Politica e procedura di gestione degli incidenti di sicurezza e delle violazioni di dati
Politica e procedura di gestione degli incidenti di sicurezza e delle violazioni di dati
20 novembre 2021
My Eco Best Friend in qualità di titolare del trattamento e gli opportuni responsabili del trattamento così incaricati sono soggetti alle disposizioni del Regolamento Generale sulla Protezione dei Dati 2016/679 (GDPR) e devono esercitare la dovuta cura e attenzione nella raccolta, trattamento e conservazione dei dati personali e dei dati personali sensibili forniti sia dal personale, sia dai Venditori, sia dai Clienti, sia dal pubblico per gli usi definiti.
Salvaguardare tali informazioni e prevenirne la violazione è essenziale per garantire che My Eco Best Friend mantenga la fiducia dei suddetti soggetti. My Eco Best Friend farà quindi ogni ragionevole sforzo per proteggere le informazioni sotto il controllo di My Eco Best Friend da accessi, usi, divulgazioni, cancellazioni, distruzioni, danni o rimozioni non autorizzati.
Sebbene si faccia del proprio meglio per proteggere strutture, attrezzature, risorse e dati, è difficile evitare alcune crisi. Infatti, le violazioni della sicurezza dei dati sono sempre più frequenti, sia che siano causate da un errore umano che da un intento doloso. My Eco Best Friend deve quindi disporre di un processo solido e sistematico per affrontare qualsiasi incidente di sicurezza segnalato e proteggere il più possibile le sue risorse informative.
Di conseguenza, questa politica stabilisce una procedura da seguire nel caso in cui le procedure di sicurezza in vigore non riescano a prevenire una violazione. L'obiettivo di questa politica è quello di standardizzare la risposta a livello di gruppo a qualsiasi incidente di sicurezza segnalato e garantire che vengano registrati e gestiti in modo appropriato secondo le linee guida delle migliori pratiche.
Adottando un approccio standardizzato e coerente a tutti gli incidenti segnalati, si mira a garantire che:
gli incidenti vengono segnalati tempestivamente e possono essere gestiti in modo adeguato
gli incidenti sono gestiti da personale adeguatamente autorizzato e qualificato
Gli incidenti sono mantenuti riservati a tutti i livelli (le parti interessate saranno informate a discrezione degli investigatori principali).
i livelli di gestione appropriati sono coinvolti nella risposta
gli incidenti sono registrati e documentati
si comprende l'impatto degli incidenti e si interviene per evitare che si verifichino altri incidenti
le prove sono raccolte, registrate e conservate in una forma che resista all'esame interno ed esterno
gli organismi esterni o gli interessati siano informati come richiesto
gli incidenti siano affrontati in modo tempestivo e le normali operazioni siano riprese rapidamente
Gli incidenti vengono riesaminati per individuare i miglioramenti da apportare alle politiche
Ai fini della presente polizza, il termine "violazione dei dati" comprende la perdita di controllo, la compromissione, la divulgazione non autorizzata o l'accesso non autorizzato o potenziale alle informazioni di identificazione personale, sia in forma fisica (cartacea) che elettronica.
Una violazione della sicurezza dei dati può avvenire per una serie di motivi, tra cui:
Perdita, alterazione o furto di dati o di apparecchiature su cui sono memorizzati i dati (compresa l'effrazione di una qualsiasi delle nostre sedi)
accesso inappropriato/non autorizzato a dati riservati o altamente confidenziali
guasto alle apparecchiature
errore umano, comprese divulgazioni involontarie, mancanza di diligenza e/o uso improprio delle risorse tecnologiche
circostanze impreviste come inondazioni o incendi
attacchi di hacking
accesso in cui le informazioni vengono ottenute ingannando l'organizzazione che le detiene
Ai fini della presente politica, tali ragioni saranno indicate come "incidenti di sicurezza". Non tutti gli incidenti di sicurezza portano a una violazione dei dati.
Questa politica di gruppo si applica a tutto il personale di My Eco Best Friend.
