Due Diligence privacy del fornitore esterno

Da compilare in riferimento ai trattamenti che dovranno essere effettuati per conto del titolare

1. Dati trattati

  • Quali trattamenti saranno effettuati da parte del fornitore per conto del titolare del trattamento?

2. Addetti al trattamento

  • È stata elaborata la lista degli addetti trattamento?
  • I componenti della lista sono stati formalmente nominati?
  • La lista degli addetti viene controllata almeno annualmente?
  • È stato elaborato un programma di formazione degli addetti al trattamento, prevedendo sessioni di formazioni, svolte da personale qualificato e/o è stato consegnato adeguato materiale formativo/informativo a ciascun addetto?

3. Sub-fornitori

  • In riferimento al trattamento che sarà effettuato per conto del titolare, saranno presenti Sub-fornitori per il trattamento dei dati personali?

Indicare, se presenti sub-fornitori: ragione sociale, trattamento affidato, Paese in cui i dati potrebbero essere trasferiti e eventuale legittimità del trasferimento a Paesi Extra-Ue

4. Privacy by design e by default

  • Saranno adottate politiche interne e attuate misure che soddisfano i principi della protezione dei dati fin dalla progettazione e della protezione dei dati di default?

Se si, specificare

5. Registro delle attività di trattamento

  • Il Fornitore elabora un Registro delle categorie di attività di trattamento in qualità di responsabile in riferimento ai trattamenti effettuati per conto del titolare (ex art. 30.2 RGPD)?
  • È stato elaborato un Registro delle attività di trattamento in qualità di titolare del trattamento (ex art. 30.1 RGPD)?

6. Gestione violazione dati personali

  • Nell’ipotesi in cui si verifichi una violazione dei dati personali che coinvolga dati trattati per conto del titolare, è prevista una procedura per la notifica dell’evento al titolare?

Se sì, fornirne una breve descrizione.

7. Analisi dei rischi sulla protezione dei dati

  • È stata effettuata un’analisi dei rischi sui processi a rischio elevato in cui sono processati dati personali per conto del titolare?

8. Sicurezza del trattamento

  • Sono previste delle misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio in relazione ai dati personali trattati per conto del titolare?

Se si, descrivere quali.

9. Trattamento dati con documentazione cartacea

  • Sono state impartite agli addetti istruzioni scritte finalizzate al controllo ed alla custodia, per tutta la durata del trattamento, degli atti e dei documenti contenenti dati personali trattati per conto del titolare?
  • Gli atti e i documenti contenenti dati personali particolari o giudiziari, affidati agli addetti del trattamento per lo svolgimento dei relativi compiti, sono controllati e custoditi dagli incaricati fino alla restituzione in modo da impedirne l’accesso a persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate?
  • È attivo un sistema di controllo degli accessi agli ambienti (uffici, magazzini, locali tecnici, ecc.)?
  • È stato predisposto un registro di identificazione e registrazione delle persone ammesse agli archivi contenenti dati particolari o giudiziari, in particolare dopo l’orario di chiusura?

10. Trattamento dati con strumenti elettronici

  • I computer utilizzati sono collegati ad una rete locale?
  • Se sì, la rete locale è collegata a internet?
  • Sono state adottate policy per l’utilizzo degli strumenti informatici?
  • Per il trattamento dei dati sono utilizzati dispositivi portatili (notebook, smartphone, palmari, etc.)?
  • Se sì, sono state adottate policy specifiche per l’utilizzo di tali dispositivi?
  • È prevista una procedura di salvataggio dei dati con cadenza almeno settimanale?
  • Gli eventuali supporti rimovibili contenenti le copie dei dati sono custoditi in archivi chiusi a chiave  o mediante sistemi che impediscano intrusioni da parte di terzi?
  • I supporti su cui sono registrate  le  copie di backup  sono distrutti o  riformattati quando non più utilizzati?
  • Sono state adottate procedure per il ripristino della disponibilità dei dati e dei sistemi?
  • La manutenzione dei sistemi è eseguita da terzi?
  • Se  sì,  esiste  un  registro  aggiornato  degli  incaricati  alla manutenzione  corredato  dall’indicazione  specifica degli interventi dagli stessi effettuati?
  • Indicare le misure di sicurezza presenti in riferimento al trattamento dati svolto per conto del titolare attraverso strumenti elettronici

