VALUTA LA CONFORMITÀ AL GDPR DELLE TUE POLITICHE DI SICUREZZA INFORMATICA

VALUTA LA CONFORMITÀ AL GDPR DELLE TUE POLITICHE DI SICUREZZA INFORMATICA

Verifica se le tue politiche di gestione dell'informatica ti consentono di rispettare
la nuova Direttiva Europea sul trattamento dei dati personali e
calcola il tuo Indice di Conformità

INIZIA SUBITO L' AUTOVALUTAZIONE!

0$

Grazie, ti contatteremo a breve!

GESTIONE DELLE INFORMAZIONI ED ORGANIZZAZIONE DEI SISTEMI IT

La tua organizzazione identifica, valuta e gestisce i rischi della gestione informatica. Prima di poter stabilire quale livello di sicurezza sia giusto per la tua azienda, devi controllare i dati personali che possiedi e valutare i rischi per tali informazioni. Dovresti considerare tutti i processi coinvolti mentre raccogli, memorizzi, usi, condividi e disponga dati personali. Inoltre, considera quanto sensibili o confidenziali siano i dati e quali danni o disagi potrebbero essere causati alle persone interessate, così come il danno alla reputazione della tua azienda, in caso di una violazione della sicurezza. È quindi possibile iniziare a scegliere le misure di sicurezza appropriate per le proprie esigenze. Inoltre, come parte di un approccio sensato sulla protezione dei dati, è necessario condurre una valutazione dell'impatto sulla protezione dei dati (DPIA) in circostanze specifiche per valutare i rischi per la privacy. È necessario eseguire una DPIA prima di iniziare qualsiasi tipo di elaborazione che "potrebbe comportare un rischio elevato". Ciò significa che, sebbene non sia stato ancora valutato l'effettivo livello di rischio, è necessario selezionare fattori che indichino il potenziale di un impatto diffuso o grave sugli individui.

La tua organizzazione ha una politica di sicurezza delle informazioni approvata e pubblicata, che fornisce indicazioni e supporto per la sicurezza delle informazioni (in conformità con le esigenze aziendali e le leggi e i regolamenti pertinenti) ed è regolarmente aggiornata.
----------------
Una politica sulla sicurezza delle informazioni ti consentirà di affrontare i rischi per la sicurezza in modo coerente. Questa può essere anche parte di una politica generale La tua politica dovrebbe definire chiaramente l'approccio alla sicurezza insieme alle responsabilità per l'implementazione e il monitoraggio della conformità. È necessario disporre di un processo che garantisca la revisione e l'approvazione delle politiche e delle procedure prima di implementarle e stabilire momenti di revisione, quando la situazione lo richiede. È buona norma disporre di un documento che descrive le procedure; i documenti devono essere pubblicati ai dirigenti e al personale interessati.


La tua organizzazione ha definito e assegnato le responsabilità in materia di sicurezza delle informazioni e ha stabilito un quadro per coordinare e rivedere l'implementazione della sicurezza delle informazioni.
----------------
È buona prassi identificare una persona o un reparto nella propria attività con responsabilità quotidiana per lo sviluppo, l'implementazione e il monitoraggio della politica di sicurezza. Dovrebbero avere l'autorità e le risorse necessarie per adempiere efficacemente a questa responsabilità. Per le organizzazioni più grandi, è comune nominare i "proprietari" con la responsabilità quotidiana della sicurezza e dell'uso dei sistemi aziendali. Senza una chiara responsabilità per la sicurezza dei sistemi e dei processi specifici, la vostra sicurezza generale non sarà gestita o coordinata correttamente e diventerà rapidamente imperfetta e obsoleta.

La tua organizzazione ha stabilito accordi scritti con tutti i fornitori di servizi e di terze parti responsabili del trattamento che garantiscono che i dati personali a cui accedono ed elaborano per tuo conto sono sicuri e protetti.
----------------
Molte piccole imprese esternalizzano alcuni o tutti i loro requisiti di elaborazione dei dati a servizi ospitati (compresi quelli basati su cloud). Ci deve essere un contratto scritto tra te (il responsabile del trattamento) e il fornitore / elaboratore del servizio (o altro atto legale). Questi contratti devono includere alcuni termini specifici, come minimo, compresi gli standard di sicurezza. Come controllore, sei responsabile della conformità generale al GDPR e della dimostrazione di tale conformità. Tuttavia i processori hanno alcune responsabilità e responsabilità dirette. Devi essere certo che tutti i processori che utilizzi trattano in modo sicuro i dati personali che elaborano, in linea con i requisiti del GDPR. Devi scegliere un fornitore o un processore di terze parti che dia garanzie sufficienti sulle sue misure di sicurezza. Per assicurarsi di disporre di adeguati dispositivi di sicurezza, è possibile, ad esempio, esaminare le copie di eventuali valutazioni di sicurezza e, se del caso, visitare i loro locali. Il contratto con il processore deve includere un termine che richiede al processore di cancellare o restituire (a sua scelta) tutti i dati personali che ha elaborato per te. Il contratto deve inoltre garantire che cancelli le copie esistenti dei dati personali a meno che l'UE o la normativa degli Stati membri non richiedano la loro memorizzazione. Se si utilizza un fornitore di servizi o un processore di terze parti per cancellare i dati e smaltire o riciclare le proprie apparecchiature ICT, assicurarsi di farlo in modo adeguato. Sarai ritenuto responsabile se i dati personali raccolti da te vengono estratti dalla tua vecchia attrezzatura se questa viene rivenduta.


