SlideShare une entreprise Scribd logo

20190314 - Seminario UNINFO Security Summit

Télécharger en tant que PPTX, PDF
uninfoit
uninfoit

"Blockchain, EIDAS e protezione dei dati personali: come sta progredendo la normazione tecnica?" Grazie al coinvolgimento di una serie di esperti UNINFO direttamente coinvolti nelle diverse commissioni tecniche č possibile ricostruire un quadro delle piů recenti evoluzioni su temi di ampio interesse quali la Blockchain, l'attuazione del regolamento EIDAS e la protezione dei dati personali, sia in ambito nazionale che in ambito internazionale. Relatori: Fabio Guasconi, Andrea Caccia, Dorotea De Marco e Daniele Tumietto

Formation
1  sur  35
UNINFO Security Summit Milano 14 marzo 2019
AGENDA 14/03/2019 2 Policy& security requirements eIDAS Blockchain Normazione nazionale sulla data protection Normazione internazionale sulla data protection
POLICY & SECURITY REQUIREMENTS EIDAS 14/03/2019 3 Policy& security requirements eIDAS Blockchain Normazione nazionale sulla data protection Normazione internazionale sulla data protection
RELATORE Andrea CACCIA Presidente UNI/CT 510/GL 02 UNINFO Firme, Identità, Sigilli elettronici e relativi servizi che interfaccia il TB ETSI/ESI "Electronic Signatures and Infrastructures" Presidente UNI/CT 532 "UNINFO Blockchain e tecnologie per la gestione distribuita dei registri elettronici (distributed ledger)" e CEN/CENELEC Focus Group on Blockchain and DLT Esperto SBS (Small Business Standard) Socio onorario UNINFO 14/03/2019 4
Come si applica eIDAS 14/03/2019 5 Dal 1° luglio 2016 il Regolamento (UE) n.910/2014 «eIDAS» abroga la Direttiva 1999/93/CE «signature Directive» ed è direttamente applicabile in tutta l’Unione Europea, così come gli Atti di Esecuzione della Commissione Europea previsti da eIDAS Salvo poche eccezioni gli atti possono solo richiamare norme tecniche (standard) europee o internazionali quali strumento di presunzione di conformità i requisiti del Regolamento
I servizi fiduciari (trust services) 14/03/2019 6 eIDAS introduce il concetto di servizi fiduciari come servizi elettronici prestati normalmente dietro remunerazione consistenti in: creazione, verifica e convalida di: - firme elettroniche, - sigilli elettronici, - validazioni temporali elettroniche, - servizi di recapito elettronico certificato, - certificati relativi a tali servizi; oppure creazione, verifica e convalida di certificati di autenticazione di siti web; oppure conservazione di firme, sigilli o certificati elettronici relativi a tali servizi. I prestatori di servizi fiduciari possono fare domanda di qualificazione secondo le modalità previste da eIDAS (evoluzione dei certificatori accreditati che esistevano nell’ambito della Direttiva 99/97/CE abrogata da eIDAS) Esulano dall’applicazione di eIDAS i gruppi chiusi e altri servizi con regole nazionali diversi da quelli presenti nell’elenco contenuto nel Regolamento
Requisiti generali per i prestatori di servizi fiduciari 14/03/2019 7 I prestatori di servizi fiduciari sono responsabili di danni causati, con dolo o per negligenza Responsabilità per i danni causati da: prestatori qualificati -> presunta, salvo prova contraria prestatori non qualificati -> con prova a carico di chi denuncia comunque non oltre i limiti d'uso, se correttamente comunicati Requisiti di sicurezza dei prestatori di servizi fiduciari: Adozione di misure tecniche e organizzative che garantiscano un livello di sicurezza commisurato al grado di rischio di sicurezza dei servizi offerti In particolare misure per prevenire gli incidenti e informare le parti interessate degli effetti negativi di eventuali incidenti Notifica violazioni di sicurezza o perdite di integrità significative entro 24 ore a: autorità di vigilanza, altri organismi interessati, ENISA se coinvolti più Stati membri Notifica a persona fisica o giuridica in caso di effetti negativi su questi soggetti
Prestatori di Servizi Fiduciari Qualificati (QTSP) 14/03/2019 8 Godono di forme di presunzione legale Una firma elettronica qualificata ha effetti giuridici equivalenti a quelli di una firma autografa ed è riconosciuta come tale in tutti gli Stati membri Requisiti: basata su certificato qualificato di firma (emesso a persona fisica da un QTSP) associato ad un dispositivo qualificato per la creazione di firme Un sigillo elettronico qualificato gode della presunzione di integrità dei dati e di correttezza dell’origine di quei dati a cui il sigillo elettronico qualificato è associato ed è riconosciuto come tale in tutti gli Stati membri Requisiti: basato su certificato qualificato di sigillo (emesso a persona fisica da un QTSP) associato ad un dispositivo qualificato per la creazione di sigilli Una validazione temporale elettronica qualificata (emessa da QTSP) gode della presunzione di accuratezza della data e dell’ora che indica e di integrità dei dati ai quali tale data e ora sono associate ed è riconosciuto come tale in tutti gli Stati membri I dati inviati e ricevuti mediante servizio di recapito certificato qualificato (prestato da un QTSP) godono della presunzione di integrità dei dati, dell’invio di tali dati da parte del mittente identificato, della loro ricezione da parte del destinatario identificato e di accuratezza della data e dell’ora dell’invio e della ricezione indicate dal servizio di recapito certificato qualificato Col Decreto Semplificazioni è prevista l’evoluzione della PEC verso un servizio di recapito elettronico certificato qualificato