11. Sistema di autenticazione informatica

  • Gli utenti sono dotati delle credenziali di autenticazione che consentano loro la “login” al sistema?
  • Le  credenziali  di  autenticazione  sono  composte  da “user-name” (nome  utente)  e  da  “password”  (parola  chiave  per l’accesso)?
  • Gli utenti dispongono di parole chiave univoche riservate solo a loro e solo da loro conosciute?
  • Sono state impartite per iscritto agli incaricati le raccomandazioni da adottare, le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’incaricato?
  • Descrivere le caratteristiche delle password
  • Le password vengono modificate dopo il primo utilizzo?
  • Le password vengono cambiate almeno ogni sei mesi (ogni tre mesi se
    si tratta di dati particolari)?
  • È  prevista  la  procedura per la disabilitazione delle credenziali di autenticazione in caso di perdita della qualità che consente all’incaricato l’accesso ai dati personali?
  • Sono impartite istruzioni agli incaricati per non  lasciare
    incustodito e accessibile  lo  strumento elettronico durante  la
    sessione di trattamento?
  • Nei  casi  di  impedimento  e/o  prolungata  assenza dell’incaricato  o  di  indispensabile  ed  indifferibile  intervento per necessità  di  operatività  e  di  sicurezza  del  sistema  sono state  impartite  idonee  e  preventive  disposizioni  scritte  per individuare le modalità con cui il Titolare può disporre dei dati e degli strumenti elettronici?
  • Esiste una copia delle credenziali di autenticazione?
  • Le copie delle credenziali sono state affidate per iscritto ad un custode/responsabile?
  • I  responsabili  della  custodia  delle  password  sono  stati avvisati  con  istruzione  scritta  del  loro  dovere  di  informare tempestivamente l’incaricato degli eventuali interventi effettuati?

12. Amministratori di sistema

  • Le persone alle  quali  sono  attribuite  le  funzioni  di amministratore  di  sistema  sono  state preventivamente valutate e riconosciute dotate di un idoneo grado di esperienza, capacità e affidabilità e successivamente designati per iscritto mediante atto di nomina nel quale sono indicati gli ambiti di operatività?
  • Gli estremi identificativi delle persone che ricoprono il ruolo di amministratore di sistema, con l’elenco delle funzioni ad essi attribuite, sono conservati in apposito documento aggiornato?
  • L’operato degli amministratori di sistema viene sottoposto con cadenza almeno annuale ad un’attività di verifica volta a controllarne la rispondenza alle misure organizzative, tecniche e di sicurezza previste in relazione ai trattamenti effettuati con i sistemi sui quali gli amministratori stessi agiscono?
  • È  effettuata  la  registrazione  degli  accessi  logici  (access log)  eseguiti  dagli  amministratori  di  sistema  sugli  strumenti elettronici?
  • Sono  state  adottate  misure  organizzative  volte  a  conservare e  tenere  costantemente  a  disposizione  del  Titolare  le registrazioni degli access log?

13. Policy e procedure

  • È presente una policy che descriva il piano di azione in caso di incidente informatico? Se si, fornirne evidenza.
  • È presente una procedura di smaltimento dei dispositivi e/o riciclo basata sugli standard applicabili?
  • Sono presenti le procedure che descrivono le attività da effettuare nel caso in cui l’interessato eserciti, nei confronti del titolare, per i trattamenti affidati al fornitore, uno dei diritti previsti dal GDPR?
  • Elencare le procedure.

14. Responsabile protezione dati personali

  • La vostra Società ha nominato il DPO? Se sì, fornirne il nominativo.

15. Trasferimento dati

  • La Vostra Società tratterà dati al di fuori dello stabilimento principale per conto del Titolare ?
  • Se si, il processo è gestito in ottemperanza ai requisiti GDPR?
  • In quali data center vengono conservati i dati della vostra società? Specificare: a) se sono di proprietà del fornitore o di terze parti; b) se sono in Paesi Ue o Extra UE.
  • Nel caso di trasferimento verso Paesi Extra Ue, specificare quali sono e la legittimità del trasferimento (Art. 44 RGPD)
  • La Vostra Società mette a disposizione servizi in modalità cloud per il servizio prestato  ?
  • Se si, il processo è gestito in ottemperanza ai requisiti GDPR e del decalogo CLOUD COMPUTING emanato dal Garante Italiano per la protezione dei dati Personali ?
  • Se si, quali sono le misure di sicurezza adottate dal fornitore per proteggere  i dati?
  • Se si, chi è il reale fornitore del servizio che si sta acquisendo?
  • Si tratta di una singola società o di un consorzio di imprese?
  • Se si, in caso di problemi al collegamento Internet, è comunque possibile continuare a usufruire dei servizi senza l’accesso al cloud?
  • In quanto tempo può essere ripristinato il sistema? Esistono piani di emergenza per i servizi essenziali?
  • Se si, in caso di recupero dei dati, in che tipo di formato vengono rilasciati?
  • Se si, esistono garanzie di riservatezza per i nostri dati nel caso in cui un concorrente condivida gli stessi servizi cloud?
  • Se si, in quale Stato sono conservati i dati caricati sulla “nuvola”? È possibile scegliere di usufruire di server collocati solo in territorio nazionale o in Paesi dell’Unione europea?
  • Se si, la tecnologia utilizzata dal fornitore  di cloud è di tipo “proprietario”? I dati possono essere esportati facilmente?
  • Se si, nel caso in cui si accerti una violazione o la perdita dei dati, il fornitore garantisce un pronto risarcimento del danno?

