In questa pagina è possibile trovare un fac simile nomina amministratore di sistema Word e PDF da scaricare e compilare.
Indice
Nomina Amministratore Di Sistema
La nomina dell’Amministratore di Sistema (AdS) è un adempimento privacy security derivante dal provvedimento del Garante (27 novembre 2008) pubblicato in Gazzetta Ufficiale e poi modificato nel 2009. In sostanza serve a governare, in modo documentato e controllabile, le figure tecniche che hanno accessi privilegiati a sistemi e banche dati e che, proprio per questo, possono incidere in modo rilevante sulla riservatezza e integrità dei dati personali trattati dall’organizzazione.
Il provvedimento chiarisce che con “amministratore di sistema” si intendono non solo i classici system administrator, ma anche figure equiparabili per rischi e poteri: amministratori di basi di dati, amministratori di reti e apparati di sicurezza, amministratori di sistemi software complessi. Anche se queste figure non sono “preposte ordinariamente” a leggere i dati in chiaro, molte attività tecniche (backup/recovery, gestione dei flussi di rete, manutenzione hardware, gestione credenziali e autorizzazioni) comportano comunque una capacità effettiva di azione su informazioni personali che il Garante considera a tutti gli effetti un trattamento.
Il GDPR non introduce una definizione di Amministratore di Sistema, ma impone al titolare (e al responsabile) di adottare misure tecniche e organizzative adeguate e di saper dimostrare la conformità (accountability), e impone misure di sicurezza del trattamento proporzionate al rischio. In questo quadro, la disciplina italiana sull’AdS è normalmente utilizzata come misura organizzativa e di controllo degli accessi privilegiati coerente con gli obblighi di sicurezza e accountability.
In concreto, la nomina (o comunque l’applicazione delle misure “AdS”) è opportuna ogni volta che, internamente o tramite outsourcer, esistono soggetti che possono accedere con privilegi elevati a sistemi che trattano dati personali (server, DB, directory, firewall, sistemi di autenticazione, infrastrutture cloud, piattaforme applicative, ecc.). Il provvedimento nasce proprio per richiamare i titolari che usano strumenti elettronici alla necessità di prestare “massima attenzione” ai rischi insiti nell’affidare tali incarichi.
Lo stesso provvedimento, tuttavia, esclude dall’ambito applicativo alcuni trattamenti “a fini amministrativo-contabili” a minore rischio che erano stati oggetto di misure di semplificazione; questa esclusione va letta oggi con prudenza, perché la valutazione deve essere aggiornata al rischio effettivo e all’architettura IT reale.
Il provvedimento prescrive un pacchetto di misure organizzative minime, che costituiscono il cuore della compliance.
-Valutazione preventiva del soggetto. L’attribuzione delle funzioni deve avvenire previa valutazione di esperienza, capacità e affidabilità, con garanzie di rispetto delle norme e della sicurezza.
-Designazione individuale e perimetro di poteri. La designazione deve essere individuale (non “per reparto” in modo indistinto) e deve contenere un’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. In termini pratici, la lettera/atto di nomina deve dire quali sistemi l’AdS può amministrare, con quali privilegi, e cosa gli è vietato.
-Registro/Elenco aggiornato degli AdS. Gli estremi identificativi delle persone fisiche AdS e le funzioni attribuite devono essere conservati in un documento interno aggiornato e disponibile in caso di accertamenti. Se il servizio è in outsourcing, il titolare deve comunque poter conservare “direttamente e specificamente” gli estremi delle persone fisiche dell’outsourcer che svolgono funzioni AdS sui suoi sistemi.
Il provvedimento del 25 giugno 2009 ha inoltre chiarito che alcune prescrizioni (in particolare conservazione degli estremi identificativi e verifica delle attività) possono essere poste anche in capo al responsabile esterno mediante designazione o clausole contrattuali, ma questo non elimina l’obbligo del titolare di assicurarsi che il presidio esista e funzioni.
-Trasparenza interna quando l’AdS può incidere su dati dei lavoratori. Se l’attività degli AdS riguarda anche indirettamente servizi o sistemi che trattano dati personali dei lavoratori, il datore di lavoro (titolare) deve rendere “nota o conoscibile” l’identità degli AdS nell’organizzazione, ad esempio tramite informativa privacy o strumenti di comunicazione interna, salvo specifiche eccezioni di legge.
-Verifica periodica delle attività. L’operato degli AdS deve essere oggetto di una verifica, con cadenza almeno annuale, per controllare la rispondenza alle misure organizzative e di sicurezza previste. Questa verifica non è un adempimento “di carta”: deve essere effettiva e basata su evidenze.
