Caratteristiche tecniche di IntranetDPS

• Caratteristiche e qualità dell'applicazione software:

  Di seguito sono riportate le principali caratteristiche tecniche, operative e funzionali dell'applicazione:

  • Il Software è stato realizzato su piattaforma AJAX e Mysql ed è completamente Server-Side, pertanto può essere usato da qualsiasi terminale (Windows, Unix, Mac e altro) che abbia un browser Web;
  • IntranetDPS consente di gestire, in modo distribuito, sia in modalità Intranet che Internet o Extranet la raccolta decentrata delle informazioni necessarie per la predisposizione del Documento Programmatico sulla Sicurezza (DPS), mediante l'accesso contemporaneo ed indipendente al sistema di più utenti, preventivamente individuati ed autorizzati in funzione del ruolo ricoperto all'interno dell'organizzazione. In particolare tramite IntranetDPS è possibile effettuare la raccolta decentrata delle informazioni relative al censimento dei trattamenti, delle banche dati cartacee ed elettroniche oggetto del trattamento e delle applicazioni software utilizzate per il trattamento con l'indicazione dei luoghi fisici ove le stesse sono conservate;
  • Il software consente inoltre di automatizzare la parte di "censimento" delle informazioni (sia in fase iniziale che in fase di aggiornamento) tramite l'utilizzo di interfacce specifiche (connettori) per l'inserimento e la manutenzione dell'elenco del personale (incaricati e responsabili) e degli asset (applicativi, server ed archivi). L'identificazione delle basi dati aziendali da cui prelevare le informazioni e la definizione delle relazioni/regole per auto-popolare periodicamente l'applicativo viene tipicamente effettuata nella fase di analisi dei requisiti;
  • Oltre alle due sopracitate metodologie di inserimento, cioè il connettore di auto-popolamento e la modalità manuale è disponibile una modalità "custom" che consente di fare deployment massivi di data entry da fogli di calcolo piuttosto che di relazioni da assiomi predeterminati;
  • Intranet DPS possiede inoltre un modulo di analisi dei rischi che consente di effettuare la gestione centralizzata dei rischi di sicurezza associate ai dati e agli asset (programmi,server, archivi, edifici, ecc…) oggetto dei trattamenti. Per dettegli su questo modulo funzionale si rimanda al paragrafo "1.1.7. Area analisi dei rischi". La metodologia di analisi dei rischi 6egrave; conforme con gli standard internazionali in materia di sicurezza delle informazioni (es. ISO27001);
  • L'applicazione consente inoltre di effettuare la conservazione storica di tutti i dati gestiti; la struttura dell'applicativo prevede infatti che ogni variazione dei dati mantenga inalterata la struttura precedente pertanto nessun dato e nessuna relazione viene cancellato. Questa metodologia da la possibilità di poter avere delle situazioni di flusso contestualizzabili in un punto arbitrario del passato in modo da poter rispondere all'esigenza di sapere chi aveva un determinato ruolo in un determinato momento, questione fondamentale sia in caso contestazione per trattamento illecito così come per l'identificazione dei ruoli temporanei che si creano nell'intervallo tra il 31/03 di due anni e le relative stesure del DPS di pertinenza;

  Per quanto riguarda le caratteristiche di qualità dei servizi professionali richiesti nel bando di gara riteniamo utile evidenziare che il gruppo di lavoro è composto da personale di comprovata esperienza nella progettazione, implementazione e mantenimento di sistemi software per il governo degli adempimenti privacy nonchè da esperti in area organizzativa e legale dotati delle competenze normative necessarie per garantire la corretta realizzazione dell'intervento.

• Principali aree funzionali di cui si compone IntranetDPS

  • 1.1.1. Area Amministrazione
  • 1.1.2. Area "Inserimenti Manuali"
  • 1.1.3. Area "Gestione Trattamenti"
  • 1.1.4. Area Gestione Responsabili
  • 1.1.5. Area Gestione Incaricati
  • 1.1.6. Area Assegnazioni
  • 1.1.7. Area analisi dei rischi
  • 1.1.8. Area Ricerche
  • 1.1.9. Area Formazione
  • 1.1.10. Area Gestione DPS

  1.1.1. Area Amministrazione

  L'area di amministrazione consente di gestire l'inserimento e la modifica dei profili operativi (titolare, responsabili e loro delegati, incaricati); in particolare tramite l'utilizzo di Access Control List (ACL) è possibile gestire sia la visualizzazione delle aree funzionali che la tipologia di logica operativa legata ad una specifica area funzionale (questo può esser fatto selezionando le logiche operative da un insieme predefinito oppure definendo delle logiche "custom" definite sulla base di analisi condotte presso una realtà specifica).
  Le figure di amministrazione sono agevolate da un sistema di "warning" avente lo scopo di evidenziare incongruenze, mancanze o variazioni oggetto di nota, nelle relazioni tra i dati inseriti e gli obblighi normativi. L'organigramma standard di gestione dell'applicativo rispecchia quello delle responsabilità Privacy ed in particolare consente al Titolare di nominare i Responsabili ed ai Responsabili di designare gli incaricati e di attribuire loro autorizzazioni, risorse e procedure. Tale configurazione di default può essere modificata attraverso l'utilizzo di ACL funzionali che consentono di variare le attribuzioni delle attività da svolgere ai vari ruoli privacy, pertanto, ad esempio, è possibile decidere che ogni Responsabile abbia autonomia gestionale nell'inserimento dei propri trattamenti oppure consentendo allo stesso di delegare a sua volta l'attività di censimento a terzi con cui è instaurato un rapporto fiduciario (ad esempio un assistente alla direzione).

