Parte Speciale “H”: I reati informatici Codice documento: MOG 231

Parte Speciale “H”:
I reati informatici
Codice documento: MOG 231 - PSH
Tecomec S.r.l.
Rev 1 MOG231- PSH
COPIA CONTROLLATA N° 0
REV.
BREVE DESCRIZIONE E COMMENTO
DATA
0
EMISSIONE
22/02/2012
1
REVISIONE
12/03/2014
2
3
4
5
Tutti i cambiamenti sono sottoposti all’approvazione del Consiglio di Amministrazione
(CDA) ed al controllo dell’Organismo di Vigilanza (ODV)
Compilazione
Firma: M. Orlandini
Verifica OdV
Firma: F. Baldi Data: 12/03/2014
M. Orlandini - R. Bertuzzi
Approvazione del CdA
Firma: Ing D. Bianchini
Data: 12/03/2014
Data: 12/03/2014
2
Tecomec S.r.l.
Rev 1 MOG231- PSH
PARTE SPECIALE “H”
1. I reati informatici ex art. 24-bis D.Lgs. 231/01
L’art.7, L. 18.03.2008, n.48 (“Ratifica ed esecuzione della Convenzione del Consiglio d’Europa
sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento
dell’ordinamento interno”) pubblicata in G.U. n. 80 del 4 aprile 2008 ha introdotto l’art. 24-bis
all’interno del Decreto il quale:
recepisce l’art. 491-bis c.p. che, a sua volta, estende le ipotesi di falsità in atti di cui al
Libro II, Titolo VII, Capo III c.p. a tutte le fattispecie delittuose in cui una o più delle
suddette falsità abbia ad oggetto un c.d. “documento informatico”;
introduce all’interno del Decreto alcune ipotesi di reato in materia di criminalità
informatica, già disciplinate all’interno del Codice Penale.
L’articolo 24-bis del D.Lgs. 231/2001, rubricato “Delitti informatici e trattamento illecito dei
dati” così recita:
“1. In relazione alla commissione dei delitti di cui agli articoli 615-ter, 617- quater, 617quinquies, 635-bis, 635-ter, 635-quater e 635-quinquies del codice penale, si applica all'ente la
sanzione pecuniaria da cento a cinquecento quote.
2. In relazione alla commissione dei delitti di cui agli articoli 615-quater e 615-quinquies del
codice penale, si applica all'ente la sanzione pecuniaria sino a trecento quote.
3. In relazione alla commissione dei delitti di cui agli articoli 491-bis e 640-quinquies del codice
penale, salvo quanto previsto dall'articolo 24 del presente decreto per i casi di frode
informatica in danno dello Stato o di altro ente pubblico, si applica all'ente la sanzione
pecuniaria sino a quattrocento quote.
4. Nei casi di condanna per uno dei delitti indicati nel comma 1 si applicano le sanzioni
interdittive previste dall'articolo 9, comma 2, lettere a), b) ed e). Nei casi di condanna per uno
dei delitti indicati nel comma 2 si applicano le sanzioni interdittive previste dall'articolo 9,
comma 2, lettere b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 3 si
applicano le sanzioni interdittive previste dall'articolo 9, comma 2, lettere c), d) ed e)”.
Per crimine informatico si intende ogni comportamento previsto e punito dal Codice Penale o
da leggi speciali in cui qualsiasi strumento informatico o telematico rappresenti un elemento
determinante ai fini della qualificazione del fatto di reato.
Si utilizza il termine “reato informatico” per indicare qualsiasi condotta realizzata per mezzo
delle
nuove
tecnologie
o
comunque
rivolta
contro
i
beni
informatici,
sanzionata
3
Tecomec S.r.l.
Rev 1 MOG231- PSH
dall’ordinamento penale. Può essere considerato quindi reato informatico tanto la frode
commessa attraverso il computer che il danneggiamento del sistema informatico.
