DOCUMENTO PROGRAMMATICO SULLA SICUREZZA

 

 

 

PREMESSA
Dal 1° gennaio 2004 è entrato in vigore il Decreto Legislativo 30 giugno 2003 n. 196, noto come Nuovo Codice in materia di protezione dei dati personali. Il provvedimento è di grande importanza perché riunisce in un unico testo una grande varietà di provvedimenti che si erano stratificati nel tempo a livello nazionale e comunitario, rendendo difficile la loro attuazione per l’operatore che è già impegnato nelle proprie attività istituzionali. Ma è importante anche perché, mentre mira a semplificare e snellire gli adempimenti, nello stesso tempo rende più stringenti i comportamenti e gli obblighi.

L’Università della Tuscia di Viterbo è una realtà complessa  per la serie di attività che esplica e per la presenza di 319 docenti,  di 301 unità di personale tecnico-amministrativo, di circa 10.500 studenti.

Sul piano dell’organizzazione l’Università della Tuscia è articolata in Amministrazione Centrale, 6 Facoltà, 19 Dipartimenti, 8 Centri, 4 Biblioteche.

Nel pieno rispetto della normativa in materia si intende definire un programma di interventi che oltre a perseguire la salvaguardia dei fondamentali diritti alla riservatezza di tutti i soggetti interessati, tenga conto delle peculiari esigenze del comparto universitario a proseguire nelle proprie attività di studio e ricerca senza incontrare ostacoli o interruzioni. L’Università sta avviando percorsi formativi in materia di protezione dei dati personali.  Il tema della sicurezza dei dati personali verrà monitorato nel tempo e mantenuto costantemente sotto controllo.

L’Università della Tuscia  è dotata di proprio Regolamento e aggiorna periodicamente il presente DPS.


1) ELENCO DEI TRATTAMENTI DI DATI PERSONALI

Riferimento normativo: 19.1- All. B D.Lgs. 196/2003

La Tabella 1.1 “Elenco dei trattamenti – Informazioni essenziali” contiene l’elenco dei trattamenti dati personali gestiti dalla Struttura;  in esso viene riportata la descrizione del trattamento, la natura dei dati, le strutture interessate e gli strumenti utilizzati.

Tabella 1.1 – Elenco dei trattamenti: informazioni essenziali

Natura dei dati:

S:sensibili;

G:giudiziari

 

 

ID

Descrizione sintetica del trattamento

Natura dei dati

Struttura di riferimento

Altre strutture interessate

Strumenti utilizzati

 

Finalità o attività

Categorie interessate

S

G

 

 

 

1.1

Sistema informativo segreterie studenti

Studenti

S

Segreterie studenti

Centro di Calcolo

Server d’Ateneo + pc in rete geografica

1.2

Sistema di contabilità integrata d’ateneo e sistema stipendi

Dipendenti, collaboratori, fornitori, clienti

S

Amministrazione centrale e Segreterie amministrative di tutti i centri di spesa

Centro di Calcolo

Server d’Ateneo + pc in rete geografica

1.3

Sistema protocollo

Tutti

S

Ufficio Protocollo

Centro di Calcolo

Server d’Ateneo + pc in rete geografica

1.4

Sito web d’Ateneo

 

 

Centro di Calcolo

 

Server d’Ateneo

1.5

Gestione posta elettronica

Dipendenti, collaboratori

 

Centro di Calcolo

 

Server d’Ateneo + pc in rete geografica

 

1.6

Gestione giuridico/ economica del personale

Personale docente e personale tecnico-amministrativo, CEL, BAS

 

S, G

Servizio Personale

Servizio Trattamenti economici del Personale e Contabilità

PC

1.7

Fornitura beni e servizi

Fornitori

G

Amministrazione centrale e Centri di Spesa

 

 

1.8

Gestione presenze

Personale tecnico-amm.vo

S

Servizio Personale

Servizi dell’Amministrazione centrale e Strutture periferiche

PC

1.9

Stipula convenzioni

Sottoscrittori

 

Direzione Amministrativa

 

 

1.10

Anagrafe delle prestazioni e degli incarichi retribuiti del personale docente, tecnico- amministrativo dell'Ateneo, nonché a professionisti esterni ex art 53 del D. Lgs. n° 165/2001

Personale docente e personale tecnico-amministrativo

 

Direzione Amministrativa

Servizio Personale, Centri di spesa A e B, Responsabili di Progetti

PC

1.11

Elezioni delle Rappresentanze del personale e degli studenti negli organi collegiali

