provvedimenti del garante della privacy in impatti tecnici ...roberto apollonio,...

Provvedimenti del Garante della Privacy in merito al trattamento dei dati di traffico: Impatti Tecnici/Organizzativi e Verifiche di Compliance

Roberto Apollonio, [email protected] di Studio AIEA Roma, 10 Novembre 2010

1Roberto Apollonio, 3 Italia

• 3 Italia

• Normativa di Riferimento

• Obiettivo e Scopo dell’Audit Interno

• Ambito

• Piano di Lavoro

• Reporting

Agenda


Primo operatore mobile al mondo ad aver lanciato i servizi UMTS su scala commerciale nel 2003, 3 Italia offre oggi un’ampia gamma di servizi di comunicazione, Internet e TV in mobilità a oltre 9 milioni di clienti.

3 Italia, che nel 2009 ha registrato ricavi per 1, 647 miliardi di euro, è un’azienda del Gruppo Hutchison Whampoa, compagnia tra le prime 500 nella classifica Fortune, una delle più grandi imprese quotate alla borsa di Hong Kong, operativa in 54 Paesi con 220 mila dipendenti e un fatturato di 38,71 miliardi di dollari nel 2009.

3 Italia è all’avanguardia nello sviluppo delle tecnologie mobili di nuova generazione e si è sempre distinta per l’approccio innovativo e pioneristico che le ha permesso di raggiungere diversi primati: dopo l’UMTS, nel 2006 ha lanciato la prima offerta commerciale HSDPA in Italia e ha implementato l’HSUPA, standard che oggi permettono di accedere alla banda larga mobile con velocità di trasmissione dati fino a 21,6 Mbps in downlink e fino a 5,76 Mbps in uplink.

3 Italia – Company Profile


• 3 Italia



• Ambito

• Piano di Lavoro

• Reporting

Agenda


Normativa di Riferimento

Provvedimenti del Garante della Privacy a Carattere Generale

• 24/07/08 Sicurezza dei dati di traffico e successivi aggiornamenti

Garante 4 Audit Formale

Decreto Legislativo in Materia di Protezione dei Dati Personali

• 30/06/03 Codice in Materia di Protezione dei Dati Personali

Codice Dlgs 196/03

• 19/09/07 Disciplinare Tecnico in Materia di Misure Minime di Sicurezza

Allegato Tecnico

All. B Dlgs 196/03


Individua le modalità di trattamento dei dati di traffico telefonico e telematico sulla base delle finalità: fatturazione e accertamento/repressione reati

Individua la tipologia di fornitori dei servizi tenuti a conservare i dati di traffico

Definisce le modalità di conservazione dei dati di traffico e le finalità perseguibili

Identifica le modalità di acquisizione dei dati di traffico

Prescrive misure e accorgimenti per il trattamento dei dati di traffico in merito a: Sistemi di Autenticazione e di Autorizzazione, Conservazione Separata, Incaricati del Trattamento, Cancellazione dei Dati, Gestione dei Logs, Audit Interno (Rapporti Periodici)

Provvedimento Garante Privacy del 24 Luglio 2008 – Overview (1 di 2)


Provvedimento Garante Privacy del 24 Luglio 2008 – Overview (2 di 2)

1 2 3* 4 5 6* 7 8 9*

1 2 3 4 5

Str

on

g A

uth

enti

cati

on

Sep

araz

ion

e d

elle

fu

nzi

on

i

Sep

araz

ion

e fi

sica

dat

i

Des

ign

azio

ne

inca

rica

ti

Can

cella

zio

ne

dei

dat

i

Au

dit

tra

ils &

log

s

Au

dit

an

nu

ale

inte

rno

Do

cum

enta

zio

ne

Cri

tto

gra

fia

• Verifica per implementazioni con scadenza 15/12/09

• Verifica condotta nel 2009, da ripetere annualmente

Lett. a, (art.132)

Lett. c, (art.123)

Scadenze:

•Lett. a, art.132:

30 Aprile 2009, ad eccezione dei punti 3-6-9 previsti con scadenza 15/12/09

•Lett. c, art. 123:

15/12/2009

Ambito:

•Tutti i sistemi contenenti dati di traffico acceduti per finalità di accertamento e/o repressione reati (art.132) o per finalità di fatturazione (art.123)

Prescrizioni:


• 3 Italia



• Ambito

• Piano di Lavoro

• Reporting

Agenda


In ottemperanza alle prescrizioni impartite dal Garante della Privacy con il Provvedimento del 24 Luglio 2008 e successivi aggiornamenti, l’Audit Interno si prefige:

ObiettivoVerificare sia lo stato di realizzazione per quanto previsto dal decreto alle scadenze prefissate sia l’osservanza del personale a quanto disposto

ScopoRispondere a quanto richiesto dal Provvedimento alla lettera a) punto 7 delle disposizioni impartite

Obiettivo e Scopo dell’Audit

L’esito dell’attività di Audit Interno deve essere: comunicato alle persone e agli organi legittimati ad adottare decisioni e ad esprimere, a vari livelli in base al proprio ordinamento interno, la volontà della Società; richiamato nell’ambito del Documento Programmatico sulla Sicurezza(DPS) nel quale devono essere indicati gli interventi eventualmente necessari per adeguare le misure di sicurezza; messo, a richiesta, a disposizione del Garante o dell’Autorità Giudiziara.


