Reply_Regole Di Comportamento Per Gestione Sicura Risorse Aziendali - 1.2

8/19/2019 Reply_Regole Di Comportamento Per Gestione Sicura Risorse Aziendali - 1.2

1/22

Regole di comportamento per lagestione sicura delle risorse e delle

informazioni

ITA version

Redatto: Privacy IT Reply Verificato: O.Pepino Reply COO Approvato: Chief Executive OfficerChief Operation OfficerHR&Sourcing Director

Emanato: Reply Corporate Data di emissione: Ottobre 2014 Revisione : 1.3 Doc ID n .a. Doc template n.a

Note di riservatezza: Uso in t e rno


2/22

Regole di comportamento per la gestionesicura delle risorse e delle informazioni

ITA version

Redatto: Privacy IT Reply Verificato: O.Pepino Reply COO Approvato:CEOCOOHR&Sourcing Director

Emanato: Reply Corporate Data di emissione: Ottobre 2014 Revisione 1.3Note di riservatezza: Uso interno Pag. 2/22

Stato del documento

revisione data sintesi dei cambiamenti (approvato da) 1.0 Novembre 2012 Emissione Chief Executive Officer

Chief Operation OfficerHR&Sourcing Director

1.1 Giugno 2013 Regole mailing aziendale Chief Operation Officer1.2 Febbraio 2014 Tempi retention caselle di posta Chief Operation Officer1.3 Ottobre 2014 Evidenziazione delle norme specifiche

per le società italiane e requisito suiSocial Media

Chief Operation Officer

Sintesi dei cambiamentiLista dei principali cambiamentirispetto la revisione precedente:

1.1 Migliore specifica delle n orme per l’utilizzo Posta Elettronica .1.2 Modifica ai tempi di retention delle caselle di posta (par.6.1.1) e

maggiore puntualizzazione di alcune indicazioni.1.3 Evidenziazione delle indicazioni specifiche per l’Italia rispetto alle

norme di comportamento generali valide per tutte le Country einserimento delle indicazioni sull’utilizzo dei Social Media (par.5.2).

Allegati:

-


3/22


ITA version



Contenuti

1 INTRODUZIONE ..................................................................................................... 4

1.1 SCOPO ................................................................................................................ 4 1.2 DESTINATARI ......................................................................................................... 4 1.3 RESPONSABILITÀ .................................................................................................... 4 1.4 GLOSSARIO ........................................................................................................... 5

2 PRINCIPI PER LA GESTIONE SICURA DEI LOCALI E DELLE RISORSE FISICHE ....... 7

3 PRINCIPI PER LA GESTIONE SICURA DEI SUPPORTI CARTACEI .............. .............. 8

3.1 CLEANDESK POLICY ................................................................................................. 8 3.2 GESTIONE DEGLI ARCHIVI FISICI E DEI SUPPORTI CARTACEI ................................................... 8

4 PRINCIPI PER LA GESTIONE SICURA DEGLI STRUMENTI INFORMATICI .............. 10

4.1 PREVENZIONE DEI REATI INFORMATICI ........................................................................... 10 4.2 GESTIONE DELLE CREDENZIALI DI ACCESSO .................................................................... 11 4.3 GESTIONE DELLE POSTAZIONI DI LAVORO ....................................................................... 12

4.3.1 PC portatili ................................................................................................... 13 4.3.2 Dispositivi Portatili (PDA) ............................................................................... 13 4.3.3 Supporti di memorizzazione ........................................................................... 14

4.4 GESTIONE DELLA DOTAZIONESOFTWARE ....................................................................... 14 4.5 GESTIONE DEL SOFTWAREANTIVIRUS ........................................................................... 15

5 PRINCIPI PER LA GESTIONE SICURA DEI SERVIZI AZIENDALI ..................... ....... 16

5.1 NORME PER L’ UTILIZZO DELLAPOSTAELETTRONICA ........................................................... 16 5.2 NORME PER LANAVIGAZIONE ININTERNET ..................................................................... 18 5.3 ACCESSO AI DATI IN ASSENZA DELL’ UTENTE .................................................................... 18

6 CONTROLLI SULL’UTILI ZZO DEI SERVIZI AZIENDALI .................... ...................... 20

6.1.1 Controllo sul rispetto delle modalità di utilizzo della Posta Elettronica .................. 20 6.1.2 Controllo sul rispetto delle modalità di utilizzo della rete ed Internet ................... 21

7 CONSEGUENZE IN CASO DI MANCATA OSSERVANZA DELLE PRESCRIZIONI ......... 22


4/22


ITA version



1 INTRODUZIONE1.1 Scopo

Scopo del presente documento è definire le norme e le linee guida che devono essere rispettateda tutto il personale, ciascuno nei limiti delle proprie mansioni lavorative, al fine di garantire ilcorretto e sicuro utilizzo delle risorse messe a disposizione dalle Società del Gruppo Reply per losvolgimento dell’attività lavorativa. Più precisamente, le regole riportate all’interno del presentedocumento sono da applicarsi tanto con riferimento alle risorse fornite dalle singole Societàquanto con riferimento a quelle fornite dalle aree di staff di Reply Spa (con particolare ma nonesclusivo riferimento a quelle garantite dall’Area ICT Italy, nel seguito “Area ICT” ).Questo documento è stato emesso da Reply Corporate. Ciascuna country del Gruppo ha il

compito di adottare e contestualizzare il documento all’interno della propria organizzazione,considerando i requisiti normativi locali e le proprie specificità organizzative; ciascuncambiamento al documento, legato a questo genere di specificità, deve essere sottoposto everificato dal Chief Operation Officer di Reply.All’interno del documento ogni sezione specifica per la Country, legata a requisiti normativilocali o specificità organizzative, viene sottolineata in questo modo.In assenza di indicazioni puntuali da parte dei Clienti, le regole di comportamento nel seguitoriportate sono da considerare valide, ove applicabili, anche alle attività progettuali condotte aldi fuori delle sedi Reply ed ai casi di utilizzo e ricorso ad asset e strumentazioni di terze parti.Alla luce di quanto sopra riportato, nel seguito del documento, ove non meglio specificato, con iltermine “Società” verrà fatto sinteticamente riferimento tanto alle Società del Gruppo Reply

quanto alle Società clienti.

