74 Bilancio di Sostenibilità / 2023 / dell’attività di identificazione, documentazione, valutazione della gestione degli incidenti, qualora necessario viene redatto un Incident Report nel quale si dettagliano: tipologia di incidente, data e ora effettiva dell’incidente, data e ora di rilevazione dell’incidente, descrizione dell’incidente, causa, procedure eseguite per la gestione dell’incidente, personale coinvolto, data e ora di ripristino del servizio e le misure preventive da adottare in futuro. Tale documento potrà essere reso disponibile ai clienti coinvolti se previsto a livello contrattuale o su richiesta. L’Information Security Team mantiene la registrazione di tutti gli incidenti effettivi che sono stati o avrebbero potuto essere causa di perdita di riservatezza, disponibilità o integrità delle informazioni, violazione dei dati personali; durante le riunioni istituzionali dell’Information Security Team effettuate periodicamente vengono verificati gli incident e le loro remediation con lo scopo di promuovere eventuali interventi info-formativi al personale coinvolto. Per quanto riguarda gli incidenti relativi alla violazione dei dati personali, nell’ipotesi in cui INAZ sia titolare del trattamento provvederà direttamente, in caso di data breach, ad effettuare la notifica anche agli interessati secondo quanto previsto dall’art. 34 del Regolamento UE 679/2016. Qualora sia responsabile esterno al trattamento dei dati, oltre alla registrazione sul portale di riferimento, provvederà ad effettuare comunicazione al titolare entro 24 ore dalla scoperta. Entro le successive 12 ore il DPO in collaborazione con i responsabili competenti raccoglierà e fornirà al titolare le seguenti informazioni di dettaglio: tipologia di violazione subita, tipologie di dati coinvolti nella violazione ed il numero approssimativo di interessati coinvolti, facilità di identificazione degli interessati, gravità delle conseguenze per gli interessati (es. danni fisici, morali, psicologici, reputazionali), probabili conseguenze per il titolare della violazione subita dal responsabile e/o dal sub-responsabile, misure adottate dal responsabile e/o dal sub-responsabile per porre rimedio alla violazione dei dati personali e per attenuarne i possibili effetti negativi. Il DPO assisterà il titolare nelle attività di comunicazione agli interessati e/o di notifica all’Autorità Garante ove ritenuto necessario in funzione dei rischi specifici per i diritti e le libertà dell’interessato, tenendo in considerazione la natura del trattamento e le informazioni in possesso di INAZ; inoltre, verrà inviata una notifica al CSIRT al verificarsi dei casi indicati dalla normativa di riferimento. I potenziali o gli effettivi incidenti di sicurezza possono essere inoltre rilevati dal Security Operation Center (SOC) attivo 24 ore al giorno, sette giorni su sette che ha l’obiettivo di gestire in modo efficace ed efficiente le risposte agli incidenti di sicurezza. Nel periodo 2022-2023 in osservazione non sono stati segnalati fondati reclami riguardanti violazioni della privacy dei clienti e perdita dei loro dati. GRI 418-1 (Fondati reclami riguardanti violazioni della privacy dei clienti e perdita di loro dati) 2022 2023 Numero totale di fondati reclami ricevuti riguardo a violazioni della privacy dei clienti ricevuti da terze parti e comprovati dall'organizzazione 0 0 Numero totale di fondati reclami ricevuti riguardo a violazioni della privacy dei clienti ricevuti da organi normativi 0 0 Numero totale di episodi identificati di fuga, furto o perdita di dati dei clienti 0 0 Cybersecurity L’IT governance di INAZ è definita come l’insieme dei processi che assicurano un uso efficace ed efficiente dell’IT. Include i processi attraverso i quali le organizzazioni garantiscono la valutazione, la selezione, la definizione delle priorità e il
RkJQdWJsaXNoZXIy NDIwMTg=