Profile cover photo
Profile photo
3 S Telematica
5 followers -
Ing. Andrea Nardelli consulente IT
Ing. Andrea Nardelli consulente IT

5 followers
About
Posts

Post has attachment
Verso il GDPR

La cyber security dovrebbe essere una priorità per tutte le realtà professionali e più in generale per coloro che trattano o gestiscono dati sensibili o personali. L’esigenza di adottare sistemi di protezione adeguati è avvertita a livello globale, eppure vi è ancora una scarsa percezione del rischio: tendiamo a sottostimare il valore delle informazioni e le possibili conseguenze di un’indebita sottrazione.
Ecco perché la Commissione Europea ha deciso di affrontare il problema a livello normativo: stiamo parlando del GDPR (Regolamento Generale sulla Protezione dei Dati) in vigore dal 25 maggio 2018. La scadenza si avvicina e non tutte le aziende sono pronte ad adeguarsi a quanto prevede la normativa. La definizione di una normativa ci dice che i rischi esistono e che sono importanti, mentre la percezione che ne ha il singolo non è ancora adeguata.
Come sempre, l’introduzione di una normativa può essere vissuta in modo passivo o attivo. Nel primo caso la si intende come l’ennesima regola da rispettare. Pensiamo alla 231, è un’imposizione, che però mi offre tutela nel caso di infortunio sul posto di lavoro e che protegge il bene più prezioso che ho in azienda: le persone che lavorano per me.
Il regolamento può essere visto come un’opportunità anziché come l’ennesimo obbligo?
Se da una parte c’è un’esigenza così importante e dall’altra una sensibilità non ancora matura per comprenderla, è necessario che qualcuno indichi la direzione in cui si sta andando proponendo una soluzione a un potenziale problema. Quindi, sì, è un’opportunità perché la possibilità del danno esiste.
Quali gli step da compiere per un professionista?
La prima cosa da fare è sapere di cosa si parla, quindi informarsi per capire come questa normativa impatterà la vostra impresa. Quando sono stati individuati gli ambiti interessati, si deve identificare dove sono i dati sensibili o a rischio: su un server, nelle stampanti oppure in un archivio cartaceo. Serve dunque anzitutto una valutazione, solo dopo questo step ci si può rivolgere a chi offre soluzioni studiate per garantire una protezione adeguata.
Ricapitolando: in primis non bisogna spaventarsi, poi informarsi per capire quali sono i vantaggi connessi all’obbligo e infine capire dove sono potenzialmente esposto per valutare insieme a un professionista come intervenire.

3S Telematica ti offre consulenza e soluzioni per arrivare pronto alla scadenza del 25 maggio.
Add a comment...

Post has attachment
Presto saranno attive nuove funzionalità vieni sul sito www.asdsemplice.it e prova gratuitamente per 30 giorni la nostra soluzione ASDsemplice
Add a comment...

Post has attachment
Cookie Law: istruzioni Privacy
La guida grafica del Garante per la Privacy alla cosiddetta "Cookie Law": ecco cosa fare se il proprio sito/blog installa dei cookies.

Navigando in internet è ormai consuetudine imbattersi in banner che informa l’utente che il sito fa utilizzo dei cookies. Si tratta di utili strumenti informatici che consentono ai siti web di gestire funzioni essenziali, come il carrello degli acquisti nei siti di commercio elettronico, o di raccogliere utili informazioni personali degli utenti, della loro modalità di navigazione e, in generale delle loro preferenze, informazioni utili anche per le strategie di marketing delle aziende.
Le informazioni presenti nei cookies sono dunque molto preziose e sempre più spesso vengono scambiate tra siti web partner, o vendute, qualora questa pratica sia permessa.
Con il loro diffondersi, nel tempo, si è sentita la necessità di una informativa per l’utente all’utilizzo dei propri dati e un relativo consenso. Si tratta della cosiddetta “cookie policy” in merito alla quale nel giugno 2014 il Garante per la Privacy ha emanato un apposito provvedimento applicabile dal 2 giugno 2015.
Sul sito del Garante stesso è disponibile un’utile infografica che fornisce un quadro d’insieme di cosa è richiesto o non richiesto dai vari siti web dal provvedimento sui cookies.
Il generale il provvedimento rende obbligatorio indicare se il sito utilizza cookies di profilazione per inviare messaggi pubblicitari mirati e se il sito prevede l’uso di cookies di “terze parti”, ovvero quella tipologia di cookies che saranno utilizzati da siti differenti rispetto a quello che si sta realmente visitando.
Inoltre deve essere presentato un link che indirizza l’utente verso una pagina informativa di maggiore dettaglio e fornito all’utente un meccanismo mediante cui possa scegliere se fornire o meno il consenso. La scelta effettuata viene memorizzata in un cosiddetto cookie tecnico consentito dal Garante.
Fonte: Garante per la Privacy.
WEB | 3S Telematica
WEB | 3S Telematica
3stelematica.com
Add a comment...

