Sub-Allegato B
Misure tecnico-organizzative
- Certificazione ISO27001
Il Responsabile del Trattamento ha conseguito la certificazione ISO IEC 27.001 sulla sicurezza delle informazioni.
- Assicurazione professionale
Il Responsabile ha stipulato adeguata polizza assicurativa professionale sottoscritta con Chubb European Group SE con numero ITFINQ42135 e massimale di 500.000 euro.
- Nomina dei soggetti autorizzati
Il Responsabile del Trattamento ha nominato con apposito atto tutti i soggetti autorizzati all’accesso ai dati personali, vincolandoli a un obbligo di riservatezza.
- Sub-responsabili e Accordi per la protezione dei dati personali
Il Responsabile del Trattamento impiega esclusivamente Sub-Responsabili del Trattamento che presentano garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che i trattamenti soddisfino i requisiti del GDPR e garantiscano la tutela dei diritti dell’interessato.
- Pseudonimizzazione e cifratura dei dati personali
Tutti gli hard disk dei dispositivi e gli hard disk esterni sui quali sono salvati Dati personali sono cifrati e protetti da password.
- Protezione dei servizi cloud
Tutti i pannelli di accesso degli eventuali servizi cloud utilizzati dal Responsabile sono protetti da una password composta da almeno 10 caratteri (dei quali un carattere maiuscolo, un numero e un carattere speciale).
Qualora il fornitore dei servizi di cloud rendesse disponibile una procedura di autenticazione a due fattori, questa è sempre attivata dal Responsabile.
- Misure di sicurezza ambientali
Ordinariamente, i Dati Personali degli Interessati non sono stampati su supporti cartacei.
Qualora fosse necessario trattare i dati su documenti cartacei, questi sono riposti in appositi archivi chiusi a chiave alla fine della sessione di lavoro.
- Capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento
Il Responsabile ha predisposto backup dei dati con frequenza giornaliera.
- Capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico
Il Responsabile ha adottato idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli strumenti elettronici, in tempi certi, compatibili con i diritti degli interessati e comunque non superiori alle 24 ore.
Il Responsabile ha adottato di una policy per la rapida individuazione e segnalazione dei Data Breach al Titolare del trattamento e al Garante per la Protezione dei Dati Personali, ove applicabile.
- Procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento
Periodicamente e a seguito di apposite analisi dei rischi, il Responsabile predispone aggiornamenti allo stato dell’arte delle misure di sicurezza adottate ai sensi dell’art. 32 del GDPR.