1. RACCOLTA DEI DATI PERSONALI
Lo scopo di questa politica di sicurezza è garantire un livello appropriato di protezione per i dati personali degli interessati, applicando correttamente la legislazione nazionale riguardante la protezione dei dati e la riservatezza delle comunicazioni.
2. PRINCIPI DEL TRATTAMENTO DEI DATI PERSONALI
Legalità:
Il trattamento dei dati personali avviene in buona fede e in conformità alle disposizioni legali;
Limitazione dello scopo:
Ogni trattamento dei dati personali è effettuato per scopi ben definiti, espliciti e legittimi, adeguati, pertinenti e non eccessivi rispetto allo scopo per cui sono stati raccolti e successivamente trattati;
Informativa:
Con questa informativa, le persone sono informate che i loro dati personali saranno trattati;
Conservazione:
I dati personali non vengono conservati per un periodo più lungo del necessario per raggiungere gli scopi per cui sono stati raccolti;
Protezione degli interessati:
I dati personali saranno trattati dal personale autorizzato all'interno dell'azienda “Online Broker de Asigurare” SRL o da altre persone autorizzate secondo la legge.
Sicurezza:
Misure di sicurezza tecniche e organizzative per i dati personali sono stabilite per proteggere i dati personali dalla distruzione, perdita, alterazione, divulgazione accidentale o illegale, accesso non autorizzato (l'accesso alle basi di dati degli utenti avviene tramite nome utente e password, regolato tramite ruoli e diritti di accesso). La possibilità di alterare i dati accessibili è protetta tramite un firewall monitorato da “Online Broker de Asigurare” S.R.L., così come da soluzioni antivirus aggiornate permanentemente. I trasferimenti tra server clienti e amministratori o operatori sono cifrati tramite un certificato digitale, in modo che i dati non possano essere intercettati.
3. POLITICA DI TRATTAMENTO DEI DATI PERSONALI
In conformità con le disposizioni della LEGGE n. 133 del 08.07.2011 riguardante la protezione dei dati personali, “Sykors Media” è obbligata a gestire, in condizioni di sicurezza e solo per gli scopi descritti di seguito, i dati personali che le vengono forniti.
“Sykors Media” si impegna a mantenere la riservatezza dei dati personali forniti tramite il sito sykors.com, come richiesto dalle disposizioni della LEGGE n. 133 dell'08.07.2011, con successive modifiche, riguardante la protezione dei dati personali.
4. REQUISITI PER GARANTIRE LA SICUREZZA DEI DATI PERSONALI
Le seguenti categorie di operazioni di trattamento dei dati personali presentano rischi particolari per i diritti e le libertà degli individui:
1) adattamento, modifica, divulgazione tramite trasmissione, diffusione o in altro modo, dei dati personali relativi all'origine razziale o etnica, credenze politiche, religiose, appartenenza a partiti politici o organizzazioni religiose, stato di salute, vita privata, nonché dati personali riguardanti condanne penali, misure coercitive, sanzioni disciplinari o contravvenzionali;
2) operazioni di trattamento dei dati genetici, biometrici e dati che consentono la localizzazione geografica degli individui tramite reti di comunicazione elettronica;
3) operazioni di trattamento dei dati personali tramite mezzi elettronici, finalizzati alla valutazione di aspetti della personalità, come competenze professionali, credibilità, comportamento, ecc.;
4) operazioni di trattamento dei dati personali tramite mezzi elettronici all'interno di sistemi di tracciamento, finalizzati ad analizzare solvibilità, situazione economico-finanziaria, fatti che possano comportare responsabilità disciplinari, contravvenzionali o penali degli individui;
5) operazioni di trattamento dei dati personali dei minori per scopi commerciali (attività di marketing diretto);
6) operazioni di trattamento dei dati personali menzionati nei punti 1) e 2) di questa appendice, nonché dei dati personali dei minori raccolti tramite internet o messaggistica elettronica.
