Differenze tra le versioni di "GDPR (General Data Protection Regulation)"

Da wiki.maggioli.it.
Jump to navigation Jump to search
imported>Demos
imported>Demos
 
(25 versioni intermedie di uno stesso utente non sono mostrate)
Riga 4: Riga 4:
<br>
<br>
==Introduzione==
==Introduzione==
In data '''25 maggio 2018'''' diventa pienamente efficace il '''Regolamento Generale sulla Protezione dei Dati ([https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679&from=ITReg. UE 2016/679]).'''
In data '''25 maggio 2018''' diventa pienamente efficace il '''Regolamento Generale sulla Protezione dei Dati ([https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679&from=ITReg. UE 2016/679]).'''
<br>
<br>
I software della suite '''“Sicraweb”''' di Maggioli Spa aderiscono alle indicazioni della [http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/cert-pa/misure-minime-sicurezza-ict-pubbliche-amministrazioni Circolare Agid n.2/2017 del 18 aprile 2017] in relazione alle «Misure minime di sicurezza ICT per le pubbliche amministrazioni. (Direttiva del Presidente del Consiglio dei ministri 1° agosto 2015)» , e garantiscono il pieno rispetto di quanto previsto dal Reg. UE 2016/679.
I software della suite '''“Sicraweb”''' di Maggioli Spa aderiscono alle indicazioni della [http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/cert-pa/misure-minime-sicurezza-ict-pubbliche-amministrazioni Circolare Agid n.2/2017 del 18 aprile 2017] in relazione alle «Misure minime di sicurezza ICT per le pubbliche amministrazioni. (Direttiva del Presidente del Consiglio dei ministri 1° agosto 2015)» , e garantiscono il pieno rispetto di quanto previsto dal Reg. UE 2016/679.
Riga 24: Riga 24:
<br>
<br>
Sarà comunque facoltà dell'amministratore di sistema, intervenire sui singoli parametri per andare a personalizzare le diverse opzioni di sicurezza, ad esempio per renderle ancora più stringenti rispetto a quanto indicato dalla normativa.
Sarà comunque facoltà dell'amministratore di sistema, intervenire sui singoli parametri per andare a personalizzare le diverse opzioni di sicurezza, ad esempio per renderle ancora più stringenti rispetto a quanto indicato dalla normativa.
<br>
Ricordarsi di memorizzare i nuovi parametri immessi tramite il pulsante [[File:Gdpr 005.png|Salva|baseline]]'''Salva'''
<br>
<br>
<br>
<br>
Di seguito vengono riepilogate le diverse opzioni disponibili:
*