 

Personale docente, tecnico-amministrativo, studenti

S

Servizio Affari Generali

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1.12

Rilevazioni deleghe sindacali

Personale docente e personale tecnico-amministrativo

S

Servizio Trattamenti economici del personale e Contabilità

 

PC

 

 


 

Tabella 1.2 – Elenco dei trattamenti: ulteriori elementi

 

 

Identificativo trattamento

Banca dati

Ubicazione backup

Tipologia dispositivi d’accesso

Tipologia di interconnessione

1.1

Microsoft SQL

Locali centro di calcolo

Personal computer

Rete geografica

1.2

DBMS Oracle

Locali centro di calcolo

Personal computer

Rete geografica

1.3

Proprietaria

Locali centro di calcolo

Personal computer

Rete geografica

1.4

Microsoft Exchange

Locali centro di calcolo

Personal computer, portatili

Rete geografica

1.5

Microsoft Access

Locali centro di calcolo

 

Rete geografica

1.8

Microsoft SQL

Locali centro di calcolo

Personal computer

Rete geografica

 

 

 


 

 

 

Elenco dei dati personali e “identificativi” relativi al personale docente, tecnico-amministrativo, ai collaboratori esterni e agli studenti, attualmente in possesso dell’Università degli Studi della Tuscia:

 

Personale docente, tecnico-amministrativo, ai collaboratori esterni:

- dati anagrafici, identificativi e informativi contenuti nel curriculum vitae;

- dati contenuti nel fascicolo individuale del personale docente o tecnico-amministrativo o dei collaboratori esterni;

- dati contenuti nei certificati medici per giustificazione di assenze (malattie, infortuni ecc.);

- dati inerenti lo stato di salute per esigenze di gestione del personale, assunzioni del personale appartenente alle c.d categorie protette, igiene e sicurezza sul luogo di lavoro, equo indennizzo, causa di servizio ecc.;

dati relativi alle carriere;

- dati relativi agli stipendi ed alle voci retributive;

- dati relativi alla adesione a sindacati o ad organizzazioni di carattere sindacale per gli adempimenti connessi al versamento delle quote di iscrizione o all’esercizio dei diritti sindacali;

- dati relativi ai riscatti ed alle ricongiunzioni previdenziali, dei trattamenti assicurativi e previdenziali obbligatori e contrattuali.

Tali dati sono oggetto di trattamento da parte delle competenti Strutture di Ateneo, ad opera dei soggetti ivi incaricati, con modalità sia manuale, cartacea che informatizzata, mediante il loro inserimento sia in archivi (contenenti documenti cartacei) sia nelle banche dati la cui titolarità è in capo alle competenti Strutture universitarie.

 

Studenti:

- dati anagrafici, identificativi e informativi contenuti nella domanda di iscrizione;

 - dati relativi agli esiti scolastici, intermedi e finali o comunque connessi alla carriera universitaria;

 - dati relativi agli studenti diversamente abili o ad elementi reddituali ai fini di eventuali esoneri dal versamento delle tasse universitarie;

Tali dati sono oggetto di trattamento da parte delle Strutture competenti, ad opera dei soggetti ivi incaricati, con modalità sia manuale, cartacea che informatizzata, mediante il loro inserimento sia in archivi (contenenti documenti cartacei) sia nelle banche dati degli studenti la cui titolarità è in capo alla Struttura di riferimento.

Si precisa che il trattamento di tutti i dati sopra citati avviene esclusivamente ai fini dell’adempimento delle prescrizioni di legge anche relative al rapporto di lavoro e di quelli connessi agli oneri fiscali e previdenziali, secondo quanto disposto sia dalla legislazione vigente in materia, sia dai contratti collettivi nazionali ed integrativi, ovvero per finalità di gestione amministrativa degli studenti e/o per finalità didattiche e/o per finalità afferenti alle elezioni delle rappresentanze studentesche negli Organi Accademici, ovvero per finalità connesse alle eventuali collaborazioni a tempo parziale degli studenti presso le Strutture universitarie.

Il conferimento dei dati è dunque obbligatorio.

Si ricorda, altresì che i trattamenti sopra menzionati possono riguardare anche i dati:

a)      definiti “giudiziari” ai sensi dell’art. 4 comma 1 lettera e) del D.lgs 196/2003 e cioè: dati personali idonei a rivelare i provvedimenti di cui all’art. 3 comma 1 lettere da a) a o) e da r) a u) del d.p.r. 14 novembre 2002 n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o indagato ai sensi degli art. 60 e 61 del c.p.p.

b)      definiti “sensibili” ai sensi dell’art. 4 comma 1 lett. d) del D.lgs 196/2003.