1.2 DestinatariDestinatario delle presenti Regole di comportamento è il personale dipendente dalle Societàitaliane del Gruppo Reply.A determinate condizioni o in particolari contesti operativi, il documento, e con esso i suoicontenuti, potranno essere applicati, integralmente o in parte, anche ad altri soggetti checollaborano a vario titolo con le Società del Gruppo.

1.3 ResponsabilitàDipendente Ogni dipendente è responsabile del rispetto, oltre che dei doveri

generali di lealtà, correttezza ed esecuzione del contratto di lavorosecondo buona fede, di quanto descritto nel presente documento,nonché nei documenti di indirizzo emanati dalla Società.Nell’applicazione delle norme nel seguito riportate , l’interpretazionepiù restrittiva (quella cioè che va nel senso della massima tutela deidati e del patrimonio informativo) è quella da ritenere valida e,


5/22


ITA version



quindi, da applicare. Lo stesso principio interpretativo è da applicare

anche nel caso in cui si debbano rispettare delle specifiche normeemanate dai Clienti.Responsabilediretto di ciascundipendente

Il Responsabile diretto di ciascun dipendente deve vigilare sull’usodegli strumenti informatici assegnati e deve segnalare, qualoranecessario, le presunte infrazioni e/o violazioni delle norme e/o deiprincipi del presente documento alla funzione HR&Sourcing.

Chief OperationOfficer

Il riesame e l’aggiornamento con cadenza annuale del presentedocumento, effettuato al fine di garantire che le disposizioniriflettano i requisiti normativi e le best practice, ricadono nell’ambitodelle responsabilità del Chief Operation Officer che potrà avvalersi,se necessario, del supporto di tutte le altre strutture aziendalirelativamente ai diversi ambiti di competenza.

1.4 GlossarioD. Lgs. 196/2003 Decreto Legislativo 30 giugno 2003, n. 196 (Codice in materia di

protezione dei dati personali)D. Lgs. 231/2001 Decreto Legislativo 8 giugno 2001, n. 231 (Disciplina della

responsabilità amministrativa delle persone giuridiche, dellesocietà e delle associazioni anche prive di personalità giuridica, anorma dell'articolo 11 della legge 29 settembre 2000, n. 300)

L. 633/1941 Legge 22 aprile 1941 n. 633 (Protezione del diritto d'autore e dialtri diritti connessi al suo esercizio) - G.U. n.166 del 16 luglio1941

Dato personale qualunque informazione relativa a persona fisica, identificata oidentificabile, anche indirettamente, mediante riferimento aqualsiasi altra informazione, ivi compreso un numero diidentificazione personale(definizione tratta dal D. Lgs. 196/2003 Art. 4 comma 1.b)

Dati identificativi i dati personali che permettono l'identificazione direttadell'interessato(definizione tratta dal D. Lgs. 196/2003 Art. 4 comma 1.c)

Dati sensibili i dati personali idonei a rivelare l'origine razziale ed etnica, leconvinzioni religiose, filosofiche o di altro genere, le opinionipolitiche, l'adesione a partiti, sindacati, associazioni odorganizzazioni a carattere religioso, filosofico, politico osindacale, nonché i dati personali idonei a rivelare lo stato disalute e la vita sessuale(definizione tratta dal D. Lgs. 196/2003 Art. 4 comma 1.d)

Dati giudiziari i dati personali idonei a rivelare provvedimenti di cui all'articolo3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14novembre 2002, n. 313, in materia di casellario giudiziale, di


6/22


ITA version



anagrafe delle sanzioni amministrative dipendenti da reato e dei

relativi carichi pendenti, o la qualità di imputato o di indagato aisensi degli articoli 60 e 61 del codice di procedura penale(definizione tratta dal D. Lgs. 196/2003 Art. 4 comma 1.e)


7/22


ITA version



2 PRINCIPI PER LA GESTIONE SICURA DEI LOCALI E DELLE RISORSE FISICHEPrincipi generali I locali e tutte le risorse fisiche fornite dalle Società e utilizzate nei diversi ambienti di lavorodevono essere protetti con la massima diligenza e nel rispetto delle procedure di lavoro definite,al fine di prevenire danni conseguenti ad azioni di carattere doloso/colposo. Particolareattenzione deve essere posta all’identificazione di tutte le situazioni anomale o ritenutepotenzialmente tali.

Norme di dettaglio

Per garantire la sicurezza delle informazioni contenute nelle aree, negli uffici e negli open space

all’interno dei quali si svolge l’attività lavorativa, dovranno essere rispettate le seguentidisposizioni:2.1. l’accesso alle sedi è consentito solo previa identificazione. Il badge di riconoscimento deve

essere tenuto in posizione ben visibile per l’intero periodo di permanenza all’interno dellesedi aziendali. Non è in alcun caso consentito lo scambio o il prestito seppur temporaneodel badge di riconoscimento assegnato;

2.2. i visitatori possono accedere alle sole aree coerenti rispetto alle ragioni della loro visita;inoltre devono essere sempre accompagnati dal proprio referente interno, vale a dire dallapersona o dalle persone cui sono stati annunciati al momento del loro arrivo;

2.3. il personale deve tempestivamente comunicare alle reception/segreterie di sede eventualianomalie connesse alla sicurezza fisica di aree e locali nei quali viene svolta l’attività

lavorativa e da cui può potenzialmente derivare un danno per i dati e le informazionigestite. A titolo esemplificativo, rientra tra i doveri di ogni dipendente comunicare leseguenti circostanze:

guasto o rottura dei sistemi di chiusura delle porte di accesso agli uffici/ dellefinestre;

smarrimento o furto di chiavi di accesso ai locali e/o agli archivi fisici (limitato aisoli dipendenti che possiedono delle chiavi di accesso).


