Politica e procedura di gestione degli incidenti di sicurezza e delle violazioni di dati

Politica e procedura di gestione degli incidenti di sicurezza e delle violazioni di dati

20 novembre 2021                                 

a) Contesto

My Eco Best Friend in qualità di titolare del trattamento e gli opportuni responsabili del trattamento così incaricati sono soggetti alle disposizioni del Regolamento Generale sulla Protezione dei Dati 2016/679 (GDPR) e devono esercitare la dovuta cura e attenzione nella raccolta, trattamento e conservazione dei dati personali e dei dati personali sensibili forniti sia dal personale, sia dai Venditori, sia dai Clienti, sia dal pubblico per gli usi definiti. Salvaguardare tali informazioni e prevenirne la violazione è essenziale per garantire che My Eco Best Friend mantenga la fiducia dei suddetti soggetti. My Eco Best Friend farà quindi ogni ragionevole sforzo per proteggere le informazioni sotto il controllo di My Eco Best Friend da accessi, usi, divulgazioni, cancellazioni, distruzioni, danni o rimozioni non autorizzati. Sebbene vengano compiuti i migliori sforzi per proteggere strutture, attrezzature, risorse e dati, è difficile evitare alcune crisi. Infatti, le violazioni della sicurezza dei dati sono sempre più frequenti, sia che siano causate da un errore umano che da un intento doloso. My Eco Best Friend deve quindi disporre di un processo solido e sistematico per affrontare qualsiasi incidente di sicurezza segnalato e proteggere il più possibile il suo patrimonio informativo. Di conseguenza, questa politica stabilisce una procedura da seguire nel caso in cui le procedure di sicurezza in vigore non riescano a prevenire una violazione. L'obiettivo di questa politica è quello di standardizzare la risposta a livello di gruppo a qualsiasi incidente di sicurezza segnalato e di garantire che vengano registrati e gestiti in modo appropriato secondo le linee guida delle migliori pratiche. Adottando un approccio standardizzato e coerente a tutti gli incidenti segnalati, si intende garantire che: gli incidenti siano segnalati tempestivamente e possano essere gestiti in modo adeguato, gli incidenti siano mantenuti riservati a tutti i livelli (le parti interessate saranno tenute informate a discrezione degli investigatori principali). i livelli di gestione appropriati siano coinvolti nella risposta gli incidenti vengono registrati e documentati l'impatto degli incidenti viene compreso e vengono intraprese azioni per evitare che si verifichino di nuovo. le prove sono raccolte, registrate e conservate in una forma che resista a un controllo interno ed esterno gli enti esterni o i soggetti interessati siano informati come richiesto gli incidenti siano gestiti in modo tempestivo e le normali operazioni siano ripristinate rapidamente gli incidenti vengono esaminati per individuare miglioramenti nelle politiche, tra cui la perdita di controllo, la compromissione, la divulgazione non autorizzata o l'accesso non autorizzato o potenziale a informazioni di identificazione personale, sia in forma fisica (cartacea) che elettronica. Una violazione della sicurezza dei dati può verificarsi per una serie di motivi, tra cui: Perdita, alterazione o furto dei dati o delle apparecchiature su cui sono memorizzati (compresa l'effrazione di una qualsiasi delle nostre sedi). accesso inappropriato/non autorizzato a dati riservati o altamente confidenziali guasto alle apparecchiature errore umano, compresa la divulgazione non intenzionale, la mancanza di diligenza e/o l'uso improprio delle risorse tecnologiche circostanze impreviste come inondazioni o incendi attacchi di hacking un accesso in cui le informazioni vengono ottenute ingannando l'organizzazione che le detiene Ai fini di questa politica, questi motivi saranno indicati come ", Questa politica di gruppo si applica a tutto il personale di My Eco Best Friend. Questa politica è disponibile sul sito www.myecobestfriend.com e sarà comunicata al personale al momento dell'assunzione e durante la formazione periodica del personale. My Eco Best Friend si aspetta che tutti gli appaltatori, i fornitori o qualsiasi altra parte che agisce per conto di My Eco Best Friend (collettivamente, "Parti Esterne") che raccolgono o gestiscono informazioni personali seguano questa politica, sia che utilizzino i sistemi e gli strumenti di gestione dei dati di My Eco Best Friend e/o i propri. I dipendenti di My Eco Best Friend sono responsabili di garantire che tutte le parti esterne con cui lavorano a sostegno delle operazioni di My Eco Best Friend rispettino questa politica. Il personale ha la responsabilità di garantire che la protezione e i controlli appropriati e adeguati siano in atto e applicati in ogni struttura e risorsa sotto il suo controllo e di identificare quelli che non lo sono. I manager hanno la responsabilità di garantire che il personale della loro area segua questa politica e si attenga a tutte le procedure correlate. Il Responsabile della protezione dei dati (DPO) è responsabile della supervisione della