provvedimenti del garante della privacy in impatti tecnici ...roberto apollonio,...
TRANSCRIPT
Provvedimenti del Garante della Privacy in merito al trattamento dei dati di traffico: Impatti Tecnici/Organizzativi e Verifiche di Compliance
Roberto Apollonio, [email protected] di Studio AIEA Roma, 10 Novembre 2010
1Roberto Apollonio, 3 Italia
• 3 Italia
• Normativa di Riferimento
• Obiettivo e Scopo dell’Audit Interno
• Ambito
• Piano di Lavoro
• Reporting
Agenda
2Roberto Apollonio, 3 Italia
Primo operatore mobile al mondo ad aver lanciato i servizi UMTS su scala commerciale nel 2003, 3 Italia offre oggi un’ampia gamma di servizi di comunicazione, Internet e TV in mobilità a oltre 9 milioni di clienti.
3 Italia, che nel 2009 ha registrato ricavi per 1, 647 miliardi di euro, è un’azienda del Gruppo Hutchison Whampoa, compagnia tra le prime 500 nella classifica Fortune, una delle più grandi imprese quotate alla borsa di Hong Kong, operativa in 54 Paesi con 220 mila dipendenti e un fatturato di 38,71 miliardi di dollari nel 2009.
3 Italia è all’avanguardia nello sviluppo delle tecnologie mobili di nuova generazione e si è sempre distinta per l’approccio innovativo e pioneristico che le ha permesso di raggiungere diversi primati: dopo l’UMTS, nel 2006 ha lanciato la prima offerta commerciale HSDPA in Italia e ha implementato l’HSUPA, standard che oggi permettono di accedere alla banda larga mobile con velocità di trasmissione dati fino a 21,6 Mbps in downlink e fino a 5,76 Mbps in uplink.
3 Italia – Company Profile
3Roberto Apollonio, 3 Italia
• 3 Italia
• Normativa di Riferimento
• Obiettivo e Scopo dell’Audit Interno
• Ambito
• Piano di Lavoro
• Reporting
Agenda
4Roberto Apollonio, 3 Italia
Normativa di Riferimento
Provvedimenti del Garante della Privacy a Carattere Generale
• 24/07/08 Sicurezza dei dati di traffico e successivi aggiornamenti
Garante 4 Audit Formale
Decreto Legislativo in Materia di Protezione dei Dati Personali
• 30/06/03 Codice in Materia di Protezione dei Dati Personali
Codice Dlgs 196/03
• 19/09/07 Disciplinare Tecnico in Materia di Misure Minime di Sicurezza
Allegato Tecnico
All. B Dlgs 196/03
5Roberto Apollonio, 3 Italia
Individua le modalità di trattamento dei dati di traffico telefonico e telematico sulla base delle finalità: fatturazione e accertamento/repressione reati
Individua la tipologia di fornitori dei servizi tenuti a conservare i dati di traffico
Definisce le modalità di conservazione dei dati di traffico e le finalità perseguibili
Identifica le modalità di acquisizione dei dati di traffico
Prescrive misure e accorgimenti per il trattamento dei dati di traffico in merito a: Sistemi di Autenticazione e di Autorizzazione, Conservazione Separata, Incaricati del Trattamento, Cancellazione dei Dati, Gestione dei Logs, Audit Interno (Rapporti Periodici)
Provvedimento Garante Privacy del 24 Luglio 2008 – Overview (1 di 2)
6Roberto Apollonio, 3 Italia
Provvedimento Garante Privacy del 24 Luglio 2008 – Overview (2 di 2)
1 2 3* 4 5 6* 7 8 9*
1 2 3 4 5
Str
on
g A
uth
enti
cati
on
Sep
araz
ion
e d
elle
fu
nzi
on
i
Sep
araz
ion
e fi
sica
dat
i
Des
ign
azio
ne
inca
rica
ti
Can
cella
zio
ne
dei
dat
i
Au
dit
tra
ils &
log
s
Au
dit
an
nu
ale
inte
rno
Do
cum
enta
zio
ne
Cri
tto
gra
fia
• Verifica per implementazioni con scadenza 15/12/09
• Verifica condotta nel 2009, da ripetere annualmente
Lett. a, (art.132)
Lett. c, (art.123)
Scadenze:
•Lett. a, art.132:
30 Aprile 2009, ad eccezione dei punti 3-6-9 previsti con scadenza 15/12/09
•Lett. c, art. 123:
15/12/2009
Ambito:
•Tutti i sistemi contenenti dati di traffico acceduti per finalità di accertamento e/o repressione reati (art.132) o per finalità di fatturazione (art.123)
Prescrizioni:
7Roberto Apollonio, 3 Italia
• 3 Italia
• Normativa di Riferimento
• Obiettivo e Scopo dell’Audit Interno
• Ambito
• Piano di Lavoro
• Reporting
Agenda
8Roberto Apollonio, 3 Italia
In ottemperanza alle prescrizioni impartite dal Garante della Privacy con il Provvedimento del 24 Luglio 2008 e successivi aggiornamenti, l’Audit Interno si prefige:
ObiettivoVerificare sia lo stato di realizzazione per quanto previsto dal decreto alle scadenze prefissate sia l’osservanza del personale a quanto disposto