• 3 Italia



• Ambito

• Piano di Lavoro

• Reporting

Agenda


Area: 1. Applicazioni e Sistemi con dati di traffico e personali

Chi: 1. Personale interno ed esterno2. Personale tecnico

Cosa: 1. Procedure2. Sistemi e Database3. Archiviazione e cancellazione dai dati4. Registrazione delle attività (log)

Come: 1. Conduzione di interviste a persone selezionate 2. Reperimento documentazione di convalida e sua

archiviazione in sicurezza3. Valutazione e documentazione delle risultanze4. Stesura rapporto finale con indicazione degli interventi nel

caso di non conformità5. Condivisione con il management degli esiti delle verifiche e

inserimento nel DPS

Ambito


• 3 Italia



• Ambito

• Piano di Lavoro

• Reporting

Agenda


1. Individuare le parti del provvedimento (sezione/ambito) oggetto della verifica:

Piano di Lavoro

Sezione Ambito

a)Dati di traffico trattati per esclusive finalità di accertamento e repressione reati (ai sensi degli artt. 17 e 132, comma 5, del Codice)

1 Autenticazione, Biometria e Registri Accessi

2 Gestione Utenze e Separazione dei Ruoli

3 Separazione fisica per Ambienti e Sistemi

4 Incaricati, Formazione e Diritti della Difesa

5 Conservazione e Cancellazione dei Dati

6 Controllo attività svolte dagli incaricati

7 Verifiche richieste dal Garante

8 Documentazione di Applicazioni, Sistemi e Rete

9 Utilizzo della crittografia per la protezione dei datc

c) Dati di traffico trattati per esclusive finalità di fatturazione (ai sensi degli artt. 17 e 123, comma 5, del Codice)

1 Autenticazione, Strong Authentication e Registri degli Accessi

2 Gestione Utenze e Separazione dei Ruoli

3 Inibizione e Cancellazione dei Dati

4 Controllo attività svolte dagli incaricati

5 Documentazione di Applicazioni, Sistemi e Rete


2. Individuare gli elementi di controllo per ognuna delle aree di verifica

Piano di Lavoro

Ambito Test/Verifiche (ai sensi degli artt. 17 e 132, comma 5, del Codice)

a.1 1. Adottare almeno due differenti tecnologie di autenticazione di cui una “strong authentication”

2. Basare una delle due tecnologie di autenticazione sull’elaborazione di caratteristiche biometriche

3. Utilizzare la biometria per tutti gli addetti tecnici che accedono ai dati

4. Consentire l’accesso in assenza di strong authentication ai doli addetti tecnci in circostanze legate a indifferibili interventi tecnici tenedo traccia in appositio “registro degli accessi”

5. Creare ed aggiornare costantemente il registro degli accessi

6. Predisporre un elenco nominativo dei soggetti tecnici abilitati all’accesso

a.2 1. Adottare procedure per la separare l’assegnazione di credenziali rispetto alla gestione tecnica

2. Attribuire profili di accesso ai dati differenziando finalità di accertamento e repressione reati

a.3 1. Adottare sistemi informatici (componenti elaborazione, immagazzinamaneto e storage) distinti fisicamente da quelli utilizzati per gestire dati di traffico anche per altre finalità

2. Conservare i dati traffico per un periodo non superiore ai 24 mesi dalla loro generazione solo se trattati per finalità di giustizia

3. Collocare le apparecchaiture e i sistemi utilizzati per il trattamento per finalità di giustizia all'interno di aree ad accesso selezionato e munite di dispositivi elettronici di controllo o di procedure di vigilanza che comportino la registrazione dei dati identificativi delle persone ammesse, con indicazione dei relativi riferimenti temporali.