gestione di qualsiasi violazione.,Gaëtan Bio Chemin du Creux-Bechet, 6, 1096, Villette (Svizzera) T: +41 (0)79 847 91 55,Nel caso in cui un membro del personale si renda conto o sospetti che i dati personali siano stati compromessi per qualsiasi altro motivo diverso da un incidente di sicurezza informatica (ad esempio, per la perdita di un dispositivo portatile, per l'invio errato di etichette, per informazioni sensibili lasciate in luoghi in cui potrebbero essere visualizzate da persone non autorizzate, ad esempio fotocopie non smaltite correttamente o lasciate sulla fotocopiatrice), dovrà informare immediatamente il proprio responsabile. In caso di potenziale conflitto di interessi o per qualsiasi altra ragione, nell'interesse della riservatezza, tale segnalazione può essere fatta direttamente al DPO. In entrambi i casi, al membro del personale che ha segnalato l'incidente di sicurezza può essere chiesto di compilare il rapporto sull'incidente di violazione della sicurezza dei dati (vedere l'Appendice 1). Il personale e/o la sicurezza informatica cercheranno di contenere la questione e di ridurre qualsiasi ulteriore esposizione dei dati personali in possesso, tenendo conto dei consigli "Incident Response DOs and DON'Ts for IT systems" (risposta agli incidenti, cose da fare e da non fare per i sistemi informatici), riportati all'indirizzo,Parallelamente al contenimento immediato, devono essere valutati i rischi che possono essere associati alla violazione, le potenziali conseguenze negative per le persone e per My Eco Best Friend stessa. Se i dati in questione sono protetti da misure tecnologiche tali da renderli incomprensibili a chiunque non sia autorizzato ad accedervi, My Eco Best Friend può concludere che non vi è alcun rischio per i dati e quindi non è necessario informare il DPO. Tuttavia, tale conclusione sarebbe giustificata solo se le misure tecnologiche (come la crittografia) fossero di alto livello. Inoltre, qualsiasi incidente di sicurezza che riguardi più di 100 persone o che includa dati personali sensibili o di natura finanziaria deve sempre essere segnalato al DPO. Nel caso in cui non venga effettuata alcuna notifica al DPO, My Eco Best Friend terrà una registrazione sommaria dell'incidente di sicurezza, in quanto tutti gli incidenti di sicurezza dei dati devono essere registrati a livello centrale nel sistema di gestione dei servizi IT (sistema ITSM) per garantire un'adeguata supervisione dei tipi e della frequenza degli incidenti ai fini della gestione e del reporting. A meno che My Eco Best Friend non ritenga che non vi sia alcun rischio per i dati e che quindi non sia necessario informare il DPO, quest'ultimo sarà informato senza indugio dal team di sicurezza informatica (il responsabile delle informazioni e della sicurezza (CISO), se pertinente) al fine di riunire un piccolo team di persone per valutare la potenziale esposizione/perdita. Questo team assisterà il CISO, il DPO (e il Manager, se del caso) nelle questioni pratiche associate a questa Politica e alle Procedure. Le azioni saranno intraprese in conformità alle indicazioni/consigli del team dedicato. Ogni membro del team avrà un membro di riserva per coprire le ferie, le assenze per malattia, ecc. Durante l'indagine, il team dovrà cercare di raccogliere informazioni utili per valutare se My Eco Best Friend è tenuto a informare le autorità di vigilanza e le persone interessate. Poiché il termine di 72 ore per la notifica all'autorità di vigilanza è di natura fondamentalmente legale, gli avvocati e il personale addetto alla conformità devono essere responsabili di decidere se un incidente costituisce una violazione dei dati personali che richiede la notifica all'autorità di vigilanza. La notifica deve contenere (1) la natura, la portata e l'impatto della violazione; (2) i dati personali eventualmente coinvolti; (3) le misure adottate per affrontare la violazione; (4) i dettagli del DPO o della persona di contatto designata dal DPO per fornire ulteriori informazioni; e (5) qualsiasi assistenza da fornire all'interessato. In particolare, il team deve: Contattare gli interessati (per telefono, e-mail, ecc.) per informarli che si è verificata una divulgazione/perdita/distruzione o alterazione non autorizzata dei loro dati personali. Ove possibile e non appena possibile, gli interessati (cioè le persone che riguardano i dati) devono essere informati di: la natura dei dati potenzialmente esposti/compromessi; il livello di sensibilità di questi dati e una descrizione delle misure che My Eco Best Friend intende adottare per il contenimento o la bonifica. Le persone devono essere informate se My Eco Best Friend intende contattare altre autorità di vigilanza. Infine, si dovrebbero fornire ai singoli consigli specifici e chiari sulle misure che possono adottare per proteggersi e su ciò che My Eco Best Friend può fare per assisterli. La sicurezza del mezzo di comunicazione utilizzato per informare le persone di una violazione e l'urgenza della situazione devono essere tenute in considerazione. My Eco Best Friend valuterà anche se è necessario informare la polizia, gli assicuratori, i responsabili del trattamento dei dati o, ad esempio, le banche.,È importante documentare e indagare su eventuali incidenti di sicurezza e sulle effettive violazioni dei dati e valutare l'efficacia della risposta alla violazione. Tutte le violazioni della sicurezza dei dati saranno quindi registrate a livello centrale nel sistema ITSM per garantire un'adeguata supervisione dei tipi e della frequenza degli incidenti confermati ai fini della gestione e della rendicontazione.