I requisiti per garantire la sicurezza dei dati personali nel loro trattamento all'interno dei sistemi informativi dei dati personali (di seguito - Requisiti) mirano a stabilire le regole minime per i titolari del trattamento dei dati personali al fine di implementare le misure tecniche e organizzative necessarie per garantire la sicurezza, la riservatezza e l'integrità dei dati personali trattati all'interno dei sistemi informativi dei dati personali e/o dei registri manuali, in conformità con le disposizioni della Legge n. 17-XVI del 15 febbraio 2007, riguardante la protezione dei dati personali (Gazzetta Ufficiale della Repubblica di Moldova, 2007, n. 107-111, art. 468) e della Legge n. 71-XVI del 22 marzo 2007, riguardante i registri (Gazzetta Ufficiale della Repubblica di Moldova, 2007, n. 70-73, art. 314).
Questi Requisiti creano il quadro necessario per l'applicazione della Convenzione per la protezione degli individui rispetto al trattamento automatizzato dei dati personali, conclusa a Strasburgo il 28 gennaio 1981, pubblicata nella Serie dei Trattati Europei, n. 108, ratificata dalla Repubblica di Moldova con la Decisione del Parlamento n. 483-XIV del 2 luglio 1999.
Secondo la Decisione n. 1123 del 14.12.2010 riguardante l'approvazione dei Requisiti per garantire la sicurezza dei dati personali quando vengono trattati nei sistemi informativi dei dati personali, le misure di protezione dei dati personali rappresentano una parte integrante dei lavori per la creazione, lo sviluppo e l'operatività dei sistemi informativi dei dati personali e saranno continuamente implementate da tutti i titolari del trattamento dei dati personali. La protezione dei dati personali nei sistemi informativi dei dati personali è garantita tramite un complesso di misure tecniche e organizzative per prevenire il trattamento illecito dei dati personali. Le misure di protezione per i dati personali trattati nei sistemi informativi dei dati personali sono implementate garantendo la riservatezza di queste misure. L'implementazione di qualsiasi misura e lavori utilizzando le risorse informative del titolare del trattamento dei dati personali è vietata se non vengono adottate e implementate le misure di protezione appropriate per i dati personali.
“Sykors Media” certifica che soddisfa i requisiti minimi per la sicurezza dei dati personali.
Secondo la Decisione n. 1123 del 14.12.2010, la protezione dei dati personali nei sistemi informativi dei dati personali è garantita per i seguenti scopi:
1) prevenire perdite di informazioni contenenti dati personali tramite accessi non autorizzati ad esse;
2) prevenire la distruzione, modifica, copia, blocco non autorizzato dei dati personali nelle reti di telecomunicazione e nelle risorse informative;
3) conformarsi alla normativa per l'uso di sistemi informativi e software per il trattamento dei dati personali;
4) garantire la completezza, l'integrità e l'accuratezza dei dati personali nelle reti di telecomunicazione e nelle risorse informative;
5) mantenere la capacità di gestire il processo di trattamento e archiviazione dei dati personali.
La protezione dei dati personali trattati nei sistemi informativi è ottenuta con i seguenti metodi:
1) prevenire connessioni non autorizzate alle reti di telecomunicazione e l'intercettazione dei dati personali trasmessi tramite queste reti utilizzando mezzi tecnici;
2) escludere l'accesso non autorizzato ai dati personali trattati;
3) prevenire azioni tecniche e software speciali che possano causare la distruzione, modifica dei dati personali o malfunzionamenti nei sistemi tecnici e software;
4) prevenire azioni intenzionali e/o non intenzionali da parte di utenti interni e/o esterni, così come di altri dipendenti del titolare del trattamento dei dati personali, che possano causare la distruzione, modifica dei dati personali o malfunzionamenti nei sistemi tecnici e software.
L'accesso ai locali/uffici/spazi dove si trovano i sistemi informativi dei dati personali è ristretto, e l'accesso è consentito solo a persone autorizzate durante l'orario di lavoro, secondo l'elenco e i segni di identificazione appropriati (badge, carte di identificazione, carte a chip). I locali dove sono installati i sistemi informativi dei dati personali sono dotati di sistemi di controllo accessi e videosorveglianza per monitorare l'accesso a questi spazi.
