Software
PROCESSO 11: I.C.T. - Security
PROTEZIONE DA PROGRAMMI MALIGNI, PREVENZIONE DALLE VULNERABILITÀ, SALVATAGGIO DEI DATI
Alcune misure previste dal codice sono rivolte a tutelare la sicurezza di tutte le tipologie di dati personali dalle nuove emergenti criticità:
- i dati personali sono protetti contro il rischio di intrusione e dell’azione di virus, internet worm, programmi maligni, ecc., mediante l’attivazione di idonei strumenti elettronici, (ad esempio antivirus, firewall, ed altri adeguati sistemi) da tenere aggiornati;
- gli strumenti elettronici – nel caso di trattamenti di dati sensibili e giudiziari - sono aggiornati periodicamente con programmi volti a prevenire le vulnerabilità e a correggere i difetti (patch, hot fix, service pack);
- i dati sono salvati su copie di riserva almeno settimanalmente nel rispetto di apposite disposizioni tecniche e organizzative.
- In particolare la procedura FIN2000 istituisce dei chkup diagnostici atti a verificare l’integrità e conformità del data base gestito. Inoltre appronta delle funzionalità per ottenere le ottimali dimensioni dell’archivio dati (fdup). Tutte le altre iniziative indicate sono demandate al gestore di rete aziendale che le esegue e le disciplina.
Backup, supporti rimovibili, ripristino
Se si trattano i cosiddetti dati sensibili o giudiziari questi dati sono protetti da ulteriori misure di sicurezza, quali:
- strumenti elettronici che evitano gli accessi abusivi (intrusioni);
- procedure per la generazione e la custodia di copie di sicurezza dei dati (back up);
- istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti;
- disposizioni per riutilizzare o distruggere i supporti rimovibili sui quali sono registrati tali dati;
- strumenti per il ripristino della disponibilità dei dati e dei sistemi entro tempi certi e compatibili con i diritti degli interessati, non superiori a sette giorni.
- Questi interventi sono demandati al gestore di rete aziendale da eseguirsi sia presso la sede che presso le filiali.