4. Adottare una procedura di riconoscimento biometrico per il controllo degli accessi alle aree riservate contenenti i sistemi con dati di traffico

5. Assicurare la continuità del servizio di accesso ai dati entro i sette giorni


2. Individuare gli elementi di controllo per ognuna delle aree dell’audit

Piano di Lavoro


a.4 1. Designare specificamente gli incaricati

2. Documentare una periodica attività formativa

3. Conservare la documentazione comprovante l’idonea verifica dell’identità del richiedente

a.5 1. Rendere i dati di traffico immediatamente non disponibili allo scadere dei termini

2. Cancellare o rendere anonimi nei tempi previsti dal Provvedimento i dati di traffico presenti nei sistemi, nei database e nei supporti di backup

a.6 1. Adottare soluzioni informatiche idonee ad assicurare il controllo dettagliato ed efficae delle attività svolte sui dati di traffico da ciascun incaricato del trattamento

2. Raccogliere la registrazione, in un apposito audit log, delle operazioni compiute, direttamente o indirettamente, sui dati di traffico e sugli altri dati personali a essi connessi, sia per uso interattivo dei sistemi, sia per l'azione automatica di programmi informatici

3. Assicurare la completezza, l'immodificabilità, l'autenticità delle registrazioni contenute nei LOG con riferimento a tutte le operazioni di trattamento e a tutti gli eventi relativi alla sicurezza informatica sottoposti ad auditing

4. Adottare, per la registrazione dei dati di auditing, anche in forma centralizzata per ogni impianto di elaborazione o per datacenter, sistemi di memorizzazione su dispositivi non alterabili.

5. Adottare procedure informatiche, basate su tecnologie crittografiche, prima della scrittura dei dati o di raggruppamenti di dati

6. Assicurare la continuità del servizio di accesso ai dati entro i sette giorni



Piano di Lavoro


a.7 1. Svolgere, con cadenza almeno annuale, un’attività di auditing interno

2. Verificare il processo di selezione degli incaricati

3. Demandare a un'unità organizzativa diversa la conduzione dell’audit interno

4. Includere nei controlli anche verifiche:• a posteriore• a campione• su eventuale allarme derivante da sistemi di Alerting e di Anomaly Detection• sulla legittimità degli accessi ai dati• sulla liceità degli accessi ai dati• sull'integrità dei dati e delle procedure informatiche• su l’effettiva cancellazione dei dati

5. Documentare adeguatamente l'attività di controllo

6. Comunicare l'esito agli organi legittimati ad adottare decisioni

7. Richiamare l'audit nell'ambito del DPS

8. Indicare nel DPS gli interventi eventualmente necessari

9. Porre il rapporto di audit a disposizione del Garante o dell'autorità giudiziaria

a.8 1. Documentare i sistemi informativi utilizzati

2. Comprendere nella descrizione quanto elencato dal provvedimento

3. Includere diagrammi di dislocazione delle applicazioni e dei sistemi

4. Aggiornare la documentazione con informazioni sui soggetti con legittimo diritto di accesso ai sistemi



Piano di Lavoro


a.9 1. Proteggere i dati di traffico trattati per esclusive finalità di giustizia con tecniche crittografiche

2. Adottare soluzioni che rendano le informazioni residenti nelle basi di dati a servizio delle applicazioni informatiche utilizzate per i trattamenti, non intelligibili a chi non disponga di diritti di accesso e profili di autorizzazione idonei, ricorrendo a forme di cifratura od offuscamento di porzioni dei data base o degli indici o ad altri accorgimenti tecnici basati su tecnologie crittografiche

3. Utilizzare protocolli di comunicazione sicuri basati su tecniche crittografiche, o comunque evitando il ricorso alla trasmissione in chiaro dei dati, per tutti i flussi di trasmissione dei dati di traffico tra sistemi informatici



Piano di Lavoro


c.1 1. Adottare almeno due differenti tecnologie di autenticazione di cui una con strong authentication

2. Consentire l’accesso in assenza di strong authentication ai doli addetti tecnci in circostanze legate a indifferibili interventi tecnici tenedo traccia in appositio “registro degli accessi”

3. Creare ed aggiornare costantemente il registro degli accessi

4. Predisporre un elenco nominativo dei soggetti tecnici abilitati all’accesso

c.2 1. Adottare procedure per la separare l’assegnazione di credenziali rispetto alla gestione tecnica

2. Attribuire profili di accesso ai dati differenziando finalità di accertamento e repressione reati

c.3 1. Rendere i dati di traffico immediatamente non disponibili allo scadere dei termini previsti

2. Cancellare o rendere anonimi, nei tempi previsti dal provvedimento, i dati di traffico presenti nei data base, nei sistemi di elaborazione e nei supporti per backup

c.4 1. Generare i log di controllo per tutte le attività svolte sui dati

2. Generare log anche per accesso ai singoli elementi d’informazione

3. Includere la registrazione, in un apposito audit log, delle operazioni compiute, direttamente o indirettamente, sui dati di traffico e sugli altri dati personali a essi connessi sia per uso interattivo dei sistemi sia tramite l’azione automatica di programmi informatici