In questa categoria rientrano in particolare:

 

- i dati relativi all’iscrizione ai sindacati, ai fini dell’effettuazione delle trattenute e del versamento del contributo al sindacato indicato dal dipendente;

 

 

 

- i dati inseriti nelle certificazioni mediche, ai fini della verifica dell’attitudine a determinati lavori, dell’idoneità al servizio, dell’avviamento al lavoro degli inabili;

 

 

 

- i dati relativi allo stato di salute dei dipendenti assunti sulla base della L. 2 aprile 1968 n. 482 e successive modifiche;

 

 

 

- i dati relativi all’appartenenza ad organizzazioni o fedi religiose ai fini dei permessi per festività.

 

 

 

- dati relativi agli studenti diversamente abili ai fini di eventuali esoneri dal versamento delle tasse universitarie.

Tutti i dati relativi al personale docente, tecnico-amministrativo o esterno dell’Ateneo, potranno essere comunicati solo ad enti pubblici o a pubbliche amministrazioni che per legge ne abbiano titolo.

L’Ateneo cura il trattamento dei dati personali del personale dipendente (tecnico-amministrativo, docente, personale non di ruolo).

Nell’ambito dei suddetti dati personali sono individuati come dati sensibili e/o giudiziari, ai sensi della normativa vigente e coerentemente con quanto sopra indicato, i dati relativi a:

 

1. buste paga (iscrizione al sindacato, indicazione delle categorie protette, assicurazione sanitaria, ecc.

 

 

 

2.dati sanitari connessi ad attività di ricerca

 

 

 

3.dati personali del personale docente e t.a.  (ad. es. dati giudiziari)

 

 

 

4.dati relativi agli studenti ( ad es. borse di studio per studenti)

 

 

 

5.dati relativi a soggetti appartenenti a famiglie meno abbienti, eventuali corsi di formazione per categorie disagiate o speciali, ecc.)

 

L’Allegato A) contiene lo schema di documento informativo trasmesso al personale docente, tecnico-amministrativo, ai collaboratori esterni ed agli studenti, ai sensi dell’art. 13 del D.Lgs. 30 giugno 2003, n. 196 – Codice in materia di protezione dei dati personali

 

2) Soggetti che effettuano il trattamento dei dati personali:

 

I. Il Titolare del trattamento dei dati personali

 

L’Università della Tuscia, nella persona del Rettore, è il titolare del trattamento dei dati personali mediante l’ausilio dei mezzi informatici o cartacei. Nel raccogliere i dati personali (direttamente dall’interessato od anche attraverso la cessione da parte di altri) decide come ed in base a quali finalità (ad esempio per rapporto di lavoro, per finalità didattica, etc.) effettuerà il trattamento dei dati raccolti.

 

II. Il Responsabile del trattamento dei dati personali

l’Università, nella persona del Rettore, nomina, con Decreto Rettorale, “Responsabili” del trattamento dei dati:

A) Per ciò che attiene le Strutture amministrative afferenti alla Sede Centrale:

Il Direttore Amministrativo, relativamente ai dati trattati dagli Uffici afferenti alla Direzione Amministrativa;

I Capi Servizio, ciascuno relativamente ai dati trattati dai rispettivi Servizi.

 

B) Per ciò che attiene il Servizio per la Gestione e lo sviluppo della rete di Ateneo:

Il Presidente del Centro di Calcolo relativamente ai dati trattati nell’ambito del predetto Centro;

 

C) Per ciò che attiene le Strutture didattiche, di ricerca e di servizio, ciascuno relativamente ai dati trattati dalle rispettive Strutture:

·  I Presidi;

·  I Direttori di Dipartimento;

·  I Direttori dei Centri di Ricerca e di Servizio;

 

E) Per ciò che attiene le sedi  distaccate che costituiscono poli didattici e di ricerca:

·  Il Docente delegato dal Rettore, relativamente ai dati trattati nella relativa Struttura;

 

F) Per ciò che attiene i dati trattati dalla Segreteria del Rettore, dagli Uffici di diretta collaborazione del Rettore, il Rettore ne mantiene la responsabilità diretta;

Inoltre l’Ateneo si riserva di effettuare comunque ulteriori nomine di “Responsabili” laddove si rendesse necessario, per lo svolgimento di attività istituzionali, comunicare e/o delegare a soggetti terzi esterni all’Ateneo il trattamento di alcuni dati.

