1. Introduzione
Le informazioni, in qualsiasi forma esse assumano, sono un bene prezioso per l’organizzazione e di conseguenza devono essere adeguatamente protette. Proteggere le informazioni non è solo una responsabilità aziendale, ma anche una responsabilità che tutto il personale, compresi partner, fornitori e appaltatori, che lavorano in o per Cubbit deve prendere sul serio.
La politica Secure Desk supporta la politica di sicurezza ICT e altre politiche correlate.
2. Obiettivi
L’obiettivo di questa politica è quello di garantire che tutte le registrazioni cartacee ed elettroniche contenenti informazioni identificabili come persone, o qualsiasi altra informazione confidenziale/sensibile (comprese le informazioni aziendali o commercialmente sensibili) siano adeguatamente protette quando non vengono utilizzate, lasciate incustodite o visibili su una scrivania durante la notte.
Questa politica si applica in particolare alle aree di lavoro, quali scrivanie e tavoli, che non devono contenere informazioni riservate, sensibili, commercialmente sensibili o identificabili da persone che non sono presidiate per un lungo periodo di tempo.
L’obiettivo di questa politica è anche quello di garantire che Cubbit rispetti gli obblighi impostigli dal codice Privacy, nonché il Codice di condotta di Cubbit.
3. Principi fondamentali
I principi chiave per applicare tale procedura sono elencati di seguito:
- Per ridurre il rischio di violazione della sicurezza o furto di informazioni;
- Per ridurre il rischio di furto o accesso da parte di persone non autorizzate di informazioni e documenti riservati o sensibili che potrebbero danneggiare l’integrità di Cubbit;
- Contribuire a dimostrare la conformità con il Reg. Ue 2016/679 e al D.lgs 101/18;
- Creare una cultura della responsabilità del personale in relazione al trattamento e alla cura dei dati personali e di altre informazioni riservate;
Definizioni
Informazioni personali
Le informazioni personali sono informazioni che possono identificare direttamente o indirettamente un individuo, in cui l’individuo è al centro delle informazioni e che lo collegano a dati che sarebbero considerati privati, ad esempio nome, indirizzo privato, numero di telefono di casa, numero di previdenza nazionale, ecc.
Ad esempio, ciò potrebbe includere fogli di calcolo stampati del personale e dati relativi al libro paga o file di indirizzi.
Informazioni personali particolari
Per informazioni personali sensibili si intendono quelle informazioni “particolari” che contengono dati come quelli della persona in questione:
- Condizioni di salute fisica o mentale
- Vita sessuale
- Origine etnica
- Credenze religiose
- Visioni politiche
- Condanne penali
- Iscrizione a un sindacato
Per questo tipo di informazioni occorre adottare misure ancora più rigorose per garantire la sicurezza dei dati.
Informazioni sensibili a livello aziendale e commerciale
Le informazioni sensibili a livello aziendale e commerciale possono, attraverso la divulgazione impropria, causare una riduzione della competitività o violare le pratiche di approvvigionamento. Tali informazioni possono includere contratti di locazione di immobili, contratti commerciali / di terzi o piani interni.
4. Portata
È responsabilità di coloro che sono elencati di seguito assicurarsi che aderiscano alla Politica di Cubbit.
- Tutti i dipendenti di Cubbit
- Tutti gli appaltatori e fornitori
- Tutte le agenzie partner presso la sede di Cubbit
- Tutti i visitatori che utilizzano aree con prossimità di accesso alle scrivanie.
La politica si applica a tutto il personale in tutte le sedi dell’organizzazione, indipendentemente dall’area di lavoro o dalla disciplina.
La politica si applica alle sedi e agli ambienti in uso esclusivo di Cubbit, in particolare alle scrivanie, tavoli, schermi di computer, fotocopiatrici e stampanti, così come agli spazi condivisi ( coworking) presi in locazione da Cubbit e/o al domicilio del dipendente, collaboratore o consulente che svolge la propria attività in favore di Cubbit da remoto (smart working)
5. Responsabilità
- Tutti i dipendenti, collaboratori, consulenti, gli appaltatori e il personale sono tenuti a rispettare la Policy.
- I manager di linea (supervisori) sono responsabili del monitoraggio della conformità e della fornitura di linee guida al personale sull’attuazione della politica.
- Tutti i dipendenti, gli appaltatori e il personale hanno la responsabilità di segnalare gli incidenti di sicurezza e le violazioni di questa politica il più rapidamente possibile tramite la Procedura di Segnalazione e Gestione degli Incidenti.
Cubbit adotterà le misure appropriate per porre rimedio a qualsiasi violazione della politica attraverso il quadro pertinente in vigore. Nel caso di un dipendente, la questione può essere trattata nell’ambito del processo disciplinare di Cubbit. Saranno effettuati riesami interni da parte del management e dell’audit interno, compresi controlli a campione, al fine di individuare potenziali violazioni di questa politica.
