Politica di sicurezza e controllo degli accessi per i dati personali

La Politica di sicurezza e controllo degli accessi per i dati personali definisce i requisiti specifici dell’organizzazione per proteggere i dati personali in sistemi, applicazioni, servizi, dispositivi, ambienti cloud e processi operativi. Si applica quando i dati personali sono archiviati, trasmessi, trattati, consultati, amministrati o protetti e copre i contesti di titolare del trattamento, contitolare del trattamento, responsabile del trattamento e sub-responsabile. La politica è progettata in modo esplicito per integrarsi con le pratiche esistenti di sicurezza delle informazioni, senza sostituire un intero sistema di gestione della sicurezza delle informazioni, una politica di sicurezza della rete, una politica di sviluppo sicuro, una politica di backup, una politica sugli endpoint, una politica di sicurezza cloud, uno standard crittografico, una procedura di gestione delle vulnerabilità o una procedura di risposta agli incidenti. Il suo scopo principale è garantire che i dati personali siano protetti da controlli di sicurezza e di controllo degli accessi adeguati, allineati al rischio e auditabili durante tutto il trattamento. A supporto di tale scopo, la politica istituisce una baseline di sicurezza per i dati personali e richiede evidenze tracciabili tramite REG02, REG08, REG10 e REG12. Questo modello di evidenze è centrale per la politica: log operativi, output degli strumenti di sicurezza, esportazioni dei riesami degli accessi, report sulle vulnerabilità ed evidenze di configurazione possono essere allegati agli elementi di evidenza canonici, sintetizzati al loro interno o richiamati mediante riferimento, ma non sono trattati come registri PIMS separati. Ciò consente all’organizzazione di dimostrare che i controlli sono pianificati, applicati, riesaminati, monitorati e migliorati senza duplicare le registrazioni di sicurezza. La politica stabilisce requisiti dettagliati per il controllo degli accessi, l’autenticazione e gli accessi privilegiati. L’accesso ai dati personali deve essere limitato a ruoli approvati e utenti autorizzati registrati o tracciabili in REG02 o REG12, e la finalità aziendale deve essere approvata prima del provisioning degli accessi. I sistemi che trattano dati personali ad alto impatto o sensibili richiedono riesami degli accessi degli utenti almeno trimestrali, mentre gli altri sistemi che trattano dati personali richiedono almeno un riesame annuale. L’accesso deve essere rimosso o modificato entro un giorno lavorativo dopo una modifica del ruolo, la cessazione, il completamento del contratto o quando l’accesso non è più necessario. Gli accessi privilegiati richiedono giustificazione, ambito e approvazione documentati prima della concessione, con riesame mensile per i sistemi che trattano dati personali ad alto impatto o sensibili e riesame trimestrale per gli altri sistemi che trattano dati personali. La politica affronta inoltre le aspettative di sicurezza tecnica per autenticazione, cifratura, archiviazione sicura, registrazione, monitoraggio, configurazione, gestione delle vulnerabilità, accesso agli endpoint e accesso cloud. Per gli account con accesso ai dati personali sono richieste identità utente univoche, e l’autenticazione forte è richiesta per accessi privilegiati, remoti, amministrativi o ad alto impatto ai dati personali. La cifratura o una protezione compensativa approvata deve essere definita prima che dati personali ad alto impatto, sensibili o trasmessi esternamente siano archiviati, trasmessi o resi accessibili. L’ambito della registrazione deve coprire eventi di autenticazione, eventi di accesso, azioni privilegiate, attività di esportazione dei dati personali e modifiche sostanziali della configurazione. Lo stato della configurazione e la copertura delle vulnerabilità devono essere registrati in REG12, con le vulnerabilità ad alto rischio non risolte che incidono sui dati personali registrate entro cinque giorni lavorativi dalla validazione. Le responsabilità di governance sono assegnate ad alta direzione, responsabile privacy / responsabile del PIMS, responsabile della protezione dei dati / consulente privacy, responsabile della sicurezza delle informazioni, proprietario del processo / titolare dell’attività, proprietario del sistema / proprietario dell’applicazione, responsabile fornitori / approvvigionamento, coordinatore della risposta agli incidenti e revisore di audit interno / conformità. La politica richiede riesami trimestrali della completezza delle evidenze in REG02, REG08, REG10 e REG12, riesame trimestrale dell’efficacia della baseline e delle lacune non risolte, nonché campionamento di audit sui riesami degli accessi, sui riesami degli accessi privilegiati, sulle evidenze di registrazione e sulle evidenze di configurazione. Le eccezioni devono essere registrate prima dell’attivazione, includere scadenza, controllo compensativo e data di riesame, e ricevere l’approvazione dell’alta direzione quando incidono su dati personali ad alto impatto, dati personali sensibili, accessi privilegiati, cifratura, registrazione o vulnerabilità ad alto rischio non risolte.