 

III. L’Incaricato del trattamento dei dati personali

 

L’Incaricato è la persona fisica alla quale, nell’ambito delle proprie attività, il Titolare o il Responsabile affidano il trattamento dei dati personali (elaborazione, archiviazione, ecc.). L’Incaricato è, dunque, colui che operativamente effettua i “trattamenti”, attenendosi alle istruzioni del Titolare o del Responsabile.

L’Università affida ai Responsabili il compito di nominare “incaricati ” le persone fisiche, in relazione alle attività (e quindi ai trattamenti di competenza), svolte nell’ambito della struttura universitaria di appartenenza, impartendo loro adeguate istruzioni, secondo lo schema di cui all’allegato B.

Ogni incaricato è dotato di credenziali di autenticazione; l’autenticazione consente l’accesso ad uno specifico trattamento o ad un insieme di trattamenti.

Al codice di autenticazione dell’incaricato è associata una parola chiave riservata, conosciuta solo dall’incaricato; in alcuni casi la coppia codice utente/parola chiave è associato all’utilizzo di un ulteriore dispositivo di identificazione tipicamente lettore smart card.

Gli incaricati sono stati informati sulle modalità di custodia dei codici ricevuti al fine di preservarne la segretezza.

Le parole chiave rispettano  gli standards minimali richiesti sufficienti a renderne massima la sicurezza d’uso: minimo 8 caratteri, stringa costruita senza riferimenti all’incaricato, modifica ogni 6 o 3 mesi a seconda dei dati trattati.

Il codice di identificazione è rigorosamente assegnato all’incaricato e non può essere successivamente assegnato ad altri soggetti e dopo 6 mesi di inutilizzo vengono disattivate.

 

IV. L’Amministratore di Sistema

 

L’Amministratore di Sistema è il soggetto che si occupa del sistema informatico e delle risorse operative.

La nomina dei suddetto Amministratore di Sistema è effettuata dal Rettore.

Compete all’Amministratore di Sistema:

- Attribuire a ciascun incaricato del trattamento, un codice identificativo personale per l’utilizzazione dell’elaboratore; uno stesso codice non potrà neppure in tempi diversi, essere assegnato a persone diverse;

- Assegnare e gestire i codici identificativi personali prevedendone la disattivazione nel caso di perdita della qualità che ne consente l’accesso all’elaboratore, ovvero nel caso di loro mancato utilizzo per un periodo superiore a sei mesi;

- Disporre ogni opportuna misura e ogni adeguata verifica, per evitare che soggetti non autorizzati possano avere accesso agli archivi delle parole chiave se leggibili;

- Provvedere affinché gli elaboratori del sistema informativo siano protetti contro il rischio di intrusione ad opera di programmi di cui all’art. 615 quinquies cod.pen., mediante idonei programmi la cui efficacia ed aggiornamento siano verificati con cadenza almeno semestrale;

- Assistere il Responsabile del trattamento in particolare per quanto concerne l’analisi dei rischi presso la propria Struttura e per le informazione che il Responsabile è tenuto ad inviare al Titolare per la stesura annuale del Documento Programmatico di Sicurezza (DPS).

 

 

V. Preposti alla custodia delle parole chiave

 

Il punto 10 dell’all. B. “Disciplinare tecnico” del Codice Privacy individua un “Preposto alla custodia delle parole chiave” il quale deve garantirne la segretezza e qualora , in assenza dell’incaricato, venga effettuato un trattamento utilizzando le stesse, deve tempestivamente informarne l’incaricato medesimo.

Compete al Preposto:

- Custodire, per un eventuale accesso di emergenza, la busta chiusa, controfirmata contenente il modulo utilizzato dal singolo incaricato per indicare la parola chiave dallo stesso prescelta;

- Accertare costantemente che gli incaricati utilizzino la parola chiave con diligenza e che la modifichino ogni qualvolta sussista il dubbio che essa sia stata manomessa. In tale occasione occorrerà provvedere all’aggiornamento della parola chiave contenuta in busta chiusa.

 

 

3) DISTRIBUZIONE DEI COMPITI E DELLE RESPONSABILITA’ – AMBITO DEI  TRATTAMENTI RIFERITI A CIASCUN UFFICIO

 

Riferimento normativo: 19.2 All. B D.L.Lgs. 196/2003

 

Il trattamento dei dati avviene nelle varie strutture dell’Ateneo come individuate nelle delibere del Consiglio di Amministrazione del 14/3/2003 e del  5/6/2003.