[1] Ad eccezione dei casi in cui le autorità di vigilanza abbiano richiesto un ritardo a fini investigativi. Nel caso in cui My Eco Best Friend riceva tali indicazioni dalle Autorità di Vigilanza, dovrebbe annotare accuratamente i consigli ricevuti (compresa la data e l'ora della conversazione e il nome e il grado della persona con cui ha parlato). Ove possibile, My Eco Best Friend dovrebbe chiedere che le indicazioni siano fornite loro per iscritto su carta intestata dalle Autorità di Vigilanza o, ove ciò non sia possibile, My Eco Best Friend dovrebbe scrivere all'autorità di polizia competente in modo che ",". Dovrebbe essere intrapresa una revisione completa. Il personale deve essere informato di eventuali modifiche a questa Politica e delle misure di sicurezza aggiornate. Se necessario, il personale deve ricevere una formazione di aggiornamento, - errore tecnico, - furto o atto illecito intenzionale, - navigazione non autorizzata, - Altro (descrivere), - Sconosciuto,- Dati pubblici - Dati interni - Dati personali - Dati sensibili, - Furto di identità - danni fisici - Ferite, umiliazioni, danni alla reputazione - Perdita di opportunità di lavoro o di affari - Violazione degli obblighi contrattuali, isolare immediatamente il sistema interessato per evitare ulteriori intrusioni, diffusione di dati, danni ecc. utilizzare il telefono, in quanto l'aggressore potrebbe essere in grado di monitorare il traffico e-mail. conservare tutti i registri pertinenti, ad esempio quelli del firewall, del router e del sistema di rilevamento delle intrusioni. fare copie di sicurezza dei file danneggiati o alterati e conservarle in un luogo sicuro. identificare la posizione del sistema interessato all'interno della topologia di rete identificare tutti i sistemi e le agenzie che si connettono al sistema interessato identificare i programmi e i processi che operano sul/i sistema/i interessato/i, l'impatto dell'interruzione e il tempo massimo di interruzione consentito nel caso in cui il sistema interessato venga ritirato come prova, prendere provvedimenti per garantire la continuità dei servizi, ad esempio preparare un sistema ridondante e ottenere back-up dei dati, comunicare il problema a chiunque altro oltre al proprio responsabile di linea e ai destinatari elencati nella sezione 3 cancellare, spostare o modificare i file sui sistemi interessati contattare il presunto responsabile condurre un'analisi forense, i dati erano adeguatamente crittografati Il dispositivo di archiviazione portatile è stato cancellato da remoto e vi sono prove che il dispositivo non sia stato accessibile prima della cancellazione. I file o il dispositivo di archiviazione sono stati recuperati quasi immediatamente e tutti i file appaiono intatti e/o non letti,Il dispositivo di archiviazione portatile è stato cancellato da remoto entro poche ore dalla perdita, ma non ci sono prove che confermino che il dispositivo non sia stato accessibile prima della cancellazione I file o i dispositivi cartacei sono stati recuperati ma tra la perdita e il recupero è trascorso un tempo sufficiente a consentire l'accesso ai dati,I dati non sono stati crittografati I dati, i file o il dispositivo non sono stati recuperati I dati sono a rischio di ulteriore divulgazione, in particolare attraverso i mass media o online,Perdita di opportunità di lavoro o di affari, danni, umiliazioni, danni alla reputazione o alle relazioni, danni sociali e relazionali. Perdita di fiducia in My Eco Best Friend Perdita di beni, contratti o attività di My Eco Best Friend Esposizione finanziaria, rischio di sicurezza (ad es. sicurezza fisica), rischio di furto d'identità o di frode Anche il dolore, l'umiliazione, il danno alla reputazione possono essere un rischio elevato, a seconda delle circostanze. gli incidenti sono gestiti da personale adeguatamente autorizzato e qualificato incidents are kept confidential at all levels (relevant stakeholders will be kept informed at the discretion of the lead investigators). appropriate levels of management are involved in the response incidents are recorded and documented the impact of the incidents is understood, and action is taken to prevent further occurrences evidence is gathered, recorded, and maintained in a form that will withstand internal and external scrutiny external bodies or data subjects are informed as required incidents are dealt with in a timely manner and normal operations resumed swiftly incidents are reviewed to identify improvements in policies