Post has attachment
GDPR: se WannaCry fosse arrivato l’anno prossimo?
Secondo Trend Micro gli effetti di WannaCry avrebbero avuto ripercussioni maggiori se fosse arrivato l’anno prossimo, ovvero dopo la piena entrata in vigore del GDPR.
WannaCry e GDPR sono due novità legate all’information technology molto discusse in questo periodo. Il primo è uno degli ultimi, nonché più pericolosi ransomware, ovvero quei software malevoli che infettano computer di tutto il mondo cifrandone i dati e rendendoli quindi inutilizzabili. Il secondo è il nuovo regolamento europeo sulla privacy, che entrerà pienamente in vigore il prossimo giugno.
Spesso sono tematiche trattate in modo separato, ed anche a prima vista potrebbe sembrare che non abbia molto senso parlare di WannaCry riferito al GDPR. Tuttavia Trend Micro, una nota firma della sicurezza informatica, propone una sua visione di questo accostamento, affermando che un attacco simile a quello di WannaCry potrebbe penalizzare moltissime aziende che finirebbero per ritrovarsi non conformi al nuovo regolamento.
Il “panico che ha generato” WannaCry, infatti, non si fermerebbe all’inutilizzabilità dei dati, ma avrebbe ripercussioni sulla conformità alla norma. Potrebbero essere applicate le sanzioni, peraltro molto significative, per una violazione dei dati personali.
L’articolo 4.12 afferma infatti, scrive Trend Micro, che:
“Per violazione di dati personali si intende una violazione della sicurezza che porta alla distruzione, alla perdita, all’alterazione accidentale o illegale, alla divulgazione non autorizzata o all’accesso a dati personali trasmessi, memorizzati o altrimenti trattati”.
Di conseguenza l’attacco di WannaCry dovrebbe essere almeno considerato come accesso illegale, che come conseguenza successiva determina una perdita o distruzione di dati.
Anche l’articolo 5.1 contribuisce ad enfatizzare la problematica, poiché:
“I dati personali devono essere: elaborati in modo da garantire la sicurezza dei dati personali, inclusa la protezione contro l’elaborazione non autorizzata o illegale e contro perdite, distruzioni o danni accidentali, utilizzando adeguate misure tecniche o organizzative (integrità e confidenzialità)”.
Risulta quindi evidente che la mancata applicazione della patch, nel caso specifico la Windows SMB (CVE-‎2017-0144), ha consentito agli attaccanti di iniettare un file ransomware nei sistemi infettati e crittografare i file con 176 diverse estensioni, inclusi quelli utilizzati da Microsoft Office, database, file archivio, file multimediali e diversi linguaggi di programmazione. Tra questi ci sono sicuramente stati, per alcune aziende, file che contengono informazioni regolate dal GDPR.
In quest’ottica, effettivamente, malware, ransomware, altre analoghe minacce di sicurezza e GDPR intrecciano i loro cammini e, a partire dal prossimo giugno, potrebbero risultare sempre più appaiate.
Fonte: Trend Micro.
Add a comment...

Post has attachment

Post has attachment
GDPR: più efficienza per i professionisti IT
Il nuovo Regolamento UE sulla Protezione dei Dati (GDPR) rischia di essere visto come un costo per i manager aziendali, ma porterà più efficienza per i professionisti IT.