Questa politica è disponibile sul sito www.myecobestfriend.com e viene comunicata al personale al momento dell'assunzione e durante la formazione periodica del personale.
My Eco Best Friend si aspetta che tutti gli appaltatori, i fornitori o qualsiasi altra parte che agisce per conto di My Eco Best Friend (collettivamente, "Parti Esterne") che raccolgono o gestiscono informazioni personali seguano questa politica, sia che utilizzino i sistemi e gli strumenti di gestione dei dati di My Eco Best Friend e/o i propri. I dipendenti di My Eco Best Friend sono responsabili di garantire che tutte le parti esterne con cui lavorano a sostegno delle operazioni di My Eco Best Friend rispettino questa politica.
Il personale ha la responsabilità di garantire che in ogni struttura e risorsa sotto il suo controllo siano presenti e applicati protezioni e controlli appropriati e adeguati e di identificare quelli che non lo sono. I dirigenti hanno la responsabilità di garantire che il personale della loro area segua questa Politica e si attenga a tutte le relative procedure.
Il Responsabile della protezione dei dati (DPO) è responsabile della supervisione della gestione di qualsiasi violazione.
Gaëtan Bio
Chemin du Creux-Bechet, 6, 1096, Villette (Svizzera)
T: +41 (0)79 847 91 55
contact@myecobestfriend.com
L'Ufficio Legale effettuerà revisioni periodiche delle misure e delle pratiche in vigore.
Segnalazione di un incidente di sicurezza: ogni membro del personale ha l'obbligo di segnalarlo.
Gli incidenti di sicurezza informatica confermati o sospetti devono sempre essere segnalati tempestivamente alla Sicurezza IT come punto di contatto primario via e-mail. contact@myecobestfriend.com
Nel caso in cui un membro del personale si renda conto o sospetti che i dati personali siano stati compromessi per qualsiasi altro motivo diverso da un incidente di sicurezza informatica (ad esempio, perdita di un dispositivo portatile, errata indicazione di etichette, informazioni sensibili lasciate in luoghi in cui potrebbero essere visualizzate da persone non autorizzate, ad esempio fotocopie non smaltite correttamente o lasciate sulla fotocopiatrice), dovrà informare immediatamente il proprio responsabile.
In caso di potenziale conflitto di interessi o per qualsiasi altra ragione, nell'interesse della riservatezza, tale segnalazione può essere fatta direttamente al RPD.
In entrambi i casi, al membro del personale che segnala l'incidente di sicurezza può essere chiesto di compilare il Data Security Breach Incident Report (vedi Appendice 1).
Le violazioni della sicurezza dei dati devono essere contenute e affrontate immediatamente non appena se ne viene a conoscenza.
Il membro del personale e/o la sicurezza informatica cercheranno di contenere la questione e di ridurre qualsiasi ulteriore esposizione dei dati personali in possesso, tenendo conto dei consigli "Incident Response DOs and DON'Ts for IT systems" (risposta agli incidenti, cose da fare e cose da non fare per i sistemi informatici) riportati in Appendice 2. A seconda della natura della minaccia ai dati personali, ciò può comportare la messa in quarantena di alcuni o tutti i PC, le reti ecc. e la richiesta al personale di non accedere ai PC, alle reti ecc. Allo stesso modo, può comportare la quarantena di una o più aree di archiviazione manuale dei documenti e di altre aree, a seconda dei casi. In via preliminare, si dovrebbe procedere a una verifica dei documenti conservati o del/i server di backup per accertare la natura dei dati personali potenzialmente esposti.
Parallelamente/successivamente al contenimento immediato, devono essere valutati i rischi che possono essere associati alla violazione, le potenziali conseguenze negative per le persone e per My Eco Best Friend stesso.
Se i dati in questione sono protetti da misure tecnologiche tali da renderli incomprensibili a chiunque non sia autorizzato ad accedervi, My Eco Best Friend può concludere che non vi è alcun rischio per i dati e quindi non è necessario informare il DPO. Tuttavia, tale conclusione sarebbe giustificata solo se le misure tecnologiche (come la crittografia) fossero di alto livello. Inoltre, qualsiasi incidente di sicurezza che riguardi più di 100 persone o che includa dati personali sensibili o di natura finanziaria deve sempre essere segnalato al DPO.