4. Garantire l’integrità e l’autenticità dei log

5. Garantire che i dati dei log, anche centralizzati, non siano modificabili

6. Firmare i dati prima della registrazione



Piano di Lavoro

Ambito TestVerifiche (ai sensi degli artt. 17 e 123, comma 5, del Codice)

c.5 1. Documentare i sistemi informativi utilizzati

2. Comprendere nella descrizione quanto elencato dal provvedimento

3. Includere diagrammi di dislocazione delle applicazioni e dei sistemi

4. Aggiornare documentazione anche con informazioni di dettaglio per i soggetti con legittimo diritto di accesso ai sistemi


3. Definire il team di lavoro e la Governance

Piano di Lavoro

Coinvolgere nel team di lavoro tutte le componenti aziendali a supporto delle attività di verifica, quali ad esempio:

• Divisione Tecnica• Legale• Privacy• Sicurezza• Human Resources

Individuare un comitato che detti i tempi della verifica, coordini le attività, si faccia carico di supportare adeguatamente e facilitare il superamento di eventuali situazioni di stallo

Assegnare e condividere in maniera chiara e inequivocabile ruoli e responsabilità all’interno del team di lavoro

Fissare momenti di condivisione dei risultati della verifica


4. Definire e condividere il “Piano di Lavoro”

Piano di Lavoro

Individuare e condividere il dettaglio di un piano di lavoro con tutte le strutture aziendali coinvolte nella verifica

Condividere eventuali test e modalità di conduzione per i quali è opportuna, ancor prima che necessaria, l’autorizzazione di dipartimenti interni (es. Human Resources, Security, Privacy, Legal)

Richiedere alle strutture interessate tutta la documentazione necessaria e le eventuali estrazioni dati allineate/sincrone alla steassa data

Formalizzare e condividere un Gantt di progetto affinchè si possa tenere traccia e seguire lo sviluppo temporale della verifica


• 3 Italia



• Ambito

• Piano di Lavoro

• Reporting

Agenda


Executive Summary

Reporting

Report di dettaglio

Predisporre documentazione di sintesi per il Management illustrando:

• le criticità che necessitano di interventi di rimedio• i punti di compliance rilevati• le responsabilità e i tempi concordati con le strutture

per il rientro dalle criticità• le attività che necessitano interventi economici

Predisporre un report che, per ogni criticità rilevata, riportiuna scheda di dettaglio comprensiva delle seguenti sezioni:

• un identificativo univoco• la descrizione della criticità corredata di eventuali dati e

riscontri oggettivi• la raccomandazione per l’eliminazione del rischio e il

pieno rientro nella compliance della normativa• Sezione di commento per il management ove indicare

le azioni di rimedio individuate, i tempi e le responsabilità


Esempio(1) di “Executive Summary”

Audit Exit Meeting dd/mm

StatusCriticità

ClosedOpen

Id. Aree Oggetto di Verifica H M L

a.1Autenticazione, Biometria e Registri Accessi

2 1

a.2 Separazione dei Ruoli 1 1

a.3Separazione fisica per Ambienti e Sistemi

1 1 1

a.4Incaricati, Formazione e Diritti della Difesa

1 2

a.5Conservazione e Cancellazione dei Dati

2 2

a.6Controllo attività svolte dagli incaricati

2 1 1 3

a.7 Verifiche richieste dal Garante 1 2 2 1

a.8Documentazione di Applicazioni, Sistemi e Rete

1 1 1

a.9Utilizzo della crittografia per la protezione dei dati

2 2 1 1

Totali 37 5 10 8 6

Full Compliant Some issues under resolution Relevant issues not yet addressed

Actual dd/mm

StatusCriticità

ClosedOpen

H M L

3

2

2

3

3 1

3 1 1 2

2 2 1 1

3

3 1 1 1

37 10 6 3 4

Nota 1) - I numeri in tabella sono a titolo di esempio e non riconducibili alla realtà di 3 Italia


Esempio di “Scheda di dettaglio”

Id. Pr. Rilevazione Raccomandazioni / Commenti del Management / Status

a) 1.4 Consentire l’accesso in assenza di strong authentication ai soli addetti tecnici in circostanze legate ad indifferibili interventi tenendo traccia in apposito “registro degli accessi”

2 [1/2/3] Descrizione

Xxxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxxxXxx xxxxxxxxx xxxx xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx



Attachments:

file 1 file 2 file 3

RaccomandazioneXxxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxxxXxx xxxxxxxxx xxxx xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx

Commento del Management Xxxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxxxXxx xxxxxxxxx xxxx xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx

ResponsabilitàXxxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxxxXxx xxxxxxxxx xxxx xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx

Stato[Closed] / [Partially Implemented] / [In Progress] / [Planned] / [To be Scheduled] . . .

Data di Completamentodd / mm / yy

Follow up al dd/mm/yyXxxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxxxXxx xxxxxxxxx xxxx xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx

provvedimenti del garante della privacy in impatti tecnici ...roberto apollonio,...

Documents