GDPR
COMUNICAZIONE PATCH SINERGEST SUITE GDPR – Regolamento UE 2016/679
Sinergest si impegna al rispetto dei seguenti principi:
1. RISERVATEZZA (o confidenzialità): le informazioni devono poter essere accedute solo da persone identificate e autorizzate;
2. INTEGRITA’: i dati e le informazioni devono essere protette da modifiche non autorizzate;
3. DISPONIBILITA’: i sistemi e le applicazioni devono essere disponibili quando necessario.
LA PROTEZIONE FIN DALLA PROGETTAZIONE (PRIVACY BY DESIGN e BY DEFAULT)
Assolutamente trasversale a tutto il Regolamento UE 2016/679 (GDPR) è l’articolo 25, che richiede espressamente l’adozione di misure organizzative e tecniche. Sinergest ha implementato un Sistema di gestione per la Sicurezza delle informazioni (SGSI), che garantisce ai clienti l’impegno nel fornire servizi e prodotti innovativi sempre in linea alle prescrizioni cogenti.
Il software Sinergest Suite è stato oggetto di valutazione e il presente documento contiene le informazioni e le specifiche relative alla PATCH GDPR, che è stata rilasciata dal Centro Sviluppo per agevolare il cliente nella compliance al GDPR.
PATCH SINERGEST SUITE – GDPR
Di seguito elenchiamo le features previste nella PATCH SINERGEST SUITE – GDPR che garantiscono le funzionalità necessarie per essere conformi. Vi chiediamo cortesemente di prenderne visione, autorizzare l’attivazione di ognuna delle features riportate e restituirci il presente documento compilato e debitamente firmato.
OGGETTO DESCRIZIONE CONSENSO
Gestione delle password
Attivazione della gestione password* su tutte le installazioni (sia per ADMIN che UTENTE). Per le installazioni che usano single sign-on
in Active directory la gestione della password è demandata al server di dominio dell’azienda cliente.
*Gestione della password strong:
– password dell’utente deve essere diversa dallo username.
– almeno 8 caratteri
– almeno un carattere numerico
– almeno un carattere maiuscolo
– almeno un carattere minuscolo
– almeno un carattere speciale
– bloccare inserimento delle ultime tre (configurabile) password inserite al cambio password
– boccare il cambio password per 1 (configurabile) giorno dopo l’ultimo cambio password
– scadenza password ogni 6 mesi
Sicurezza Password
Cambio algoritmo di crittografia della password da SHA1 a HMACSHA256.
In seguito a questo aggiornamento, gli utenti dovranno richiedere una nuova password mediante l’apposita finestra ‘Password Dimenticata’ all’interno della pagina di login. In seguito potranno
provvedere a cambiarla (non per gli utenti con single SignOn)
Retention
È stato implementato un meccanismo di retention che permetterà direttamente agli utenti del Gruppo GDPR di gestire i periodi di conservazione dei dati.
Attraverso tale meccanismo sarà possibile definire il periodo di conservazione rispetto alla data di fine trattamento del dato (es. a seguito dell’interruzione del rapporto con un operatore, l’azienda cliente ha la possibilità di definire l’intervallo di tempo tra la data di licenziamento e la data di conservazione del dato, alla scadenza del quale l’applicativo invierà una notifica che informa gli utenti interessati che i dati relativi all’operatore devono essere anonimizzati).
Le schede contenenti dati personali saranno munite di un pulsante che permette l’anonimizzazione dei dati.
Cancellazione dei log dell’applicativo
6 mesi di default – su richiesta periodo modificabile.
Encryption in transit
Su richiesta saranno attivati protocolli HTTPS, per ottenere Encryption In Transit.
Cookie Policy
Verrà inserita nell’applicativo la cookie policy che mapperà in modo generale quanto definito nella presente comunicazione.
ULTERIORI INDICAZIONI PER LE INSTALLAZIONI ON PREMISE (INSTALLAZIONE DEL SOFTWARE DIRETTAMENTE SU MACCHINA LOCALE PRESSO IL CLIENTE):
– Il cliente che ha l’applicativo installato on-premise dovrà predisporre e documentare tutte le precauzioni adottate e che adotterà per minimizzare i rischi.
– Il cliente come titolare del trattamento dati dovrà redigere il registro dei trattamenti per essere in regola con il GDPR.
– Si suggerisce l’utilizzo di un software di controllo degli accessi per il monitoraggio di eventuali anomalie di utilizzo degli accessi;
– Si consiglia la cifratura del back up;
– Si invita a fornire le seguenti informazioni nell’informativa da produrre per i trattamenti effettuati sui dati registrati sul Software Suite: “ il Software Suite registra gli accessi a tutte le pagine di ogni utente, login, logout e indirizzo IP di provenienza (dato personale). Tali dati hanno un tempo di conservazione pari a ___(definire).”
– In caso di sospetto data breach il cliente deve informare Sinergest per le dovute verifiche. In ugual modo Sinergest dovrà informare il cliente nel caso che sospetti un data breach. In caso di data breach è il titolare del trattamento (il cliente) che deve comunicare al Garante l’evento.
ULTERIORI NOTE E INDICAZIONI:
– In linea all’art. 30 par. 2 per il quale “ogni responsabile gestisce un registro di tutte le categorie di attività relative ai trattamenti svolti”, vi informiamo che Sinergest gestisce per ogni installazione software una scheda di riepilogo. Per informazioni in merito potete contattarci ai recapiti: Tel. 800.208081 – privacy@sinergest.com.
– Garantiamo la totale portabilità dei dati dai voi forniti direttamente, garantiamo la portabilità di eventuali attestazioni/certificazioni presenti nelle schede dei nostri software e la facoltà di scegliere se un dato può essere trattato da terzi o meno.
– Per la gestione dei collegamenti e dei trasferimenti, al fine di effettuare le attività di manutenzione e assistenza sull’applicativo, vengono utilizzati collegamenti tramite gli strumenti di collegamento forniti (VPN, Team Viewer…), in accordo con il responsabile IT interno all’azienda.
– Su richiesta, sarà fornita documentazione relativa ai fornitori di servizi IT, Cloud con voi definiti in fase contrattuale. I fornitori sono periodicamente oggetto di valutazione e oggetto, in fase di
implementazione, di meccanismi di verifica dell’efficacia dei servizi affidati all’esterno della struttura di Sinergest.
– Se l’installazione si trova presso il cliente, Sinergest garantisce la massima disponibilità a collaborare con il responsabile IT interno al fine di definire le ulteriori informazioni per aiutarvi a garantire la compliance al GDPR.
– Si ricorda che, attraverso la Password ADMIN a voi fornita si accede all’area GESTIONE RUOLI- NAVIGAZIONE, dove è possibile gestire in autonomia le autorizzazioni (accesso, scrittura, download, upload…) per ogni utente.
– Nel caso in cui la vostra realtà aziendale si sia dotata di un DPO e volete comunicare il nome e i riferimenti, gli stessi saranno registrati nella scheda anagrafica cliente interna e gestiti per le attività con voi concordate.
– I Riferimenti per esercitare i vostri diritti o per valutare insieme ulteriori attività e/o misure di sicurezza, sono: Tel. 0583.378530 – 800.208081. E-mail: privacy@sinergest.com.