La definizione “dottrinaria” di crimine informatico include quelle tipologie di crimini in cui un
sistema di elaborazione o una sua parte ricopre uno dei seguenti ruoli:
oggetto: ciò include la distruzione o la manipolazione dell’elaboratore, dei dati e dei
programmi in esso contenuti e delle relative apparecchiature di supporto;
soggetto: quando l’elaboratore è il luogo, il motivo o la fonte del crimine;
strumento: quando ciò che avviene in relazione all’elaborazione non è di per sé
illegale, ma serve a commettere crimini di altro tipo (es. sabotaggio). In pratica un
sistema di elaborazione, o ciò che viene prodotto dall’elaboratore, è usato come
mezzo per compiere frodi, sabotaggi, falsificazioni.
Tabella 1
Accesso abusivo ad un sistema informatico o telematico art. 615-ter c.p.
Reato:
Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da
misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il
diritto di escluderlo.
Pecuniaria: Da 100 a 500 quote
Interdittive: a) Interdizione dall'esercizio dell'attività:
SI
b) Sospensione o revoca di autorizzazioni, licenze o concessioni funzionali per SI
l’illecito:
NO
c) Divieto di contrattare con la pubblica amministrazione:
NO
d) Esclusione da, ed eventuale revoca di, agevolazioni, finanziamenti, contributi o SI
sussidi:
e) Divieto di pubblicizzare beni o servizi:
Tabella 2
Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici
art. 615-quater c.p.
Reato:
Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno,
abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave
o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure
di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo
Pecuniaria: Fino a 300 quote
4
Tecomec S.r.l.
Rev 1 MOG231- PSH
Interdittive: a) Interdizione dall'esercizio dell'attività:
NO
b) Sospensione o revoca di autorizzazioni, licenze o concessioni funzionali per SI
l’illecito:
NO
c) Divieto di contrattare con la pubblica amministrazione:
NO
d) Esclusione da, ed eventuale revoca di, agevolazioni, finanziamenti, contributi o SI
sussidi:
e) Divieto di pubblicizzare beni o servizi:
Tabella 3
Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o
interrompere un sistema informatico o telematico art. 615-quinquies c.p.
Reato:
Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le
informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire
l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, si procura,
produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette a
disposizione di altri apparecchiature, dispositivi o programmi informatici, è punito con la
reclusione fino a due anni e con la multa sino a euro 10.329.
Pecuniaria: Fino a 300 quote
Interdittive: a) Interdizione dall'esercizio dell'attività:
NO
b) Sospensione o revoca di autorizzazioni, licenze o concessioni funzionali per SI
l’illecito:
NO
c) Divieto di contrattare con la pubblica amministrazione:
NO
d) Esclusione da, ed eventuale revoca di, agevolazioni, finanziamenti, contributi o SI
sussidi:
e) Divieto di pubblicizzare beni o servizi:
Tabella 4
Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche
art. 617-quater c.p.
Reato:
Chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o
telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe
Pecuniaria: Da 100 a 500 quote
Interdittive: a) Interdizione dall'esercizio dell'attività:
SI
b) Sospensione o revoca di autorizzazioni, licenze o concessioni funzionali per SI
l’illecito:
NO
5
Tecomec S.r.l.
Rev 1 MOG231- PSH
c) Divieto di contrattare con la pubblica amministrazione:
NO
d) Esclusione da, ed eventuale revoca di, agevolazioni, finanziamenti, contributi o SI
sussidi:
e) Divieto di pubblicizzare beni o servizi:
Tabella 5
Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni
informatiche o telematiche art. 617-quinquies c.p.
Reato:
Chiunque, fuori dai casi consentiti dalla legge, installa apparecchiature atte ad
intercettare, impedire o interrompere comunicazioni relative ad un sistema informatico o
telematico ovvero intercorrenti tra più sistemi
Pecuniaria: Da 100 a 500 quote
Interdittive: a) Interdizione dall'esercizio dell'attività:
SI
b) Sospensione o revoca di autorizzazioni, licenze o concessioni funzionali per SI
l’illecito:
NO
c) Divieto di contrattare con la pubblica amministrazione:
NO
d) Esclusione da, ed eventuale revoca di, agevolazioni, finanziamenti, contributi o SI
sussidi:
e) Divieto di pubblicizzare beni o servizi:
Tabella 6
Danneggiamento di informazioni, dati e programmi informatici art. 635-bis c.p.
