Trattamento Dati

Documento programmatico sulla sicurezza dei dati

Redatto ai sensi della Legge 675/1996.
Misure minime di sicurezza dei dati DPR 318/1999 e Legge 325/2000.
Adeguamento ai sensi del D.Legsl.196/2003.

Regola 19.1
Elenco trattamento dati

La Ellegi Medical Optics srl esercita la sua attività di commercio all’ingrosso di attrezzature elettromedicali e presidi medico chirurgici in campo oftalmologico e dispone di uffici e depositi in Pozzuoli alla via Pisciarelli 79.
La struttura è investita della funzione privacy sotto il profilo della gestione degli archivi clienti e fornitori e pertanto già da tempo ha adottato preventive idonee misure di sicurezza a tutela di tali dati.
Inoltre la struttura per alcune ricorrenti circostanze è tenuta alla gestione di dati cosiddetti sensibili per i quali ha provveduto ad inoltrare formale notificazione al Garante per la protezione dei dati personali  in data 13/05/2004 pervenuta in pari data allo stesso alle ore 19,27.
In particolare nell’esercizio della attività di distribuzione di alcuni prodotti denominati IOL ossia lenti intraoculari da impiantare a pazienti affetti da cataratta che vengono fornite a cliniche private e/o ad aziende Ospedaliere Pubbliche, la Ellegi viene a conoscenza via fax del nome e delle generalità del paziente (cliente della struttura medica).
Quanto sopra avviene esclusivamente per interesse ed a seguito di specifica richiesta delle cliniche e/o delle Aziende Ospedaliere le quali grazie all’abbinamento paziente/prodotto/spesa ottemperano alla  gestione dei processi di  monitoraggio dei centri di costo al fine del contenimento della spesa.
La Ellegi Medical Optics srl, totalmente estranea a tale problematica riceve via fax dal proprio cliente clinica privata, lo sticker adesivo apposto sulla confezione del presidio con annotazione delle generalità del paziente al quale è stata impiantata la lente intraoculare.
Tale informazione, di nessun interesse per l’azienda, non viene lavorata da nessun addetto e pertanto La Ellegi non è tenuta alla cifratura crittografica della stessa.
L’addetto al magazzino si limita a riscontrare il prodotto all’epoca fornito per l’aggiornamento del carico/scarico e consegna tale notizia all’addetto alla fatturazione per gli adempimenti di propria competenza.
Tali dati rimangono custoditi solo cartaceamente in appositi armadi con le modalità  seguito riportate.
Tutti i dati di cui alla Legge 675/96 pertanto  sono custoditi presso i suddetti propri uffici di via Pisciarelli 79, Pozzuoli.

Regola 19.2

Compiti e responsabilità

Sistema informativo della Ellegi Medical Optics srl

La Ellegi Medical Optics srl per la sua gestione aziendale sfrutta una rete costituita da un server e da sei client,  gestita da un hub hp mod. Hp3235a.
Nella planimetria dell’ufficio, di cui si allega copia, le sei postazioni vengono contrassegnate con le lettere a,b,c,d,e,f.

Di seguito viene specificato per ogni postazione la dotazione hardware e software:

Dotazione hardware: server ibm mod. Netfinity 3000 con processore pentium ii x86 family at/at compatibile, con 64 mb di memoria ram, cd-rom, floppy disk da 3” ½ , monitor 14” ibm mod. G42, unita’ di back-up hp mod. Surestore hp t4000s, gruppo di continuita’ aps mod. Back-ups 300, stampante ad aghi epson mod. Lx-300+, lettore ottico per codici a barre bancolini mod. Bt-c80, mouse ibm ps/2, tastiera ibm 102 tasti mod. Kb-7953, scheda rete fast ethernet mod. Sn5000tx 10/100
Dotazione software: s.o. windows nt 4.0, office 97 completo, target, symantec win fax-pro
(identificativo di rete: server)

Dotazione hardware: computer ibm pc/at  mod. 300gl con processore pentium mmx 200 mb, 32 mb di ram, floppy disk da da 3” ½ , monitor 14” samsung mod. Syncmaster 400b, stampante laser olivetti mod. Pg l12en, lettore ottico per codici a barre data logic mod. Dlc6065-m1, mouse standard ps/2, tastiera ibm 102 tasti mod. Kb-8926, scheda rete fast ethernet mod. Sn5000tx 10/100
dotazione software: s.o. windows 95 4.00, office 97 (excel / word), target
(identificativo di rete: daniela)