6. Procedura Scrivania sicura – Protezione delle informazioni
Le informazioni riservate o sensibili, conservate elettronicamente o su supporto cartaceo e altre risorse preziose, devono essere adeguatamente protette in caso di assenza del personale dal luogo di lavoro e alla fine di ogni giornata lavorativa.
A tal fine, sono stati elaborati i seguenti principi guida che riguardano sia i moduli di informazione non elettronici (ad esempio, manuali o cartacei) sia quelli elettronici.
Inoltre si fa riferimento alla visualizzazione delle informazioni sullo schermo del computer portatile e alla sicurezza dei beni personali.
Uffici o ambienti ad uso esclusivo del personale di Cubbit
- Alla fine di ogni giorno lavorativo, i documenti cartacei contenenti informazioni riservate devono essere sempre chiusi in modo sicuro in scrivanie, armadietti o stanze sicure designate, tranne quando vengono utilizzati dal personale. Occorre fare tutto il possibile per garantire la sicurezza di tali informazioni e per renderle difficilmente accessibili al personale non autorizzato.
- Per ridurre il rischio di violazione della riservatezza e dell’osservanza della legge sulla protezione dei dati, durante lo smaltimento delle informazioni personali, assicurarsi che vengano distrutte in modo sicuro utilizzando metodi approvati di smaltimento dei rifiuti.
- Per motivi di sicurezza, gli oggetti personali (chiavi, borse, portafogli, ecc.) devono essere chiusi a chiave in modo sicuro. È responsabilità del proprietario assicurarsi che vengano adottate tutte le precauzioni di sicurezza.
- Salute e sicurezza – le scrivanie e gli altri spazi di lavoro devono essere in ordine sufficiente alla fine di ogni giornata lavorativa per consentire al personale addetto alle pulizie di Cubbit di svolgere le proprie mansioni.
Postazioni di lavoro o ambienti ad uso NON esclusivo del personale di Cubbit
- Non è consentito l’utilizzo di documenti cartacei che contengano qualsiasi informazione riservata o sensibile.
- Salute e sicurezza – le scrivanie e gli altri spazi di lavoro del coworking devono essere lasciate completamente vuote e nessun effetto personale o lavorativo può essere lasciato, anche qualora si utilizzi la stessa postazione il giorno seguente.
Dispositivi di memorizzazione elettronica
Ai fini della presente informativa, i dati e le apparecchiature elettroniche non saranno trattati in modo diverso rispetto ai dati e alle apparecchiature manuali, qualora contengano lo stesso tipo di informazioni riservate, sensibili e/o personali. L’informatica e tutte le altre apparecchiature contenenti dati saranno pertanto trattate con lo stesso livello di sicurezza delle risorse cartacee.
- Per garantire la sicurezza delle informazioni detenute elettronicamente, bloccare i dispositivi informatici portatili come i laptop quando non sono in uso;
- Gli eventuali dispositivi di archiviazione di massa come CD-ROM, DVD o unità USB, utilizzati ed autorizzati per un’attività specifica, vanno bloccati in un cassetto sicuro alla fine dell’uso e comunque al termine della giornata lavorativa;
- Le eventuali unità USB e altri elementi simili devono essere bloccati come sopra, anche se sono crittografati.
Computer desktop, laptop e altri dispositivi informatici portatili
- Computer ed altri dispositivi informatici, quando non sono utilizzati, non devono essere lasciati incustoditi con sessioni applicative aperte o con login effettuato, ma devono essere protetti da chiavi fisiche, password o riconoscimento biometrico in linea con la Politica di Gestione della Password.
- Per quanto possibile, quando si lavora su informazioni sensibili o riservate, la finestra deve essere chiusa o ridotta al minimo, oppure il computer deve essere bloccato quando persone non autorizzate si trovano nelle immediate vicinanze dello schermo.
- Se informazioni sensibili o riservate sono visibili a una persona non autorizzata che si trova in prossimità di un computer o di uno schermo portatile, può essere chiesto di allontanarsi per proteggere la riservatezza di tali informazioni.
Stampanti e fotocopiatrici
- Se è disponibile una stampante condivisa o un dispositivo multifunzione, tutte le stampe devono essere bloccate per impostazione predefinita, richiedendo agli utenti di immettere un PIN di almeno 4 cifre per rilasciare i documenti.
- Per evitare di stampare accidentalmente su una periferica di rete non prevista, gli utenti del computer devono inoltre verificare che la stampante predefinita sia corretta prima di stampare qualsiasi documento.
- I dati personali sensibili devono essere cancellati da stampanti e fotocopiatrici immediatamente dopo il completamento. Se questi non sono più necessari, gli articoli devono essere triturati o inviati allo smaltimento sicuro.
- È responsabilità di chi invia le informazioni da stampare assicurarsi di raccogliere i documenti e di non lasciarli incustoditi. Se un’informazione è di natura confidenziale/sensibile ed è fuori luogo o mancante, deve essere registrata come incidente.
7. Legislazione
L’organizzazione deve conformarsi alla seguente legislazione e, se del caso, ad altre normative:
Reg. Ue 2016/679 e D.lgs 101/18