E’ possibile verificare e confrontare le misure di sicurezza applicate nella propria azienda utilizzando la checklist predisposta dal CNIL(Autorità francese per la protezione dei dati).
Il documento originale è stato già pubblicato nel blog in questa sezione.
Trasparenza
- E’ prevista l’informativa per ogni trattamento di dati personali?
- E’ stata predisposta e applicata una policy sull’utilizzo dei dispositivi, delle email, della navigazione internet da parte dei lavoratori?
Autenticazione
- E’ previsto un unico ID-utente (login) per ogni utente?
- Sono previste e applicate delle regole sulla creazione delle password?
- E’ chiesto a ogni utente di cambiare la password al primo utilizzo?
- E’ limitato il numero dei tentativi di accesso agli account?
Access Management
- Sono definiti dei profili di autorizzazione per i diversi trattamenti?
- Sono rimossi i permessi di accessi obsoleti in caso di cambio mansione?
- Viene eseguito un aggiornamento annuale delle autorizzazioni?
Log System e gestione degli incidenti
- E’ presente un log system?
- I lavoratori e altri utenti sono stati informati del funzionamento del log system?
- Il sistema di log e le informazioni di log sono protette?
- E’ presente una procedura per la notifica del Data Breach?
Sicurezza della postazione di lavoro
- E’ prevista le chiusura automatica delle sessioni di lavoro?
- Il sistema antivirus è aggiornato regolarmente?
- E’ installato un sistema firewall?
- E’ richiesto il consenso del lavoratore prima di ogni accesso alla sua postazione di lavoro?
Sicurezza dei dispositivi portatili
- Sono previste misure di cifratura per i dispositivi mobile? (es. Laptop e smartphone personali o aziendali)
- Vengono effettuati regolarmente backup e sincronizzazione dei dati?
- E’ prevista una procedura di autenticazione per lo sblocco degli smartphone?
Protezione della rete locale
- Limitare gli accessi alla rete allo stretto necessario.
- Gli accessi remoti da dispositivi informatici avviene tramite connessione VPN?
- La connessione WI-FI utilizza i protocolli WPA2 o WPA2-PSK?
Sicurezza del server
- Consentire l’accesso ai tool di amministrazione solo a soggetti specifici.
- Installare aggiornamenti importanti senza ritardo
- E’ facilitata la disponibilità dei dati?
Sicurezza dei siti web
- Sono utilizzati protocolli TLS o HTTPS?
- E’ verificato che nessuna password o user-ID sia trasferito tramite URL? (es. doc su Google Drive contenente lista delle password)
- E’ verificato se il contenuto richiesto dai form corrisponda a quello che si aspetta l’utente? (es. non chiedere informazioni eccedenti lo scopo del contatto)
- E’ presente l’informativa e il banner sull’utilizzo dei cookie?
Continuità Operativa
- Viene eseguito regolarmente il back up?
- I dispositivi di back up sono conservati in un luogo sicuro?
- Sono previste delle misure di sicurezza per il trasporto dei backup?
- E’ organizzata e verificata regolarmente la Continuità Operativa?
Procedure di archiviazione
- Sono implementati specifici metodi di accesso ai dati archiviati?
- Gli archivi obsoleti sono cancellati in modo sicuro?
Aggiornamento e cancellazione dei dati personali
- Gli interventi di manutenzione sono registrati?
- Durante la manutenzione una persona dell’organizzazione supervisiona il lavoro degli addetti terze parti?
- Prima dello smaltimento dell’hardware, vengono cancellati i dati personali?
Gestione dei responsabili del trattamento dei dati personali
- Nei contratti con i fornitori o consulenti vengono previsti gli obblighi privacy in modo specifico?
- Nei contratti con i fornitori o consulenti vengono previste le condizioni di restituzione e/o cancellazione dei dati personali al termine del servizio?
- Le misure di sicurezza, gli obblighi contrattuali e le garanzie previste sono applicate effettivamente? (es. invio di report regolari, visite di controllo, audit…)
Sicurezza delle comunicazioni
- I dati personali sono cifrati prima dell’invio?
- Viene verificato chi sia il giusto destinatario?
- Le informazioni segrete sono inviate separatamente e con differente canale?
Sicurezza fisica
- Gli accessi sono limitati tramite porte e armadi chiusi a chiave?
- E’ presente un sistema di allarme e viene verificato periodicamente?
Crittografia dei dati
- Vengono utilizzati algoritmi, software, librerie riconosciuti e/o sicure?
- Le informazioni segrete e le chiavi di cifratura sono conservate in modo sicuro?