Vademecum per chi gestisce gli apparati informatici

Attribuire a ciascun incaricato del trattamento, un codice identificativo personale per l’utilizzazione dell’elaboratore (si deduce dalle regole 1-2 allegato B).

Ad ogni incaricato possono essere assegnate una o più credenziali per l’autenticazione (regola 3 allegato B).

Non assegnare il codice per l'identificazione, ad altri incaricati, neppure in tempi diversi. Quindi non rendere note password vecchie e non più in uso, in quanto da questi dati è possibile ricavare informazioni su ciclicità e/o regole empiriche e personali che l’utente utilizza per generare le proprie password (regola 6 allegato B)

Disattivare le credenziali di autenticazione non utilizzate da almeno sei mesi, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica (regola 7 allegato B)

Disattivare le credenziali in caso di perdita della qualità (regola 8 allegato B)

Disporre ogni opportuna misura e ogni adeguata verifica, per evitare che soggetti non autorizzati possano avere accesso agli archivi delle parole chiave se leggibili (regola 10 allegato B)

Provvedere affinché gli elaboratori del sistema informativo siano protetti contro il rischio di intrusione ad opera di programmi di cui all’art. 615 quinquies del Codice Penale, mediante idonei programmi la cui efficacia ed aggiornamento siano verificati con cadenza almeno semestrale (regola 16 allegato B).

Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti devono essere effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento e' almeno semestrale (regola 17 allegato B).

Assistere il responsabile del trattamento, in particolare, per quanto concerne l’analisi dei rischi presso la propria Struttura e per le informazioni che il responsabile è tenuto ad inviare al titolare per la stesura annuale del Documento Programmatico di Sicurezza (DPS) (misura idonea).

Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso deve essere utilizzato un sistema di autorizzazione (regola 12 allegato B).

I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, devono essere individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento (regola 13 allegato B).

Periodicamente, e comunque almeno annualmente, deve essere verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione (regola 14 allegato B).

Assegnare idonei strumenti elettronici a chi tratta dati sensibili o giudiziari per proteggerli contro l’accesso abusivo, di cui all’art.615-ter del codice penale (regola 20 allegato B).

Devono essere adottate idonee misure per garantire il ripristino dell'accesso ai dati sensibili o giudiziari in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni (regola 23 allegato B).