  

  1.1.2. Area "Inserimenti Manuali"

  

  In questa area è possibile inserire gli oggetti base, ovvero il personale, gli asset, gli applicativi, gli affidatari in modo differenziali rispetto a quanto popolato automaticamente dal connettore automatico.
  È pertanto possibile coprire le eccezioni nonchè specifiche situazioni in cui ad esempio dei collaboratori non siano presenti nel sistema HR oppure degli asset non siano gestiti dal sistema centralizzato.

  

  1.1.3. Area "Gestione Trattamenti"

  

  Quest'area consente di effettuare il censimento e la gestione dei trattamenti (interni ed affidati all'esterno) e delle banche dati nonché delle misure minime associate agli stessi.
  In particolare per ciascun trattamento è possibile inserire le seguenti informazioni: la descrizione del trattamento, l'identificazione analitica della tipologia di dati trattati (banche dati), l'indicazione della relazione specifica al/ai centri di responsabilità preposti al trattamento. Sempre in questa sezione è possibile associare il trattamento agli asset (applicativi, server, pc, archivi cartecei) utilizzati a supporto del trattamento stesso. La scelta degli asset avviene scegliendo tra una lista di oggetti funzionali pre-caricati che possono essere filtrati per centro di responsabilità. Ad esempio se il censimento riguarda un trattamento di tipo cartaceo viene generalmente proposto un insieme di possibili archivi, mentre se il censimento è relativo ad un trattamento di tipo elettronico, il sistema propone un insieme di applicativi, di server o di supporti di memorizzazione (anche qui in base alla configurazione prescelta nella relazione tra gli oggetti) utilizzati a supporto del trattamento. Quest'area funzionale consente inoltre di indicare in modo analitico le finalità le modalità di trattamento, la natura degli interessati e le eventuali modalità di diffusione dei dati oggetto del trattamento selezionandole da un insieme predeterminato di opzioni frutto dell'analisi svolta dai professionisti che seguono l'avvio della procedura.
  Infine, sempre in questa area funzionale il sistema propone per ciascun trattamento (compresi quelli affidati all'esterno) un insieme di misure minime di sicurezza tra quella indicate dall'allegato B del D.lgs. 196/03, filtrate sulla base della combinazione tra la tipologia di dati oggetto del trattamento (ordinari, sensibili, giudiziari) e la tipologia del trattamento stesso (cartaceo/elettronico).

  

  1.1.4. Area Gestione Responsabili

  

  Quest'area funzionale consente di gestire la nomina dei Responsabili del trattamento mettendo in relazione un centro di responsabilità con un responsabile specifico. Questa funzionalità può essere automatizzata a seguito dell'attività di analisi basandosi su combinazioni di qualifiche presenti nel sistema HR, nella pianta organica ed eventualmente nel sistema di autenticazione, pertanto quest'area potrebbe essere utilizzata solo per gestire le relazioni che differiscano dalla definizione standard identificata in sede di analisi. Il sistema è in grado di gestire anche le eccezioni come i casi di "responsabile vacante" o "responsabile non nominato" così come la gestione dei Responsabili esterni. Il sistema inoltre provvede automaticamente alla gestione delle revoche di incarico in caso di cessazione del rapporto di lavoro e delle variazioni di attribuzione dell'incarico (in caso di subentro di nuove figure nel ruolo) sulla base di attività di controllo automatiche fatto dai connettori verso le fonti "autoritative" dei dati relativi alle gestione delle responsabilità (es. sistema HR). Resta inteso che ogni attività automatica è discrezionalmente attivabile e che può comunque generare degli avvisi automatici.

  

  1.1.5. Area Gestione Incaricati

  

  Quest'area funzionale consente di gestire gli incaricati al trattamento ed in particolare: l'aggiornamento dell'ambito del trattamento consentito, la gestione del processo di designazione ad incaricati, la tenuta e l'aggiornamento della lista degli incaricati, la gestione e l'aggiornamento periodico dei profili di autorizzazione, la predisposizione delle istruzioni.
  A seguito dell'esperienza acquisita in diversi anni di installazioni e sulla base di richieste specifiche fornite da diversi enti in ambito Pubblica Amministrazione, la gestione degli incaricati è stata suddivisa in due aree.
  La prima, prevede la definizione dell'insieme degli incaricati ad uno specifico trattamento, come l'insieme dei dipendenti delle unità funzionali afferenti alla responsabilità del Responsabile del trattamento che, per corrispondenza con criteri predeterminati in fase di analisi, come ad esempio la qualifica funzionale o la qualifica giuridica, siano riconducibili al ruolo di incaricati. La seconda modalità prevede invece l'inserimento manuale degli incaricati da parte del Responsabile del trattamento stesso.