Dotazione hardware: computer ibm pc/at  mod. 300gl con processore pentium mmx 200 mb, 32 mb di ram, floppy disk da 3” ½ , monitor 15” samtrom mod. 76e, stampante hp mod. Hp deskjet 1120c,  mouse kensington standard ps/2 mod. 19410, tastiera ibm 102 tasti mod. Kb-8926, modem esterno standard 56k, scheda rete fast ethernet mod. Sn5000tx 10/100
dotazione software: s.o. windows 95 4.00, office 97 (excel / word), target
(identificativo di rete: alberto)

Dotazione hardware: computer ibm pc/at  mod. 300gl con processore pentium mmx 200 mb, 32 mb di ram, floppy disk da da 3” ½ , monitor ibm 14” mod. 6540-02n, stampante ad aghi epson mod. Lq-670,  mouse standard ps/2 mod. 19410, tastiera ibm 102 tasti mod. Kb-8926, scheda rete fast ethernet mod. Sn5000tx 10/100
dotazione software: s.o. windows 95 4.00, target
(identificativo di rete: paola)

Dotazione hardware: computer ibm pc/at  mod. 300gl con processore pentium mmx 200 mb, 64 mb di ram, floppy disk da da 3” ½ , cd-rom samsung mod. Scr-2431, monitor 15” samtrom mod. 76e, stampante hp deskjet mod. 840c,  mouse standard ps/2 mod. 19410, tastiera ibm 102 tasti mod. Kb-8926, scheda rete fast ethernet mod. Sn5000tx 10/100, modem isdn motorola mod. Sm56 pci
dotazione software: s.o. windows 98 4.10, office 97 completo, target, power point
(identificativo di rete: luigi)

Dotazione hardware: computer compatibile con processore pentium iv 1.7 gb, 256 mb di ram, floppy disk da  3” ½ , cd-rom lg mod. Crd-8521b, monitor ibm 14” mod. 6540-02n, stampante hp deskjet mod. 1120c,  mouse standard logitech ps/2 mod. M-s43, tastiera samsung 102 tasti mod. Sdm4500p, scheda rete fast ethernet mod. Sn5000tx 10/100, scanner hp mod. Scanjet 5100c
dotazione software: s.o. windows 2000 4.90, office 97 completo, target, power       point, front page, photo deluxe 20. Adobe, acrobat reader 4.0
(identificativo di rete: rita)

Alcune risorse vengono condivise tra le varie postazioni come da schema seguente:

Gestione del remote-banking

Dalle postazione c ed e e’ possibile effettuare un collegamento di remote-banking per la gestione immediata di tutte le operazioni bancarie comprese nel servizio.

Descrizione del programma gestionale “sam-erp2”

Sam-erp2

Software di gestione
Aziendale integrata

Sam – magazzino

Target – m è la parte del programma target che gestisce il magazzino, la fatturazione, gli ordini, le offerte e la produzione.

Sam – contabilità
Contabilità analitica
Le operazioni da compiere per utilizzare la contabilità analitica sono le seguenti:

Definizione dei centri di costo dell’azienda (centri di costo). In questa sezione possono anche essere attribuiti i budget preventivi dei centri di costo.
Definizione eventuale delle percentuali di attribuzione dei sottoconti (sezione sottoconti; comando centri di costo).
Inserimento delle operazioni per centri di costo (sezione movimenti contabili; comando centri di costo). Questa operazione può essere effettuata durante l’inserimento dei movimenti contabili oppure in seguito.
Inserimento eventuale operazioni extra contabili: (movimenti di contabilità analitica).
Stampa bilancio per centri di costo; (sezione centri di costo; voci stampa bilancio e stampa movimenti).

Il programma è protetto da copiatura mediante l’utilizzo di un codice utente. In base ai dati anagrafici dell’azienda, ai moduli opzionali abilitati ed al numero di posti di lavoro.

Informazioni analitiche sulla distribuzione dei compiti e delle responsabilità viene riportata di seguito nell’apposito riquadro descrittivo della regola 19.2.

Regola 19.3
Analisi dei rischi

Le possibili minacce alla conservazione dei dati sono solo quelle tipiche di una struttura ubicata in edificio residenziale posto in centro abitato non industriale.
Per quanto riguarda le minacce di incendio, la struttura è dotata di sistemi di spegnimento manuale mediante estintori regolarmente soggetti a revisione di legge.
Per quanto riguarda malfunzionamenti di hardware e software l’azienda dispone di appositi contratto di assistenza e manutenzione.
L’analisi dei rischi è a cura del Responsabile CED ed è oggetto di continua osservazione e monitoraggio insieme all’Amministratore unico e l’Amministratore di sistema.

