Zanetti S.p.A.
Modello di organizzazione, gestione e controllo ai sensi del D.Lgs. 231/2001
____________________________________________________________________________________
48
B.3. Protocolli specifici di prevenzione
Per le operazioni riguardanti la
gestione degli accessi e utilizzo di sistemi informatici o telematici e
delle relative smart card (incluso l’accesso e l’utilizzo di sistemi della PA, quali portale Camera di
Commercio, applicativo Agenzia delle Dogane, ecc.)
, si applica quanto previsto al paragrafo A.4 della
presente Parte Speciale, con riferimento alla corrispondente attività sensibile. Inoltre, i protocolli prevedono
che:
siano definiti (ad es. all’interno del DPS) i criteri e le modalità per la creazione delle password di
accesso alla rete, alle applicazioni, al patrimonio informativo aziendale e ai sistemi critici o sensibili
(ad es. lunghezza minima della password, regole di complessità, scadenza);
siano definiti formalmente (ad es. all’interno del DPS) i requisiti di autenticazione ai sistemi per
l’accesso ai dati e per l’assegnazione dell’accesso remoto agli stessi da parte di soggetti terzi,
quali consulenti e fornitori;
le applicazioni tengano traccia delle modifiche ai dati compiute dagli utenti;
siano definiti (ad es. all’interno del DPS) i criteri e le modalità per l’assegnazione, la modifica e la
cancellazione dei profili utente;
sia predisposta una matrice autorizzativa – applicazioni/profili/richiedente – allineata con i ruoli
organizzativi in essere e coerente con i principi di segregazione dei ruoli;
siano eseguite verifiche periodiche dei profili utente al fine di verificare che siano coerenti con le
responsabilità assegnate e coerente con i principi di segregazione dei principi di segregazione dei
ruoli;
siano definiti (ad es. all’interno del DPS) i criteri e le modalità per le attività di
back up
che
prevedano, per ogni applicazione hardware, la frequenza dell’attività, le modalità, il numero di
copie ed il periodo di conservazione dei dati;
sia definito un piano di
disaster recovery
;
siano definite, in funzione della rilevanza, le credenziali fisiche di accesso ai siti ove risiedono i
sistemi informativi e le infrastrutture IT.
B.4. Flussi informativi verso l’OdV
I Responsabili delle attività sensibili trasmettono all’OdV le informazioni indicate nelle procedure o negli altri
Strumenti di attuazione del Modello applicabili, con la periodicità e le modalità previste dagli stessi.