Nel caso in cui non venga effettuata alcuna notifica al DPO, My Eco Best Friend manterrà una registrazione sommaria dell'incidente di sicurezza, poiché tutti gli incidenti di sicurezza dei dati devono essere registrati a livello centrale nel sistema di gestione dei servizi IT (sistema ITSM) per garantire un'adeguata supervisione dei tipi e della frequenza degli incidenti ai fini della gestione e della rendicontazione.
A meno che My Eco Best Friend non concluda che non c'è alcun rischio per i dati e quindi non è necessario informare il DPO, quest'ultimo sarà informato senza indugio dal team di sicurezza informatica (il responsabile delle informazioni e della sicurezza (CISO), se pertinente) al fine di riunire un piccolo gruppo di persone per valutare la potenziale esposizione/perdita. Questo team assisterà il CISO, il DPO (e il Manager, se del caso) nelle questioni pratiche associate a questa Politica e alle Procedure. Le azioni saranno intraprese in conformità alle indicazioni/consigli del team dedicato. Ogni membro del team avrà un membro di riserva per coprire le ferie, le assenze per malattia, ecc.
Durante l'indagine, il team deve cercare di raccogliere informazioni utili per valutare se My Eco Best Friend è tenuto a notificare le autorità di vigilanza e le persone interessate.
Il tipo di dati coinvolti;Per valutare la potenziale esposizione/perdita è necessario considerare quanto segue:
Il team può anche prendere in considerazione il consiglio "Panoramica della classificazione del rischio di privacy" riportato nell'Appendice 3.
Poiché il termine di 72 ore per la notifica all'autorità di vigilanza è di natura fondamentalmente legale, gli avvocati e il personale addetto alla compliance dovrebbero essere responsabili di decidere se un incidente costituisce una violazione di dati personali che richiede la notifica all'autorità di vigilanza.
La notifica deve contenere (1) la natura, la portata e l'impatto della violazione; (2) i dati personali eventualmente coinvolti; (3) le misure adottate per affrontare la violazione; (4) i dettagli del DPO o della persona di contatto designata dal DPO per fornire ulteriori informazioni; e (5) qualsiasi assistenza da fornire all'interessato.
Quando richiesto dalla legge, il team, sotto la direzione del DPO, prenderà immediatamente in considerazione la possibilità di informare le persone interessate.1. In particolare il team dovrà:
Contattare le persone interessate (per telefono, e-mail, ecc.) per informarle che si è verificata una divulgazione/perdita/distruzione o alterazione non autorizzata dei loro dati personali.
Laddove possibile e non appena possibile, la soggetti interessati (cioè le persone su cui i dati si riferiscono) devono essere informati:
la natura dei dati potenzialmente esposti/compromessi;
il livello di sensibilità di questi dati e
una descrizione delle misure che My Eco Best Friend intende adottare per il contenimento o la bonifica
Le persone devono essere informate se My Eco Best Friend intende contattare altre autorità di vigilanza.
Infine, è necessario fornire ai singoli consigli specifici e chiari sulle misure che possono adottare per proteggersi e su ciò che My Eco Best Friend può fare per aiutarli.
Occorre tenere conto della sicurezza del mezzo utilizzato per notificare alle persone una violazione e dell'urgenza della situazione.
Le richieste di informazioni da parte dei media sulla violazione saranno sempre gestite dal responsabile della comunicazione.
My Eco Best Friend valuterà anche l'opportunità di informare la polizia, gli assicuratori, i responsabili del trattamento dei dati o, ad esempio, le banche.
È importante che tutti gli incidenti di sicurezza e le effettive violazioni dei dati siano documentati e indagati, e che la risposta alla violazione sia valutata in termini di efficacia.