Qualificazione dei servizi fiduciari 14/03/2019 9 In ogni Stato membro è stato designato un un organismo di vigilanza per il proprio territorio (AgID per l'Italia) che assegna lo stato di «qualificato» ai prestatori di servizi fiduciari e mantiene e pubblica un elenco di fiducia, con le informazioni relative ai prestatori di servizi fiduciari qualificati e ai servizi fiduciari qualificati da essi prestati Per ottenere (o mantenere) la qualifica il prestatore di servizi fiduciari deve: Ottenere ogni 24 mesi una relazione di valutazione della conformità ai requisiti del Regolamento da parte di un Organismo di Certificazione (CAB - Conformity Assessment Body) accreditato secondo il Regolamento (CE) n. 765/2008 (in Italia opera ACCREDIA) Chiedere la qualificazione/mantenimento all'Organismo di vigilanza competente sul territorio sul quale è stabilito allegando la relazione di cui sopra
Norme di riferimento per lo schema italiano 14/03/2019 10 ETSI EN 319 403 è la norma di accreditamento che stabilisce i requisiti che un organismo di certificazione deve soddisfare per dimostrare di operare in modo competente, coerente e imparziale nell’ambito della valutazione di conformità di un prestatore di servizi fiduciari eIDAS Rientra nell’accreditamento della ISO/IEC 17065 «Valutazione della conformità. Requisiti per organismi che certificano prodotti, processi e servizi» Estratto dalla Circolare ACCREDIA n. 8/2017 (che si applica in ambito eIDAS): Tutte le norme ETSI sono ricercabili e scaricabili gratuitamente dal relativo sito: http://www.etsi.org/standards-search
BLOCKCHAIN 14/03/2019 11 Policy& security requirements eIDAS Blockchain Normazione nazionale sulla data protection Normazione internazionale sulla data protection
RELATORE Daniele TUMIETTO Iscritto all’albo dei Dottori Commercialisti di Milano Professore a contratto presso la Link Campus University di Roma Esperto di normazione tecnica in ambito nazionale (UNI/UNINFO), europeo (CE, CEN, CEF) ed internazionale (UN/CEFACT, UNECE, ITU) su eInvoicing, eProcurement, Blockchain e DLT, GDPR. Advisor 14/03/2019 12
14/03/2019 iNCONTRO DG UNI E EEFF 13 Perché sviluppare standard su Blockchain & DLT? L’uso principale di queste tecnologie è stato in ambito crittovalute, nate da comunità indipendenti e operanti come isole a sé stanti Esigenze fondamentali diventano: • la possibilità di integrare servizi ed applicazioni gestite da soggetti diversi, • fornire garanzie sufficienti di disponibilità, integrità ed origine delle informazioni e delle transazioni. Le sfide sono molteplici per la vastità dei domini di applicazione, in un mercato sostanzialmente immaturo, e per il cambio del paradigma sottostante alla tecnologia. Il dato non è più centralizzato ma distribuito pertanto le minacce non riguardano il singolo ma tutta la comunità Negli scenari che stanno emergendo e si stanno consolidando gli standard possono svolgere un ruolo abilitante chiave per creare un ecosistema affidabile e opportunità per tutti gli attori coinvolti, anche PMI
14/03/2019 14 CEN-CENELEC Focus Group on Blockchain & DLT Il CEN e il CENELEC sono due delle tre organizzazioni europee di normalizzazione i cui membri sono anche membri di ISO e IEC Il CEN-CLC Focus Group Blockchain e DLT è stato istituito da CEN e CENELEC nel gennaio 2018 e la segreteria è stata assegnata all'UNI (Ente Nazionale Italiano di Normazione), chair Andrea Caccia Un Focus Group in CEN/CENELEC è un gruppo a breve termine creato per assicurare l'interazione tra tutti gli stakeholder europei interessati ad una (potenziale) attività di standardizzazione in un nuovo campo o argomento Ha l’obiettivo di preparare una panoramica per la comunità degli stakeholder sugli standard già disponibili o in preparazione, adatti a soddisfare specifiche esigenze europee in Blockchain e DLT Ove non esistano norme adeguate definire i modi migliori per fornirle a livello internazionale e, se necessario a livello europeo, formulando raccomandazioni in tal senso