Reato:
Salvo che il fatto costituisca più grave reato, chiunque distrugge, deteriora, cancella,
altera o sopprime informazioni, dati o programmi informatici altrui è punito, a querela della
persona offesa, con la reclusione.
Pecuniaria: Da 100 a 500 quote
Interdittive: a) Interdizione dall'esercizio dell'attività:
SI
b) Sospensione o revoca di autorizzazioni, licenze o concessioni funzionali per SI
l’illecito:
NO
c) Divieto di contrattare con la pubblica amministrazione:
NO
d) Esclusione da, ed eventuale revoca di, agevolazioni, finanziamenti, contributi o SI
sussidi:
e) Divieto di pubblicizzare beni o servizi:
6
Tecomec S.r.l.
Rev 1 MOG231- PSH
Tabella 7
Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da
altro ente pubblico o comunque di pubblica utilità - art. 635-ter c.p.
Reato:
Salvo che il fatto costituisca più grave reato, chiunque commette un fatto diretto a
distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o programmi
informatici utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque
di pubblica utilità, è punito con la reclusione da uno a quattro anni. Se dal fatto deriva la
distruzione, il deterioramento, la cancellazione, l’alterazione o la soppressione delle
informazioni, dei dati o dei programmi informatici, la pena è della reclusione
Pecuniaria: Da 100 a 500 quote
Interdittive: a) Interdizione dall'esercizio dell'attività:
SI
b) Sospensione o revoca di autorizzazioni, licenze o concessioni funzionali per SI
l’illecito:
NO
c) Divieto di contrattare con la pubblica amministrazione:
NO
d) Esclusione da, ed eventuale revoca di, agevolazioni, finanziamenti, contributi o SI
sussidi:
e) Divieto di pubblicizzare beni o servizi:
Tabella 8
Danneggiamento di sistemi informatici o telematici - art. 635-quater c.p.
Reato:
Salvo che il fatto costituisca più grave reato, chiunque, mediante le condotte di cui
all’articolo 635-bis, ovvero attraverso l’introduzione o la trasmissione di dati, informazioni
o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici
o telematici altrui o ne ostacola gravemente il funzionamento
Pecuniaria: Da 100 a 500 quote
Interdittive: a) Interdizione dall'esercizio dell'attività:
SI
b) Sospensione o revoca di autorizzazioni, licenze o concessioni funzionali per SI
l’illecito:
NO
c) Divieto di contrattare con la pubblica amministrazione:
NO
d) Esclusione da, ed eventuale revoca di, agevolazioni, finanziamenti, contributi o SI
sussidi:
e) Divieto di pubblicizzare beni o servizi:
7
Tecomec S.r.l.
Rev 1 MOG231- PSH
Tabella 9
Danneggiamento di sistemi informatici o telematici di pubblica utilità art. 635-quinquies c.p.
Reato:
Il fatto di cui all’articolo 635-quater è diretto a distruggere, danneggiare, rendere, in tutto o
in parte, inservibili sistemi informatici o telematici di pubblica utilità o ad ostacolarne
gravemente il funzionamento
Pecuniaria: Da 100 a 500 quote
Interdittive: a) Interdizione dall'esercizio dell'attività:
SI
b) Sospensione o revoca di autorizzazioni, licenze o concessioni funzionali per SI
l’illecito:
NO
c) Divieto di contrattare con la pubblica amministrazione:
NO
d) Esclusione da, ed eventuale revoca di, agevolazioni, finanziamenti, contributi o SI
sussidi:
e) Divieto di pubblicizzare beni o servizi:
Tabella 10
Falsità in un documento informatico pubblico o avente efficacia probatoria art. 491-bis c.p.