La presente sezione descrive la struttura organizzativa funzionale al trattamento dei dati personali e le singole responsabilità.

 

Tabella 2 – Competenze e responsabilità :informazioni essenziali

 

Struttura

Trattamenti

Compiti

Segreterie studenti

Dati studenti

Acquisizione e caricamento dati, consultazione e comunicazione a terzi

Centro di calcolo

Dati studenti

Consultazione e comunicazione a terzi, manutenzione tecnica programmi, gestione tecnica operativa della base dati

Amministrazione centrale e Segreterie amministrative di tutti i centri di spesa

Dati contabili amministrativi

Acquisizione e caricamento dati, consultazione e comunicazione a terzi

Centro di Calcolo

Dati contabili amministrativi

Manutenzione tecnica programmi, gestione tecnica operativa della base dati

Ufficio Protocollo

Lettere da protocollare

Acquisizione e caricamento dati, consultazione e comunicazione a terzi

Centro di Calcolo

Pubblicazione dati su WEB

Aggiornamento dati, Manutenzione tecnica programmi, gestione tecnica operativa del sito WEB

Centro di Calcolo

Gestione account posta elettronica

Aggiornamento dati, Manutenzione tecnica programmi, gestione tecnica operativa della

base dati

 

Ufficio Personale e strutture decentrate

Gestione presenze personale

Acquisizione e caricamento dati, consultazione.

 

 L’Allegato B) contiene lo schema di lettera di nomina individuale a Incaricato del trattamento dei dati personali

 

4) ANALISI DEI RISCHI CHE INCOMBONO SUI DATI

 

Riferimento normativo: 19.3 All. B D.Lgs. 196/2003

 

Questa sezione definisce i criteri e le modalità operative adottate per individuare i beni da proteggere e i principali eventi potenzialmente dannosi per la sicurezza dei dati, con la valutazione delle possibili conseguenze e gravità in relazione al contesto fisico–ambientale di riferimento e agli strumenti elettronici utilizzati.

 

Tabella 3 – Analisi dei rischi:informazioni essenziali

 

Rischi

Si/No

Descrizione dell’impatto sulla sicurezza

(Gravità: alta/media/bassa)

Comportamento degli operatori

Sottrazione di credenziali di autenticazione

No

Media

Carenza di consapevolezza, disattenzione o incuria

No

Bassa

Comportamenti sleali o fraudolenti

Bassa

Errore materiale

Bassa

Altro evento

 

 

Eventi relativi agli strumenti

Azione di virus informatici o di programmi suscettibili di recare danno

No

basso

Spamming o tecniche di sabotaggio

Media

Malfunzionamento, indisponibilità o degrado degli strumenti

Basso

Accessi esterni non autorizzati

No

Media

Intercettazione di informazioni in rete

Media

Altro evento

 

 

Eventi relativi al contesto

Accessi non autorizzati a locali/reparti ad accesso ristretto

No

Bassa

Estrazione di strumenti contenenti dati

Media

Eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ecc.), nonché dolosi, accidentali o dovuti ad incuria

Media

Guasto ai sistemi complementari (impianto elettrico, climatizzazione, ecc.)

Media

Errori umani nella gestione della sicurezza fisica

No

Bassa

Altro evento

 

 

 

Impatto sulla sicurezza: i rischi sono medio/bassi e fondamentalmente legati nel caso dei virus al breve periodo durante il quale non è ancora reso disponibile l’aggiornamento dell’antivirus installato sui server.

 

 

5) MISURE DI SICUREZZA IN ESSERE E DA ADOTTARE

 

Riferimento normativo: 19.4 All. B D.L.Lgs. 196/2003

 

In questa sezione sono descritte, in forma sintetica, le misure adottate e le eventuali ulteriori misure di sicurezza da adottare per contrastare i rischi individuati. Per misura si intende lo specifico intervento tecnico od organizzativo posto in essere (per prevenire, contrastare o ridurre gli effetti relativi ad una specifica minaccia).