ScopoRispondere a quanto richiesto dal Provvedimento alla lettera a) punto 7 delle disposizioni impartite
Obiettivo e Scopo dell’Audit
L’esito dell’attività di Audit Interno deve essere: comunicato alle persone e agli organi legittimati ad adottare decisioni e ad esprimere, a vari livelli in base al proprio ordinamento interno, la volontà della Società; richiamato nell’ambito del Documento Programmatico sulla Sicurezza(DPS) nel quale devono essere indicati gli interventi eventualmente necessari per adeguare le misure di sicurezza; messo, a richiesta, a disposizione del Garante o dell’Autorità Giudiziara.
9Roberto Apollonio, 3 Italia
• 3 Italia
• Normativa di Riferimento
• Obiettivo e Scopo dell’Audit Interno
• Ambito
• Piano di Lavoro
• Reporting
Agenda
10Roberto Apollonio, 3 Italia
Area: 1. Applicazioni e Sistemi con dati di traffico e personali
Chi: 1. Personale interno ed esterno2. Personale tecnico
Cosa: 1. Procedure2. Sistemi e Database3. Archiviazione e cancellazione dai dati4. Registrazione delle attività (log)
Come: 1. Conduzione di interviste a persone selezionate 2. Reperimento documentazione di convalida e sua
archiviazione in sicurezza3. Valutazione e documentazione delle risultanze4. Stesura rapporto finale con indicazione degli interventi nel
caso di non conformità5. Condivisione con il management degli esiti delle verifiche e
inserimento nel DPS
Ambito
11Roberto Apollonio, 3 Italia
• 3 Italia
• Normativa di Riferimento
• Obiettivo e Scopo dell’Audit Interno
• Ambito
• Piano di Lavoro
• Reporting
Agenda
12Roberto Apollonio, 3 Italia
1. Individuare le parti del provvedimento (sezione/ambito) oggetto della verifica:
Piano di Lavoro
Sezione Ambito
a)Dati di traffico trattati per esclusive finalità di accertamento e repressione reati (ai sensi degli artt. 17 e 132, comma 5, del Codice)
1 Autenticazione, Biometria e Registri Accessi
2 Gestione Utenze e Separazione dei Ruoli
3 Separazione fisica per Ambienti e Sistemi
4 Incaricati, Formazione e Diritti della Difesa
5 Conservazione e Cancellazione dei Dati
6 Controllo attività svolte dagli incaricati
7 Verifiche richieste dal Garante
8 Documentazione di Applicazioni, Sistemi e Rete
9 Utilizzo della crittografia per la protezione dei datc
c) Dati di traffico trattati per esclusive finalità di fatturazione (ai sensi degli artt. 17 e 123, comma 5, del Codice)
1 Autenticazione, Strong Authentication e Registri degli Accessi
2 Gestione Utenze e Separazione dei Ruoli
3 Inibizione e Cancellazione dei Dati
4 Controllo attività svolte dagli incaricati
5 Documentazione di Applicazioni, Sistemi e Rete
13Roberto Apollonio, 3 Italia
2. Individuare gli elementi di controllo per ognuna delle aree di verifica
Piano di Lavoro
Ambito Test/Verifiche (ai sensi degli artt. 17 e 132, comma 5, del Codice)
a.1 1. Adottare almeno due differenti tecnologie di autenticazione di cui una “strong authentication”
2. Basare una delle due tecnologie di autenticazione sull’elaborazione di caratteristiche biometriche
3. Utilizzare la biometria per tutti gli addetti tecnici che accedono ai dati
4. Consentire l’accesso in assenza di strong authentication ai doli addetti tecnci in circostanze legate a indifferibili interventi tecnici tenedo traccia in appositio “registro degli accessi”
5. Creare ed aggiornare costantemente il registro degli accessi
6. Predisporre un elenco nominativo dei soggetti tecnici abilitati all’accesso
a.2 1. Adottare procedure per la separare l’assegnazione di credenziali rispetto alla gestione tecnica
2. Attribuire profili di accesso ai dati differenziando finalità di accertamento e repressione reati
a.3 1. Adottare sistemi informatici (componenti elaborazione, immagazzinamaneto e storage) distinti fisicamente da quelli utilizzati per gestire dati di traffico anche per altre finalità
2. Conservare i dati traffico per un periodo non superiore ai 24 mesi dalla loro generazione solo se trattati per finalità di giustizia
3. Collocare le apparecchaiture e i sistemi utilizzati per il trattamento per finalità di giustizia all'interno di aree ad accesso selezionato e munite di dispositivi elettronici di controllo o di procedure di vigilanza che comportino la registrazione dei dati identificativi delle persone ammesse, con indicazione dei relativi riferimenti temporali.
