E’ possibile verificare e confrontare le misure di sicurezza applicate nella propria azienda utilizzando la checklist predisposta dal CNIL(Autorità francese per la protezione dei dati).

Il documento originale è stato già pubblicato nel blog in questa sezione.

Trasparenza

E’ prevista l’informativa per ogni trattamento di dati personali?
E’ stata predisposta e applicata una policy sull’utilizzo dei dispositivi, delle email, della navigazione internet da parte dei lavoratori?

Autenticazione

E’ previsto un unico ID-utente (login) per ogni utente?
Sono previste e applicate delle regole sulla creazione delle password?
E’ chiesto a ogni utente di cambiare la password al primo utilizzo?
E’ limitato il numero dei tentativi di accesso agli account?

Access Management

Sono definiti dei profili di autorizzazione per i diversi trattamenti?
Sono rimossi i permessi di accessi obsoleti in caso di cambio mansione?
Viene eseguito un aggiornamento annuale delle autorizzazioni?

Log System e gestione degli incidenti

E’ presente un log system?
I lavoratori e altri utenti sono stati informati del funzionamento del log system?
Il sistema di log e le informazioni di log sono protette?
E’ presente una procedura per la notifica del Data Breach?

Sicurezza della postazione di lavoro

E’ prevista le chiusura automatica delle sessioni di lavoro?
Il sistema antivirus è aggiornato regolarmente?
E’ installato un sistema firewall?
E’ richiesto il consenso del lavoratore prima di ogni accesso alla sua postazione di lavoro?

Sicurezza dei dispositivi portatili

Sono previste misure di cifratura per i dispositivi mobile? (es. Laptop e smartphone personali o aziendali)
Vengono effettuati regolarmente backup e sincronizzazione dei dati?
E’ prevista una procedura di autenticazione per lo sblocco degli smartphone?

Protezione della rete locale

Limitare gli accessi alla rete allo stretto necessario.
Gli accessi remoti da dispositivi informatici avviene tramite connessione VPN?
La connessione WI-FI utilizza i protocolli WPA2 o WPA2-PSK?

Sicurezza del server

Consentire l’accesso ai tool di amministrazione solo a soggetti specifici.
Installare aggiornamenti importanti senza ritardo
E’ facilitata la disponibilità dei dati?

Sicurezza dei siti web

Sono utilizzati protocolli TLS o HTTPS?
E’ verificato che nessuna password o user-ID sia trasferito tramite URL? (es. doc su Google Drive contenente lista delle password)
E’ verificato se il contenuto richiesto dai form corrisponda a quello che si aspetta l’utente? (es. non chiedere informazioni eccedenti lo scopo del contatto)
E’ presente l’informativa e il banner sull’utilizzo dei cookie?

Continuità Operativa

Viene eseguito regolarmente il back up?
I dispositivi di back up sono conservati in un luogo sicuro?
Sono previste delle misure di sicurezza per il trasporto dei backup?
E’ organizzata e verificata regolarmente la Continuità Operativa?

Procedure di archiviazione

Sono implementati specifici metodi di accesso ai dati archiviati?
Gli archivi obsoleti sono cancellati in modo sicuro?

Aggiornamento e cancellazione dei dati personali

Gli interventi di manutenzione sono registrati?
Durante la manutenzione una persona dell’organizzazione supervisiona il lavoro degli addetti terze parti?
Prima dello smaltimento dell’hardware, vengono cancellati i dati personali?

Gestione dei responsabili del trattamento dei dati personali

Nei contratti con i fornitori o consulenti vengono previsti gli obblighi privacy in modo specifico?
Nei contratti con i fornitori o consulenti vengono previste le condizioni di restituzione e/o cancellazione dei dati personali al termine del servizio?
Le misure di sicurezza, gli obblighi contrattuali e le garanzie previste sono applicate effettivamente? (es. invio di report regolari, visite di controllo, audit…)

Sicurezza delle comunicazioni

I dati personali sono cifrati prima dell’invio?
Viene verificato chi sia il giusto destinatario?
Le informazioni segrete sono inviate separatamente e con differente canale?

Sicurezza fisica

Gli accessi sono limitati tramite porte e armadi chiusi a chiave?
E’ presente un sistema di allarme e viene verificato periodicamente?

Crittografia dei dati

Vengono utilizzati algoritmi, software, librerie riconosciuti e/o sicure?
Le informazioni segrete e le chiavi di cifratura sono conservate in modo sicuro?

Cookie	Durata	Descrizione
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gat_gtag_UA_8741083_1	1 minute	This cookie is set by Google and is used to distinguish users.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.
YSC	session	This cookies is set by Youtube and is used to track the views of embedded videos.

Cookie	Durata	Descrizione
CONSENT	16 years 6 months	No description
yt-remote-connected-devices	never	No description available.
yt-remote-device-id	never	No description available.

Misure di sicurezza applicate nella propria azienda

Articoli correlati

Lascia un commento Annulla risposta