 

 

Tabella 4 – Le misure di sicurezza adottate o da adottare :informazioni essenziali

 

 

 

Misure

Descrizione dei rischi contrastati

Trattamenti interessati

Misure già in essere

Misure da adottare (*)

Struttura o persone addette all’adozione

Protezione dell’ambiente dagli eventi naturali

Danni naturali

Tutti i sistemi informativi con server

Attivazione accortezze nei locali che ospitano i server

 

Personale centro di Calcolo, Ufficio Tecnico e Sicurezza

Attivazione sistemi di backup adeguati

Atti terroristici, vandalici, …

Tutti i sistemi informativi con server

Attivazione sistemi di backup adeguati conservati separatamente

Miglioramento attivazione sistemi di backup adeguati

Personale centro di Calcolo, Ufficio Tecnico e Sicurezza

Attivazione sistemi di backup adeguati con architetture ridondate

Rottura server, dischi,…

Tutti i sistemi informativi con server

Attivazione sistemi di backup adeguati conservati separatamente

Miglioramento attivazione sistemi di backup adeguati

Personale centro di Calcolo

Utilizzo di UPS di potenza adeguata

Sbalzi e/o cali di tensione non gestiti

Tutti i sistemi informativi con server

Utilizzo di UPS di potenza adeguata

 

Personale centro di Calcolo, Ufficio Tecnico

Rete di backup

Danneggiamento fisico della rete di trasmissione

Tutti i sistemi informativi con server

Nessuna

Nessuna data la non criticità

Personale centro di Calcolo, Ufficio Tecnico

Utilizzo di impianti di condizionamento adeguati

Troppo elevata temperatura dell’ambiente

Tutti i sistemi informativi con server

Utilizzo di impianti di condizionamento adeguati

 

Personale centro di Calcolo, Ufficio Tecnico

Attivazione di un adeguato sistema di protezione agli ingressi estranei

Furti

Tutti i sistemi informativi

Chiusura manuale locali

Introduzione sistemi di sicurezza adeguati per limitare gli accessi

Sicurezza, Personale centro di Calcolo, Ufficio Tecnico ma in realtà tutti.

Definizione di password di accesso e relativa  politica di gestione a cui attenersi

Manomissione dati per fini dolosi

Tutti i sistemi informativi

Definizione di password di accesso e relativa  politica di gestione a cui attenersi

Verifica corretto utilizzo password di accesso anche mediante attività di formazione del personale

tutti

Definizione di password di accesso e relativa  politica di gestione a cui attenersi

Manomissione dati per fini dolosi

Tutti i sistemi informativi

Definizione di password di accesso e relativa  politica di gestione a cui attenersi

Verifica corretto utilizzo password di accesso ed attività di formazione

tutti

Promuovere un’adeguata politica di formazione “informatica” e “gestionale” sull’utilizzo dello strumento software e sulle regole di trattamento informatico del dato.

Adeguamento delle procedure per evitare il più possibile la creazione di situazioni anomale e/o pericolose.

Danneggiamento dati per errori legati ad errato inserimento dati, errato utilizzo e alla perdita dei dati

Tutti i computer sia server che pc locali

Competenze acquisite in precedenza

Promuovere un’adeguata politica di formazione “informatica” e “gestionale” sull’utilizzo dello strumento software e sulle regole di trattamento informatico del dato.

 

tutti

Attivazione di un sistema di backup restore e custodia dei supporti in luoghi diversi.

Creazione di cluster per applicazione “mission critical” o almeno architetture ridondate con dischi hot swap

Perdita di dati dovuta a mancanza di adeguate e pianificate operazioni di backup e relativo restore

Tutti i computer sia server che pc locali con priorità differenti

Attivazione di un sistema di backup restore e custodia dei supporti in luoghi diversi.

 

Verifica modalità backup restore.

Creazione di cluster per applicazione “mission critical” o almeno architetture ridondate con dischi hot swap

Tutti ed in particolare Centro di Calcolo

Definizione di un adeguato piano di formazione del personale, sostituzione periodica delle password

Errata gestione del supporto informatico in termini di mancanza di cautele minimali nel garantire che nessuno possa accedere ai dati di propria competenza in caso di assenza momentanea.