8/22


ITA version



3 PRINCIPI PER LA GESTIONE SICURA DEI SUPPORTI CARTACEI

Principi generali La documentazione cartacea deve essere utilizzata e conservata con la massima cura, in mododa evitare che personale non autorizzato possa avervi accesso.

3.1 Clean Desk policy

Norme di dettaglio

Il personale deve rispettare una serie di norme alle quali si fa normalmente riferimento coltermine “Clean Desk Policy”; in particolare si stabilisce che: 3.1.1. le scrivanie all’interno degli uffici e degli open space siano utilizzate per accogliere i soli

documenti necessari per svolgere le proprie attività in uno specifico momento;3.1.2. tutti i documenti vengano custoditi all’interno di contenitori o archivi fisici

adeguatamente protetti, ad esclusione del momento del loro reale utilizzo;3.1.3. al termine della giornata lavorativa non siano lasciati incustoditi e facilmente accessibili

documenti di qualsiasi genere.

3.2 Gestione degli archivi fisici e dei supporti cartacei

Norme di dettaglioPer quanto riguarda gli archivi fisici presenti all’interno dei locali di lavoro devono essereadottate le seguenti norme di comportamento:3.2.1. l’access o agli archivi contenenti documenti rilevanti per la società e per il business deve

essere consentito solamente al personale autorizzato; sono da considerare autorizzati:o ad accedere ai dati trattati in una specifica area-ufficio tutti coloro che vi prestano

servizio o che hanno pertinenza con il tipo di attività svolta;o ad effettuare trattamento di dati personali tutti coloro che hanno ricevuto specifiche

istruzioni in merito attraverso consegna di apposita lettera di incarico al trattamentodei dati personali.

Con riferimento alla sicurezza di dati ed informazioni su supporto cartaceo, mantenutitemporaneamente all’esterno degli archivi fisici, valgono le seguenti norme di comportamento:3.2.2. fotocopiatrici, stampanti e fax sono strumenti aziendali e devono essere utilizzati solo

per lo svolgimento dell’attività lavorativa; 3.2.3. è vietato lasciare incustoditi fax, fotocopie, stampe presso le apposite apparecchiature.

In caso di stampe multiple o stampe di lunghi documenti, particolare attenzione deveessere posta alla verifica della coda di stampa, al fine di accertare che nessuno deidocumenti inviati sia rimasto in sospeso;


9/22


ITA version



3.2.4. i documenti rilevanti per la società e per il business se portati al di fuori delle sedi

aziendali non devono essere lasciati incustoditi in luoghi pubblici;3.2.5. la documentazione non più necessaria deve essere eliminata ricorrendo a pratiche che

garantiscano l’impossibilità, per un soggetto terzo, di ricostruire il contenuto dellamedesima con uno sforzo “ragionevole”; viene in particolare fatto obbligo di utilizzo deimacchinari distruggi documenti in tutti gli ambiti di lavoro in cui gli stessi risultanopresenti.


10/22


ITA version



4 PRINCIPI PER LA GESTIONE SICURA DEGLI STRUMENTI INFORMATICI

Principi generali 4.1. È vietato compiere qualsiasi azione contraria alle norme di legge, con particolare ma non

esclusivo riferimento al D.lgs 196/2003 (Codice in materia di protezione dei datipersonali), al D.Lgs 231/2001 (responsabilità amministrativa degli enti), ed alla Legge633/1941 (Diritto d’autore) ; ciò anche nel caso in cui l’azione sia posta in essere perconto e/o a favore di una o più delle Società del Gruppo Reply.

4.2. Deve essere garantito da parte di tutto il personale il rispetto del processo diidentificazione, autenticazion e ed autorizzazione definito per l’accesso alle risorseinformatiche.

4.3. Le strumentazioni di lavoro devono essere utilizzate dall’utente a cui sono assegnate inmodo da prevenire il danneggiamento fisico delle medesime nonché il furto delleinformazioni gestite per il loro tramite.

4.4. Il comportamento degli utenti deve essere tale da non interferire con il correttofunzionamento delle soluzioni software implementate per la tutela delle singole risorseinformatiche.

4.1 Prevenzione dei reati informatici

Norme di dettaglio

Nell’ambito delle più generali attività volte a prevenire la commissione di quelli che la normativadefinisce “reati informatici” , sono vietati i seguenti comportamenti, anche se posti in esserenell’interesse e/o a vantaggio di una o più delle S ocietà del Gruppo Reply:

4.1.1. introdursi abusivamente in un sistema informatico o telematico protetto da misure disicurezza ovvero mantenersi nel sistema stesso contro la volontà espressa o tacita di chi hail diritto di escluderlo;

4.1.2. procurarsi, riprodurre, diffondere, comunicare o consegnare codici, parole chiave o altrimezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure disicurezza, o comunque fornire indicazioni o istruzioni idonee al predetto scopo;

4.1.3. procurarsi, produrre, riprodurre, importare, diffondere, comunicare, consegnare o,comunque, mettere a disposizione di altri apparecchiature, dispositivi o programmiinformatici al fine di danneggiare illecitamente un sistema informatico o telematico, le

informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero favorirel'interruzione, totale o parziale, o l'alterazione del suo funzionamento;4.1.4. intercettare comunicazioni relative ad un sistema informatico o telematico o

intercorrenti tra più sistemi, ovvero impedire, interrompere o rilevare mediante qualsiasimezzo di informazione al pubblico in tutto o in parte il contenuto di tali comunicazioni;

4.1.5. installare apparecchiature atte ad intercettare, impedire o interrompere comunicazionirelative ad un sistema informatico o telematico ovvero intercorrenti tra più sistemi;


11/22


ITA version



4.1.6. distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o

programmi informatici altrui (ivi inclusi quelli utilizzati dallo Stato o da altro ente pubblico oad esso pertinenti o, comunque, di pubblica utilità);4.1.7. utilizzare gli strumenti informatici per visionare, memorizzare, stampare, copiare,

ricevere e/o diffondere materiale illegale, di proprietà altrui, coscientemente falso, osceno osimilare.