==Misure Tecniche==
==Verifica Password==
====Gestione Utenti e accessi====
L'attivazione dei parametri visti nel paragrafo precedente, avranno effetto su tutti gli utenti al prossimo accesso della procedura.
Il sistema di autenticazione degli utenti a Sicraweb permette di integrarsi in modo efficace con un sistema di autenticazione LDAP. Il sistema di autenticazione di Sicraweb è ovviamente in grado di operare in autonomia anche se non collegato ad un sistema di autenticazione LDAP, in particolare per gestire le situazioni di servizio LDAP momentaneamente offline oppure quando non si voglia proprio fare uso di un LDAP. L'autenticazione degli utenti è prevista una sola volta, al momento dell'accesso all'applicazione. L'applicazione prevede funzionalità di tipo amministrativo, tali da consentire una profilazione centralizzata e granulare degli utenti.
<br>
Se l'utente aveva già una password che rispettava i requisiti minimi, accederà alla procedura senza alcun avviso.
<br>
<br>
Nello specifico Sicraweb recepisce le seguenti indicazioni previste nella Circolare Agid n.2/2017
Se invece l'attuale password non rispetta i nuovi requisiti parametrizzati, verrà mostrato un avviso e verrà chiesto di modificare la propria password come da immagine di esempio che segue:
<br>
<br>
* [ABSC 5.1.2] Utilizzare le utenze amministrative solo per effettuare operazioni che ne richiedano i privilegi, registrando ogni accesso effettuato
[[File:Gdpr 002.png|Modifica Password]]
*[ABSC 5.7.1] Quando l'autenticazione a più fattori non è supportata, utilizzare per le utenze amministrative credenziali di elevata robustezza (e.g. almeno 14 caratteri con la regola di avere almeno una maiuscola e un numero)
*[ABSC 5.7.3] Assicurare che le credenziali delle utenze amministrative vengano sostituite con sufficiente frequenza (password aging opzione 30-60-90 gg)
*[ABSC 5.7.4] Impedire che credenziali già utilizzate possano essere riutilizzate a breve distanza di tempo (password history opzione 15-20-25 volte)
*[ABSC 5.4.1] Tracciare nei log l'aggiunta o la soppressione di un'utenza amministrativa
*[ABSC 5.4.2] Generare un'allerta quando viene aggiunta un'utenza amministrativa
*[ABSC 5.4.3] Generare un'allerta quando vengano aumentati i diritti di un'utenza amministrativa
*[ABSC 5.5.1] Tracciare nei log i tentativi falliti di accesso con un'utenza amministrativa
*[ABSC 5.7.2] Impedire che per le utenze amministrative vengano utilizzate credenziali deboli
*[ABSC 5.7.5] Assicurare che dopo la modifica delle credenziali trascorra un sufficiente lasso di tempo per poterne effettuare una nuova
*[ABSC 5.7.6] Assicurare che le stesse credenziali amministrative non possano essere riutilizzate prima di sei mesi
<br>
<br>
 
La procedura verificherà che la nuova password rispetti tutte le regole parametrizzate nel pannello di configurazione (vedi paragrafo precedente); in caso contrario mostrerà un avviso bloccante.
====Cifratura dei dati====
<br>
Il sistema Sicraweb
Lo stesso identico messaggio, verrà mostrato anche quando la password giungerà alla sua naturale scadenza, o al primo accesso di ogni utente se accesa l'omonima opzione:
eb adotta misure di sicurezza a protezione dei dati sensibili con la “pseudonimizzazione” che prevede l’assenza di identificabilità diretta del soggetto interessato («trattamento dei dati personali in modo tale che i dati non possano essere più attribuiti ad un interessato specifico senza l’utilizzo di informazioni aggiuntive»);
<br>
<br>
[[File:Gdpr 003.png|Obbligo Cambio Password al Primo Accesso]]
<br>
<br>
Gli Enti possono inoltre adottare sistemi di cifratura a protezione delle copie di sicurezza (backup) dei dati ed utilizzare certificati di sicurezza per garantire la cifratura della comunicazione Client-Server.
<br>
<br>
==Autenticazione di Dominio (LDAP)==
La procedura Sicraweb consente di configurare l'accesso di ogni account collegandosi al proprio Dominio tramite Server LDAP.
<br>
<br>
Misure Tecniche – Log
Vedi voce di menù: '' '''Gestione -> Sistema -> Autenticazione -> Configurazione''' ''
La soluzione Sicraweb prevede una completa gestione dei log all’interno dell’RDBMS sia per tracciare e registrare le operazioni svolte dagli utenti che accedonoall’applicazione tramite le credenziali attribuite), per tracciare e registrare le operazioni svolte dagli amministratori di sistema che accedono all’applicazione tramite le credenziali attribuite. Il sistema gestisce la tracciabilità delle modifiche a livello infrastrutturale direttamente sui sistemi RDBMS utilizzati. Il logging avviene a livello transazionale offrendo il massimo livello di accuratezza e veridicità.
<br>
<br>
Il livello di dettaglio può essere configurato fino ad arrivare alla tracciatura delle letture e non solo delle modifiche. I log prodotti sono consultabili direttamente dall’ambiente applicativo, semplificando così notevolmente le attività degli amministratori di sistema.
In questo caso faranno fede le regole impostate dall'amministratore del proprio dominio, e qualsiasi parametrizzazione di Sicraweb verrà bypassata da quella del proprio dominio di rete.
<br>
<br>
<br>
<br>