Se alcuna delle falsità previste dal presente Capo riguarda un documento informatico
pubblico o privato avente efficacia probatoria , si applicano le disposizioni del Capo
stesso concernenti rispettivamente gli atti pubblici e le scritture private (a tal fine per
documento informatico si intende qualunque supporto informatico contenente dati o
informazioni aventi efficacia probatoria o programmi specificamente destinati ad
elaborarli).
Pecuniaria: Fino a 400 quote
Reato:
Interdittive: a) Interdizione dall'esercizio dell'attività:
NO
b) Sospensione o revoca di autorizzazioni, licenze o concessioni funzionali per NO
l’illecito:
SI
c) Divieto di contrattare con la pubblica amministrazione:
SI
d) Esclusione da, ed eventuale revoca di, agevolazioni, finanziamenti, contributi o SI
sussidi:
e) Divieto di pubblicizzare beni o servizi:
Tabella 11
Frode informatica del certificatore di firma elettronica - art. 640-quinquies c.p.
Il soggetto che presta servizi di certificazione di firma elettronica, il quale, al fine di
procurare a sé o ad altri un ingiusto profitto ovvero di arrecare ad altri danno, viola gli
obblighi previsti dalla legge per il rilascio di un certificato qualificato, è punito con la
reclusione fino a tre anni e con la multa da 51 a 1.032 euro
Pecuniaria: Fino a 400 quote
Reato:
8
Tecomec S.r.l.
Rev 1 MOG231- PSH
Tabella 11
Frode informatica del certificatore di firma elettronica - art. 640-quinquies c.p.
Interdittive: a) Interdizione dall'esercizio dell'attività:
NO
b) Sospensione o revoca di autorizzazioni, licenze o concessioni funzionali per NO
l’illecito:
SI
c) Divieto di contrattare con la pubblica amministrazione:
SI
d) Esclusione da, ed eventuale revoca di, agevolazioni, finanziamenti, contributi o SI
sussidi:
e) Divieto di pubblicizzare beni o servizi:
Tabella 12
Frode informatica commessa con sostituzione d’identità digitale - art. 640-ter c.p.
chiunque alterando in qualsiasi modo il funzionamento di un sistema informatico o
telematico o intervenendo senza diritto con qualsiasi modalità sui dati, informazioni e
programmi contenuti in un sistema informatico o telematico o ad essi pertinenti, procura a
se e ad altri un ingiusto profitto con altrui danno.
Pecuniaria: da 100 a 500 quote
Reato:
Interdittive: a) Interdizione dall'esercizio dell'attività:
SI
b) Sospensione o revoca di autorizzazioni, licenze o concessioni funzionali per SI
l’illecito.
c) Divieto di pubblicizzare beni o servizi:
SI
9
Tecomec S.r.l.
Rev 1 MOG231- PSH
2. Aree di rischio
Dall’analisi critica effettuate delle procedure in essere e dalle risposte fornite in sede di
intervista, è emerso che le aree più specificamente a rischio di commissione di delitti
informatici e trattamento illecito dei dati fanno riferimento alle seguenti attività:
REATO POTENZIALE
Art. 24 bis ex D.Lgs. 231/01: delitti
informatici e trattamento illecito di
dati:
Artt. 615 ter c.p. (Accesso abusivo ad un
sistema informatico o telematico) – 615
quater c.p. (detenzione e diffusione
abusiva di codici di accesso) – 617 quater
c.p. (intercettazione, impedimento o
interruzione illecita di comunicazioni) –
617-quinquies c.p. (installazione di
apparecchiature atte ad intercettare
comunicazioni) – 635 bis c.p.
(danneggiamento di informazioni, dati e
programmi informatici) – 635 ter c.p. (
danneggiamento di informazioni, dati e
programmi informatici utilizzati dallo Stato
)– 635-quinquies c.p. (danneggiamento di
sistemi informatici o telematici di pubblica
utilità)
RISCHIOSITA’
MEDIO
BASSA
ATTIVITA’ A
RISCHIO
Predisposizione,
gestione ed
implementazione di
accessi account e
profili
PRESIDI
CONSIGLIATI
Predisposizione e
gestione della rete
informatica.