-Log degli accessi (access log) e conservazione. Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi e agli archivi elettronici da parte degli AdS. I log devono avere completezza, inalterabilità e possibilità di verifica dell’integrità; devono includere riferimenti temporali e descrizione dell’evento; devono essere conservati per un periodo congruo non inferiore a sei mesi.
In ottica legale e di audit, un atto di nomina dovrebbe contenere almeno: identificazione di titolare/organizzazione, identificazione dell’AdS (persona fisica), ruolo e rapporto (dipendente/consulente/fornitore), sistemi e ambienti assegnati, privilegi ammessi, regole di autenticazione (account nominativi, divieto di account condivisi salvo casi eccezionali e controllati), obbligo di riservatezza e divieto di utilizzo dei dati per finalità estranee, obbligo di operare secondo procedure (change management, ticketing, tracciabilità), obbligo di cooperare ai controlli e alle verifiche periodiche, durata della nomina e regole di revoca, gestione delle credenziali alla cessazione. È utile anche richiamare espressamente che l’AdS opera nei limiti delle autorizzazioni, e che ogni accesso è soggetto a logging e a verifiche.
Quando l’AdS è un soggetto esterno, la “nomina AdS” va coordinata con il contratto/atto ex GDPR come responsabile del trattamento se il fornitore tratta dati personali per conto del titolare. In pratica, il contratto deve disciplinare misure di sicurezza, istruzioni, subfornitori e catena di responsabilità, e includere clausole che consentano al titolare di conoscere i nominativi degli AdS del fornitore che operano sui suoi sistemi e di ottenere i log o le evidenze necessarie alle verifiche.
Esempio di Nomina Amministratore Di Sistema
Di seguito è possibile trovare un esempio di nomina amministratore di sistema.
Ai sensi del Provvedimento del Garante per la protezione dei dati personali 27.11.2008 e succ. mod., e in coerenza con il Reg. UE 2016/679)
Tra
Titolare del trattamento / Organizzazione
Ragione sociale ________________________________
C.F./P.IVA ________________________________
Sede legale ________________________________
Rappresentata da ________________________________ (ruolo)
di seguito “Titolare”
e
Amministratore di Sistema (AdS)
Nome e Cognome ________________________________
Nato/a a ________________________________ il ________________________________
C.F. ________________________________
Qualifica/Ruolo ________________________________
Rapporto con il Titolare: ☐ dipendente ☐ consulente ☐ fornitore ☐ altro ________________________________
Recapiti: e-mail ________________________________ PEC ________________________________ Tel. ________________________________
di seguito “AdS”
Premesse
- Il Titolare tratta dati personali mediante sistemi informatici e infrastrutture tecnologiche.
- L’AdS, per ruolo e competenze, necessita di accessi privilegiati a sistemi e/o banche dati che comportano potenziale impatto su riservatezza, integrità e disponibilità dei dati.
- Il Titolare ha valutato l’esperienza, capacità e affidabilità dell’AdS e ritiene sussistenti i requisiti per l’attribuzione delle funzioni, nei limiti e alle condizioni di seguito stabilite.
Tutto ciò premesso, il Titolare
NOMINA / DESIGNA
il/la Sig./Sig.ra ________________________________ quale Amministratore di Sistema con decorrenza dal ________________________________ e fino al ________________________________ (oppure: “a tempo indeterminato fino a revoca”), alle condizioni che seguono.
1) Ambito di operatività e sistemi assegnati
L’AdS è autorizzato/a ad operare esclusivamente sui seguenti sistemi/ambienti:
- Infrastruttura / Server: ________________________________
- Sistemi operativi: ________________________________
- Directory/Autenticazione (es. AD/LDAP): ________________________________
- Database: ________________________________
- Rete e sicurezza (firewall, IDS/IPS, VPN, proxy): ________________________________
- Virtualizzazione / Cloud: ________________________________
- Applicazioni/Servizi critici: ________________________________
- Postazioni amministrative / strumenti di gestione remota: ________________________________
- Altri sistemi: ________________________________
Ogni estensione dell’ambito richiede autorizzazione scritta del Titolare.
2) Profili di autorizzazione e credenziali
L’AdS opera mediante credenziali nominative:
User ID / account amministrativo: ________________________________
Account “break glass” (se previsto): ________________________________ (modalità gestione: ________________________________)
È vietato l’uso di credenziali condivise salvo casi eccezionali autorizzati e controllati dal Titolare con procedure di tracciabilità.