0$

Devi selezionare almeno una opzione per andare avanti

AVANTI

COSCIENZA DELLE PROBLEMATICHE PRIVACY E COLLABORATORI

La tua organizzazione organizza regolarmente corsi di sensibilizzazione sulla sicurezza delle informazioni per tutto il personale, compresi i lavoratori temporanei per garantire che tutti siano a conoscenza delle problematiche di sicurezza dati e possano adempiere alle loro responsabilità.
----------------
È necessario informare tutto il personale delle proprie responsabilità in materia di sicurezza, compreso l'uso appropriato dei sistemi aziendali e delle apparecchiature informatiche. Dovresti inoltre addestrare il personale a riconoscere minacce comuni quali e-mail di phishing e malware e come riconoscere e segnalare violazioni dei dati personali. È necessario assicurarsi che il personale con responsabilità di sicurezza specifiche o con accesso privilegiato ai sistemi aziendali sia adeguatamente formato e qualificato. Dovresti anche rafforzare la formazione usando altri metodi, inclusi articoli intranet, circolari, briefing di squadra e cartelloni. Le misure di sicurezza ben progettate non funzioneranno se il personale non è a conoscenza o non segue le politiche e le procedure aziendali. È necessario rendere disponibili politiche e procedure a tutto il personale utilizzando le pagine intranet del personale, le raccolte di politiche o gli opuscoli e i manifesti. È buona prassi diffondere nuove informazioni o aggiornamenti tramite bollettini o newsletter.


0$

Devi selezionare almeno una opzione per andare avanti

AVANTI

SICUREZZA FISICA

La tua organizzazione ha i controlli di entrata per limitare l'accesso ai locali e alle attrezzature al fine di prevenire accessi fisici non autorizzati, danni e interferenze ai dati personali.
----------------
È necessario implementare i controlli di ingresso, tra cui porte e serrature e proteggere i locali con allarmi. Dovresti anche controllare l'accesso all'interno dei locali e supervisionare i visitatori. Dovresti collocare i server in una stanza separata e proteggerli con controlli aggiuntivi.

La tua organizzazione dispone di dispositivi di archiviazione sicuri per proteggere i dati e le apparecchiature al fine di prevenire perdite, danni, furto o compromissione dei dati personali.
----------------
Tutto il personale dovrebbe mettere in sicurezza i documenti cartacei e i dispositivi informatici portatili quando non sono in uso. Inoltre, dovresti incoraggiare il tuo staff a raccogliere rapidamente documenti da stampanti, fax e fotocopiatrici e spegnere i dispositivi al di fuori dell'orario di lavoro. Idealmente, dovresti implementare la stampa protetta da password se usi stampanti condivise.


La tua organizzazione ha definito un processo per smaltire in modo sicuro i dati e le attrezzature quando non sono più necessari.
----------------
Tutto il personale dovrebbe smaltire in modo sicuro i registri cartacei triturandoli. Se si utilizza un provider per cancellare dati e smaltire o riciclare i computer, assicurarsi che lo facciano adeguatamente.


0$

Devi selezionare almeno una opzione per andare avanti

AVANTI

COMPUTER E SICUREZZA DI RETE
PARTE 1

La tua organizzazione ha identificato, documentato e classificato le sue risorse hardware e software e ha assegnato opportunamente le responsabilità relative alla loro sicurezza.
----------------
È importante gestire attivamente tutto l'hardware e il software utilizzati dalla tua azienda. È necessario identificare e documentare tutte le apparecchiature, i server e i dispositivi mobili dell'ufficio o della casa che si stanno utilizzando per elaborare o archiviare personale in un inventario / registro hardware appropriato. L'inventario delle risorse deve includere anche informazioni sul fatto che il dispositivo sia un dispositivo portatile e / o personale. Allo stesso modo si dovrebbe anche identificare e documentare tutti i sistemi e le applicazioni che elaborano o memorizzano i dati personali in un apposito registro software. Il registro del software dovrebbe includere i dettagli della licenza del software, le ultime versioni della distribuzione e i dettagli di tutte le patch applicate. Quindi, per ciascuna delle risorse identificate, è necessario assegnare la proprietà della risorsa e identificare la classificazione di sicurezza. È necessario identificare, documentare e implementare le regole per l'uso accettabile dell'hardware o del software (sistemi o applicazioni) che elaborano o memorizzano le informazioni. Questi inventari ti assisteranno nella creazione di elenchi di dispositivi e applicazioni per dispositivi e software / applicazioni approvati. È necessario intraprendere periodiche valutazioni del rischio di inventario / registri di risorse hardware e software e controlli fisici per garantire l'accuratezza dell'inventario delle risorse hardware. È necessario disporre di procedure per garantire che tutti i dipendenti (inclusi i contratti temporanei) e gli utenti di terze parti restituiscano tutte le risorse hardware al termine del rapporto di lavoro, contratto o accordo.

