73 / 2023 / Bilancio di Sostenibilità amministratori di sistema e applicazione, responsabili esterni al trattamento); • Gap analysis e risk assessment sugli applicativi e servizi SaaS; • Adozione dei sistemi di audit trail e log management; • Redazione della valutazione d’impatto in conformità all’art. 35 del Regolamento UE 679/2016; • Istituzione di canali per la gestione dei diritti degli interessati su indicazione del titolare del trattamento che vengono tracciati in un apposito registro presente su un portale dedicato; • Redazione di un registro di richieste di esercizio dei diritti da parte degli interessati; • Redazione del registro di trasferimento dati; • Istituzione di procedure di incident e data breach in conformità al sistema di gestione ISO 27001 e 27035. Gli uffici preposti predispongono periodicamente avvisi relativi a incidenti di sicurezza effettivi o potenziali e bollettini privacy con l’obiettivo di comunicare novità in merito a provvedimenti del Garante Privacy, normative anche comunitarie e Linee Guida EDPB di rilevanza rispetto ai trattamenti di dati personali effettuati da INAZ. Sicurezza dei dati Tutti i processi produttivi (analisi, sviluppo, testing, manutenzione del software, collaudo) e di assistenza (monitoraggio e tracciamento delle richieste, del loro stato ed evoluzione) sono eseguiti in osservanza ed in accordo con il Manuale del Sistema di Gestione Integrato di cui alle certificazioni ISO 9001, ISO/IEC 27001 con estensione alle linee guida ISO/IEC 27018, ISO/IEC 27017, ISO/IEC 27035, ISO/IEC 27701. Per rafforzare ulteriormente le misure di sicurezza, per accedere alle soluzioni INAZ sono state implementate delle politiche di Multifactor Authentication avvalendosi dei maggiori fornitori di IAM (Identity Access Management) presenti sul mercato. L’applicazione prevede funzionalità di tipo amministrativo, tali da consentire una profilazione centralizzata e granulare degli utenti. Nello specifico, i più recenti software di INAZ adottano misure frutto dell’identificazione di best practice e di standard di controllo ISO/IEC 27001; inoltre, le soluzioni INAZ sono predisposte per l’utilizzo di misure di sicurezza aggiuntive a protezione dei dati particolari mediante cifratura del DB e del file system. Le più recenti soluzioni INAZ prevedono una completa gestione dei log all’interno del DB sia per tracciare e registrare le operazioni svolte dagli utenti che accedono all’applicazione tramite le credenziali assegnate, sia per tracciare e registrare le operazioni svolte dagli amministratori di sistema che accedono alle stesse. In ambito SaaS, il livello di reportistica dei log può essere configurato tramite un tool esterno di Audit Trail al fine di individuare eventi di sicurezza con livelli diversi di rilevanza; i log prodotti sono consultabili direttamente dall’ambiente applicativo, semplificando così notevolmente le attività degli amministratori di sistema. Violazione dei dati Le segnalazioni di incidenti inerenti alla sicurezza e all’eventuale violazione dei dati personali, evidenziate da tutti i dipendenti e collaboratori di INAZ, sono fondamentali per un miglioramento della sicurezza aziendale e della conformità al Regolamento in materia di Privacy (GDPR). La segnalazione di un incidente inerente alla sicurezza aziendale o la eventuale violazione dei dati da parte dei dipendenti avviene tramite mail ai componenti dell’Information Security Team ad un indirizzo e-mail dedicato a cui hanno diritto di lettura e scrittura tutti i membri dell’information Security Team. INAZ è dotata di un Incident Response Team incaricato di seguire tutto l’iter di analisi e di verifica dell’incidente. Ogni incidente dopo essere stato identificato viene tracciato all’interno di una piattaforma appositamente implementata; al termine
RkJQdWJsaXNoZXIy NDIwMTg=