4. Adottare una procedura di riconoscimento biometrico per il controllo degli accessi alle aree riservate contenenti i sistemi con dati di traffico
5. Assicurare la continuità del servizio di accesso ai dati entro i sette giorni
14Roberto Apollonio, 3 Italia
2. Individuare gli elementi di controllo per ognuna delle aree dell’audit
Piano di Lavoro
Ambito Test/Verifiche (ai sensi degli artt. 17 e 132, comma 5, del Codice)
a.4 1. Designare specificamente gli incaricati
2. Documentare una periodica attività formativa
3. Conservare la documentazione comprovante l’idonea verifica dell’identità del richiedente
a.5 1. Rendere i dati di traffico immediatamente non disponibili allo scadere dei termini
2. Cancellare o rendere anonimi nei tempi previsti dal Provvedimento i dati di traffico presenti nei sistemi, nei database e nei supporti di backup
a.6 1. Adottare soluzioni informatiche idonee ad assicurare il controllo dettagliato ed efficae delle attività svolte sui dati di traffico da ciascun incaricato del trattamento
2. Raccogliere la registrazione, in un apposito audit log, delle operazioni compiute, direttamente o indirettamente, sui dati di traffico e sugli altri dati personali a essi connessi, sia per uso interattivo dei sistemi, sia per l'azione automatica di programmi informatici
3. Assicurare la completezza, l'immodificabilità, l'autenticità delle registrazioni contenute nei LOG con riferimento a tutte le operazioni di trattamento e a tutti gli eventi relativi alla sicurezza informatica sottoposti ad auditing
4. Adottare, per la registrazione dei dati di auditing, anche in forma centralizzata per ogni impianto di elaborazione o per datacenter, sistemi di memorizzazione su dispositivi non alterabili.