b) Definizione

Ai fini della presente polizza, il termine "violazione dei dati" includes the loss of control, compromise, unauthorized disclosure or unauthorized access or potential access to personally identifiable information, whether in physical (paper) or electronic form. A data security breach can happen for a number of reasons, including: Loss, alteration or theft of data or equipment on which data is stored (including break‐in to any of our premises) inappropriate/unauthorized access to confidential or highly confidential data equipment failure human error, including unintentional disclosures, lack of diligence and/or misuse of technological resources unforeseen circumstances such as flood or fire a hacking attacks access where information is obtained by deceiving the organization that holds it For the purpose of this policy these reasons will be referred to as “incidenti di sicurezza". Non tutti gli incidenti di sicurezza portano a una violazione dei dati.

c) Ambito di applicazione

This groupwide policy applies to all staff of My Eco Best Friend. This Policy is available on www.myecobestfriend.com and shall be advised to staff at induction and at periodic staff training. My Eco Best Friend expects any My Eco Best Friend contractors, suppliers or any other parties acting on My Eco Best Friend’s behalf (collectively, “External Parties”) to collect or manage personal information to follow this policy, whether they are utilizing My Eco Best Friend’s and/or their own systems and data management tools. My Eco Best Friend employees are responsible for ensuring that any External Parties they work with in support of My Eco Best Friend operations comply with this policy.

d) Responsabilità

Staff are responsible for ensuring that appropriate and adequate protection and controls are in place and applied in each facility and resource under their control and identifying those that are not. Managers are responsible for ensuring that staff in their area follow this Policy and adhere to all related procedures. The Data Protection Officer (DPO) is responsible for overseeing the management of any breach.

Il mio Eco Migliore Amico Responsabile della protezione dei dati:

Gaëtan Bio Chemin du Creux-Bechet, 6, 1096, Villette (Switzerland) T: +41 (0)79 847 91 55 contact@myecobestfriend.com L'Ufficio Legale effettuerà revisioni periodiche delle misure e delle pratiche in vigore.

e) PROCEDURA T MENO 72 ORE

Segnalazione di un incidente di sicurezza: ogni membro del personale ha l'obbligo di segnalarlo.  Gli incidenti di sicurezza informatica confermati o sospetti devono sempre essere segnalati tempestivamente alla Sicurezza IT come punto di contatto primario via e-mail. contact@myecobestfriend.com In case any staff member becomes aware or suspects that personal data has been compromised for any other reason than an IT security incident (e.g. through loss of a portable device, misaddressing of labels, sensitive information left where unauthorized viewing could take place – i.e. photocopies not properly disposed of or left on copier), he/she shall immediately notify his/her Manager. When there is a potential conflict of interest or for any other reasons, in the interest of confidentiality, such a report may be made directly to the DPO. In both cases, the staff member reporting the security incident may be asked to complete the Data Security Breach Incident Report (See Appendix 1).

