Descrizione generale delle misure tecniche e organizzative

 

1.    Riservatezza

Deve essere ridotto il rischio di danni fisici, materiali o immateriali o il rischio di compromissione dei diritti e delle libertà degli interessati.

>> Controllo degli accessi

Misure tecniche e organizzative:

  • Regole per l'orientamento dei visitatori
  • Registrazione alla reception
  • I visitatori vengono inseriti nell'elenco dei visitatori dalla reception
  • Guida personale dei visitatori
  • Ulteriori misure di protezione
    • Sorveglianza di sicurezza
    • Sorveglianza con telecamere

 

>> Controllo degli accessi

Misure tecniche e organizzative:

  • Controllo degli accessi ai computer della rete DocuWare e agli account basati sul cloud
    • Identificazione dell'utente
    • Autenticazione a due fattori obbligatoria
    • Blocco del login basato sulla posizione (lista nera dei paesi)
    • Password sicura
      • Blocco della password dopo 3 tentativi falliti
      • Complessità, 9 caratteri, nessuna ripetizione della password
      • Ciclo di modifica
    • Pausa protetta da password a tempo (screen saver)
      • Una normativa impone ai dipendenti di bloccare manualmente i loro computer quando lasciano il posto di lavoro. Lo schermo viene bloccato automaticamente dopo 15 minuti
    • Protezione dei sistemi in rete da intrusioni non autorizzate
      • Firewall
      • Protezione degli endpoint
      • Audit e rilevamento delle minacce
      • Test di penetrazione esterni per identificare ed eliminare le vulnerabilità
      • I dischi rigidi dei notebook sono criptati

 

>> Controllo degli accessi

Misure tecniche e organizzative:

  • Profilo di autorizzazione per i dipendenti
  • Amministrazione degli utenti
  • Autorizzazione all'accesso in base a
    • Responsabilità
    • Assegnazione di compiti
  • Se necessario, anche differenziata in base a
    • Autorizzazione di lettura
    • Autorizzazione di scrittura
  • Le autorizzazioni per i dipendenti esterni sono documentate nel database IT. Tutte le richieste di modifica delle autorizzazioni vengono elaborate dall'IT nel sistema di ticket
  • Regole chiare per adattare la gestione delle autorizzazioni
    • Se l'area di responsabilità di un dipendente cambia, le autorizzazioni non più necessarie vengono adeguate tempestivamente
    • Le modifiche vengono elaborate tramite il sistema di ticket IT e
    • Le autorizzazioni dei dipendenti esterni e l'accesso alle applicazioni business-critical vengono verificati regolarmente
  • Misure per il controllo degli accessi
    • Procedure di revisione e rilascio dei programmi
    • Registrazione e valutazione degli incidenti critici per la sicurezza
    • Modifiche alle impostazioni del firewall

 

>> Controllo della separazione

Misure tecniche e organizzative:

  • Sistemi DocuWare Cloud
    • Separazione logica dei dati (documenti) e dei database per cliente
      • Documenti: ogni cliente ha una propria condivisione di file in cui sono archiviati i propri documenti
      • Database: ogni cliente ha un proprio database
        • Contiene i dati di indice per i documenti nelle caselle di posta e negli archivi
        • Contiene anche dati organizzativi come utenti e ruoli
      • Database del sistema DocuWare
        • Contiene i dati necessari per il funzionamento del sistema (non specifici per il cliente)

 

 

2.   Integrità

Deve essere ridotto il rischio di danni fisici, materiali o immateriali o il rischio di compromissione dei diritti e delle libertà degli interessati a causa di modifiche non intenzionali o non autorizzate o di azioni illegali o negligenti dei dati trattati per conto del responsabile del trattamento.

>> Controllo del trasferimento

Misure tecniche e organizzative:

  • I dati vengono sempre trasmessi via Internet in formato criptato
    • VPN: tra le diverse sedi della rete aziendale e dei centri dati
    • SSL: accesso ai sistemi DocuWare Cloud per i clienti
  • Protezione dei dati durante la trasmissione
    • Protezione con password
    • TeamViewer è utilizzato dall'assistenza e dal servizio professionale per la manutenzione remota (connessione crittografata)
    • I dati di accesso (anche ai sistemi dei clienti) sono gestiti in Password Tools
      • Importante:
        • Non trasmettere mai a DocuWare account di prova o dati di accesso tramite e-mail
  • Gli account di prova o i dati di accesso per DocuWare Support o Professional Services devono essere disattivati o le password modificate al termine del caso di assistenza o del progetto
  • Proteggere i PC e le unità esterne (dischi rigidi mobili, chiavette USB, ecc.) da un uso improprio
    • Le linee guida di sicurezza per il trasporto criptato sono riportate nel manuale sulla protezione dei dati
  • L'uso di supporti dati mobili è regolato da una linea guida
  • Cancellazione sicura / smaltimento dei supporti dati
    • I supporti dati dismessi vengono raccolti nel reparto IT, dove vengono cancellati in modo professionale e poi smaltiti
  • Accesso ai dati e ai sistemi del cliente tramite manutenzione remota
    • Il cliente avvia TeamViewer. Questo gli mostra un numero. Il cliente comunica questo numero al dipendente DocuWare affinché questi possa stabilire la connessione
    • In accordo con il cliente, Professional Service utilizza talvolta anche una modalità in cui il cliente non conferma la connessione da parte sua
    • TeamViewer utilizza una connessione sicura
    • Registrazione sicura della manutenzione remota

 

>> Controllo degli ingressi

Misure tecniche e organizzative:

  • Accesso ai dati del cliente e ai sistemi del cliente durante una sessione di manutenzione remota
    • L'accesso alla manutenzione remota di TeamViewer deve essere avviato attivamente dal cliente
    • In consultazione con il cliente, Professional Service utilizza talvolta anche una modalità in cui il cliente non deve confermare la connessione da parte sua
    • La manutenzione remota di Teamviewer viene registrata da entrambe le parti (cliente/appaltatore)

 

3.   Disponibilità e resilienza

Deve essere ridotto il rischio di danni fisici, materiali o immateriali o il rischio di compromissione dei diritti e delle libertà degli interessati, anche a causa di comportamenti illeciti o negligenti, dovuti all'indisponibilità dei dati trattati per conto del titolare del trattamento.

>> Controllo della disponibilità

Misure tecniche e organizzative:

  • Backup: i dati importanti vengono regolarmente sottoposti a backup in un sistema di backup e sincronizzati con una postazione esterna in base a programmi definiti (cloud backup)
  • I server e i dispositivi di infrastruttura della rete locale sono collegati a un provider di centri dati
  • I canali di segnalazione sono noti e rispettati
  • Esistono piani di emergenza per i sistemi centrali
    • I server importanti dei sistemi DocuWare Cloud possono essere riavviati in qualsiasi momento tramite uno script (scalabilità/resilienza)
  • Il ripristino dei sistemi centrali IT viene effettuato regolarmente

 

 

4.   Procedure per il riesame, la valutazione e la verifica periodici

Devono essere previste procedure per il riesame, la valutazione e la verifica periodica dell'efficacia delle misure tecniche e organizzative volte a garantire la sicurezza del trattamento.

>> Controllo dell'ordine

Misure tecniche e organizzative:

  • Revisione periodica
    • Le "misure tecniche e organizzative" vengono riesaminate almeno una volta all'anno
  • Controllo dell'esecuzione dell'ordine del cliente / dell'azione di servizio
    • I Servizi professionali descrivono un test di accettazione da parte dell'utente (piano di test che deve funzionare secondo l'ordine) prima dell'esecuzione dell'ordine. L'accettazione da parte dei clienti viene registrata nel protocollo di accettazione
  • Registrazione dell'accesso ai sistemi e ai dati del cliente
    • L'accesso alla manutenzione remota avviene tramite Questo può essere utilizzato anche in loco, se il cliente lo desidera

 

 

>>    Organizzazione interna Misure tecniche e organizzative:

  1. Gestione della protezione dei dati
    • Solo i dipendenti obbligati a rispettare le norme sulla protezione dei dati sono autorizzati ad accedere ai dati relativi alla loro area di responsabilità
    • Esistono linee guida comportamentali interne e una politica di protezione dei dati
    • Tutti i dipendenti vengono regolarmente (almeno una volta all'anno) formati sul tema della protezione dei dati tramite e-learning o altri mezzi, e
    • Le responsabilità e le autorizzazioni dei singoli dipendenti sono definite in un organigramma e nelle descrizioni delle mansioni e sono note in tutta l'azienda
  2. Gestione degli incidenti
    • La conformità alle misure tecniche e organizzative viene verificata annualmente (audit) dal responsabile della protezione dei dati e, se necessario, aggiornata
    • La gestione degli incidenti viene riesaminata nell'ambito del processo di certificazione
  1. Protezione dei dati attraverso la progettazione tecnologica
    • Selezione di tecnologie rispettose della protezione dei dati durante l'approvvigionamento