Tutte le violazioni della sicurezza dei dati saranno quindi registrate a livello centrale nel sistema ITSM per garantire un'adeguata supervisione dei tipi e della frequenza degli incidenti confermati ai fini della gestione e della rendicontazione.[1] Ad eccezione dei casi in cui le Autorità di Vigilanza abbiano richiesto un ritardo a fini investigativi. Nel caso in cui My Eco Best Friend riceva tali indicazioni dalle Autorità di Vigilanza, dovrebbe annotare accuratamente i consigli ricevuti (compresa la data e l'ora della conversazione e il nome e il grado della persona con cui ha parlato). Ove possibile, My Eco Best Friend dovrebbe chiedere che le indicazioni siano fornite loro per iscritto su carta intestata dalle Autorità di Vigilanza, oppure, ove ciò non sia possibile, My Eco Best Friend dovrebbe scrivere all'autorità di polizia competente per dire che "prendiamo atto delle istruzioni impartiteci dal vostro funzionario [inserire il nome del funzionario] il giorno XX del XX alle ore 20.00, secondo le quali avremmo dovuto ritardare per un periodo di XXX/ fino a nuova notifica da parte vostra il permesso di informare le persone interessate dalla violazione dei dati.."
È necessario procedere a una revisione completa. Il personale deve essere informato di eventuali modifiche alla presente Politica e delle misure di sicurezza aggiornate. Il personale deve ricevere una formazione di aggiornamento, se necessario.
Questa politica può essere rivista alla luce delle modifiche legislative, dei pareri legali e dell'emergere di nuove tecnologie.
Inviate questo modulo via e-mail a IT Security contact@myecobestfriend.com
|
Si prega di fornire il maggior numero di informazioni/dettagli possibile: |
|
|
Descrizione dell'incidente di sicurezza/violazione dei dati |
|
|
Violazione confermata o sospetta? |
|
|
Chi segnala la violazione: Nome/Dipartimento |
|
|
Ora e data in cui è stato identificato l'incidente/violazione della sicurezza e da chi è stato rilevato |
|
|
Ci sono stati altri testimoni? Se sì, indicare i nomi. |
|
|
Causa della violazione? - Incidente o svista, - Errore tecnico, - Furto o atto illecito intenzionale, - Navigazione non autorizzata, - Altro (descrivere), - Sconosciuto |
|
|
Prima classificazione dei dati violati - Dati pubblici - Dati interni - Dati personali - Dati sensibili |
|
Volume dei dati coinvolti Molto pochi (meno di 20) Gruppo identificato e limitato (>20 e <100) Numero elevato di individui colpiti (>100) I numeri non sono noti |
|
|
Le persone interessate dalla violazione sono studenti/sponsor, personale o entrambi? |
|
|
Siete a conoscenza delle persone interessate (allegare un elenco)? |
|
|
I dati si riferiscono a gruppi vulnerabili? |
|
|
A chi sono stati rilasciati i dati e/o da chi sono stati consultati, se noti? |
|
|
Tipi di danno che possono derivare dalla violazione - Furto di identità - Danno fisico - Ferite, umiliazioni, danni alla reputazione - Perdita di opportunità di lavoro o di occupazione - Violazione degli obblighi contrattuali |
|
|
La violazione è contenuta o in corso? |
|
|
Se in corso, quali azioni sono state intraprese per recuperare i dati? |
|
Sono stati coinvolti sistemi informatici? Se sì, elencarli. |
|
|
Le protezioni di crittografia erano in atto al momento della violazione? |
|
|
Si è già verificata una violazione di questo tipo? |
|
|
Ci sono altri che possono dare consigli sui rischi/corsi d'azione? |
|
|
Qualsiasi altra informazione pertinente |
Ad esempio, se i dati bancari di un individuo sono stati smarriti, è opportuno contattare le banche stesse per ottenere consigli su tutto ciò che possono fare per aiutarvi a prevenire l'uso fraudolento, ma anche, se del caso, la polizia, gli assicuratori, i sindacati, i responsabili del trattamento dei dati, ecc. |
|
Ricevuto da: |
|
|
Data/Ora: |
|
|
ID violazione: |
isolare immediatamente il sistema interessato per evitare ulteriori intrusioni, diffusione di dati, danni ecc.