Durante il monitoraggio, vengono utilizzati sistemi di sorveglianza in tempo reale e sistemi di allarme per tracciare tutti i casi di accesso autorizzato e/o non autorizzato. Vengono utilizzati mezzi automatizzati per rilevare casi di accesso non autorizzato e avviare azioni di blocco. Computer, server e altri terminali di accesso sono collocati in aree altamente sicure con accesso ristretto per persone non autorizzate.
Le attrezzature elettriche utilizzate per mantenere la funzionalità dei sistemi informativi dei dati personali, così come i cavi elettrici, sono protetti da danni e connessioni non autorizzate. In caso di emergenza, guasti o forza maggiore, è garantita la possibilità di disconnettere l'alimentazione elettrica dei sistemi informativi dei dati personali, inclusa la possibilità di disconnettere qualsiasi componente IT. Sono anche implementate misure di sicurezza antincendio per i locali/uffici/spazi dove sono installati i sistemi informativi dei dati personali e le attrezzature per l'elaborazione dei dati personali. Sono installati sistemi automatizzati di rilevazione/allarme e spegnimento incendi in questi luoghi.
I computer, i terminali di accesso e le stampanti vengono disconnessi al termine delle sessioni di lavoro. I dispositivi di trattamento dei dati personali, le informazioni contenenti dati personali o il software destinato al trattamento dei dati personali vengono rimossi dal perimetro di sicurezza solo con autorizzazione scritta della direzione del titolare del trattamento dei dati personali. La rimozione e l'inserimento dei dispositivi di trattamento dei dati personali nel/per il perimetro di sicurezza sono registrati.
L'identificazione e l'autenticazione degli utenti dei sistemi informativi dei dati personali e dei processi svolti per conto di questi utenti vengono effettuate. Tutti gli utenti (compreso il personale di supporto tecnico, gli amministratori di rete, i programmatori e gli amministratori di database) avranno un identificatore personale (ID utente) che non deve riflettere il livello di accessibilità dell'utente. Gli ID utente vengono confermati utilizzando password, speciali mezzi di accesso fisico con memoria (token), carte microprocessore, mezzi di autenticazione biometrica basati su caratteristiche uniche e individuali della persona.
La gestione degli identificatori degli utenti include:
1) l'identificazione unica di ogni utente;
2) verifica dell'autenticità di ciascun utente;
3) ottenimento dell'autorizzazione dalla persona responsabile per l'emissione dell'ID utente;
4) assicurarsi che l'ID utente sia emesso a una persona specifica;
5) disattivazione dell'account utente dopo un periodo di inattività, stabilito nel tempo (inattività massimo di 2 mesi);
6) esecuzione di backup degli ID utente.
Le informazioni che escono dal sistema, contenenti dati personali, sono contrassegnate, indicando le prescrizioni per il trattamento e la diffusione successiva, inclusa la specificazione del numero di identificazione unico del titolare dei dati personali. Tutti i metodi di accesso remoto ai sistemi informativi dei dati personali sono sicuri (utilizzando VPN, crittografia, ecc.), documentati, monitorati e controllati. Ogni metodo di accesso remoto ai sistemi informativi dei dati personali è autorizzato dalle persone responsabili dei titolari dei dati personali e consentito solo agli utenti che ne hanno bisogno per adempiere agli obiettivi stabiliti.
L'accesso wireless ai sistemi informativi dei dati personali è documentato, monitorato e controllato. L'accesso wireless ai sistemi informativi dei dati personali è consentito solo se vengono utilizzati mezzi crittografici di protezione delle informazioni. L'uso delle tecnologie wireless è autorizzato dalle persone responsabili del titolare dei dati personali.
L'accesso degli utenti esterni alla rete interna in cui i dati personali sono trattati è assicurato essere impossibile.
L'integrità dei dati personali trasmessi è garantita mediante l'uso di mezzi di protezione crittografica.
La riservatezza dei dati personali trasmessi è garantita mediante l'uso di mezzi di protezione crittografica.
La protezione contro l'infiltrazione di software dannosi nel software destinato al trattamento dei dati personali è garantita, una misura che assicura il rinnovo automatico e tempestivo della protezione contro programmi dannosi e firme di virus. È garantita l'amministrazione centralizzata dei meccanismi di protezione contro il software dannoso nel software destinato al trattamento dei dati personali.