La tua organizzazione garantisce la sicurezza dei dati nel lavoro in mobilità e l'uso di dispositivi informatici mobili.
----------------
Il lavoro in mobilità può comportare l'archiviazione e il transito di dati personali al di fuori dei confini sicuri della tua sede aziendale. I dispositivi di mobile computing (ad esempio, laptop, notebook, tablet e smartphone) sono esposti a furti e perdite e vi sono rischi di riservatezza quando si utilizzano in luoghi pubblici. Pertanto, è necessario valutare i rischi del lavoro in mobilità (incluso il lavoro a distanza in cui i dispositivi mobili possono connettersi alla rete aziendale) e definire una politica che stabilisca le regole per l'autorizzazione e la gestione del lavoro in mobilità.


La tua organizzazione configura hardware nuovo e quello esistente per ridurre le vulnerabilità e fornire solo le funzionalità e i servizi necessari.
----------------
L'installazione predefinita delle apparecchiature ICT può includere vulnerabilità come account guest o amministrativi non necessari, password predefinite ben note agli utenti malintenzionati e software preinstallato ma non necessario. Queste vulnerabilità possono fornire agli hacker l'opportunità di ottenere l'accesso non autorizzato ai dati personali conservati nei sistemi aziendali. Si consiglia di configurare in modo sicuro le apparecchiature ICT durante l'installazione. Mantenere un inventario delle apparecchiature ICT ti aiuterà a identificare e rimuovere hardware e software non necessari o non autorizzati.

La tua organizzazione adotta controlli per gestire l'uso di supporti rimovibili al fine di impedire la divulgazione non autorizzata, la modifica, la rimozione o la distruzione dei dati personali.
----------------
I supporti rimovibili (ad esempio, CD / DVD, unità USB, smartphone) sono particolarmente esposti a furti o smarrimenti e l'utilizzo non controllato può causare violazioni dei dati. Se è necessario archiviare dati personali su supporti rimovibili, è necessario implementare una soluzione software in grado di impostare autorizzazioni o restrizioni per singoli dispositivi nonché per intere classi di dispositivi. Dovresti criptare i dati personali che memorizzi sui dispostivi rimovibili.


La tua organizzazione assegna gli account utente alle persone autorizzate ad utilizzare le apparecchiature ICT ed accedere ai dati aziendali e gestisce in modo efficace gli account utente per fornire l'accesso alle informazioni strettamente necessario all'utente.
----------------
Dovresti sempre pre-autorizzare l'accesso ai sistemi che contengono dati personali e limitare le autorizzazioni degli utenti al minimo. È necessario assegnare a ciascun utente il proprio nome utente e password per garantire la responsabilità.


0$

Devi selezionare almeno una opzione per andare avanti

AVANTI

COMPUTER E SICUREZZA DI RETE
PARTE 2

La tua organizzazione ha procedure di sicurezza della password e regole per la loro complessità ed ha un processo in atto per rilevare qualsiasi accesso non autorizzato o uso anomalo di un account utente. Le credenziali di accesso degli utenti (ad es. nome utente e password) sono particolarmente preziose per i malintenzionati. Un attacco password "forza bruta" è una possibilità molto comune, quindi è necessario applicare password complesse, modifiche regolari della password e limitare il numero di tentativi di accesso non riusciti dopo i quali bloccare l'account utente.

La tua organizzazione ha stabilito efficaci difese anti-malware per proteggere i computer da minacce provenienti da malware. I computer possono essere infettati da malware (ad esempio virus, worm, trojan, spyware, ransomware) tramite allegati e-mail, siti Web e supporti rimovibili. Ciò può comportare la perdita o il danneggiamento dei dati personali. È necessario installare un software di protezione da malware che esegua regolarmente la scansione della rete e del computer per rilevare e prevenire le minacce. È necessario mantenere aggiornato il software ed educare il personale alle minacce più comuni.