5. Adottare procedure informatiche, basate su tecnologie crittografiche, prima della scrittura dei dati o di raggruppamenti di dati
6. Assicurare la continuità del servizio di accesso ai dati entro i sette giorni
15Roberto Apollonio, 3 Italia
2. Individuare gli elementi di controllo per ognuna delle aree dell’audit
Piano di Lavoro
Ambito Test/Verifiche (ai sensi degli artt. 17 e 132, comma 5, del Codice)
a.7 1. Svolgere, con cadenza almeno annuale, un’attività di auditing interno
2. Verificare il processo di selezione degli incaricati
3. Demandare a un'unità organizzativa diversa la conduzione dell’audit interno
4. Includere nei controlli anche verifiche:• a posteriore• a campione• su eventuale allarme derivante da sistemi di Alerting e di Anomaly Detection• sulla legittimità degli accessi ai dati• sulla liceità degli accessi ai dati• sull'integrità dei dati e delle procedure informatiche• su l’effettiva cancellazione dei dati
5. Documentare adeguatamente l'attività di controllo
6. Comunicare l'esito agli organi legittimati ad adottare decisioni
7. Richiamare l'audit nell'ambito del DPS
8. Indicare nel DPS gli interventi eventualmente necessari
9. Porre il rapporto di audit a disposizione del Garante o dell'autorità giudiziaria
a.8 1. Documentare i sistemi informativi utilizzati
2. Comprendere nella descrizione quanto elencato dal provvedimento
3. Includere diagrammi di dislocazione delle applicazioni e dei sistemi
4. Aggiornare la documentazione con informazioni sui soggetti con legittimo diritto di accesso ai sistemi
16Roberto Apollonio, 3 Italia
2. Individuare gli elementi di controllo per ognuna delle aree dell’audit
Piano di Lavoro
Ambito Test/Verifiche (ai sensi degli artt. 17 e 132, comma 5, del Codice)
a.9 1. Proteggere i dati di traffico trattati per esclusive finalità di giustizia con tecniche crittografiche
2. Adottare soluzioni che rendano le informazioni residenti nelle basi di dati a servizio delle applicazioni informatiche utilizzate per i trattamenti, non intelligibili a chi non disponga di diritti di accesso e profili di autorizzazione idonei, ricorrendo a forme di cifratura od offuscamento di porzioni dei data base o degli indici o ad altri accorgimenti tecnici basati su tecnologie crittografiche
3. Utilizzare protocolli di comunicazione sicuri basati su tecniche crittografiche, o comunque evitando il ricorso alla trasmissione in chiaro dei dati, per tutti i flussi di trasmissione dei dati di traffico tra sistemi informatici
17Roberto Apollonio, 3 Italia
2. Individuare gli elementi di controllo per ognuna delle aree dell’audit
Piano di Lavoro
Ambito Test/Verifiche (ai sensi degli artt. 17 e 123, comma 5, del Codice)
c.1 1. Adottare almeno due differenti tecnologie di autenticazione di cui una con strong authentication
2. Consentire l’accesso in assenza di strong authentication ai doli addetti tecnci in circostanze legate a indifferibili interventi tecnici tenedo traccia in appositio “registro degli accessi”
3. Creare ed aggiornare costantemente il registro degli accessi
4. Predisporre un elenco nominativo dei soggetti tecnici abilitati all’accesso
c.2 1. Adottare procedure per la separare l’assegnazione di credenziali rispetto alla gestione tecnica
2. Attribuire profili di accesso ai dati differenziando finalità di accertamento e repressione reati
c.3 1. Rendere i dati di traffico immediatamente non disponibili allo scadere dei termini previsti
2. Cancellare o rendere anonimi, nei tempi previsti dal provvedimento, i dati di traffico presenti nei data base, nei sistemi di elaborazione e nei supporti per backup
c.4 1. Generare i log di controllo per tutte le attività svolte sui dati
2. Generare log anche per accesso ai singoli elementi d’informazione
3. Includere la registrazione, in un apposito audit log, delle operazioni compiute, direttamente o indirettamente, sui dati di traffico e sugli altri dati personali a essi connessi sia per uso interattivo dei sistemi sia tramite l’azione automatica di programmi informatici
4. Garantire l’integrità e l’autenticità dei log
5. Garantire che i dati dei log, anche centralizzati, non siano modificabili
6. Firmare i dati prima della registrazione
18Roberto Apollonio, 3 Italia
2. Individuare gli elementi di controllo per ognuna delle aree dell’audit
Piano di Lavoro
Ambito TestVerifiche (ai sensi degli artt. 17 e 123, comma 5, del Codice)
c.5 1. Documentare i sistemi informativi utilizzati
2. Comprendere nella descrizione quanto elencato dal provvedimento
3. Includere diagrammi di dislocazione delle applicazioni e dei sistemi
4. Aggiornare documentazione anche con informazioni di dettaglio per i soggetti con legittimo diritto di accesso ai sistemi