L’applicazione del Regolamento Generale sulla Protezione dei Dati (GDPR) è alle porte se parliamo in termini IT. A meno di un anno dalla fatidica data, infatti, sono moltissime le aziende che ancora non hanno approcciato al nuovo regolamento. Probabilmente per poca conoscenza, o ancora peggio perché il GDPR è visto dai manager IT come “un inconveniente o, addirittura, uno spreco di denaro”. Da un’analisi sul contesto in cui insiste il GDPR, evidenzia che la protezione dei dati personali preoccupa profondamente i professionisti IT. Dal loro lavoro quotidiano emerge infatti una forte difficoltà nell’affrontare le minacce di sicurezza che hanno come conseguenza la perdita dei dati.
Solo la metà (55%) dei decision maker IT ha fiducia che le aziende se ne stiano prendendo cura in modo corretto e uno su cinque (22%) non è sicuro che l’organizzazione per cui lavora sarà pienamente conforme ai nuovi requisiti di protezione dei dati entro il 25 maggio 2018.
In questo momento le aziende sembrano vivere un momento di stallo: il (63%) dei decision maker IT si sentono “sopraffatti” dalle nuove regolamentazioni e dal compito che li aspetta e il 66% vorrebbe ricevere formazione su ciò che il GDPR implicherà per la loro organizzazione. Di certo la sensazione è che con questa nuova normativa gli stessi decision maker IT (il 63%) possano acquisire maggiore autorevolezza dalla nuova normativa poiché rivestiranno un ruolo chiave per la protezione dei dati delle aziende per le quali lavorano.
Sarà un anno pieno di sforzi, in cui molti professionisti IT si impegneranno ad aumentare l’attenzione delle aziende sulla protezione dei dati personali. Il GDPR darà loro un ruolo di maggiore importanza nelle aziende, saranno indispensabili per garantire la giusta prevenzione dei dati personali imponendo che vengano tutelati.
Siamo a disposizione una valutazione del Vostro stato dell'arte e per fornirvi la consulenza necessaria per arrivare pronti al 2018.
Add a comment...

Post has attachment
GDPR, Privacy e conformità dei processi: come garantire la compliance e migliorare la sicurezza
Il Nuovo Regolamento per la protezione dei dati (GDPR) richiede livelli elevati di protezione e di sicurezza delle informazioni: l’entrata in vigore è stabilita per il 25 maggio 2018, ma le aziende devono attivarsi da subito per introdurre gli opportuni provvedimenti tecnici e organizzativi al fine di implementare i principi di protezione dei dati in modo efficace

Il GDPR si propone di intensificare la protezione della privacy e di potenziare l’affidabilità dei processi di utilizzo e gestione dei dati personali. Gli Stati membri dell'UE e le aziende del settore pubblico e privato dovranno tassativamente garantire la conformità entro maggio 2018: in caso di mancata conformità grave, i soggetti saranno passibili di multe fino a 20 milioni di euro o fino al 4% del fatturato aziendale annuo.
I dati personali dovranno essere elaborati in modo da garantirne la corretta sicurezza. Ogni azienda dovrà dimostrare attivamente la propria conformità ai principi del regolamento sui dati e le segnalazioni di violazioni dovranno essere effettuate entro 72 ore. Non solo: il GDPR regolamenta anche il diritto alla portabilità dei dati e il cosiddetto “diritto all’oblio”.
3S Telematica è a disposizione per spiegare come attenuare i rischi per la sicurezza e per la privacy attraverso l’adozione di soluzioni tecnologiche efficaci.
in dettaglio riguardo il GDPR:
- quali sono gli aspetti della riforma che cambiano l'operatività aziendale;
- a quanto ammontano le sanzioni rispetto alla mancata conformità normativa;
- come risparmiare tempo e ridurre i rischi per la sicurezza e per la privacy;
- in che modo si attua una corretta strategia di Data Loss Prevention;
- cosa fare per tutelare i database business-critical dalle minacce esterne;
- che strumenti usare per contrastare le minacce avanzate con maggiore efficacia.
Add a comment...

Post has attachment
Troppo Internet sul lavoro: sì al licenziamento
Cassazione legittima il licenziamento del lavoratore che abusa della connessione Internet sottraendo tempo alle proprie mansioni: controllare i tempi di sessione non viola la privacy.
La sentenza della Corte di Cassazione n. 14862/2017 ha stabilito la legittimità del licenziamento di un lavoratore nel caso in cui questi faccia un uso eccessivo di Internet al lavoro. Più in particolare i giudici supremi si sono pronunciati in relazione al licenziamento per giusta causa intimato al lavoratore dall’azienda per abuso di connessione Internet del PC assegnatogli in dotazione, avendo verificato l’esistenza di accessi indebiti alla rete anche in relazione ad i relativi tempi di collegamento. Navigazione che il lavoratore non ha dimostrato essere legata all’attività lavorativa svolta.
Per i giudici il datore di lavoro non ha violato la privacy del lavoratore controllando la durata della connessione, non avendo infatti compiuto alcuna analisi dei siti visitati dal dipendente durante la navigazione o della tipologia dei dati scaricati. L’azienda si è limitata a constatare la presenza di un utilizzo della dotazione aziendale per fini personali non sporadica e/o eccezionale, bensì sistematica in considerazione della frequenza (complessivamente 27 connessioni), della durata dell’accesso (complessivamente 45 ore) e dello scambio di dati di traffico (migliaia di kbyte)” e come tale condotta integri con evidenza un utilizzo indebito dello strumento aziendale non solo “reiterato” ma anche, e di conseguenza, “intenzionale”.
L’entità delle connessioni lasciano supporre che il lavoratore non abbia adempiuto correttamente alle proprie mansioni, avendo sottratto significativo tempo all’attività lavorativa, rendendo legittimo il licenziamento.
3S Telematica fornisce soluzioni per il WEB Filter e controllo degli accessi. Chiamaci.
Add a comment...