Protocolli
relativi al
sistema
informatico
Gestione dei sistemi
hardware
Modello
Organizzativo
Gestione dei sistemi
software
Codice Etico
Gestione degli accessi
fisici al sistema
informatico
Le attività attraverso le quali possono essere commessi i reati contemplati nella presente
Parte Speciale e trattati in modo illecito i dati aziendali informatici sono proprie di ogni ambito
aziendale che utilizzi le tecnologie dell’informazione.
Tecomec ha predisposto appositi presidi organizzativi e si è dotata di adeguate soluzioni di
sicurezza, in conformità anche alle disposizioni del Decreto Legislativo 30 giugno 2003, n.196
“Codice in materia di protezione dei dati personali”, a mezzo di redazione ed aggiornamento
annuale del Documento Programmatico sulla Sicurezza ed Allegati per prevenire e controllare
i rischi in tema di tecnologia dell’informazione, a tutela del proprio patrimonio informativo e dei
dati personali dei soggetti interessati (clienti, fornitori, personale dipendente, collaboratori,
ecc.).
Eventuali integrazioni delle suddette attività a rischio, ivi incluse quelle afferenti la mappatura
delle aree a rischio, potranno essere proposte dall’OdV della Società, al quale viene dato
mandato di individuare le relative ipotesi e di definire gli opportuni provvedimenti operativi,
fatto salvo l’obbligo di sottoporre le novità al Consiglio di Amministrazione per l’approvazione.
10
Tecomec S.r.l.
Rev 1 MOG231- PSH
3. Protocolli generali ai Destinatari
La presente Parte Speciale si applica a tutte le funzioni coinvolte nella gestione e nell’utilizzo
dei sistemi informatici e del patrimonio informativo ed in particolare si riferisce ai
comportamenti posti in essere da Amministratori, Dirigenti e Dipendenti dell’Azienda, nonché
da Partner e Collaboratori esterni con essa operanti sulla base di un rapporto contrattuale.
In particolare, si applica a:
tutte le funzioni coinvolte nella gestione e l’utilizzo dei sistemi informativi che si
interconnettono/utilizzano software della Pubblica Amministrazione ovvero delle
eventuali Autorità di Vigilanza;
tutte le funzioni deputate alla progettazione, alla realizzazione o gestione di strumenti
informatici, tecnologici o di telecomunicazioni;
tutte le funzioni che hanno la responsabilità di realizzare interventi di tipo
organizzativo, normativo e tecnologico per garantire la protezione del patrimonio
informativo nelle attività connesse con il proprio mandato e nelle relazioni con i terzi
che accedono al patrimonio informativo (ad esempio le società incaricate di effettuare
manutenzioni e aggiornamenti hardware e software o che comunque abbiano accesso
al sistema informativo di Tecomec);
tutte le figure professionali coinvolte nei processi aziendali e ivi operanti a qualsiasi
titolo, sia esso riconducibile ad un rapporto di lavoro dipendente ovvero a qualsiasi
altra forma di collaborazione o prestazione professionale, che utilizzano i sistemi
informativi e trattano i dati del patrimonio informativo;
tutti i soggetti (persone fisiche e persone giuridiche) esterni alla società, che per
ragioni di competenza specifiche e professionalità, sono
investiti della carica di
Amministratori di Sistema di Tecomec.
4. Protocolli Speciali relativi alle aree di rischio
Nell’espletamento della propria attività per conto della Società, gli Amministratori, i dirigenti, i
dipendenti ed i collaboratori stessi di Tecomec, nonché in generale tutti i soggetti elencati al
paragrafo precedente, devono rispettare le norme di comportamento di seguito indicate.
A tutti i soggetti sopra indicati è fatto divieto di:
porre in essere, collaborare o dare causa alla realizzazione di comportamenti tali da
integrare le fattispecie di reato richiamate nella presente Parte Speciale;
11
Tecomec S.r.l.