19Roberto Apollonio, 3 Italia
3. Definire il team di lavoro e la Governance
Piano di Lavoro
Coinvolgere nel team di lavoro tutte le componenti aziendali a supporto delle attività di verifica, quali ad esempio:
• Divisione Tecnica• Legale• Privacy• Sicurezza• Human Resources
Individuare un comitato che detti i tempi della verifica, coordini le attività, si faccia carico di supportare adeguatamente e facilitare il superamento di eventuali situazioni di stallo
Assegnare e condividere in maniera chiara e inequivocabile ruoli e responsabilità all’interno del team di lavoro
Fissare momenti di condivisione dei risultati della verifica
20Roberto Apollonio, 3 Italia
4. Definire e condividere il “Piano di Lavoro”
Piano di Lavoro
Individuare e condividere il dettaglio di un piano di lavoro con tutte le strutture aziendali coinvolte nella verifica
Condividere eventuali test e modalità di conduzione per i quali è opportuna, ancor prima che necessaria, l’autorizzazione di dipartimenti interni (es. Human Resources, Security, Privacy, Legal)
Richiedere alle strutture interessate tutta la documentazione necessaria e le eventuali estrazioni dati allineate/sincrone alla steassa data
Formalizzare e condividere un Gantt di progetto affinchè si possa tenere traccia e seguire lo sviluppo temporale della verifica
21Roberto Apollonio, 3 Italia
• 3 Italia
• Normativa di Riferimento
• Obiettivo e Scopo dell’Audit Interno
• Ambito
• Piano di Lavoro
• Reporting
Agenda
22Roberto Apollonio, 3 Italia
Executive Summary
Reporting
Report di dettaglio
Predisporre documentazione di sintesi per il Management illustrando:
• le criticità che necessitano di interventi di rimedio• i punti di compliance rilevati• le responsabilità e i tempi concordati con le strutture
per il rientro dalle criticità• le attività che necessitano interventi economici
Predisporre un report che, per ogni criticità rilevata, riportiuna scheda di dettaglio comprensiva delle seguenti sezioni:
• un identificativo univoco• la descrizione della criticità corredata di eventuali dati e
riscontri oggettivi• la raccomandazione per l’eliminazione del rischio e il
pieno rientro nella compliance della normativa• Sezione di commento per il management ove indicare
le azioni di rimedio individuate, i tempi e le responsabilità
24Roberto Apollonio, 3 Italia
Esempio(1) di “Executive Summary”
Audit Exit Meeting dd/mm
StatusCriticità
ClosedOpen
Id. Aree Oggetto di Verifica H M L
a.1Autenticazione, Biometria e Registri Accessi
2 1
a.2 Separazione dei Ruoli 1 1
a.3Separazione fisica per Ambienti e Sistemi
1 1 1
a.4Incaricati, Formazione e Diritti della Difesa
1 2
a.5Conservazione e Cancellazione dei Dati
2 2
a.6Controllo attività svolte dagli incaricati
2 1 1 3
a.7 Verifiche richieste dal Garante 1 2 2 1
a.8Documentazione di Applicazioni, Sistemi e Rete
1 1 1
a.9Utilizzo della crittografia per la protezione dei dati
2 2 1 1
Totali 37 5 10 8 6
Full Compliant Some issues under resolution Relevant issues not yet addressed
Actual dd/mm
StatusCriticità
ClosedOpen
H M L
3
2
2
3
3 1
3 1 1 2
2 2 1 1
3
3 1 1 1
37 10 6 3 4
Nota 1) - I numeri in tabella sono a titolo di esempio e non riconducibili alla realtà di 3 Italia
25Roberto Apollonio, 3 Italia
Esempio di “Scheda di dettaglio”
Id. Pr. Rilevazione Raccomandazioni / Commenti del Management / Status
a) 1.4 Consentire l’accesso in assenza di strong authentication ai soli addetti tecnici in circostanze legate ad indifferibili interventi tenendo traccia in apposito “registro degli accessi”
2 [1/2/3] Descrizione
Xxxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxxxXxx xxxxxxxxx xxxx xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx
Xxxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxxxXxx xxxxxxxxx xxxx xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx
Xxxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxxxXxx xxxxxxxxx xxxx xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx
Attachments:
file 1 file 2 file 3
RaccomandazioneXxxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxxxXxx xxxxxxxxx xxxx xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx
Commento del Management Xxxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxxxXxx xxxxxxxxx xxxx xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx
ResponsabilitàXxxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxxxXxx xxxxxxxxx xxxx xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx
Stato[Closed] / [Partially Implemented] / [In Progress] / [Planned] / [To be Scheduled] . . .
Data di Completamentodd / mm / yy
Follow up al dd/mm/yyXxxxxxxxxxxxx xxxxxxxxxxxxxxx xxxxxxxxxxxxxxxx xxxxxxxxxxxXxx xxxxxxxxx xxxx xxxxxxxxxxxxxxxxx xxxxxxxxxxxxxx xxxxxxx