La tua organizzazione effettua copie di sicurezza dei dati personali gestiti per effettuarne il ripristino in caso di disastro. È necessario eseguire regolarmente il backup per ripristinare i dati personali in caso di disastro o guasto dell'hardware. L'entità e la frequenza dei back-up devono riflettere la sensibilità e la riservatezza dei dati personali e quanto sia critico per la vostra azienda essere in grado di operare. Idealmente, dovresti tenere i backup in un luogo sicuro, lontano dai tuoi locali commerciali, e testare regolarmente il ripristino dei dati personali per verificarne l'efficacia.

La tua organizzazione registra e monitora l'attività dell'utente e del sistema per identificare e aiutare a prevenire le violazioni dei dati. Il monitoraggio e la registrazione possono aiutare la vostra azienda a rilevare e rispondere alle minacce esterne e all'uso inappropriato di risorse informative da parte del personale. È necessario monitorare continuamente il traffico di rete in entrata e in uscita per identificare attività insolite (ad esempio, trasferimenti di dati personali di grandi dimensioni) o tendenze che potrebbero indicare un attacco. I sistemi devono essere in grado di registrare chi ha effettuato l'accesso a record contenenti dati personali in modo da poter eseguire un monitoraggio regolare per confermare che solo i membri del personale autorizzati hanno avuto accesso alle informazioni. Il monitoraggio e la registrazione devono rispettare tutti i vincoli legali o regolamentari, compresa la legislazione sulla protezione dei dati. Ad esempio, è necessario informare lo staff di qualsiasi monitoraggio.

La tua organizzazione mantiene il software aggiornato e applica le ultime patch di sicurezza al fine di prevenire lo sfruttamento delle vulnerabilità tecniche note. I prodotti software più popolari contengono vulnerabilità tecniche che possono essere sfruttate dagli hacker per ottenere l'accesso non autorizzato ai dati personali conservati nei tuoi sistemi. È necessario utilizzare le versioni più recenti dei sistemi operativi, dei browser Web e delle applicazioni e assicurarsi di aggiornarli regolarmente per impedire lo sfruttamento delle vulnerabilità note.


La tua organizzazione ha firewall di confine per proteggere i computer da attacchi e sfruttamenti esterni e aiutare a prevenire violazioni dei dati. Gli hacker possono ottenere l'accesso non autorizzato ai dati personali se non si protegge il confine tra la rete locale dei tuoi computer e Internet. È necessario installare un firewall per monitorare e limitare il traffico di rete in base a un insieme di regole. Un firewall ben configurato è la prima linea di difesa contro attacchi esterni e può aiutare a prevenire le violazioni dei dati, ad esempio bloccando il malware o i tentativi di hacking. È inoltre necessario ridurre al minimo l'impatto delle violazioni dei dati segmentando e limitando l'accesso ai componenti di rete che contengono dati personali. Ad esempio, il tuo server web dovrebbe essere separato dal tuo file server principale. Se il tuo sito web viene compromesso, l'utente malintenzionato non avrà accesso diretto al tuo archivio dati centrale.


0$

Devi selezionare almeno una opzione per andare avanti

AVANTI

GESTIONE DELLE VIOLAZIONI DELLA SICUREZZA

La tua organizzazione ha processi efficaci per identificare, segnalare, gestire e risolvere eventuali violazioni dei dati personali. È in atto una formazione adeguata per garantire che il personale sappia come riconoscere e cosa fare se rileva una violazione dei dati personali.
----------------
Il GDPR introduce un obbligo per tutte le organizzazioni di segnalare alcuni tipi di violazioni dei dati personali aL GARANTE e, in alcuni casi, alle persone colpite. Una violazione dei dati personali significa una violazione della sicurezza che porta alla distruzione, perdita, alterazione, divulgazione non autorizzata o illegale di dati personali. Le violazioni dei dati personali possono derivare da un furto, un attacco ai vostri sistemi, dall'uso non autorizzato di dati personali da parte di un membro del personale, da perdite accidentali o guasti alle apparecchiature. Dovresti assicurarti che il tuo personale capisca cosa costituisce una violazione dei dati personali e che si tratta di qualcosa di più che una perdita di dati personali. È necessario assicurarsi di disporre di una procedura di segnalazione delle violazioni interne. Ciò faciliterà il processo decisionale in merito alla necessità di informare il GARANTE o le persone interessate.


0$

Devi selezionare almeno una opzione per andare avanti

AVANTI

IL TUO INDICE DI CONFORMITÀ GDPR

IL TUO INDICE DI CONFORMITÀ È :

Summary

Descrizione Informazioni Quantita Price
Discount :
Total :

SOPRI COME POSSIAMO AIUTARTI GRAZIE AL CLOUD!

LEGENDA C-INDEX

Indice superiore a 40: hai decisamente molto da fare per adeguarti

Indice tra 20 e 40: ci sono alcune cose che devi correggere

Indice inferiore a 20: sei praticamente perfetto, complimenti!

Condividi:
Share