Rev 1 MOG231- PSH
porre in essere, collaborare o dare causa alla realizzazione di comportamenti i quali,
sebbene risultino tali da non costituire di per sé reato, possano potenzialmente
diventarlo.
In particolare è fatto obbligo:
a) del Responsabile dei Sistemi Informativi di denunciare alla Direzione ed all’OdV
eventuali accessi al sistema informatico aziendale da parte di hacker;
b) ai dipendenti, collaboratori, dirigenti ed amministratori di attenersi alle procedure ed
istruzioni operative (aggiornate annualmente e consegnate a tutti gli incaricati
autorizzati ad accedere al sistema informatico della società) contenute nel
Documento Programmatico sulla Sicurezza ed Allegati (D.Lgs. 196/03) di Tecomec. in
riferimento all’utilizzo del Sistema Informatico, e nello specifico in relazione a:
-
utilizzo del personal computer;
-
utilizzo della rete Tecomec;
-
gestione delle password;
-
utilizzo dei supporti magnetici;
-
utilizzo dei pc portatili;
-
uso della posta elettronica;
-
uso della rete Internet e dei relativi servizi;
-
policy in materia di privacy e riservatezza del know-how.
Pertanto, è nello specifico fatto divieto:
ai dipendenti, collaboratori, dirigenti ed amministratori di installare nella rete
aziendale un proprio software che non rientri nello scopo per cui il sistema
informatico è stato assegnato all’utente, al fine di evitare il rallentamento o il blocco
della rete informatica aziendale;
ai dipendenti, collaboratori, dirigenti ed amministratori di installare nella rete
aziendale un proprio software che possa impedire o interrompere o danneggiare le
comunicazioni informatiche aziendali ovvero l’intero sistema informatico aziendale.
E’, comunque, necessario:
che tutte le attività e le operazioni svolte per conto di Tecomec siano improntate al
massimo rispetto delle leggi vigenti, nonché dei principi di correttezza e trasparenza.
12
Tecomec S.r.l.
Rev 1 MOG231- PSH
4.1 - Documento Programmatico sulla Sicurezza (D.P.S.S.)
La revisione sistematica e l’applicazione delle procedure contenute sarà a cura del
Responsabile dei Sistemi Informativi, il quale potrà avvalersi, in accordo con la Direzione,
della consulenza esterna a Tecomec di esperti in materia di D.Lgs. 196/03 e D.Lgs. 231/01.
Il Responsabile dei Sistemi Informativi dovrà, entro 30 giorni dall’avvenuta emissione/revisione
formalizzata dal CdA, inviare il DPSS all’OdV.
Il DPSS è codificato (cod. doc. DPSS_TECOMEC) ed è composto dai seguenti documenti ed
allegati:
a) Elenco dei trattamenti di dati personali
1) Sedi ed Uffici
2) Categorie di Interessati e relativi dati trattati
3) Finalità dei trattamenti
4) Rilevazione dei sistemi di archiviazione cartacea
5) Rilevazione dei sistemi di archiviazione digitale
b) Distribuzione dei compiti e delle responsabilità.
1) Titolare del Trattamento
2) Responsabile del Trattamento
3) Responsabile del Trattamento dei Sistemi Informativi
4) Amministratore di Sistema
5) Incaricati del Trattamento
c) Analisi dei Rischi.
d) Piano Operativo di Sicurezza.
1) Integrità e disponibilità dei dati
2) Backup e Recovery
3) Ambito di Rete e protezione dalle intrusioni
4) Comportamento e controllo verso il Software
5) Regolamento informatico aziendale
e) Informative per i soggetti interessati.
1) Informative Clienti, Fornitori e Personale Dipendente
2) Informative fax ed e-mail
f)
Trattamenti Esterni.
g) Principali Allegati:
1) Nomina a Responsabile del Trattamento e relative istruzioni operative (cod.
doc. NRT_DPSS_TECOMEC);
13
Tecomec S.r.l.
