Consorzio Metis

CSIRT Toscana

CSIRT Toscana

Privacy policy membri della constituency

Protezione dati e CSIRT di Regione Toscana

Inventario dei dati

Il CSIRT di Regione Toscana (abbreviato da ora a CSIRT) prende in carico i seguenti dati dai membri della constituency:

  1. Dati di contatto dei responsabili degli enti:
    • numero di telefono
    • PEC
    • dati anagrafici
    • chiavi pgp
    • ruolo aziendale
  2. Policy degli enti:
    • policy monitoring & detection
    • policy vulnerability detection
    • policy vulnerability remediation
    • policy escalation-to-governance
  3. Informazioni tecniche degli enti:
    • dettagli stack tecnico
    • dettagli SIEM per accreditamento full
    • livello di preparazione per monitoring & detection
    • livello di preparazione per vulnerability detection
  4. Dati inseriti dagli enti nel sistema di ticketing:
    • Segnalazioni incidenti 
    • Segnalazione eventi di sicurezza  
    • Segnalazione nuove vulnerabilità 

I dati della tipologia 1 sono soggetti alla General Data Protection Regulation, i dati delle tipologie 2, 3, e 4 non sono considerati dati personali. Quando non specificato, col termine ‘dati’ ci riferiamo a tutte queste categorie.

Modalità di trasporto, custodia, e uso dei dati.

I dati verranno custoditi fisicamente sul sistema informatico SCT – Sistema Cloud Toscana. Il servizio SCT è pienamente compliant con GDPR.

Identifichiamo SCT come il responsabile del trattamento.

Il CSIRT sarà definito come proprietario del trattamento.

Gli enti che forniscono i dati saranno definiti proprietari dei dati.

Il trasporto dei dati presenta i seguenti scenari:

  1. Da proprietario dei dati a web server hostato su SCT tramite https
  2. Da web server ad applicativi CSIRT hostati su SCT tramite https API calls
  3. Da applicativi CSIRT a operatori CSIRT via https.

Solo gli operatori CSIRT hanno accesso agli applicativi CSIRT, e solamente per lo svolgimento delle loro mansioni all’interno dell’organizzazione stessa.

SCT si prende carico di mantenere i dispositivi fisici sui quali gli applicativi CSIRT e il sito web sono hostati sicuri, mantenendo i dati cifrati in fase di riposo.

Il CSIRT si prende in carico di mantenere gli applicativi e il sito web sicuri impedendo accessi non autorizzati.

I dati forniti verranno usati esclusivamente per lo svolgimento dei servizi offerti dal CSIRT nel documento dei processi. Nessun dato non indispensabile allo svolgimento dei servizi verrà raccolto.

I dati inviati saranno analizzati, anonimizzati e condivisi con i membri del CSIRT nell’interesse del processo di analisi e sintesi e del processo di comunicazione offerti dal CSIRT, parte integrante della nostra missione. Questi dati saranno privi di informazioni riservate o personali del proprietario dei dati.

Modalità di aggiornamento e rimozione dei dati

Il proprietario dei dati può correggere o richiedere la rimozione i dati dei punti 1, 2 e 3 inseriti in un qualunque momento tramite il sito web o contattando direttamente il CSIRT.

Per i dati della categoria 4 una correzione è possibile solo tramite ticket e contatto con operatori CSIRT. Questi dati non sono considerati personali e in quanto tali non sono soggetti agli standard della GDPR. Il proprietario del trattamento riserva il diritto di non rimuovere questi dati se la loro rimozione comporterebbe un rischio alla sicurezza o compromissione dei servizi offerti.