INFORMATIVA SICUREZZA DELLE INFORMAZIONI E DEI TRATTAMENTI DEI DATI PERSONALI
SMARTWORKING
I Lavoratori sono tenuti a rispettare sempre le policy aziendali sull’utilizzo degli strumenti informatici e in materia di sicurezza delle informazioni e di trattamento e protezione dei dati personali, a prescindere dalle condizioni in cui prestano l’attività lavorativa.
Di conseguenza il lavoratore dovrà sempre custodire con diligenza e assoluta riservatezza i dati e le informazioni personali e aziendali in suo possesso e adottare le cautele aggiuntive che si rendono opportune in relazione al luogo prescelto per lo svolgimento della prestazione.
- Il lavoratore che svolge la propria prestazione in modalità Smartworking è tenuto a comprendere le sue responsabilità in ambito sicurezza delle informazioni e di protezione dei dati personali ed a tal proposito dovrà fare riferimento alle specifiche politiche o istruzioni pubblicate sulla Intranet aziendale, fra cui:
-
- Politica SGSI 27001 Finwave
- PSQ-400_F Politica di Utilizzo Accettabile degli Strumenti di Lavoro
- PSQ-402_F Politica per la classificazione delle informazioni
- PSQ-404_F Politica di Accesso Logico all’Infrastruttura informatica
- PSQ-406_F Politica Ufficio Sicuro
con particolare attenzione a quanto di seguito riportato (si veda anche Lavoro da remoto - misure di sicurezza in calce):
-
- Assicurarsi che il PC in dotazione abbia il software antivirus e l’aggiornamento del sistema operativo sempre aggiornato;
- Non utilizzare il PC in dotazione in luoghi o su mezzi di trasporto pubblici;
- Per la connessione tramite internet non utilizzare reti WI-FI aperte o pubbliche anche se richiedenti password, ma utilizzare sempre quelle che mostrano un collegamento sicuro con accesso tramite registrazione e password e che espongono l’opzione di protezione WPA2;
- I PC portatili non devono essere lasciati incustoditi; utilizzare sempre la funzione di “blocco schermo” quando non in uso e quando non utilizzati devono essere riposti in luoghi sicuri;
- Salvaguardare sempre la confidenzialità delle informazioni: pertanto verificare sempre il posizionamento delle apparecchiature che deve essere tale da impedire la vista dello schermo dalla visione di altri non autorizzati;
- Se necessario e si è autorizzati ad utilizzare i supporti esterni (USB/DVD ecc.) è necessario tenere presente che le informazioni confidenziali o i dati personali devono essere protetti sul dispositivo utilizzato con la crittografia;
- Il lavoratore dovrà immediatamente segnalare il rilevamento di un incidente di sicurezza informatica o presunta violazione dei dati personali al servizio di Help Desk, seguendo quanto specificato nell’istruzione operativa in vigore nella divisione di riferimento relativamente all’ambito Security Incident Management”.
- Durante la procedura di accesso alle applicazioni aziendali attraverso la rete internet, dato il crescente incremento dei crimini informatici, il lavoratore è invitato ad un utilizzo cauto e consapevole degli strumenti informatici messi a disposizione da Finwave S.p.A.
- Si rammenta che il lavoratore che non rispettasse le istruzioni impartite dalla Società riguardo al comportamento da tenersi in relazione al Smartworking può essere ritenuto responsabile ai sensi delle policy e regolamenti interni e delle disposizioni di legge.
La Società non risponde di eventuali violazioni del trattamento di dati personali, di Interessati di Finwave e/o dei suoi clienti, verificatisi a causa della scelta del luogo di lavoro e/o dell’utilizzo degli asset aziendali da parte dello stesso lavoratore non conformi alle policy e regolamenti della Società.