2) Contenimento della violazione

Data security breaches should be contained and responded to immediately upon becoming aware of such a breach. Staff member and/or IT Security will seek to contain the matter and mitigate any further exposure of the personal data held having regard to the “Incident Response DOs and DON’Ts for IT systems” advice set out at Appendice 2. A seconda della natura della minaccia ai dati personali, ciò può comportare la messa in quarantena di alcuni o tutti i PC, le reti ecc. e la richiesta al personale di non accedere ai PC, alle reti ecc. Allo stesso modo, può comportare la quarantena di una o più aree di archiviazione manuale dei documenti e di altre aree, a seconda dei casi. In via preliminare, si dovrebbe procedere a una verifica dei documenti conservati o del/i server di backup per accertare la natura dei dati personali potenzialmente esposti.

3) Valutazione dell'impatto

In parallel of/following immediate containment, the risks must be assessed which may be associated with the breach, potential adverse consequences to the individuals, as well as My Eco Best Friend itself. Where the data concerned is protected by technological measures such as to make it unintelligible to any person who is not authorized to access it, My Eco Best Friend may conclude that there is no risk to the data and therefore no need to inform the DPO. However, such a conclusion would only be justified where the technological measures (such as encryption) were of a high standard. Moreover, any security incident which affects more than 100 data subjects or include sensitive personal data or personal data of a financial nature must always be escalated to the DPO. Where no notification is made to the DPO, My Eco Best Friend shall keep a summary record of the security incident as all data security incidents must be centrally logged in the IT Service Management system (ITSM system) to ensure appropriate oversight in the types and frequency of incidents for management and reporting purposes. Unless, My Eco Best Friend may conclude that there is no risk to the data and therefore no need to inform the DPO, the latter will be informed without delay by the IT Security Team (the Information and Security Officer (CISO) where relevant) in order to gather a small team of persons together to assess the potential exposure/loss. This team will assist the CISO, the DPO (and the Manager where relevant) with the practical matters associated with this Policy and Procedures. Action shall be undertaken in accordance with the dedicated team’s direction/advice. Each team member shall have a backup member to cover holidays, sick leave etc. During the investigation, the team should attempt to gather information that would be useful in assessing whether My Eco Best Friend is required to notify supervisory authorities and affected individuals. The type of data involved;The following must be considered in order to assess the potential exposure/loss:
  1. Se i dati sono sensibili o possono essere utilizzati per frodi d'identità.
  2. Sia che si tratti di molti individui
  3. Se i dati sono stati smarriti o rubati, se sono in atto protezioni di crittografia;
  4. Cosa è successo ai dati, ad esempio la possibilità che vengano utilizzati per causare danni alle persone, ecc...
Il team può anche prendere in considerazione il consiglio "Panoramica della classificazione del rischio di privacy" riportato nell'Appendice 3.

4) Notifiche 

  1. Autorità di vigilanza
Since the trigger for the 72‐hour deadline for regulator notification is fundamentally legal in nature, lawyers and other compliance personnel should be responsible for making the ultimate call as to whether an incident constitutes a personal data breach requiring regulator notification. Notification must contain (1) Nature, extent and impact of the breach; (2) Personal data possibly involved; (3) Measures taken to address the breach; (4) Details of the DPO or contact person designated by the DPO to provide additional information; and (5) Any assistance to be provided to the data subject.

ii. Soggetto interessato

Quando richiesto dalla legge, il team, sotto la direzione del DPO, prenderà immediatamente in considerazione la possibilità di informare le persone interessate.1. In particular the team shall: Contact the individuals concerned (whether by phone/email etc.) to advise that an unauthorised disclosure/loss/destruction or alteration of the individual’s personal data has occurred Where possible and as soon as is feasible, the soggetti interessati (i.e. individuals whom the data is about) should be advised of: the nature of the data that has been potentially exposed/compromised; the level of sensitivity of this data, and an outline of the steps My Eco Best Friend intends to take by way of containment or remediation Individuals should be advised as to whether My Eco Best Friend intends to contact other Supervisory Authorities Specific and clear advice should finally be given to individuals on the steps they can take to protect themselves and what My Eco Best Friend can do to assist them. Security of the medium used for notifying individuals of a breach and urgency of situation should be borne in mind.

