Misure tecniche e organizzative (TOM)

Misure tecniche e organizzative (TOM)

1. Riservatezza

1.1 Controllo degli accessi fisici

1.1.1 Misure tecniche:
  • Sicurezza degli accessi tramite serrature di sicurezza e/o sistema di badge
  • Registrazione degli accessi
  • Sistemi di allarme
  • Videosorveglianza all’ingresso del data center
  • Allarme in caso di tentativi di accesso non autorizzati
1.1.2 Misure organizzative:
  • Politiche e linee guida – accesso consentito solo a persone autorizzate
  • Formazione di sensibilizzazione per i collaboratori
  • Concetto di zone con diversi livelli di sicurezza e autorizzazioni di accesso
  • Controllo periodico delle autorizzazioni di accesso

1.2 Controllo degli accessi ai sistemi (server)

1.2.1 Misure tecniche:
  • Autenticazione multipla tramite VPN e diversi punti di controllo
  • Segmentazione della rete, firewall per la protezione e il controllo delle transizioni di rete
  • Registrazione di tutti gli accessi
1.2.2 Misure organizzative:
  • Politiche e linee guida – accesso consentito solo agli amministratori autorizzati e limitato al minimo necessario
  • Concetto di zone di rete con protezione delle transizioni di rete
  • Formazione di sensibilizzazione per i collaboratori
  • Account utente personalizzati
  • Controllo periodico delle autorizzazioni di accesso

1.3 Controllo degli accessi alle applicazione

1.3.1 Misure tecniche:
  • Registrazione degli accessi di login all’applicazione e tracciamento dello storico delle comunicazioni con i candidati.
  • Distruzione fisica dei supporti di memorizzazione in caso di sostituzione o dismissione.
1.3.2 Misure organizzative:
  • Controllo delle autorizzazioni
  • Concetto di ruoli
  • Gestione dei diritti utente da parte dell’amministratore utenti (del cliente)

1.4 Controllo della separazione

1.4.1 Misure tecniche:
  • Separazione fisica (sistemi / database / supporti di memorizzazione)
  • Capacità multi-cliente delle applicazioni rilevanti tramite database orientato agli oggetti
  • Utilizzo di un database orientato agli oggetti con separazione dei clienti tramite gerarchia. La gerarchia è direttamente collegata alla navigazione nell’URL.
  • I documenti vengono archiviati per cliente in una struttura di cartelle separata.
1.4.2 Misure organizzative:
  • Controllo tramite concetto di autorizzazione
  • Impostazione dei diritti del database

1.5 Pseudonimizzazione

1.5.1 Misure tecniche:
  • Anonymizzazione dei dati e utilizzo anonimo a fini statistici
  • Cancellazione automatica dei dati alla scadenza del periodo di conservazione

2. Integrità

2.1 Controllo della trasmissione

2.1.1 Misure tecniche:
  • Connessione criptata (https)
  • Accesso al server tramite VPN
2.1.2 Misure organizzative:
  • L’accesso è consentito in qualsiasi momento esclusivamente ai ruoli autorizzate (HR, supervisore, ecc).
  • L’accesso è consentito in qualsiasi momento esclusivamente alle candidature previamente autorizzate (per i superiori diretti)
  • L’abilitazione della candidatura da parte del responsabile HR avviene direttamente nella panoramica delle candidature. Lo stato e i soggetti autorizzati a consultare i dati della candidatura sono in ogni momento visibili e registrati. Lo storico consente di tracciare chi ha avuto accesso ai dati e in quale momento.

2.2 Controllo degli accessi (tracciabilità e logging)

2.2.1 Misure tecniche:
  • Gli accessi al firewall e all’applicazione vengono registrati in file di log
2.2.2 Misure organizzative:
  • Assegnazione di ruoli e diritti sulla base di un concetto di autorizzazione
  • Inserimento dei dati (ad es. commenti) tracciabile tramite nomi utente individuali e personali (non gruppi di utenti)
  • Responsabilità chiare per l’amministrazione dei ruoli (creazione e cancellazione degli utenti)
  • Le autorizzazioni di accesso ai dati dei candidati possono essere definite. Solo le persone assegnate possono accedere e modificare i dati della candidatura. I dettagli di una candidatura, come stato, commenti o valutazioni, vengono registrati con l’indicazione della persona che elabora la candidatura. Questi dati registrati possono essere consultati dalle persone responsabili.
  • Refline fornisce agli utenti istruzioni dettagliate sull’utilizzo dell’applicazione.

3. Disponibilità e resilienza

3.1 Controllo della disponibilità

3.1.1 Misure tecniche:
  • Sistemi di rilevamento e protezione antincendio
  • Climatizzazione
  • UPS
  • Sistemi di archiviazione RAID
  • Sistemi ridondanti
  • Concetto a due sedi
  • Backup
  • Protezione contro malware
3.1.2 Misure organizzative:
  • Politiche e regolamenti
  • Formazione di sensibilizzazione per i collaboratori
  • Test regolari
  • Manutenzione regolare delle infrastrutture e dei sistemi
  • Controlli periodici

4. Procedure di revisione, valutazione e verifica regolari

4.1 Misure di protezione dei dati

4.1.1 Misure tecniche:
  • Revisione e adeguamento della soluzione software ai requisiti di protezione dei dati, inclusa l’automazione dei processi di cancellazione
4.1.2 Misure organizzative:
  • Responsabile interno della protezione dei dati
  • Formazione e impegno dei collaboratori in materia di protezione dei dati e riservatezza
  • Sensibilizzazione regolare dei collaboratori almeno una volta all’anno
  • Processo formalizzato per la gestione delle richieste di informazioni

4.2 Gestione degli incidenti

4.2.1 Misure tecniche:
  • Sistemi di protezione contro malware
  • Monitoraggio automatico delle attività
4.2.2 Misure organizzative:
  • Politiche e linee guida

4.3 Impostazioni predefinite orientate alla protezione dei dati

  • Privacy by design / privacy by default
4.3.1 Misure tecniche:
  • Non vengono raccolti più dati personali di quelli necessari per lo scopo specifico
  • Diritto di revoca semplice per gli interessati (funzione di cancellazione)

4.4 Controllo degli incarichi (outsourcing a terzi)

4.4.1 Misure organizzative:
  • I terzi vengono valutati e selezionati con la massima attenzione.