Tutti i computer

Competenze minimali già in possesso

piano di formazione del personale, sostituzione periodica delle password

Tutti ed in particolare Centro di Calcolo

Installazione di misure di protezione (firewall) in numero e potenza adeguata alla dimensione della rete. Installazione di un server che tenga monitorato il numero e la provenienza di richieste di accesso "non autorizzate". Creazione di una "certificazione" fra i server (e se necessario i PC) in modo che dialoghino tra loro solo le macchine autenticate

Danneggiamento dei dati a causa di intrusione di hacker

Tutti i computer

Installazione di firewall

Installazione di misure di protezione (firewall) in numero e potenza adeguata alla dimensione della rete. Installazione di un server che tenga monitorato il numero e la provenienza di richieste di accesso "non autorizzate". Creazione di una "certificazione" fra i server (e se necessario i PC) in modo che dialoghino tra loro solo le macchine autenticate

Centro di calcolo

Installazione di misure di protezione (firewall) in numero e potenza adeguata alla dimensione della rete. Installazione di un server che tenga monitorato il numero e la provenienza di richieste di accesso "non autorizzate". Creazione di una "certificazione" fra i server (e se necessario i PC) in modo che dialoghino tra loro solo le macchine autenticate. Criptazione dei dati in transito sulla rete ed attivazioen di una corretta gestione della password. Introduzione di filtri a livello internet che interdicano la navigazione su siti "portatori" di programmi cosiddetti "spia" che possono catturare user-id e password per ovvi scopi fraudolenti

Furto e/o utilizzo fraudolento dei dati da parte di hacker penetrati nella rete

Tutti i computer

Installazione di firewall

Installazione di misure di protezione (firewall) in numero e potenza adeguata alla dimensione della rete. Installazione di un server che tenga monitorato il numero e la provenienza di richieste di accesso "non autorizzate". Creazione di una "certificazione" fra i server (e se necessario i PC) in modo che dialoghino tra loro solo le macchine autenticate. Criptazione dei dati in transito sulla rete ed attivazioen di una corretta gestione della password. Introduzione di filtri a livello internet che interdicano la navigazione su siti "portatori" di programmi cosiddetti "spia" che possono catturare user-id e password per ovvi scopi fraudolenti

 

Centro di calcolo

Installazione di misure di protezione (firewall) in numero e potenza adeguata alla dimensione della rete. In casi complessi sezionamento della rete ed ulteriore protezione con firewall in modo da limitare il propagarsi del virus all'interno della rete

Danneggiamento dei dati a causa di virus penetrati dall’esterno

Tutti i computer

Installazione antivirus

Installazione di misure di protezione (firewall) in numero e potenza adeguata alla dimensione della rete. In casi complessi sezionamento della rete ed ulteriore protezione con firewall in modo da limitare il propagarsi del virus all'interno della rete

Centro di Calcolo e utenze locali

Installazione di misure di protezione (firewall) in numero e potenza adeguata alla dimensione della rete e posizionanti in punti della rete ritenuti "strategici" (per es. laboratori informatici). In casi complessi sezionamento della rete ed ulteriore protezione con firewall in modo da limitare il propagarsi del virus all'interno della rete. Aggiornamento dei PC con antivirus standardizzato a livello di Ateneo ed aggiornato automaticamente da un server centrale (policy orchestrator)

Danneggiamento dei dati a causa di virus importati dall’interno

Tutti i computer

Installazione antivirus

 

Centro di Calcolo e utenze locali

Installazione di software "anti-spam" integrato con la gestione della posta elettronica

Impossibilità di fruizione del dato a causa del fenomeno denominato "spamming"

 

Danneggiamento dei dati a causa di virus penetrati dall’esterno tramite posta elettronica

Server posta

Installazione di software "anti-spam" integrato con la gestione della posta elettronica

 

 

Installazione di misure di protezione (firewall) in numero e potenza adeguata alla dimensione della rete con azione di filtro su richieste provenienti dall'esterno e non certificate. Creazione di una "certificazione" fra i server (e se necessario i PC) in modo che dialoghino tra loro solo le macchine autenticate. Definizione di una politica di autenticazione utente per l'accesso ai servizi legati alla rete

Furto dei dati a causa di intercettazioni in reti di tipo "wireless"

 

 

 

 

Gestione degli indirizzi di rete dei server / PC in modo non fisso ed ovviamente non pubblico. Utilizzo di DHCP per ottimizzare e migliorare la gestione degli indirizzi IP

Intrusione di esterni all’interno del sistema informatico reso possibile dalla gestione di indirizzi fisici, fissi e pubblici a livello client

 

 

 

 

Introduzione di filtri a livello internet che interdicano la navigazione su siti "portatori" di programmi cosiddetti "spia" che possono catturare user-id e password per ovvi scopi fraudolenti

Furto e/o utilizzo fraudolento dei dati causato dall’installazione automatica e non monitorata a livello client di “programmi spia” acquisiti tramite la navigazione su siti internet non protetti e/o pericolosi

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

6) PIANIFICAZIONE DEGLI INTERVENTI FORMATIVI PREVISTI

 

Riferimento normativo: 19.6- All. B D.Lgs. 196/2003

L’Ateneo organizza periodici corsi di aggiornamento sulla materia che, secondo scaglioni preordinati, consentano di acquisire una base di conoscenza comune sulle problematiche della normativa di settore. Tali corsi sono rivolti sia ai docenti che al personale dipendente; è prevista inoltre la predisposizione di un opuscolo da distribuire agli studenti ed ai collaboratori esterni.


