E’ previsto un unico ID-utente (login) per ogni utente?

Sono previste e applicate delle regole sulla creazione delle password?

E’ chiesto a ogni utente di cambiare la password al primo utilizzo?

E’ limitato il numero dei tentativi di accesso agli account? 

Sono definiti dei profili di autorizzazione per i diversi trattamenti?

Sono rimossi i permessi di accessi obsoleti in caso di cambio mansione?

Viene eseguito un aggiornamento annuale delle autorizzazioni?

E’ presente un log system?

I lavoratori e altri utenti sono stati informati del funzionamento del log system?

Il sistema di log e le informazioni di log sono protette?

E’ presente una procedura per la notifica del Data Breach?

E’ prevista le chiusura automatica delle sessioni di lavoro?

Il sistema antivirus è aggiornato regolarmente?

E’ installato un sistema firewall?

E’ richiesto il consenso del lavoratore prima di ogni accesso alla sua postazione di lavoro?

Sono previste misure di cifratura per i dispositivi mobile? (es. Laptop e smartphone personali o aziendali)

Vengono effettuati regolarmente backup e sincronizzazione dei dati?

E’ prevista una procedura di autenticazione per lo sblocco degli smartphone?

Limitare gli accessi alla rete allo stretto necessario.

Gli accessi remoti da dispositivi informatici avviene tramite connessione VPN?

La connessione WI-FI utilizza i protocolli WPA2 o WPA2-PSK?

Consentire l’accesso ai tool di amministrazione solo a soggetti specifici.

Installare aggiornamenti importanti senza ritardo

E’ facilitata la disponibilità dei dati?

Sono utilizzati protocolli TLS o HTTPS?

E’ verificato che nessuna password o user-ID sia trasferito tramite URL? (es. doc su Google Drive contenente lista delle password)

E’ verificato se il contenuto richiesto dai form corrisponda a quello che si aspetta l’utente? (es. non chiedere informazioni eccedenti lo scopo del contatto)

E’ presente l’informativa e il banner sull’utilizzo dei cookie?

Viene eseguito regolarmente il back up?

I dispositivi di back up sono conservati in un luogo sicuro?

Sono previste delle misure di sicurezza per il trasporto dei backup?

E’ organizzata e verificata regolarmente la Continuità Operativa?

Sono implementati specifici metodi di accesso ai dati archiviati?

Gli archivi obsoleti sono cancellati in modo sicuro?

Gli interventi di manutenzione sono registrati?

Durante la manutenzione una persona dell’organizzazione supervisiona il lavoro degli addetti terze parti?

Prima dello smaltimento dell’hardware, vengono cancellati i dati personali?

Nei contratti con i fornitori o consulenti vengono previsti gli obblighi privacy in modo specifico?

Nei contratti con i fornitori o consulenti vengono previste le condizioni di restituzione e/o cancellazione dei dati personali al termine del servizio?

Le misure di sicurezza, gli obblighi contrattuali e le garanzie previste sono applicate effettivamente? (es. invio di report regolari, visite di controllo, audit…)

I dati personali sono cifrati prima dell’invio?

Viene verificato chi sia il giusto destinatario?

Le informazioni segrete sono inviate separatamente e con differente canale?

Gli accessi sono limitati tramite porte e armadi chiusi a chiave?

E’ presente un sistema di allarme e viene verificato periodicamente?

Vengono utilizzati algoritmi, software, librerie riconosciuti e/o sicure?

Le informazioni segrete e le chiavi di cifratura sono conservate in modo sicuro?