I titolari dei dati personali verificano regolarmente, almeno una volta all'anno, l'implementazione delle misure tecniche e/o organizzative adottate per rilevare malfunzionamenti riguardo l'uso dei sistemi di telecomunicazione nel processo di trattamento dei dati personali e/o apportare miglioramenti se necessario. I controlli di sicurezza vengono aggiornati ogni volta che il titolare dei dati personali viene riorganizzato o cambia la propria infrastruttura. Al fine di verificare il livello di protezione dei sistemi informativi dei dati personali e prevenire possibili casi di accesso illecito o accidentale a questi sistemi informativi, individuando i punti deboli nei loro meccanismi di protezione, il Centro effettua controlli di sicurezza periodici, compresa l'implementazione di misure tecniche speciali per simulare un modello di accesso ai sistemi informativi dei dati personali. I risultati dei controlli effettuati dal Centro vengono immediatamente forniti al titolare dei dati personali, i cui sistemi informativi dei dati personali sono stati oggetto del controllo, con istruzioni, se necessario, sulle azioni da intraprendere per garantire la sicurezza del trattamento dei dati personali.
5. SCOPO DEL TRATTAMENTO DEI DATI PERSONALI
„Sykors Media” tratta i dati personali dei propri clienti e di altre persone che sono in contatto con essa o forniscono dati personali attraverso la navigazione sul sito sykors.com, con l'obiettivo di emettere e consegnare le polizze assicurative acquistate.
I dati personali (dati di identità, indirizzo, codice fiscale, numero di telefono, età o qualsiasi altro dato simile fornito) possono essere trattati e utilizzati da „Sykors Media” sia per l'emissione e la consegna delle polizze assicurative ordinate sul sito web dell'azienda, sia per creare banche dati e utilizzarle in sforzi e attività future dell'operatore, in conformità con le disposizioni della Legge n. 133 del 08.07.2011 per la protezione delle persone riguardo il trattamento dei dati personali.
„Sykors Media” non divulgherà alcun dato (personale o opzionale) a terzi senza il tuo consenso, a meno che non sia convinta in buona fede che la legge lo richieda o se ciò è necessario per proteggere i diritti o la proprietà della nostra azienda.
6. AUDIT DI SICUREZZA NEI SISTEMI INFORMATIVI DEI DATI PERSONALI
„Sykors Media” organizza la generazione di registrazioni di audit di sicurezza nei sistemi informativi dei dati personali per i seguenti eventi:
o La registrazione dei tentativi di login/logout dell'utente nel sistema (registrazione della data e dell'ora del tentativo di login/logout; ID utente; il risultato del tentativo di login/logout – positivo o negativo);
o La registrazione dei tentativi di accesso alle applicazioni e ai processi destinati al trattamento dei dati personali;
o La registrazione dei tentativi di avvio/arresto delle sessioni di lavoro delle applicazioni e dei processi destinati al trattamento dei dati personali, registrando i cambiamenti nei diritti di accesso dell'utente e lo stato di accesso agli oggetti;
o La registrazione dei cambiamenti nei diritti di accesso dell'utente (competenze) e lo stato degli oggetti di accesso;
o La registrazione delle informazioni che escono dal sistema contenenti dati personali (documenti elettronici, dati, ecc.), registrando i cambiamenti nei diritti di accesso dei soggetti e lo stato degli oggetti di accesso.
In caso di malfunzionamento dell'audit di sicurezza nei sistemi informativi dei dati personali o di completamento della memoria totale allocata per memorizzare i risultati dell'audit, viene notificato alla persona responsabile della politica di sicurezza dei dati personali e vengono adottate misure per ripristinare la capacità operativa del sistema di audit. Il monitoraggio continuo e l'analisi dei registri di audit nei sistemi informativi dei dati personali vengono effettuati al fine di rilevare attività insolite o sospette legate all'uso di questi sistemi informativi, con la preparazione di un rapporto sulla rilevazione di tali attività, archiviato su mezzi di calcolo elettronici, e l'adozione di azioni predefinite nella politica di sicurezza per tali casi.