Lavoro da remoto - misure di sicurezza
|
|
1 Fare sempre riferimento alle procedure e prassi definite dall’azienda in ambito sicurezza delle informazioni, anche durante il lavoro da remoto. L’azienda verificherà il corretto rispetto delle procedure e l’applicazione delle misure di sicurezza, comprese quelle riportate di seguito. |
|
|
2 Mantenere comportamenti a tutela della riservatezza delle informazioni attraverso lo scrupoloso rispetto della Sicurezza delle Informazioni, soprattutto in caso di trattamento di dati di tipo Confidenziale o di Dati Personali. |
|
|
3 Utilizzare soltanto gli strumenti informatici di lavoro assegnati personalmente e forniti dall’azienda (es. notebook, smartphone, etc.), e in modalità esclusiva. L’utilizzo di strumenti personali (in modalità “Bring Your Own Device (BYOD)”) è consentito solo se preventivamente autorizzato dall’azienda. |
|
|
4 In presenza di altri dispositivi collegati alla propria rete domestica (es. Amazon Alexa, etc.), accertarsi che questi garantiscano opportuna protezione dei dati trattati dagli stessi. |
|
|
5 Utilizzare solo connessioni cablate, o, Wi-Fi (es. cellulare aziendale (Tethering), router Wi-Fi aziendale, etc.) con protocolli di sicurezza più recenti ove disponibili e protette da password di complessità alta. |
|
|
6 Accedere laddove possibile a servizi esposti tramite protocolli che crittografano il traffico scambiato (es. HTTPS). |
|
|
7 Gli strumenti informatici di lavoro non devono essere lasciati incustoditi, e quando non utilizzati devono essere messi in sicurezza (es. chiusi in armadi, utilizzo di eventuale lucchetto se in dotazione, etc.). |
|
|
8 Non divulgare via mail, a voce, su carta, etc. qualsiasi informazione aziendale (es. Dati Personali, credenziali varie, etc.) senza esplicita autorizzazione da parte dell'azienda. Tale divieto è esteso anche ai propri familiari e/o conviventi. |
|
|
9 Non lasciare documenti cartacei contenenti dati Confidenziali incustoditi (es. sulla stampante, nella propria abitazione, in spazi condivisi, etc.). Distruggere i documenti cartacei Confidenziali quando non più necessari. |
|
|
10 Qualora eccezionalmente consentiti i supporti di memorizzazione esterni (es. chiavette USB, etc.) devono essere utilizzati assicurandosi che i dati in essi contenuti siano opportunamente protetti (es. crittografati tramite uso di software 7-Zip con password di complessità alta e crittografia “AES-256”, etc.). |
|
|
11 Non installare o eseguire programmi (o app dello smartphone/tablet) che violano la legge (sui reati informatici, copyright, etc.), e non installare programmi che non sono stati preventivamente autorizzati dall'azienda. |
|
|
12 Mantenere sempre aggiornati i software (sistema operativo, antivirus, etc.) installati sugli strumenti di lavoro. Assicurarsi che i software di protezione del sistema operativo (es. Antivirus, etc.) siano correttamente in funzione. |
|
|
13 In caso di infezione accertata di un Malware (es. virus informatico, etc.) sul proprio strumento informatico di lavoro, scollegare la rete cablata e/o Wi-Fi, o spegnere velocemente il computer. Successivamente contattare immediatamente il supporto tecnico dell’azienda. |
|
|
14 Mantenere sempre un comportamento cauto ed attento nella verifica delle mail ricevute (anche se da colleghi o da mittenti conosciuti e/o attendibili), al fine di intercettare eventuali attacchi di Phishing (truffe online perpetrate tramite mail). |
|
|
15 Utilizzare sempre e solo i propri account aziendali, (anche per gli strumenti di collaboration e cloud). Non utilizzare account e/o password personali per attività lavorative. |
|
|
16 Utilizzare soltanto i sistemi aziendali di collaboration e cloud autorizzati dall’azienda (es. Microsoft Teams, G Suite by Google Cloud, Skype for Business, Cisco Webex, Microsoft OneDrive, etc.) per comunicare all’interno dell’azienda. In particolare per strumenti di videoconferenza, se lo strumento che viene utilizzato lo consente, attivare l'opacizzazione dello sfondo (Blurring), in modo da non mostrare involontariamente informazioni personali. |
|
|
17 Utilizzare solo in caso di necessità, e con “parsimonia”, le risorse informatiche utilizzate dai vari strumenti di collaboration e cloud, in modo da limitare eventuali saturazioni delle stesse |
|
|
18 In caso di qualsiasi necessità (es. malfunzionamenti, nuove configurazioni, infezione da malware, mail di Phishing, etc.) ai propri strumenti informatici di lavoro, fare riferimento al proprio supporto tecnico. |