Osservazioni ulterioriA completamento di quanto riportato in precedenza si sottolinea che:

in alcuni specifici contesti progettuali le norme di comportamento sopra descrittepotrebbero risultare inapplicabili (ad esempio nel caso in cui vengano commissionateattività di “penetration test” e “vulnerability assessment”); in tali casi le attivitàoperative dovranno essere condotte esclusivamente in presenza di documentazione checomprovi l’esistenza di un’autorizzazione a procedere nonché in presenza di specificiaccordi di “manleva” . Le attività dovranno inoltre essere condotte rigidamente sulperimetro concordato e formalizzato con il cliente;

le regole di comportamento sopra riportate sono da considerare valide, ove applicabili,anche nel caso in cui nel corso delle attività si utilizzino asset, strumentazioni e risorsedi terze parti (con particolare riferimento a quelle dei clienti);

con specifico riferimento alla necessità di prevenire i c.d. “reati informatici”, tutto ilpersonale è tenuto a prendere visione, ciascuno in funzione del ruolo e delle indicazioniricevute da parte della Società, della documentazione e delle regole definite per ilrecepimento del D.Lgs 231/2001 disciplinante la “responsabilità amministrativa dellepersone giuridiche, delle società e delle associazioni anche prive di personalitàgiuridica”.

4.2 Gestione delle credenziali di accesso

Norme di dettaglio

Ogni utente, per accedere ai sistemi informatici aziendali deve essere preventivamenteidentificato ed autenticato, attraverso la verifica delle proprie credenziali. Le credenziali sonocostituite da:

user-id; password.

Le norme definite in tale ambito sono le seguenti:4.2.1. ogni utente deve essere dotato di credenziali di autenticazione nominali e personali;

ciascuno è direttamente responsabile per eventuali utilizzi impropri delle propriecredenziali di autenticazione;

4.2.2. le utenze amministrative devono essere utilizzate solo quando strettamente necessarioal raggiungimento delle finalità operative;


12/22


ITA version



4.2.3. la password è strettamente personale; la sua composizione deve rispettare i seguenti

requisiti: la lunghezza minima deve essere pari a 8 caratteri; devono essere utilizzati caratteri alfanumerici; devono essere definite password non banali, vale a dire non facilmente riconducibili

alla sfera di vita della singola persona; non può essere uguale al l’ identificativo utente;

4.2.4. quando la password viene ricevuta dagli addetti ai lavori per consentire il primo accessoal sistema deve essere immediatamente sostituita con una che rispetti i requisiti descrittinei punti precedenti;

4.2.5. qualora il sistema non richieda automaticamente la sostituzione, la password deveessere modificata almeno ogni sei mesi (tre mesi nel caso in cui l’utente tratti datisensibili/giudiziari);

4.2.6. indipendentemente dalle scadenze riportate al punto precedente, la password deveessere sostituita ogniqualvolta si tema che possa essere stata individuata, anchefortuitamente, da qualcuno;

4.2.7. la password deve essere sostituita nei casi previsti nel successivo paragrafo 5.3; 4.2.8. la password non deve essere memorizzata su alcun tipo di supporto, magnetico o

cartaceo.

4.3 Gestione delle postazioni di lavoro

Norme di dettaglio

Gli strumenti di lavoro forniti dalle Società, primi fra tutti i PC portatili e fissi sono di esclusivaproprietà delle stesse che ne possono disporre in qualsiasi momento; si ricorda che laresponsabilità dello strumento è attribuita a chi ne fa direttamente uso.A tutto il personale è richiesto il rispetto delle seguenti norme:

4.3.a. gli strumenti di lavoro devono essere utilizzati con la massima diligenza possibile e perfinalità prevalenti di carattere lavorativo (in relazione alle mansioni assegnate);

4.3.b. non devono essere consumati cibi e bevande in prossimità delle strumentazioni stesse,per ridurre i rischi di danneggiamento e/o malfunzionamento;

4.3.c. le postazioni di lavoro devono essere protette da accessi non autorizzati anche attraversoil ricorso a screensaver attivati automaticamente dopo un predefinito periodo di inattivitào attivabili quando l’utente si allontana dalla propria postazione di lavoro e configurati perrichiedere l’autenticazione per l’accesso;

4.3.d. la documentazione di lavoro deve essere preferibilmente archiviata all’interno di cartelledi rete ad accesso controllato e limitato; qualora non possibile l’utente deve condurre


13/22


ITA version



autonomamente il backup dei dati presenti sulla propria postazione, almeno con cadenza

settimanale;4.3.e. Gli utenti sono tenuti a rispettare tutte le regole ulteriori che potranno essere indicate

dalle Società e dai referenti di progetto in funzione di particolari livelli di criticità associatialle singole attività demandate.

