Provvedimento Garante Privacy GRUPPO TELECOM ITALIA Provvedimento del emesso dal Garante Privacy Sicurezza dei dati di traffico telefonico e telematico Note informative
1 Provvedimento Garante Privacy GRUPPO TELECOM ITALIA In data lAutorità Garante per la Privacy ha emesso un provvedimento di carattere generale in relazione alla gestione dei dati di traffico telefonico e telematico che: Aspetti principali del Provvedimento Si applica a tutti i fornitori di servizi di comunicazione elettroniche Prescrive ladozione di misure di sicurezza di carattere tecnico, organizzativo e procedurale per proteggere opportunamente i dati di traffico (telefonico e telematico), identificando puntualmente due ambiti per cui tali misure sono richieste: Dati di traffico trattati per finalità di accertamento e repressione dei reati Dati di traffico trattati per altre finalità (es. fatturazione, customer care) Interessa principalmente loperatività delle funzioni DLS.SAG, Domestic mobile services (Customer Operation e Sales), Domestic Fixed Services (Customer Operation e Sales) e le funzioni tecniche, in quanto gestori dei sistemi contenenti dati di traffico, con unestensione complessiva stimata di circa utenti (sia personale interno che risorse esterne). A fronte del successivo Provvedimento di proroga del le prescrizioni dovranno essere adottate: entro il per quanto concerne ladozione della sola misura di sicurezza di accesso logico con strong authentication limitatamente agli utenti delle strutture di Call Center. entro il per tutte le restanti funzioni interessate.
2 Provvedimento Garante Privacy GRUPPO TELECOM ITALIA Prescrizioni di interesse (1 di 2) Le principali prescrizioni che avranno effetto sulloperatività degli utenti saranno: Dati di traffico trattati per finalità di accertamento e repressione dei reati (Servizi per Autorità Giudiziaria) Adozione di meccanismi di autenticazione per accesso logico a sistemi contenenti dati di traffico trattati per queste finalità basati su utilizzo di dispositivo crittografico (smart card) associato a componente biometrica (impronta digitale). Caratteristiche: adottato da utenti applicativi + addetti IT operanti su tali sistemi Impronte digitali presenti solamente nella smartcard in possesso dellutente (senza creazione di database centralizzati) Adozione di meccanismi di controllo dellaccesso fisico a sale con attrezzature informatiche con dati di traffico trattato per queste finalità basati su utilizzo di dispostivo crittografico (smartcard) associata a componente biometrica (impronta digitale) Per tutti gli addetti IT che accederanno alle sale dati interessate Impronte digitali presenti solamente nella smartcard in possesso dellutente (senza creazione di database centralizzati) Attivazione di processi di gestione dei dispositivi (distribuzione, attivazione, sostituzione,..) Realizzazione di attività formative in merito alla tematica della sicurezza dei dati di traffico segue
3 Provvedimento Garante Privacy GRUPPO TELECOM ITALIA Prescrizioni di interesse (2 di 2) Le principali prescrizioni che avranno effetto sulloperatività degli utenti saranno: Dati di traffico trattati per altre finalità (fatturazione, customer care,...) Adozione di meccanismi di autenticazione per accesso logico a sistemi contenenti dati di traffico trattati per altre finalità basati su utilizzo di dispositivo crittografico (Token USB o Cellulare aziendale) associato a PIN. Per utenti applicativi + addetti IT operanti su tali sistemi Attivazione di processi di gestione dei dispositivi (distribuzione, attivazione, sostituzione,..)
4 Provvedimento Garante Privacy GRUPPO TELECOM ITALIA Pianificazione generale del progetto di adeguamento Analisi dei requisiti Definizione soluzioni Predisposizione soluzioni Comunicazione interna Adeguamenti Ambito SAG (*) Adeguamenti Ambito Non COP/ SAG(*) Adeguamenti Ambito COP(*) Prima deadline provv. Seconda deadline provv. (*) Attività principali per misure di strong authentication: Pilota e test delle soluzioni Predisposizione dei sistemi Distribuzione dispositivi Attivazione dispositivi Migrazione utenze Addestramento (Ambito SAG) Chiarimenti con Autorità Garante Attività propedeutiche Delivery delle soluzioni Feb 08 Mar 08 Apr 08 Mag 08 Giu 08 Lug 08 Ago 08 Ott 08 Nov 08 Dic 08 Gen 09 Feb 09 Mar 09 Apr 09 Set 08 Giu 09 Mag 09 Gen 08