5) Richieste dei media e di altre terze parti 

Media enquiries about the breach shall always be dealt with by the Head of Communication. My Eco Best Friend shall also consider whether police, insurers, data processors or for instance banks should be notified.

f) Documentare, indagare e implementare il cambiamento

It is important that any security incidents and actual data breaches are documented and investigated, and the response to the breach is evaluated in terms of its effectiveness. All data security breaches will thus be centrally logged in the ITSM system to ensure appropriate oversight in the types and frequency of confirmed incidents for management and reporting purposes.[1] Except where Supervisory Authorities have requested a delay for investigative purposes. Where My Eco Best Friend receives such a direction from Supervisory Authorities, it should make careful notes of the advice they receive (including the date and the time of the conversation and the name and rank of the person to whom they spoke). Where possible, My Eco Best Friend should ask for the directions to be given to them in writing on letter‐headed notepaper from the Supervisory Authorities, or where this is not possible, My Eco Best Friend should write to the relevant law enforcement agency to the effect that “prendiamo atto delle istruzioni impartiteci dal vostro funzionario [inserire il nome del funzionario] il giorno XX del XX alle ore 20.00, secondo le quali avremmo dovuto ritardare per un periodo di XXX/ fino a nuova notifica da parte vostra il permesso di informare le persone interessate dalla violazione dei dati..” A full review should be undertaken. Staff should be apprised of any changes to this Policy and of upgraded security measures. Staff should receive refresher training where necessary.

g) Attuazione e revisione

Questa politica può essere rivista alla luce delle modifiche legislative, dei pareri legali e dell'emergere di nuove tecnologie.

Appendice 1- Violazione della sicurezza dei dati - Rapporto sull'incidente

Inviate questo modulo via e-mail a IT Security contact@myecobestfriend.com

Chiamare sempre il CISO o il responsabile degli incidenti informatici. per renderli consapevoli della violazione prima di invio del presente modulo.

 
Si prega di fornire il maggior numero di informazioni/dettagli possibile:
Descrizione dell'incidente di sicurezza/violazione dei dati
Violazione confermata o sospetta?
Chi segnala la violazione: Nome/Dipartimento
Ora e data in cui è stato identificato l'incidente/violazione della sicurezza e da chi è stato rilevato
Ci sono stati altri testimoni? Se sì, indicare i nomi.
Causa della violazione? ·       Accident or oversight, ·       Technical error, ·       Intentional theft or wrongdoing, ·       Unauthorized browsing, ·       Other (describe), ·       Unknown
Prima classificazione dei dati violati ·       Public Data ·       Internal Data ·       Personal Data ·       Sensitive Data
 
Volume dei dati coinvolti  Molto pochi (meno di 20) Gruppo identificato e limitato (>20 e <100) Numero elevato di individui colpiti (>100) I numeri non sono noti
Le persone interessate dalla violazione sono studenti/sponsor, personale o entrambi?
Siete a conoscenza delle persone interessate (allegare un elenco)?
I dati si riferiscono a gruppi vulnerabili?
A chi sono stati rilasciati i dati e/o da chi sono stati consultati, se noti?
Tipi di danno che possono derivare dalla violazione ·       Identify theft ·       Physical harm ·       Hurt, humiliation, damage to reputation ·       Loss of business or employment opportunities ·       Breach of contractual obligations
La violazione è contenuta o in corso?
Se in corso, quali azioni sono state intraprese per recuperare i dati?
Sono stati coinvolti sistemi informatici? Se sì, elencarli.
Le protezioni di crittografia erano in atto al momento della violazione?
Si è già verificata una violazione di questo tipo?
Ci sono altri che possono dare consigli sui rischi/corsi d'azione?
Qualsiasi altra informazione pertinente Ad esempio, se i dati bancari di un individuo sono stati smarriti, è opportuno contattare le banche stesse per ottenere consigli su tutto ciò che possono fare per aiutarvi a prevenire l'uso fraudolento, ma anche, se del caso, la polizia, gli assicuratori, i sindacati, i responsabili del trattamento dei dati, ecc.
 