4.3.1 PC portatili

Norme di dettaglio

Alle norme elencate per la gestione delle postazioni di lavoro si aggiungono le seguenti,specifiche per i PC portatili:4.3.1.1. il supporto tecnico è garantito solo per i dispositivi forniti dalle Società;

4.3.1.2. il PC portatile non deve mai essere lasciato incustodito durante gli spostamenti al difuori delle sedi aziendali; in particolare, non deve essere mai lasciato in automobile;4.3.1.3. i PC portatili devono essere custoditi con la massima cura in modo da evitare incidenti

(cadute accidentali, danneggiamento dello schermo, sottrazione indebita ecc.);4.3.1.4. in caso di viaggi aerei il PC deve essere sempre trasportato come bagaglio a mano e

sistemato in una custodia adeguata;4.3.1.5. deve essere posta particolare attenzione all’utilizzo di pc portatili in luoghi pubblici,

quali ad esempio locali, stazioni e mezzi di trasporto, al fine di prevenire la presavisione di informazioni aziendali da parte di terzi non autorizzati;

4.3.1.6. il PC portatile è uno strumento aziendale e come tale non deve essere concesso in uso

a terzi, neanche se utilizzato al di fuori della propria sede lavorativa;4.3.1.7. poiché è possibile che il PC non sia costantemente connesso alla rete aziendale, deve

essere cura dell’utente verificare che il software antivirus venga aggiornato al fine didisporre dell ’ultima release del file contenente la definizione dei virus (pattern file).

4.3.2 Dispositivi Portatili (PDA)

Norme di dettaglio

Le presenti norme comportamentali sono valide per tutti i dispositivi portatili (es. smartphone,tablet, ecc.):4.3.2.1. il supporto tecnico è garantito solo per i dispositivi forniti dalle Società;

4.3.2.2. nel caso in cui si utilizzi un PDA personale oppure, a vario titolo, quello di un cliente,sul medesimo non devono essere memorizzati dati delle Società del Gruppo Reply odel cliente stesso o afferenti l’ambiente lavorativo (ad esempio attraverso la raccoltadi foto e video) se non nei limiti strettamente necessari per adempiere alle mansioniattribuite;

4.3.2.3. il PDA non deve mai essere lasciato incustodito;4.3.2.4. l’accesso allo strumento deve essere subordinato , ove possibile, all’inserimento di un

PIN di accesso;


14/22


ITA version



4.3.2.5. i servizi di trasmissione e comunicazione dati (ad esempio bluetooth, wifi, ecc.)

quando non utilizzati devono essere disabilitati;4.3.2.6. deve essere posta particolare attenzione alla gestione delle comunicazioni telefoniche

in ambienti pubblici, quali ad esempio locali, stazioni e mezzi di trasporto, al fine diprevenire la diffusione di informazioni aziendali da parte di terzi non autorizzati;

4.3.2.7. i dispositivi di telefonia mobile aziendali devono di norma essere utilizzati per finalitàdi carattere lavorativo, salvo che in presenza di specifiche autorizzazioni concesse dalproprio Responsabile.

4.3.3 Supporti di memorizzazione

Norme di dettaglio

Per garantire la sicurezza dei dati contenuti all’interno dei supporti di memorizzazione (adesempio CD, DVD, hard disk esterni, chiavette USB, ecc.) dovranno essere rispettate leseguenti disposizioni:4.3.3.1. i supporti di memorizzazione , quando mantenuti all’interno di una delle sedi aziendali,

devono essere custoditi in archivi ad accesso limitato al solo personale autorizzato;durante gli spostamenti al di fuori delle sedi aziendali non devono mai essere lasciatiincustoditi;

4.3.3.2. in funzione della criticità dei contenuti occorre valutare l’adozione di tecniche diprotezione dei dati (ad esempio inserimento di password di accesso oppure, per i datipiù critici, utilizzo di tecniche crittografiche);

4.3.3.3. quanto contenuto nei supporti di memorizzazione deve essere cancellato prima della

dismissione del supporto stesso.

4.4 Gestione della dotazione Software

Norme di dettaglio

Le Società del Gruppo Reply mettono a disposizione strumenti di lavoro personalizzati, intermini di dotazione software, sulla base delle specifiche esigenze lavorative.Per quanto riguarda l’utilizzo e l’installazione di prodotti softwa re, è necessario attenersi allenorme descritte nel seguito:4.4.1. non è consentito riprodurre (in modo permanente o temporaneo, totale o parziale),

tradurre, adattare, trasformare, distribuire software di proprietà di terzi senza preventivaautorizzazione;4.4.2. è vietato effettuare download/upload di software illegali (privi di regolare licenza);4.4.3. è vietato utilizzare o anche solo installare software illegali sugli elaboratori di proprietà

delle Società;4.4.4. è vietato installare software volti a consentire l’accesso abusi vo ad un sistema

informatico o ad arrecare danni ad un’infrastruttura informatica, fatta eccezione per i


15/22


ITA version



casi in cui tali risorse risultino necessarie per svolgere incarichi assegnati ed

esplicitamente autorizzati (si veda al riguardo anche il precedente paragrafo 4.1);4.4.5. nel caso si rinvenissero sul computer dato in uso programmi non licenziati o di dubbia

provenienza, si deve provvedere ad avvisare il proprio Responsabile.

4.5 Gestione del software Antivirus

Norme di dettaglio

La possibilità che si riescano a prevenire infezioni da virus informatico non dipende solo dallapresenza di adeguati strumenti a ciò dedicati e dalla loro corretta configurazione, ma anche esoprattutto dalle modalità di utilizzo degli stessi da parte della generalità degli utenti.Pertanto a questi ultimi viene chiesto di:4.5.1. verificare che sia installato un software antivirus sulla propria postazione; in caso non

fosse presente, occorre segnalare tale mancanza all’Area ICT; 4.5.2. accertarsi che il sistema antivirus presente sulla propria postazione di lavoro risulti

sempre aggiornato, verificando in particolare che non compaiano avvisi e segnalazioni dimalfunzionamento/mancato aggiornamento. In condizioni di normale funzionamento gliaggiornamenti sono automatic i e trasparenti all’utente ed avvengono durante ilcollegamento del PC alla rete aziendale;

4.5.3. non modificare la configurazione né disabilitare, per qualsiasi motivo il sistema antivirus.Qualora specifici applicativi richiedessero l’assenza di programmi anti virus per uncorretto funzionamento è necessar io valutare, con il supporto dell’Area ICT , il loroutilizzo.