Post has attachment
Sito aziendale: tutti gli obblighi web
Analisi dell’intera disciplina riguardante gli obblighi a carico delle imprese con un sito aziendale, che variano a seconda del tipo di attività svolta.
Gli obblighi di pubblicazione sul sito web dei dati aziendali di società e imprese individuali sono diversi a seconda del tipo di impresa o attività professionale svolta.
Società
L’art. 2250 del Codice Civile, modificato dall’art. 42, L. 88/2009 impone alle società di capitali di pubblicare informazioni legali nei propri atti, nella corrispondenza, nello spazio elettronico collegato alla rete telematica ad accesso pubblico sul quale si effettua attività di comunicazione e negli altri luoghi virtuali di comunicazione, come email e profili sui social networks. Dati da pubblicare: ragione sociale, sede legale, Codice Fiscale e Partita IVA, posta elettronica certificata (PEC), Ufficio del Registro dove si è iscritti, numero Repertorio economico amministrativo (Rea), capitale in bilancio (società di capitali), l’eventuale liquidazione in seguito a scioglimento, eventuale stato di società con unico socio (Spa e Srl unipersonali), società o ente alla cui attività di direzione e di coordinamento la società è soggetta (art. 2497-bis c.c.).
Partite IVA
L’obbligo di pubblicare la Partita IVA sulla home page del sito per i soggetti passivi è confermato anche dall’art. 35, D.P.R. 633/1972, modificato dall’art. 2, D.P.R. 404/2001, mentre la R.M. 16 maggio 2006, n. 60/E sottolinea che l’onere di pubblicazione riguarda anche siti web utilizzati per motivi pubblicitari.
E-Commerce
Per le aziende che svolgono attività di commercio elettronico, l’art. 7, D.Lgs. 70/2003 impone di rendere accessibili gli estremi del venditore (domicilio o sede legale) e del prestatore (compresa posta elettronica), il numero di iscrizione Rea o Registro Imprese; indicazione ed estremi dell’autorità competente in caso di attività soggetta a concessione, licenza o autorizzazione
Sanzioni
Per il mancato rispetto delle disposizioni dell’art. 2630 c.c., modificato dall’art. 42, co. 1, L. 88/2009, sono previste sanzioni pecuniarie:
1) per mancato adempimento degli obblighi di cui all’art 2250, co. 1, 2, 3, 4, c.c. (amministratore, sindaco, liquidatore, amministratore giudiziario e commissario governativo) tra 206 e 2.065 euro dalla Camera di Commercio;
2) per inadempienze di comunicazione imposte dalla legge tributaria tra 258,23 e 2.065,83 euro.
Privacy utenti web
La legge impone la riservatezza dei dati sensibili degli utenti lasciati sul sito aziendale: quando vengano richiesti per iscriversi ad una newsletter o per contattare la società, è necessario richiedere un consenso informato, espresso solo dopo la lettura dell’informativa sulla tutela della privacy. In caso di mancata indicazione dell’informativa sono previste per il responsabile del trattamento sanzioni tra 6.000 e 36.000 euro (art. 161, D.Lgs. 196/2003). Anche sessioni telefoniche e accessi online vanno protetti da uso indesiderato, fraudolento o accidentale, e si impone la notifica dell’eventuale uso di cookies che memorizzano i dati di navigazione ricostruendo usi e abitudini online. Ciò è frutto di due recenti decreti legislativi in vigore da giugno 2012: il D.Lgs. 28.5.2012, n. 69 e il D.Lgs. 28.5.2012, n. 70.
Fusioni o scissioni
In caso di progetto di fusione o scissione è possibile pubblicare le notizie sul sito internet invece che iscriverle sul Registro Imprese (artt. 2501-ter, 2501-quater, 2501-quinquies e 2501-septies c.c., modificati dal D.Lgs. 22.6.2012, n. 123). La pubblicazione web deve però garantire sicurezza del sito (per quanto non esista un sistema verificabile), autenticità dei documenti e certezza della data di messa online tramite firma digitale e marcatura temporale. In questo modo si risparmia su costi (diritti di bollo e segreteria: circa 150 euro), tempi (pubblicazione immediata) e burocrazia (niente invio documenti ai soci).
WEB | 3S Telematica
WEB | 3S Telematica
3stelematica.com
Add a comment...

Post has attachment
Wait while more posts are being loaded