====Integrazione con componenti esterne====
==Legenda dei Parametri==
Per quanto riguarda l’utilizzo di componenti esterne quali Java e Libre Office, trattandosi di tecnologie e prodotti in continua evoluzione e non potendo avere certezza della retro-compatibilità delle versioni, al fine di garantire la stabilità e il corretto funzionamento dei nostri prodotti, vengono progressivamente certificate le nuove release, previo collaudo dell’intera piattaforma. Al momento le release certificate con Sicraweb sono Java JRE 1.8.0_151 e Libre Office 4.2.6.3
Di seguito vengono riepilogate le diverse opzioni disponibili:
* '''Lunghezza minima password''' è il numero minimo di caratteri complessivo che dovrà contenere la password di ogni account.
* '''Caratteri Minuscoli, Maiuscoli e Cifre''' serve ad indicare il numero minimo di caratteri che dovranno rispettare queste caratteristiche all'interno della password.
* '''Obbligo di cambio password al primo accesso''' '''(raccomandata)''' se abilitato richiederà ad un utente che accede al sistema per la prima volta di scegliere una nuova password.
Questa opzione è molto comoda in fase di attivazione di un nuovo utente da parte del Ced dell'ente, in quanto consente di impostare una prima password provvisoria che verrà quindi immediatamente sostituita da quella personale dell'utente e conosciuta solo a quest'ultimo.
* '''Cambio password ogni tot giorni''' serve ad impostare il numero di giorni trascorsi i quali sarà obbligatorio per l'utente di provvedere alla modifica della propria password.
* '''Impedire un nuovo cambio password prima di tot secondi''' serve a limitare i tentativi di accesso fraudolento.
* '''Abilita controllo password già utilizzate''' non consentirà all'utente, una volta scaduta la sua password, di poter riutilizzare le stesse utilizzate di recente.
* '''Gli account vengono disattivati dopo tot giorni dall'ultimo accesso''', '''Attesa minima in caso di accesso fallito''' e '''Gli account vengono disattivati dopo tot tentativi di accesso falliti''' sono opzioni avanzate che consentono di limitare tentativi di accesso fraudolento.
<br>
<br>
<br>
<br>


==Argomenti Correlati e Collegamenti Esterni==
==Argomenti Correlati e Collegamenti Esterni==
* [http://assistenza.maggioli.it/privacy/ Clicca qui per tutti i dettagli sul GDPR all'interno degli applicativi di Maggioli Informatica]
* [https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679&from=IT Regolamento (UE) 2016/679 del Parlamento Europeo ed del Consiglio dell'Unione Europea]
* [https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679&from=IT Regolamento (UE) 2016/679 del Parlamento Europeo ed del Consiglio dell'Unione Europea]
* [http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/cert-pa/misure-minime-sicurezza-ict-pubbliche-amministrazioni Circolare Agid n.2/2017 del 18 aprile 2017]
* [http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/cert-pa/misure-minime-sicurezza-ict-pubbliche-amministrazioni Circolare Agid n.2/2017 del 18 aprile 2017]
* [[Gestione Utenti Tabellare]]
* [[Gestione Utenti Tabellare]]

Versione attuale delle 09:07, 28 mag 2018

Demografico Tributi Uff.Tecnico Ragioneria Aff.Generali Governance Personale Gestione Sanità



Introduzione

In data 25 maggio 2018 diventa pienamente efficace il Regolamento Generale sulla Protezione dei Dati (UE 2016/679).
I software della suite “Sicraweb” di Maggioli Spa aderiscono alle indicazioni della Circolare Agid n.2/2017 del 18 aprile 2017 in relazione alle «Misure minime di sicurezza ICT per le pubbliche amministrazioni. (Direttiva del Presidente del Consiglio dei ministri 1° agosto 2015)» , e garantiscono il pieno rispetto di quanto previsto dal Reg. UE 2016/679.

