Sicurezza e GDPR

Promuovere la sicurezza all'interno dell'ambiente informatico e garantire livelli di sicurezza compatibili con quelli richiesti dai servizi erogati dai soggetti coinvolti nel Piano di sviluppo della società dell’informazione.
 

Normativa

Regole per l'uso delle risorse ICT e dei dispositivi di telefonia mobile

La  DGR n. 1067 del 04 settembre 2023, ha dettato le nuove "Regole per l'uso delle risorse ICT e dei dispositivi di telefonia mobile" in sostituzione delle norme comportamentali già approvate con DGR n. 1480 del 16 ottobre 2018.

- Dgr 1067/2023
 

Vulnerability Assessment

L’attività di “Vulnerability Assessment” (VA) è fondamentale ai fini del regolamento europeo in materia di protezione dei dati ( GDPR) per documentare come l’Amministrazione Regionale mantiene in efficienza i sistemi e le applicazioni che raccolgono, gestiscono ed archiviano dati personali.

Il rapporto di VA costituisce una evidenza oggettiva che l’Amministrazione Regionale è conforme ai contenuti nel regolamento GDPR ( sito del Garante per la protezione dei Dati).

Per la conduzione del VA l’Amministrazione Regionale si avvale dei servizi di verifia dinamica della sicurezza delle applicazioni web attraverso la convenzione CONSIP SPC Lotto 2- Sicurezza.

L'Amministrazione Regionale, prima della messa in esercizio di un nuovo servizio applicativo, consegna al fornitore degli applicativi software l'esito dell'attività di Vulnerability Accessment condotta sull'applicazione in ambiente di collaudo

La documentazione fornita all’atto del rilascio dell’applicazione software dovrà contenere il rapporto di VA condotto dal fornitore che, all'atto della messa in esercizio, deve garantire l'eliminazione delle evenutuali vulnerabilità presenti nell'applicazione raccolte nel repository del MITRE ( cve.mitre.org).

Qualora il rapporto di VA condotta dall’Amministrazione Regionale sull’applicazione software non confermi quello effettuato dal fornitore, quest’ultima si riserva la facoltà di applicare le eventuali penali previste nel contratto di fornitura, fermo restando l’obbligo in capo al fornitore di sanare entro 30 giorni solari le vulnerabilità rilevate.
 

Nornativa precedente

- con D.G.R n. 240 del 15/3/2011 sono state adottate le linee guida di sicurezza informatica e le norme comportamentali per gli utenti per la protezione del patrimonio informativo della Regione Veneto. 
( Allegati alla DGR:  "Linee guida" e "Le norme di comportamento per gli utenti").
 

- con D.G.R n. 863 del 31/3/2009 è stato approvato il Disciplinare per l’utilizzo di Posta elettronica, internet, Telefoni e fax all’interno di Regione del Veneto.
(Allegato alla DGR: "Disciplinare per l’utilizzo di Posta elettronica, internet, Telefoni e fax all’interno di Regione del Veneto").
 

- in adempimento del provvedimento del Garante della Privacy del 27.11.2008 (punto 2, lett. c: "...qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici […] sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni").