Sub-Allegato B

Misure tecnico-organizzative 

  1. Certificazione ISO27001

Il Responsabile del Trattamento ha conseguito la certificazione ISO IEC 27.001 sulla sicurezza delle informazioni.

  1. Assicurazione professionale

Il Responsabile ha stipulato adeguata polizza assicurativa professionale sottoscritta con Chubb European Group SE con numero ITFINQ42135 e massimale di 500.000 euro.

  1. Nomina dei soggetti autorizzati

Il Responsabile del Trattamento ha nominato con apposito atto tutti i soggetti autorizzati all’accesso ai dati personali, vincolandoli a un obbligo di riservatezza.

  1. Sub-responsabili e Accordi per la protezione dei dati personali

Il Responsabile del Trattamento impiega esclusivamente Sub-Responsabili del Trattamento che presentano garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che i trattamenti soddisfino i requisiti del GDPR e garantiscano la tutela dei diritti dell’interessato.

  1. Pseudonimizzazione e cifratura dei dati personali

Tutti gli hard disk dei dispositivi e gli hard disk esterni sui quali sono salvati Dati personali sono cifrati e protetti da password.

  1. Protezione dei servizi cloud

Tutti i pannelli di accesso degli eventuali servizi cloud utilizzati dal Responsabile sono protetti da una password composta da almeno 10 caratteri (dei quali un carattere maiuscolo, un numero e un carattere speciale).

Qualora il fornitore dei servizi di cloud rendesse disponibile una procedura di autenticazione a due fattori, questa è sempre attivata dal Responsabile.

  1. Misure di sicurezza ambientali

Ordinariamente, i Dati Personali degli Interessati non sono stampati su supporti cartacei.

Qualora fosse necessario trattare i dati su documenti cartacei, questi sono riposti in appositi archivi chiusi a chiave alla fine della sessione di lavoro.

  1. Capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento

Il Responsabile ha predisposto backup dei dati con frequenza giornaliera.

  1. Capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico

Il Responsabile ha adottato idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli strumenti elettronici, in tempi certi, compatibili con i diritti degli interessati e comunque non superiori alle 24 ore.

Il Responsabile ha adottato di una policy per la rapida individuazione e segnalazione dei Data Breach al Titolare del trattamento e al Garante per la Protezione dei Dati Personali, ove applicabile.

  1. Procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento

Periodicamente e a seguito di apposite analisi dei rischi, il Responsabile predispone aggiornamenti allo stato dell’arte delle misure di sicurezza adottate ai sensi dell’art. 32 del GDPR.