I risultati dell'audit di sicurezza nei sistemi informativi dei dati personali, che rappresentano operazioni di trattamento dei dati personali e mezzi di audit, sono protetti da accessi non autorizzati mediante l'adozione di misure di sicurezza appropriate, compreso il garantire la loro riservatezza e integrità.
Per garantire l'integrità delle informazioni contenenti dati personali e delle tecnologie dell'informazione, viene garantita l'identificazione, la registrazione e la rimozione delle carenze nel software destinato al trattamento dei dati personali, compresa l'installazione di correzioni e pacchetti di aggiornamento per questi sistemi software. La protezione contro l'infiltrazione di programmi dannosi nel software destinato al trattamento dei dati personali è garantita, una misura che assicura il rinnovo automatico e tempestivo della protezione contro programmi dannosi e firme di virus. Le tecnologie e gli strumenti di rilevamento delle intrusioni vengono utilizzati per monitorare gli eventi nei sistemi informativi dei dati personali e rilevare attacchi, compreso l'identificazione di tentativi di uso non autorizzato dei sistemi informativi.
Per ripristinare le informazioni contenenti dati personali (per creare copie di backup), „Sykors Media” stabilisce l'intervallo di tempo in cui vengono effettuate copie di backup dei dati personali e del software utilizzato per il trattamento automatizzato dei dati personali, ma in ogni caso questo periodo è inferiore a un anno, e viene conservato in luoghi protetti al di fuori dell'area in cui queste informazioni e software sono collocati. Le procedure di ripristino dei backup vengono regolarmente aggiornate e testate per garantirne l'efficacia.
„Sykors Media” verifica regolarmente, almeno una volta all'anno, l'implementazione delle misure tecniche e/o organizzative adottate per rilevare malfunzionamenti riguardo l'uso dei sistemi di telecomunicazione nel processo di trattamento dei dati personali e/o apportare miglioramenti se necessario. I controlli di sicurezza vengono aggiornati ogni volta che il titolare viene riorganizzato o cambia la propria infrastruttura. Per verificare il livello di protezione dei sistemi informativi dei dati personali e prevenire eventuali casi di accesso illecito o accidentale a questi sistemi informativi, rilevando i punti deboli nei loro meccanismi di protezione, il Centro effettua controlli periodici di sicurezza, compresa l'implementazione di misure tecniche speciali per simulare un modello di accesso ai sistemi informativi dei dati personali.
7. GESTIONE DEGLI INCIDENTI DI SICUREZZA DELL'INFORMAZIONE E PROTEZIONE TECNICA DEI DATI PERSONALI
Il personale responsabile del funzionamento dei sistemi informativi dei dati personali riceve formazione, almeno una volta all'anno, riguardo le proprie responsabilità e obblighi nella gestione e risposta agli incidenti di sicurezza. È in atto un meccanismo per informare senza indugi la direzione del titolare dei dati personali riguardo agli incidenti che violano la sicurezza dei sistemi informativi dei dati personali. Il trattamento degli incidenti include la rilevazione, l'analisi, la prevenzione dello sviluppo, la rimozione e il ripristino della sicurezza. Vengono utilizzati strumenti automatizzati per supportare il processo di gestione degli incidenti di sicurezza nei sistemi informativi dei dati personali. Gli incidenti di sicurezza nei sistemi informativi dei dati personali sono monitorati e documentati su base continua.
La presenza incontrollata di persone o veicoli e l'installazione accidentale di antenne sono escluse in una zona di almeno 15 metri dalla posizione dei principali mezzi tecnici del sistema informativo dei dati personali, per garantire la sicurezza del trattamento dei dati personali. Le sale server sono protette contro la perdita di informazioni contenenti dati personali a causa di emissioni elettromagnetiche attraverso schermature delle stanze o l'installazione di sistemi di disturbo elettromagnetico, che sono progettati, costruiti e testati da imprese specializzate. È esclusa o limitata l'installazione non autorizzata di altri dispositivi elettrici, radio o simili nelle stanze in cui sono collocati i mezzi tecnici del trattamento dei dati personali, per garantire la sicurezza del trattamento dei dati personali. Le apparecchiature i cui cavi escono fuori dal perimetro controllato sono installate almeno a 3 metri di distanza dai mezzi tecnici in cui vengono trattati i dati personali.