Regola 19.4
Contromisure

Sicurezza fisica dei dati

L’accesso agli uffici è inibito a qualsiasi persona non conosciuta e non  autorizzata.
In particolare agli uffici è consentito l’accesso, oltre che ai dipendenti e collaboratori, a personale di aziende di trasporto identificato e  incaricato al trasporto ed alla vettura di merci a seguito di apposito contratto di trasporto siglato dalla Ellegi Medical Opitcs srl.
Ad essi si accede attraverso porta corazzata e porta in vetro le cui chiavi sono in possesso dell’amministratore unico Luigi Buono.
Tutta la documentazione, riguardante i dati anagrafici dei clienti e dei fornitori, è custodita in armadi e cassetti di muniti di serratura a chiave di cui una copia in possesso del personale amministrativo identificato ed un’altra all’amministratore unico Luigi Buono.

La doppia copia di back-up è custodita in posti ed ambienti diversi nell’ambito dell’ufficio di via Pisciarelli 79, Pozzuoli.

Sicurezza logica dei dati.

In rispetto alla normativa, la Ellegi Medical Optics srl utilizza, al momento, due password e precisamente una per l’accensione del server e l’altra per l’avvio del programma gestionale target note alla direzione ed a personale identificato.
Attualmente e’ allo studio la possibilità di inserire password modulari per l’ingresso in particolari settori del programma gestionale  per ogni postazione della rete.
Tutto il software sopradescritto dispone di programmi antivirus con installazione di aggiornamenti a periodicità variabile da un giorno e fini a sei mesi.
E’ esclusa l’attribuzione di pass-word banali.

Contromisure procedurali e comportamentali e di controllo

Per quel che riguarda le copie di sicurezza dei dati (back-up) queste vengono effettuate in duplice copia ed ogni giorno alle ore 13,30 su unità zip custodite in cassetti di sicurezza da personale all’uopo autorizzato munito di chiave singola la cui copia è in possesso dell’amministratore.
Periodicamente l’amministrazione effettua test delle procedure di riutilizzo.
Le password, mai scritte su materiale cartaceo, vengono modificate ogni sei mesi ed è fatto divieto al personale di utilizzare il P.C. per scopi personali, ludici o per scaricare materiale via Internet.

Norme per i servizi in outsourcing

L’unico servizio che viene effettuato in outsourcing è quello relativo alla periodica contabilizzazione previdenziale delle buste paga; tale servizio è effettuato da un consulente esterno iscritto all’Albo dei Ragionieri e dei Consulenti del lavoro della Provincia di Napoli.
L’outsourcer utilizza sistema informativo con licenza d’uso appositamente rilasciata.

Sicurezza degli archivi cartacei

Come già detto in precedenza tutta la documentazione cartacea  viene custodita in cassetti ed armadi dotati di serratura a chiave.
Non è consentito a nessuno accedere a tale documentazione fuori orario in quanto le chiavi sono in possesso dell’amministrazione che le consegna al personale di volta in volta per l’utilizzo.
Controlli a campione vengono eseguiti sistematicamente circa la sicurezza di tale sistema di custodia.
L’ufficio è dotato di estintori antincendio sottoposti a revisione e collaudo periodico come per legge.

Regola 19.5

Modalità di ripristino

La procedura per il salvataggio dei dati è gestita dalla Direzione dell’azienda attraverso il  Responsabile CED ed l’Amministratore di Sistema che mantengono la presente copia del manuale presso la sede dell’ufficio in via Pisciarelli 79, Pozzuoli.
Ovviamente anche le copie di sicurezza via via elaborate sono custodite in azienda .
In caso di estrema necessità causato da impedimento fisico della struttura di via Pisciarelli 79, Pozzuoli viene indicata come sede alternativa per il ripristino dei dati, l’abitazione dell’Amministratore unico ubicata in Napoli al C.so V. Emanuele 167/III disponibile in un giorno dalla richiesta.
Annualmente vengono effettuati test di efficacia della procedura di ripristino documentate con apposite schede.

Regola 19.6

Pianificazione interventi formativi

IL Responsabile CED prevede un corso di formazione con cadenza annuale.

Regola 19.7

Norme per gli outsorcer

L’unico servizio che viene effettuato in outsourcing è quello relativo alla contabilizzazione delle buste paga; tale servizio è effettuato da un consulente esterno iscritto all’Albo dei Ragionieri e Consulenti in materia del lavoro della Provincia di Napoli che utilizza sistema informativo con licenza d’uso appositamente rilasciata ed è tenuto agli analoghi obblighi previsti dalla normativa di riferimento.

Regola 19.8

Criteri di cifratura

Non applicabile.