Opzioni Sicurezza Account

All'interno della procedura Sicraweb, è possibile parametrizzare le diverse opzioni di sicurezza che ogni account di accesso al sistema deve rispettare, attraverso la consolle che si trova alla voce di menù:
Gestione -> Utenti e Gruppi -> Configurazione

Per impostare come vincoli minimi di accesso al sistema quelli definiti dall'Agid, sarà sufficiente scegliere la voce omonima tramite l'apposito menù a tendina, come da immagine di esempio che segue:
Vincoli Minimi Gdpr

Tramite l'operazione sopra descritta, la procedura andrà a valorizzare automaticamente i valori dei diversi parametri disponibili, al fine di rispettare le istruzioni del Regolamento Europeo e relativa Circolare Agid.
Sarà comunque facoltà dell'amministratore di sistema, intervenire sui singoli parametri per andare a personalizzare le diverse opzioni di sicurezza, ad esempio per renderle ancora più stringenti rispetto a quanto indicato dalla normativa.
Ricordarsi di memorizzare i nuovi parametri immessi tramite il pulsante SalvaSalva

Verifica Password

L'attivazione dei parametri visti nel paragrafo precedente, avranno effetto su tutti gli utenti al prossimo accesso della procedura.
Se l'utente aveva già una password che rispettava i requisiti minimi, accederà alla procedura senza alcun avviso.
Se invece l'attuale password non rispetta i nuovi requisiti parametrizzati, verrà mostrato un avviso e verrà chiesto di modificare la propria password come da immagine di esempio che segue:
Modifica Password
La procedura verificherà che la nuova password rispetti tutte le regole parametrizzate nel pannello di configurazione (vedi paragrafo precedente); in caso contrario mostrerà un avviso bloccante.
Lo stesso identico messaggio, verrà mostrato anche quando la password giungerà alla sua naturale scadenza, o al primo accesso di ogni utente se accesa l'omonima opzione:
Obbligo Cambio Password al Primo Accesso

Autenticazione di Dominio (LDAP)

La procedura Sicraweb consente di configurare l'accesso di ogni account collegandosi al proprio Dominio tramite Server LDAP.
Vedi voce di menù: Gestione -> Sistema -> Autenticazione -> Configurazione
In questo caso faranno fede le regole impostate dall'amministratore del proprio dominio, e qualsiasi parametrizzazione di Sicraweb verrà bypassata da quella del proprio dominio di rete.

Legenda dei Parametri

Di seguito vengono riepilogate le diverse opzioni disponibili:

  • Lunghezza minima password è il numero minimo di caratteri complessivo che dovrà contenere la password di ogni account.
  • Caratteri Minuscoli, Maiuscoli e Cifre serve ad indicare il numero minimo di caratteri che dovranno rispettare queste caratteristiche all'interno della password.
  • Obbligo di cambio password al primo accesso (raccomandata) se abilitato richiederà ad un utente che accede al sistema per la prima volta di scegliere una nuova password.

Questa opzione è molto comoda in fase di attivazione di un nuovo utente da parte del Ced dell'ente, in quanto consente di impostare una prima password provvisoria che verrà quindi immediatamente sostituita da quella personale dell'utente e conosciuta solo a quest'ultimo.

  • Cambio password ogni tot giorni serve ad impostare il numero di giorni trascorsi i quali sarà obbligatorio per l'utente di provvedere alla modifica della propria password.
  • Impedire un nuovo cambio password prima di tot secondi serve a limitare i tentativi di accesso fraudolento.
  • Abilita controllo password già utilizzate non consentirà all'utente, una volta scaduta la sua password, di poter riutilizzare le stesse utilizzate di recente.
  • Gli account vengono disattivati dopo tot giorni dall'ultimo accesso, Attesa minima in caso di accesso fallito e Gli account vengono disattivati dopo tot tentativi di accesso falliti sono opzioni avanzate che consentono di limitare tentativi di accesso fraudolento.



Argomenti Correlati e Collegamenti Esterni