3) Obblighi dell’AdS
L’AdS si impegna a:
a) operare nei soli limiti delle autorizzazioni assegnate e delle istruzioni impartite dal Titolare;
b) rispettare le policy interne su sicurezza, accessi privilegiati, change management, ticketing e gestione incidenti;
c) mantenere la riservatezza su dati, configurazioni, credenziali e informazioni apprese nello svolgimento dell’incarico, anche dopo la cessazione;
d) non accedere ai dati personali se non per necessità tecniche connesse alle attività autorizzate, evitando consultazioni non indispensabili e non pertinenti;
e) segnalare tempestivamente al Titolare eventuali vulnerabilità, incidenti, accessi anomali o eventi di sicurezza rilevanti;
f) cooperare con il Titolare in caso di verifiche, audit, ispezioni o richieste di evidenze.
4) Logging, tracciabilità e conservazione
Il Titolare adotta sistemi di registrazione degli accessi logici e delle attività amministrative dell’AdS sui sistemi sopra indicati.
L’AdS prende atto che:
- gli accessi e le attività rilevanti sono soggetti a logging;
- i log sono conservati per un periodo non inferiore a ________________________________ mesi (minimo 6 mesi), salvo estensioni motivate;
- i log possono essere utilizzati per verifiche interne, audit e adempimenti di legge.
5) Verifiche periodiche
Il Titolare effettua verifiche almeno annuali (o con frequenza ________________________________) sull’operato dell’AdS e sulla coerenza dei profili di autorizzazione assegnati.
L’AdS si impegna a collaborare fornendo informazioni e supporto tecnico.
6) Misure di sicurezza operative minime
L’AdS si impegna a rispettare le seguenti misure operative (se applicabili):
- autenticazione a più fattori: ☐ sì ☐ no (dettagli ________________________________)
- uso di postazione amministrativa dedicata/jump server: ☐ sì ☐ no
- utilizzo canali cifrati (VPN/SSH/TLS): ☐ sì ☐ no
- registrazione sessioni amministrative (se prevista): ☐ sì ☐ no
- segregazione ambienti (prod/test/dev): ☐ sì ☐ no
7) Durata, revoca e cessazione
La presente nomina è efficace dalla data indicata e resta valida fino a revoca o cessazione del rapporto, o fino alla data di fine incarico se prevista.
Alla cessazione, l’AdS dovrà:
- restituire materiale e documentazione del Titolare;
- consegnare/trasferire eventuali credenziali e segreti in custodia (se autorizzati);
- cessare immediatamente ogni accesso ai sistemi del Titolare;
- collaborare alla disattivazione/rotazione credenziali e alla chiusura dei ticket pendenti.
8) Subfornitura e deleghe
È vietata ogni subdelega o coinvolgimento di terzi senza autorizzazione scritta del Titolare.
(Se l’AdS opera per conto di fornitore) Il fornitore/organizzazione ________________________________ garantisce che solo le persone fisiche espressamente indicate e nominate possano svolgere funzioni di AdS sui sistemi del Titolare.
9) Accettazione
L’AdS dichiara di accettare integralmente la presente nomina, di comprendere i limiti e gli obblighi previsti e di impegnarsi al rispetto delle disposizioni e delle istruzioni del Titolare.
Luogo ________________________________
Data ________________________________
Per il Titolare
Nome e Cognome ________________________________
Ruolo ________________________________
Firma ________________________________
Per accettazione – Amministratore di Sistema
Nome e Cognome ________________________________
Firma ________________________________
Allegati (facoltativi ma consigliati)
Allegato A – Elenco sistemi e privilegi dettagliati / matrice autorizzazioni
Allegato B – Policy accessi privilegiati e logging
Allegato C – Procedura gestione incidenti e change management
Allegato D – Registro aggiornato Amministratori di Sistema (estratto)
Fac Simile Nomina Amministratore Di Sistema Word da Scaricare
In questa sezione è presente un modello nomina amministratore di sistema da scaricare. Il modulo nomina amministratore di sistema compilabile messo a disposizione è in formato DOC, può quindi essere aperto e compilato utilizzando Word o un altro programma che supporta questo formato.
La compilazione è molto semplice, basta infatti inserire i dati mancanti negli spazi presenti nel documento.
Una volta compilato, il fac simile nomina amministratore di sistema può essere convertito in PDF o stampato.
Modulo Nomina Amministratore Di Sistema PDF Editabile
Di seguito viene messo a disposizione un modello nomina amministratore di sistema PDF editabile.