4.5.4. non utilizzare prodotti antivirus diversi da quelli forniti dalle Società;4.5.5. segnalare tempestivamente all’Area ICT eventuali malfunzionamenti del sistema

antivirus; a tal proposito è necessario porre particolare attenzione a tutte quellesituazioni sintomatiche di possibili infezioni informatiche (perdita o modifica di dati ofiles, rallentamento delle prestazioni, cambiamenti di nome dei dischi, presenza diprogrammi non installati dall’utente ecc.) ;

4.5.6. segnalare tempestivamente all’Area ICT la presenza di virus riconosciuti dal sistemaantivirus e non autonomamente rimossi dal sistema stesso.


16/22


ITA version



5 PRINCIPI PER LA GESTIONE SICURA DEI SERVIZI AZIENDALI

Norme di dettaglio

Le Società del Gruppo Reply, per permettere il regolare svolgimento dell’attività lavorativamettono a disposizione di tutti i dipendenti numerosi servizi centrali, primi fra tutti la postaelettronica e la navigazione Internet.La casella di posta elettronica e l’accesso ad Internet sono attivati dall’Area ICT nel momento incui si instaura un rapporto di lavoro con una delle Società del Gruppo Reply.Di seguito sono riportate le norme alle quali tutti coloro che risultano dotati di una casella diposta aziendale e di una connessione alla rete Internet dovranno attenersi.

5.1 Norme per l’utilizzo della Posta Elettronica

Norme di dettaglio

La casella di Posta Elettronica aziendale (@reply.it), assegnata dalla Società datrice di lavoroall’utente, è uno strumento di lavoro. L’utente assegnatario della casella di posta elettronica èresponsabile del corretto utilizzo della stessa.Tutte le comunicazioni tramite email inerenti le attività lavorative devono essereinviate/ricevute utilizzando il dominio @reply.it, a meno di autorizzazione esplicita da partedell’Azienda.

Utilizzando l’indirizzo di posta elettronica aziendale, il dipendente è a conoscenza e consapevoleche:

ogni messaggio spedito o inoltrato verrà ricevuto come proveniente d a “Reply”; tutti i messaggi in entrata ed in uscita dagli indirizzi di posta elettronica aziendale sono

di proprietà della Società datrice di lavoro; la Società si riserva pertanto il diritto, perimprorogabili necessità legate all’attività lavorativa, di accedere alla casella in caso diassenza dell’utente assegnatario in accordo con le procedure aziendali, come megliodescritto nel successivo paragrafo 5.3.

Tutto ciò premesso, l’utente deve attenersi alle seguenti disposizioni: 5.1.1. il contenuto dei messaggi di posta deve essere tale da non ledere i diritti della Società

ed in ogni caso non deve in alcun modo rappresentare una minaccia per l’immagine ela reputazione della stessa;

5.1.2. agli utenti è consentito accedere alle proprie eventuali caselle di posta elettronicapersonali tramite Internet. La facoltà di utilizzo di tali caselle è consentita solo acondizione che questa non interferisca con gli obblighi di lavoro del dipendente e chenon pregiudichi le attività della Società datrice di lavoro e/o delle Società del GruppoReply;


17/22


ITA version



5.1.3. è fatto divieto di inoltrare automaticamente i messaggi inviati e ricevuti all’indirizzo di

posta elettronica aziendale su indirizzi personali; è inoltre necessario verificare conparticolare attenzione i destinatari di ogni e-mail inoltrata, in relazione al contenutodella mail stessa;

5.1.4. non è consentito utilizzare il servizio di posta elettronica per trasmettere a soggettiesterni alle Società del Gruppo Reply informazioni riservate o comunque documentiaziendali, se non nei limiti associati alle proprie mansioni, responsabilità e/o alleesigenze di progetto; analoghe regole devono essere rispettate per l’utilizzo dei servizidi messaggistica istantanea;

5.1.5. è vietato rispondere a tutte le e-mail, comunemente note con il nome di “catene di S.Antonio”, nelle quali si richiede di inoltrare il contenuto della stessa a tutti i propricontatti nonché inviare materiale pubblicitario/ non richiesto;

5.1.6. non aprire i link presenti nei messaggi ricevuti da e-mail non sicure o da mittentisconosciuti. I “phisher” possono utilizzare questi collegamenti per reindirizzare l'utentesu un sito clone di quello desiderato. E’ preferibile, in caso di necessità, digitare L’URL del sito nell'apposita barra;

5.1.7. è vietato creare o distribuire qualsiasi messaggio molesto, offensivo o discriminante(es. commenti offensivi su razza, orientamento sessuale, credo religioso). I dipendentiche dovessero ricevere qualsiasi email con questo tipo di contenuto sono tenuti adeffettuare una segnalazione al proprio Responsabile;

5.1.8. in caso di assenza programmata (ad esempio per ferie o attività di lavoro fuori sedeche pregiudichino la visibilità della posta elettronica) è opportuno impostare all’internodel client di posta elettronica messaggi di risposta automatici per permettere ai mittenti

delle mail di essere consapevoli dell’assenza dall’azienda nonché di ricevere indicazioniin merito a possibili referenti alternativi;5.1.9. è necessario prestare la massima attenzione nell’apertura deg li allegati alle mail

ricevute, indipendentemente dal fatto che si conosca o meno il mittente. In particolarenon dovranno essere aperti messaggi contenenti documenti con estensioni differentirispetto a quelle comunemente utilizzate;

5.1.10. tutta la posta entrante è controllata da un software antispam: è comunque possibileche alcune mail di spam superino i filtri impostati sul sistema centrale. L’utente ètenuto a mettere tali e-mail nella cartella “Posta Indesiderata” della propria casellapersonale affinché il sistema possa filtrarle in futuro.

