei dati personali al termine del servizio?
  • Le misure di sicurezza, gli obblighi contrattuali e le garanzie previste sono applicate effettivamente? (es. invio di report regolari, visite di controllo, audit…)

Sicurezza delle comunicazioni

  • I dati personali sono cifrati prima dell’invio?
  • Viene verificato chi sia il giusto destinatario?
  • Le informazioni segrete sono inviate separatamente e con differente canale?

Sicurezza fisica

  • Gli accessi sono limitati tramite porte e armadi chiusi a chiave?
  • E’ presente un sistema di allarme e viene verificato periodicamente?

Crittografia dei dati

  • Vengono utilizzati algoritmi, software, librerie riconosciuti e/o sicure?
  • Le informazioni segrete e le chiavi di cifratura sono conservate in modo sicuro?

 

 

 

 

Lascia un commento