Ricevuto da:
Data/Ora:
ID violazione:
 

Appendice 2 - Risposte agli incidenti: cose da fare e da non fare per i sistemi IT

 

DOs

immediately isolate the affected system to prevent further intrusion, release of data, damage etc. use the telephone as the Attacker may be capable of monitoring e‐mail traffic preserve all pertinent logs, g. firewall, router and intrusion detection system make back‐up copies of damaged or altered files and keep these backups in a secure location identify where the affected system resides within the network topology identify all systems and agencies that connect to the affected system identify the programs and processes that operate on the affected system(s), the impact of the disruption and the maximum allowable outage time in the event the affected system is collected as evidence, make arrangements to provide for the continuity of services i.e. prepare redundant system and obtain data back‐ups

NON FARE

communicate the issue with anyone else other than your line manager and the recipients listed in section 3 delete, move or alter files on the affected systems contact the suspected perpetrator conduct a forensic analysis    

Appendice 3 - Panoramica della valutazione del rischio di privacy

Fattore VALUTAZIONE DEL RISCHIO
BASSO MEDIO ALTO
Natura delle informazioni personali Informazioni personali disponibili al pubblico non associate ad altre informazioni. Informazioni personali esclusive dell'organizzazione che non sono informazioni mediche o finanziarie. Informazioni mediche, psicologiche, di consulenza o finanziarie o numero unico di identificazione dell'ente pubblico,Divulgazione accidentale a un estraneo che ha segnalato la violazione e ha confermato la distruzione o la restituzione delle informazioni,Divulgazione a un individuo che ha una qualche relazione o conoscenza con l'individuo o gli individui interessati, in particolare divulgazione a familiari, vicini o colleghi motivati,Violazione intenzionale. Causa sconosciuta. Errore tecnico - se non risolto,Grande gruppo o intero ambito del gruppo non identificato (oltre 100),I file o i dispositivi cartacei sono stati recuperati ma tra la perdita e il recupero è trascorso un tempo sufficiente a consentire l'accesso ai dati,Perdita di fiducia in My Eco Best Friend,Perdita di beni, contratti o attività di My Eco Best Friend,Esposizione finanziaria,Rischio di sicurezza (ad es. sicurezza fisica), rischio di furto d'identità o di frode
Relazioni Divulgazione accidentale al contraente che ha segnalato la violazione e ha confermato la distruzione o la restituzione delle informazioni. Accidental disclosure to a stranger who reported the breach and confirmed destruction or return of the information Disclosure to an individual with some relationship to or knowledge of the affected individual(s), particularly disclosures to motivated family members, neighbours or co-workers
Causa della violazione Errore tecnico risolto Perdita o divulgazione accidentale Intentional breach. Cause unknown. Technical error – if not resolved
Ambito di applicazione Pochissimi individui colpiti Gruppo identificato e limitato di persone interessate Large group or entire scope of group not identified (over 100)
Sforzi di contenimento Data was adequately encrypted Portable storage device was remotely wiped and there is evidence that the device was not accessed prior to wiping Hard copy files or device were recovered almost immediately and all files appear intact and/or unread Portable storage device was remotely wiped within hours of loss but there is no evidence to confirm that the device was not accessed prior to wiping Hard copy files or device were recovered but sufficient time passed between the loss and recovery that the data could have been accessed Data was not encrypted Data, files or device have not been recovered Data at risk of further disclosure particularly through mass media or online
Danno prevedibile derivante dalla violazione Nessun danno prevedibile dalla violazione Loss of business or employment opportunities, hurt, humiliation, damage to reputation or relationships, social/relational harm Loss of trust in My Eco Best Friend Loss of My Eco Best Friend assets, contracts, or business Financial exposure Security risk (e.g. physical safety), identity theft or fraud risk Hurt, humiliation, damage to reputation may also be a high risk depending on the circumstances