La checklist della CNIL in italiano per l'analisi dei rischi dei dati personali

Il Garante privacy d'Oltralpe (CNIL) ha pubblicato una guida operativa sulla sicurezza dei dati personali. Ecco la traduzione in italiano per confrontare le misure di sicurezza applicate nella propria organizzazione.

  • Trasparenza

    E' prevista l’informativa per ogni trattamento di dati personali?

    E’ stata predisposta e applicata una policy sull’utilizzo dei dispositivi, delle email, della navigazione internet da parte dei lavoratori?

  • Autenticazione

    E’ previsto un unico ID-utente (login) per ogni utente?

    Sono previste e applicate delle regole sulla creazione delle password?

    E’ chiesto a ogni utente di cambiare la password al primo utilizzo?

    E’ limitato il numero dei tentativi di accesso agli account? 

  • Access Management

    Sono definiti dei profili di autorizzazione per i diversi trattamenti?

    Sono rimossi i permessi di accessi obsoleti in caso di cambio mansione?

    Viene eseguito un aggiornamento annuale delle autorizzazioni?

  • Lo System e gestione degli incidenti

    E’ presente un log system?

    I lavoratori e altri utenti sono stati informati del funzionamento del log system?

    Il sistema di log e le informazioni di log sono protette?

    E’ presente una procedura per la notifica del Data Breach?

  • Sicurezza della postazione di lavoro

    E’ prevista le chiusura automatica delle sessioni di lavoro?

    Il sistema antivirus è aggiornato regolarmente?

    E’ installato un sistema firewall?

    E’ richiesto il consenso del lavoratore prima di ogni accesso alla sua postazione di lavoro?

  • Sicurezza dei dispositivi portatili

    Sono previste misure di cifratura per i dispositivi mobile? (es. Laptop e smartphone personali o aziendali)

    Vengono effettuati regolarmente backup e sincronizzazione dei dati?

    E’ prevista una procedura di autenticazione per lo sblocco degli smartphone?

  • Protezione della rete locale

    Limitare gli accessi alla rete allo stretto necessario.

    Gli accessi remoti da dispositivi informatici avviene tramite connessione VPN?

    La connessione WI-FI utilizza i protocolli WPA2 o WPA2-PSK?

  • Sicurezza dei server

    Consentire l’accesso ai tool di amministrazione solo a soggetti specifici.

    Installare aggiornamenti importanti senza ritardo

    E’ facilitata la disponibilità dei dati?

  • Sicurezza dei siti web

    Sono utilizzati protocolli TLS o HTTPS?

    E’ verificato che nessuna password o user-ID sia trasferito tramite URL? (es. doc su Google Drive contenente lista delle password)

    E’ verificato se il contenuto richiesto dai form corrisponda a quello che si aspetta l’utente? (es. non chiedere informazioni eccedenti lo scopo del contatto)

    E’ presente l’informativa e il banner sull’utilizzo dei cookie?

  • Continuità Operativa

    Viene eseguito regolarmente il back up?

    I dispositivi di back up sono conservati in un luogo sicuro?

    Sono previste delle misure di sicurezza per il trasporto dei backup?

    E’ organizzata e verificata regolarmente la Continuità Operativa?

  • Procedure di archiviazione

    Sono implementati specifici metodi di accesso ai dati archiviati?

    Gli archivi obsoleti sono cancellati in modo sicuro?

  • Aggiornamento e cancellazione dei dati personali

    Gli interventi di manutenzione sono registrati?

    Durante la manutenzione una persona dell’organizzazione supervisiona il lavoro degli addetti terze parti?

    Prima dello smaltimento dell’hardware, vengono cancellati i dati personali?

  • Gestione dei Data Processors

    Nei contratti con i fornitori o consulenti vengono previsti gli obblighi privacy in modo specifico?

    Nei contratti con i fornitori o consulenti vengono previste le condizioni di restituzione e/o cancellazione dei dati personali al termine del servizio?

    Le misure di sicurezza, gli obblighi contrattuali e le garanzie previste sono applicate effettivamente? (es. invio di report regolari, visite di controllo, audit…)

  • Sicurezza delle comunicazioni

    I dati personali sono cifrati prima dell’invio?

    Viene verificato chi sia il giusto destinatario?

    Le informazioni segrete sono inviate separatamente e con differente canale?

  • Sicurezza fisica

    Gli accessi sono limitati tramite porte e armadi chiusi a chiave?

    E’ presente un sistema di allarme e viene verificato periodicamente?

  • Crittografia dei dati

    Vengono utilizzati algoritmi, software, librerie riconosciuti e/o sicure?

    Le informazioni segrete e le chiavi di cifratura sono conservate in modo sicuro?

CNIL GUIDE 2018

Scarica la guida "Security of Personal Data della CNIL

La guida contiene la checklist originale e alcuni esempi di misure di sicurezza da applicare.

SCARICA
APRI

Speciale Adeguamento Privacy

Ascolta la Radio dell'Avvocatura su www.webradioiuslaw.it

Su IusLaw WebRadio il programma di approfondimento per gli appassionati di Data Protetction!

scopri di più

ascolta