7) TRATTAMENTI AFFIDATI ALL’ESTERNO

 

Riferimento normativo: 19.7- All. B D.Lgs. 196/2003

 

In questa sezione sono descritte le attività affidate a terzi che comportano il trattamento di dati

 

Tabella 5 –  Trattamenti affidati all’esterno: informazioni essenziali

 

Descrizione sintetica dell’attività esternalizzata

Trattamenti di dati interessati

Soggetto esterno

Elaborazione trattamenti economici del personale

Dati stipendi e contabilità

CINECA

Rilevazione presenzeI

Dati presenze

SELESTA

 

L’Ateneo acquisisce dal soggetto esterno l’impegno a relazionare periodicamente sulle misure di sicurezza adottate e ad informare tempestivamente il titolare del trattamento in caso di situazioni anomale o di emergenze.

Il presente documento  verrà aggiornato periodicamente entro il 31/3 di ogni anno.

L’originale è custodito presso la Direzione Amministrativa.


Allegato A

 

                                                           Al Sig.

 

 

 

 

Oggetto: Documento informativo ai sensi di cui all’articolo 13, D.Lgs. 196/2003

 

 

Ai sensi dell’art. 13 D.Lgs. 196/2003 “Codice in materia di protezione dei dati personali”, si comunica quanto segue:

            a) i dati che qui di seguito conferisce saranno utilizzati per_______________________;

            b)

            c)

il trattamento dei dati è effettuato con mezzi informatici e/o con mezzi ____________e comunque con l’osservanza delle misure minime cautelative della sicurezza e riservatezza dei dati previste dalla normativa vigente.

I suoi dati, oggetto del trattamento, potranno in seguito comunicati e diffusi a:

 

Ø       

 

Ø       

Il conferimento dei dati è obbligatorio per l’assolvimento degli obblighi di legge. Un eventuale rifiuto al conferimento impedirà la possibilità di ____________________________

E’ possibile esercitare i diritti di cui all’art. 7 del D.Lgs. 196/2003, ed in particolare quello di conoscere, in ogni momento, quali sono i Suoi dati e come essi vengono utilizzati, nonché il diritto di farli aggiornare, integrare, rettificare o cancellare, chiederne il blocco ed opporsi al loro trattamento facendone esplicita richiesta al sotto citato Titolare del trattamento.

 

Titolare del trattamento è l’Università degli Studi della Tuscia, con sede in Via S. Maria in Gradi, 4 – 01100 Viterbo, Responsabile è ______________________________telefono n. _____________, e-mail___________.

 

 

                                                                                                                          Firma del titolare

                                                                                                                          …………………             


Allegato B

 

 

 

 

 

Designazione di Incaricato del Trattamento Dati – Art. 30 D.Lgs. 30 giugno 2003, n. 196 -

 

 

 

Il sottoscritto …………………………….., in qualità di Responsabile del trattamento dei dati personali della Struttura………………………, nominato dal Titolare quale Responsabile del trattamento dei dati personali con D.R. n.                       del                      presso la sopra indicata struttura dell’Università degli Studi della Tuscia

 

 

Incarica

 

 

Il Sig…………………………………………, in servizio presso la struttura ……………………………………., ad effettuare i trattamenti dei dati personali, anche sensibili e giudiziari, con accesso ai dati la cui conoscenza sia strettamente necessaria per adempiere ai compiti assegnati.

In particolare i trattamenti ai quali lei ha accesso in quanto Incaricato sono i seguenti:

 

  1. ………………………………………………………………………….
  2. ………………………………………………………………………….
  3. ………………………………………………………………………….

 

 

La S.V. dovrà attenersi ai criteri previsti dalla normativa vigente sulla tutela dei dati personali e sulle misure di sicurezza relative, anche con riferimento alle norme ed alle modalità tecniche adottate da questa Università.

 

 

Viterbo,      

 

 

 

Il Responsabile del Trattamento

 

                                                                                                              ………………………………..