Rev 1 MOG231- PSH
2) Nomina
a
Responsabile
dei
Sistemi
Informativi
(cod.
doc.
NRSI_DPSS_TECOMEC);
3) Nomina ad Amministratore di Sistema (nomina facoltativa e non attuata al
momento dell’emissione del presente documento)e relative istruzioni
operative informatiche (cod. doc. NADS_DPSS_TECOMEC);
4) Lista
degli
amministratori
di
sistema,
se
nominati
(cod.
doc.
L_ADS_DPSS_TECOMEC);
5) Nomina ad Incaricati del Trattamento e relative istruzioni operative
informatiche
come
da
Regolamento
interno
(cod.
doc.
NI_XX_DPSS_TECOMEC);
6) Clausole contrattuali di riservatezza in merito all’affidamento a soggetti terzi
di servizi informatici (cod. doc. Tabella N del doc. DPSS_TECOMEC).
Sono analizzate, inoltre, le situazioni aziendali ed organizzate le procedure a garanzia della
sicurezza nei trattamenti dei dati. In particolare, per quel che riguarda i rischi contemplati nella
presente parte speciale, è volta l’analisi:
dei server;
delle misure di sicurezza per i trattamenti informatici (Allegato B del Codice Privacy);
degli strumenti antivirus;
dei sistemi anti-intrusione;
dei firewall;
dei piani di Disaster Recovery.
Sarà comunque cura del Responsabile dei Sistemi Informativi monitorare semestralmente che
non siano intervenute modifiche sostanziali alla struttura di Tecomec che possano implicare
una revisione preventiva dei documenti Privacy.
14
Tecomec S.r.l.
Rev 1 MOG231- PSH
5 - Istruzioni e verifiche dell’Organismo di Vigilanza
L’attività dell’Organismo di Vigilanza sarà svolta in collaborazione con le funzioni preposte ai
Sistemi Informativi:
1. Responsabile del Trattamento dei Sistemi Informativi
2. Amministratore/i di Rete (se nominati)
3. Direzione
In tal senso è previsto un flusso informativo completo e costante tra dette funzioni e
l’Organismo di Vigilanza, come specificato nella presente Parte Speciale e nella Parte
Speciale relativa ai Delitti in materia di violazione del diritto d’autore al fine di ottimizzare le
attività di verifica e lasciando all’Organismo di Vigilanza il compito di monitorare il rispetto e
l’adeguatezza del Modello.
L’Organismo di Vigilanza riceverà, dal Responsabile dei Sistemi Informativi, a cadenze
temporali sistematiche (nonché all’occorrenza in caso di rilevazione di gravi trasgressioni
procedurali), copia dei seguenti documenti:
1) il DPSS, entro 30 giorni naturali dall’avvenuta emissione/revisione (cod. doc.
DPSS_TECOMEC), composto dai documenti indicati al Paragrafo 4.1 della presente
Parte Speciale integrato della Scheda di Evidenza codificata PSRI_01 debitamente
compilata e siglata;
2) la Scheda di Evidenza codificata PSRI_02, con cadenza trimestrale, relativa
all’applicazione delle procedure contenute nel Documento Programmatico sulla
Sicurezza ed Allegati (cod. doc. DPSS_TECOMEC); in tale scheda, debitamente
compilata e siglata, andranno indicate le eventuali trasgressioni delle procedure o la
corretta applicazione delle stesse.
I controlli svolti dall’OdV saranno diretti a verificare la conformità delle attività di TECOMEC
S.r.l. in relazione ai principi espressi nella presente Parte Speciale, in particolare, alle
procedure interne in essere, fermo restando il potere discrezionale dell'OdV stesso di attivarsi
con specifici controlli, anche a seguito delle segnalazioni ricevute.
L’OdV, inoltre, in ragione dei compiti ad esso attribuiti, gode di libero accesso agli archivi delle
funzioni che operano in aree ritenute a rischio e, in generale, a tutta la documentazione
aziendale rilevante.
15