utilizzare il telefono, poiché l'aggressore potrebbe essere in grado di monitorare il traffico di posta elettronica.
conservare tutti i registri pertinenti, ad esempio quelli del firewall, del router e del sistema di rilevamento delle intrusioni
fare copie di sicurezza dei file danneggiati o alterati e conservare tali copie di sicurezza in un luogo sicuro
identificare la posizione del sistema interessato all'interno della topologia di rete
identificare tutti i sistemi e le agenzie che si collegano al sistema interessato
identificare i programmi e i processi che operano sul sistema o sui sistemi interessati, l'impatto dell'interruzione e il tempo massimo di interruzione consentito
nel caso in cui il sistema interessato venga ritirato come prova, prendere provvedimenti per garantire la continuità dei servizi, ad esempio predisporre un sistema ridondante e ottenere back-up dei dati
comunicare il problema con altre persone che non siano il proprio responsabile di linea e i destinatari elencati nella sezione 3
eliminare, spostare o modificare i file sui sistemi interessati
contattare il sospetto autore del reato
condurre un'analisi forense
|
Fattore |
VALUTAZIONE DEL RISCHIO |
||
|
BASSO |
MEDIO |
ALTO |
|
|
Natura delle informazioni personali |
Informazioni personali disponibili al pubblico non associate ad altre informazioni. |
Informazioni personali esclusive dell'organizzazione che non sono informazioni mediche o finanziarie. |
Informazioni mediche, psicologiche, di consulenza o finanziarie o identificazione unica dell'ente pubblico. numero |
|
Relazioni |
Divulgazione accidentale al contraente che ha segnalato la violazione e ha confermato la distruzione o la restituzione delle informazioni. |
Divulgazione accidentale a un sconosciuto che ha segnalato la violazione e ha confermato distruzione o restituzione delle informazioni |
Divulgazione a un individuo con una qualche relazione a o a conoscenza delle persone colpite, in particolare le rivelazioni a familiari, vicini o collaboratori motivati |
|
Il furto |
|||
|
Causa della violazione |
Errore tecnico risolto |
Perdita o divulgazione accidentale |
Violazione intenzionale. Causa sconosciuta Errore tecnico - se non risolto |
|
Ambito di applicazione |
Pochissimi individui colpiti |
Gruppo identificato e limitato di persone interessate |
Grande gruppo o intero ambito del gruppo non identificato (oltre 100) |
|
Sforzi di contenimento |
I dati sono stati adeguatamente criptati
Il dispositivo di archiviazione portatile è stato cancellato da remoto e vi sono prove che il dispositivo non è stato accessibile prima della cancellazione.
I file o il dispositivo cartaceo sono stati recuperati quasi immediatamente e tutti i file appaiono intatti e/o non letti. |
Il dispositivo di archiviazione portatile è stato cancellato da remoto entro poche ore dalla perdita, ma non ci sono prove che confermino che il dispositivo non sia stato consultato prima della cancellazione.
I file o i dispositivi cartacei sono stati recuperati, ma è trascorso un periodo di tempo sufficiente tra la perdita e il recupero. recupero che i dati potrebbero avere è stato consultato |
I dati non erano criptati
I dati, i file o il dispositivo non sono stati recuperati
Dati a rischio di ulteriore divulgazione, in particolare attraverso i mass media o online. |
|
Danno prevedibile derivante dalla violazione |
Nessun danno prevedibile dalla violazione |
Perdita di opportunità di lavoro o di impiego, pregiudizio, umiliazione, danno alla reputazione o alle relazioni, danno sociale/relazionale. Perdita di fiducia in My Eco Best Friend Perdita dei beni di My Eco Best Friend Perdita di contratti o di attività di My Eco Best Friend Esposizione finanziaria |
Rischio di sicurezza (ad es. sicurezza fisica) Rischio di furto o di frode. Anche il ferimento, l'umiliazione, il danno alla reputazione possono essere un rischio elevato, a seconda delle circostanze. |
IT 
EN 
FR 
DE