  Quest'area consente inoltre, se desiderato, la creazione di profili (a livello applicativo) che possono coadiuvare il Responsabile del trattamento stesso nella definizione e nella gestione degli incaricati e delle assegnazioni di incarico.
  Come per il caso dei Responsabili, il sistema provvede a revocare automaticamente la nomina agli incaricati che non ne hanno più titolo (es. in caso di cessazione del rapporto di lavoro o cambio di ruolo) sulla base di informazioni fornite dai connettori con le basi dati aziendali (es. HR). Il sistema prevede inoltre la funzionalità di avviso, a mezzo notifica al personale preposto, della presenza di nuove figure che corrispondono ai criteri definiti dal Comune per identificare gli incaricati del trattamento.

  

  1.1.6. Area Assegnazioni

  

  Quest'area funzionale consente al personale preposto (autorizzato tramite ACL), come ad esempio potrebbe essere il responsabile del trattamento stesso e/o personale da lui delegato a svolgere tale mansione, di effettuare l'associazione tra specifici oggetti (ambito di trattamento, dispositivi, archivi, applicativi) e gli incaricati definendo di fatto le relazioni che comporranno automaticamente le nomine ad incaricati del trattamento.
  È possibile definire un insieme di profilazioni generali o per ogni oggetto in modo che nel relazionare ogni oggetto con gli incaricati o viceversa si possa definire il profilo di accesso specifico.
  Anche questa attività sarà parzialmente automatizzabile, definendo delle regole predefinite in fase di analisi e basandosi sulle relazioni riconducibili dalle basi dati aziendali e utilizzando come discriminanti ad esempio le qualifiche funzionali o contrattuali o combinazioni di attributi rilevabili del connettore.

  

  1.1.7. Area analisi dei rischi

  

  Quest'area funzionale consente la gestione centralizzata dell'attività di analisi e gestione dei rischi legati alla sicurezza dei dati e dei programmi a supporto dei trattamenti. Quest'area consente un elevato livello di personalizzazione, in modo da poterla adattare ad eventuali metodologie di analisi dei rischi già presenti in azienda ed al know-how specifico dei professionisti che si occuperanno del suo utilizzo. Di base si tratta di un framework che consente di gestire a più livelli, in modo ereditario, la valutazione dei rischi e degli impatti legati alla perdita di riservatezza, integrità e disponibilità dei dati oggetto dei trattamenti.
  La metodologia applicata consente la definizione degli Item di rischio (minacce) per ambito, la valorizzazione dell'impatto derivante dall'accadimento di ciascuna delle minacce identificate, la definizione del rischio globale connesso ad ogni trattamento nonchè l'identificazione delle contromisure di natura fisica, logica ed organizzativa (in essere o nuove) per ogni item con la valorizzazione del coefficente di abbattimento del rischio (assoluto o percentuale) per ogni trattamento.

  

  1.1.8. Area Ricerche

  

  In quest'area è disponibile un sistema di ricerca basato sulla combinazione di oggetti grafici combinabili tra loro (per un massimo di tre livelli) il cui risultato è un'interrogazione.
  I risultati delle ricerche sono estraibili in un report che può essere stampato in formato .pdf.
  Ogni interrogazione può essere salvata in una sezione personale di ogni utente e riprodotta a piacere.
  È possibile configurare questa area in modo da assegnarne l'accesso in base ad ACL anche in modo limitato alle sole aree di pertinenza in base al ruolo dell'utente stesso.

  

  1.1.9. Area Formazione

  

  In quest'area è possibile inserire le attività formative svolte in ottemperanza a quanto richiesto dal Dlgs 196/03 ed in particolare dal punto 19.6 dell'allegato B dello stesso.

  

  1.1.10. Area Gestione DPS

  

  Quest'area funzionale consente di gestire la produzione e l'aggiornamento periodico del Documento Programmatico sulla Sicurezza (DSP) nonchè dell'impianto documentale privacy (lettere di nomina/incarico, istruzioni per gli incaricati, informative, ecc..).
  Per quanto riguarda la produzione del DPS, in questa sezione è possibile popolare una serie di tabelle di riepilogo, personalizzabili sulla base delle esigenze dell'organizzazione, contenenti le informazioni che andranno a comporre il Documento Programmatico. In particolare questa sezione consente di raccogliere le seguenti informazioni di sintesi: "Elenco dei trattamenti", "Distribuzione delle Responsabilità", "Analisi dei Rischi", "Misure di Sicurezza", "Modalità di ripristino", "Interventi formativi", "Trattamenti esterni", "Dati sanitari", "Amministratori di Sistema".
  In questa sezione è inoltre possibile definire i template testuali che verranno usati dal sistema come base per la generazione della documentazione, come il DPS, le lettere di nomina per gli incaricati, le lettere di nomina per i responsabili e, se richiesto, le lettere per gli amministratori di sistema. Sempre in quest'area è possibile generare la documentazione in modo interattivo da parte degli utenti abilitati e consultare anche tutta la documentazione storica.