Il contenuto e la manutenzione della casella di posta elettronica (mailbox) dell’uten te sono diresponsabilità dell’ utente stesso che, nel limite del possibile, deve: 5.1.11. controllare la posta quotidianamente;5.1.12. cancellare i messaggi non più utili;5.1.13. archiviare localmente i messaggi da conservare al fine di rispettare gli eventuali limiti

imposti per la dimensione delle caselle di posta.Per indicazioni di dettaglio circa le modalità di gestione della propria casella di posta elettronicasi rimanda alla documentazione disponibile sulla Intranet aziendale.


18/22


ITA version



5.2 Norme per la Navigazione in Internet

Norme di dettaglio

Devono essere mantenuti comportamenti corretti nell’ambito della navigazione in Internet. Inparticolare:5.2.1. la navigazione in Internet deve essere considerata in primo luogo un elemento a

supporto dell ’ attività lavorativa; l ’utilizzo per finalità di carattere personale èconsentito solo a patto che ciò non interferisca con gli obblighi di lavoro e che nonpregiudichi le attività della Società datrice di lavoro e/o delle Società del Gruppo Reply;

5.2.2. è vietata la navigazione su qualsiasi sito contenente materiale illecito o che possa inogni caso essere considerato inappropriato e/o offensivo per la sensibilità altrui;

5.2.3. è vietato utilizzare le risorse informatiche aziendali per condividere documenti conpersone sconosciute in modalità peer-to-peer;

5.2.4. non devono essere condotte attività dolose a danno di qualsiasi indirizzo internetvisitato (ad esempio tentativi di intrusione);

5.2.5. nell'utilizzo di Social Media è fatto divieto di esprimere opinioni o condividere contenutiche possano ledere la rispettabilità della società o dei suoi partner, clienti e fornitori; èinoltre vietato divulgare informazioni di cui si venga a conoscenza in ambito lavorativoe che non siano già di dominio pubblico o siano di carattere riservato.

5.3 Accesso ai dati in assenza dell’utente Qualora fosse necessario, urgente e indifferibile l’accesso ai dati ovvero richiesto da esigenzeoperative/di sicurezza e contestualmente il dipendente risulti assente o indisponibile per unperiodo prolungato di tempo, le Società possono adottare procedure di emergenza per accedereai dati necessari al fine di garantire la normale prosecuzione delle attività.L’accesso può avvenire dunque solo a condizione che:

vi sia una reale esigenza di accesso a specifici dati ed informazioni e gli stessi non sianoin alcun modo recuperabili in modo alternativo (ad esempio rivolgendosi ad un collegadella persona assente, ad un partner di business o utilizzando le copie presenti su unacartella di lavoro condivisa);

sia opportunamente documentato; sia eseguito nel rispetto delle procedure aziendali definite a tale scopo.

In particolare la richiesta di accesso ai dati può essere eseguita solo dal Partner responsabiledella persona assente e, ove possibile, garantendo preventivamente allo stesso comunicazionein merito all’azione che occorre porre in essere. La richiesta del Partner deve essere inoltratadirettamente al Responsabile dell’Area ICT cui spetta il compito, anche per il tramite di suoidiretti riporti, di eseguire l’estrazione dei dati dell’utente secondo modalità operative definite in


19/22


ITA version



apposite procedure. ICT Reply, al termine dell’operazione, provvede a darne comunicazione

all’utente. Ogni singolo dipendente può prevenire l’insorgere di situazioni che presuppongano l’attivazionedelle logiche di accesso ai dati sopradescritte, ad esempio tramite l’impostazione dell’”out ofoffice” in caso di assenza programmata o tramite l’archiviazione di documenti di lavoro condivisitra più dipendenti su cartelle di rete.Nel caso in cui invece sia necessario accedere ai dati associati ad utenze di persone non più alledipendenze di Società del Gruppo Reply, è possibile identificare due distinti scenari, in funzionedella tipologia di richiedente:

richiesta avanzata dall’ex -responsabile della persona interessata – al fine di garantire lacontinuità lavorativa, le Società del Gruppo Reply ammettono l’accesso a tali dati fino aquando gli stessi risultano presenti, vale a dire fino a quando non si rende necessarioprocedere ad una loro cancellazione (per dettagli si rimanda al successivo paragrafo6.1.1);

richiesta avanzata dalla persona che non lavora più alle dipendenze della Societàinteressata – tali richieste non sono ammesse e pertanto, una volta cessato il rapporto dilavoro, non è più possibile accedere ai dati associati alle proprie utenze.


20/22


ITA version



6 CONTROLLI SULL’UTILI ZZO DEI SERVIZI AZIENDALIDal momento che la violazione delle norme riportate nel presente documento potrebbe esporrele Società del Gruppo al rischio di danneggiamento o malfunzionamento del sistemainformativo, le Società stesse si riservano espressamente il diritto di esercitare dei controlligenerici, in forma anonima e aggregata, sul rispetto dello stesso da parte degli utenti, e diprocedere con indagini più puntuali in presenza di comportamenti anomali.I controlli posti in essere dalle Società del Gruppo Reply vengono svolti nel rispetto delle normedi legge e di contratto che tutelano lo svolgimento del rapporto di lavoro, la dignità e la privacydegli utenti e non vengono condotti in modo sistematico. Gli eventuali controlli vengonoeffettuati con gradualità. In prima battuta vengono effettuate verifiche in forma aggregata, inmodo da individuare l'area da richiamare all'osservanza delle regole. Solo successivamente, alripetersi dell'anomalia, si potrebbe passare a controlli su base individuale.Di seguito sono riportate le modalità di gestione e controllo messe in atto dalle Società al fine digarantire il corretto utilizzo degli strumenti informatici a disposizione dei propri dipendenti ed ilrispetto delle regole di comportamento riportate all’interno del presente do cumento.