16. Certificazioni

  • La vostra Società è certificata ISO/IEC 27001 o altre?

17. Linee guida sviluppo sicuro del software (se applicabile rispetto alla tipologia di trattamento)

  • Sono state seguite le linee guida per lo sviluppo del software sicuro AGID? Se si, indicare l’ultimo aggiornamento seguito.
  • Sono state prese in considerazione altre linee guida relative allo sviluppo del software (ad es. owasp) ? Se si, indicare quali e relativo aggiornamento.

18. Controlli Essenziali di Cybersecurity

  • Requisiti applicazione Regolamento DORA:  a) La Vostra Società opera nel settore finanziario  o assicurativo?
    b) La Vostra Società ha come clienti imprese o organizzazioni che operano nel settore finanziario e assicurativo alle quali fornisce servizi relativi alle tecnologie dell’informazione e della comunicazione (cc.dd. tecnologie ICT), come ad esempio piattaforme Cloud o servizi di analisi di dati?
  • Requisiti applicazione Cyber Security Framework (Direttiva NIS 1 e 2)
    a) La vostra azienda opera nei seguenti settori critici: trasporti, banchi, infrastrutture del mercato finaziario? (NIS 1)
    b) La vostra azienda opera in qualità di fornitori digitali (mercati online, motori di ricerca online, piattaforme di servizi di social networking), di gestori di rifiuti, di servizi postali o come organizzazioni di ricerca? (NIS 2)
  • Inventario dispositivi e Software: Esiste ed è mantenuto aggiornato un inventario dei sistemi, software, dispositivi, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale?
  • Inventario dispositivi e Software : I servizi web (social network, cloud computing, posta elettronica, spazio web, etc…) offerti da terzi e parti a cui si è registrati sono quelli strettamente necessari ?
  • Inventario dispositivi e Software : Sono individuate le informazioni, i dati e i sistemi critici per il fornitore affinchè siano adeguatamente protetti ?
  • Inventario dispositivi e Software : È stato nominato un referente che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici ?
  • Governance : Sono identificate e rispettate le leggi e/o i regolamenti con rilevanza in tema di cybersecurity che risultano applicabili per il fornitore ?
  • Protezione da Malware: tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware, ecc…) regolarmente aggiornato?
  • Gestione Password e Account:  Le password sono diverse per ogni account della complessità adeguata e viene valutato l’utilizzo di sistemi di autenticazione più sicuri (es. autenticazione a due fattori)?
  • Gestione Password e Account : Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri : l’accesso è opportunamente protetto; i vecchi account non più utilizzati sono disattivati?
  • Gestione Password e Account : Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza?
  • Formazione e consapevolezza : Il personale è adeguatamente formato e sensibilizzato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali. I verticiaziendali hanno cura di predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza?
  • Protezione dei dati : La configurazione di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi. Le credenziali di accesso di default sono sempre sostituite?
  • Protezione dei dati : Sono eseguiti periodicamente i backup delle informazioni e dei dati critici (identificati al controllo 18.3)?
  • Protezione delle reti : Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (es. Firwall e altri dispositivi/software anti-intruzione)?
  • Prevenzione e Mitigazione :  In caso di incidente (es. venga rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto?
  • Prevenzione e Mitigazione :  Tutti i software in uso (incluso i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software  obsoleti e non più aggiornabili sono dismessi?

19. Utilizzo dell’Intelligenza Artificiale

  • Utilizzate algoritmi o altre forme di IA? Se sì, specificare
  • Modello di AI Conformity Assessment: Utilizzate un modello per la gestione e il monitoraggio dell’IA?
  • Valutazione d’impatto: Avete già condotto una FRIA?

20. Requisiti per l’applicazione del Data Act

  • a) Operate nel settore dell’IoT?
  • b) Utilizzare Privacy Perserving Technoligies? Se sì, indicare quali

21. D.lgs. 24/2023 : Whistleblowing

  • a) Siete soggetti all’applicazione ?
  • b) Se si, avete adottato le procedure come previsto dal Decreto ?

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In