6.1.1 Controllo sul rispetto delle modalità di utilizzo della Posta Elettronica

Le Società del Gruppo Reply applicano le seguenti modalità di gestione e controllo delle caselledi posta elettronica aziendali:

tutta la posta entrante è controllata da un software antispam; eventuali emailclassificate come SPAM vengono bloccate dal server, archiviate e conservate per 7 giorni(in modo che possano essere recuperate su richiesta dell’utente); le mail sospettate diessere SPAM sono invece lasciate passare dal server ma vengono messe in una cartella

“Posta Indesiderata” direttamente nella casella dell’utente; le Società non effettuano controlli sistematici sulle caselle di posta degli utenti; l’accesso

alla casella di un utente può avvenire solo nei casi eccezionali descritti al paragrafo 5.3 oin caso di necessità, su richiesta dell’utente stesso, per finalità di manutenzione;

le informazioni relative ai messaggi in entrata ed in uscita dagli indirizzi di postaelettronica aziendale ed i relativi dettagli tecnici (Mittente, Data e ora di invio, Subject,Dimensione, Elenco dei server dai quali il messaggio è passato) vengono registrate ememorizzate all’interno di file di log;

non sono effettuate analisi sui log di posta ; l’accesso ai log è consent ito solo agli addetti

dell’Area ICT su richiesta del Responsabile dell’Area stessa ed in solo caso di comprovateesigenze di indagini interne/esterne. Le richieste di accesso devono essereopportunamente documentate;

è previsto per tutte le caselle di posta un programma di salvataggio automatico, chepermette di non perdere le informazioni memorizzate, anche a seguito di anomalie odincidenti. In particolare viene effettuato un backup completo delle caselle di posta concadenza settimanale, mentre nel corso della settimana vengono effettuati backupdifferenziali. Il tempo di conservazione dei backup è di circa 14 giorni, termine oltre ilquale i dati vengono sovrascritti a causa della rotazione dei nastri;


21/22


ITA version



le caselle di posta degli utenti cessati vengono disattivate e mantenute sul server per un

periodo di circa 6 mesi (in caso di disputa o per comprovate necessità di indagine leSocietà si riservano la facoltà di allungare i predetti periodi di conservazione) . L’accessoa tali caselle può avvenire solo nelle modalità riportate al paragrafo 5.3.

6.1.2 Controllo sul rispetto delle modalità di utilizzo della rete ed Internet

Le Società del Gruppo Reply applicano le seguenti modalità di gestione e controllo dellanavigazione Internet:

le informazioni di accesso ad Internet ed i relativi dettagli tecnici (IP sorgente, utente,data, ora e sito a cui si ha avuto accesso) vengono registrate e memorizzate all’internodi file di log mantenuti sui proxy Internet;

non sono effettuate analisi sui log di navigazione; l’accesso ai log è consentito solo agliaddetti dell’Area ICT su richiesta del Responsabile dell’Area stessa ed in solo caso dicomprovate esigenze di indagini interne/esterne;

le Società hanno la facoltà di effettuare generici controlli sull'osservanza del codiceaziendale e sull'uso della rete, ma possono anche effettuare controlli sulle postazioniindividuali in seguito a riscontrate anomalie, sempre secondo la già evidenziata politicadi graduazione dei controlli.


22/22


ITA version



7 CONSEGUENZE IN CASO DI MANCATA OSSERVANZA DELLE PRESCRIZIONILa violazione delle disposizioni e/o dei principi sanciti nel presente regolamento (anche aprescindere dal verificarsi di eventuali danni al patrimonio delle Società del Gruppo Reply),potranno essere sanzionati con:

misure interne di tipo tecnico-preventivo (quali, ad esempio, la sospensione e/oil blocco della navigazione Internet, dell’uso della posta elettronica e/o dell’uso deglistrumenti informatici in dotazione all’u tente) che potranno essere decise ed adottateanche in via provvisoria ed urgente;

adozione di provvedimenti disciplinari nei confronti del dipendente che si sia resoresponsabile di eventuali violazioni, nel rispetto delle norme legislative, contrattuali

collettive e regolamentari applicabili in materia. misure esterne , rappresentate dalle azioni amministrative e/o giudiziarie, anche di

tipo risarcitorio, necessarie ai fini della tutela dei diritti e degli interessi delle Societàdel Gruppo Reply.

Nel rispetto del principio di gradualità e proporzionalità delle sanzioni in relazione alla gravitàdella violazione, la tipologia e l’entità di ciascuna sanzione verrà determinata in relazione aiseguenti criteri generali:

a. intenzionalità del comportamento, grado di negligenza, imprudenza o imperiziadimostrate, tenuto conto anche della prevedibilità dell’evento;

b. rilevanza degli obblighi violati;c. responsabilità connesse alla posizione di lavoro occupata;d. rilevanza del danno o grado di pericolo arrecato alle Società del Gruppo Reply, ai clienti

o a terzi e del disservizio determinatosi;e. sussistenza di circostanze aggravanti o attenuanti;f. concorso nell’infrazione di più dipendenti in accordo tra di loro.

I criteri generali sopra riportati non costituiscono un elenco esaustivo: ogni situazione specificaverrà analizzata di volta in volta sulla base di quanto avvenuto e dei criteri identificati.

L’adozione di eventuali sanzioni disciplinari nei confronti dei dipendenti che abbiano violato lediposizioni riportate all’interno del presente documento non esclude il diritto e la facoltà delleSocietà del Gruppo Reply di provvedere alla tutela dei propri diritti ed interessi nelle sediamministrative e/o giudiziarie competenti e/o il diritto/dovere di segnalare eventualiinfrazioni/violazioni alle pubbliche autorità.

Reply_Regole Di Comportamento Per Gestione Sicura Risorse Aziendali - 1.2

Documents

Transcript of Reply_Regole Di Comportamento Per Gestione Sicura Risorse Aziendali - 1.2