14/03/2019 15 White Paper del Focus Group CEN-CENELEC Uno specifico sottogruppo del Focus Group ha sviluppato un white paper con l’obiettivo di identificare le esigenze specifiche europee da affrontare in ISO/TC 307 per l'implementazione di Blockchain/DLT in Europa Il white paper, approvato da CEN e del CENELEC il 10 ottobre 2018, contiene diverse raccomandazioni senza prendere specifiche posizioni sulla loro implementazione: Recommendations for Successful Adoption in Europe of Emerging Technical Standards on Distributed Ledger/Blockchain Technologies Introduction Sections Recommendations Conclusions EU DLT Approach Sections Background Recap
14/03/2019 16 Le massime priorità europee individuate Nascono principalmente negli ambiti regolamentati: Privacy -> GDPR Identità e servizi fiduciari -> eIDAS Sarà probabilmente necessario costituire un comitato formale in seno a CEN/CENELEC
14/03/2019 17 ISO/TC 307 WG 1 “Foundations”, ha il compito di definire un vocabolario e un'architettura di riferimento comuni WG 2 “Security, privacy and identity” si occupa di aspetti chiave per il futuro di queste tecnologie, in particolare qui rientrano privacy e identità che, in Europea, si declinano in compliance con i regolamenti GDPR ed eIDAS WG 3 “Smart contracts and their applications” indirizza la tematica dei contratti intelligenti e di come potere renderli giuridicamente vincolanti WG 5 “Governance” si pone l’obiettivo di definire delle linee guida in uno degli ambiti più importanti e potenzialmente controversi SG 2 “Use cases” è un gruppo di studio che mantiene un elenco di use case che sono utilizzati per mappare il lavoro degli altri gruppi su casi reali SG 7 “Interoperability of blockchain and distributed ledger technology systems” è un altro gruppo di studio che affronta gli aspetti di interoperabilità in modo trasversale rispetto agli altri gruppi JWG 4 “Blockchain and distributed ledger technologies and IT Security techniques” è un gruppo di lavoro congiunto con ISO/IEC JTC 1/SC 27 che consentirà di indirizzare le tematiche in ambito sicurezza sulla linea dei lavori di SC27 ovvero della nota famiglia di norme ISO/IEC 27000
NORMAZIONE NAZIONALE SULLA DATA PROTECTION 14/03/2019 18 Policy& security requirements eIDAS Blockchain Normazione nazionale sulla data protection Normazione internazionale sulla data protection
RELATORE Fabio GUASCONI Direttivo CLUSIT Direttivo UNINFO Presidente del CT 510 Sicurezza Informatica UNINFO Esperto SBS CISA, CISM, PCI-QSA, ITIL, ISFS, PRINCE2, Lead Auditor 27001 & 9001 Partner e co-founder BL4CKSWAN S.r.l. 14/03/2019 19
PRASSI DI RIFERIMENTO UNINFO Nel corso del 2017, AIP (Associazione Informatici Professionisti), ha lanciato un’iniziativa per la scrittura di una linea guida relativa all’applicazione dell’incipiente Regolamento 2016/679. Su stimolo di Accredia, coinvolta nei lavori, si è deciso di creare anche uno schema di requisiti che potesse essere utilizzato per la certificazione, direttamente richiamata dallo stesso GDPR. Per evitare sovrapposizioni con altri lavori già esistenti, lo scopo è stato limitato al mondo ICT e non gli è stata data forma di sistema di gestione, pur ispirandosi ad essi. L’obiettivo del documento, che si rivolge ai trattamenti di dati personali mediante strumenti elettronici (ICT), è quello di definire in modo obiettivo e ripetibile le azioni per il corretto trattamento dei dati personali, offrendo a titolari e responsabili una linea guida di riferimento e alle autorità di controllo un metro di giudizio, ponendo le basi per meccanismi di certificazione come auspicati dall’art. 42 del Regolamento Europeo n.679/2016. 14/03/2019 20 18 ottobre 2017 •Avvio dei lavori 25 maggio 2018 •Lancio dell’inchiesta pubblica 13 settembre 2018 •Pubblicazione della prassi
PRASSI DI RIFERIMENTO UNINFO Il documento è suddiviso in due sezioni correlate ma utilizzabili in modo indipendente. La sezione 1 fornisce le linee guida per la definizione e attuazione dei processi afferenti al trattamento dei dati personali, mediante strumenti elettronici (ICT), secondo il Regolamento Europeo 679/2016 (GDPR) e la normativa vigente. La sezione 2 fornisce un adeguato insieme di requisiti che permetta alle organizzazioni, in particolare alle PMI, di essere conformi a quanto previsto dal quadro normativo europeo e nazionale in modo efficace, potendo dimostrare tale conformità ed efficacia anche attraverso un percorso di certificazione. Il documento fornice inoltre gli indirizzi per la valutazione di conformità ai requisiti definiti. 14/03/2019 21
PRASSI DI RIFERIMENTO UNINFO 14/03/2019 22 Sezione 2 28 pagine e 7 capitoli  Pianificazione o comprendere l’organizzazione e il suo contesto o politica per la protezione dei dati personali o ruoli e responsabilità o gestione del rischio o pianificazione delle modifiche  Attività operative o informative e consensi o aggiornamento delle posizioni o protezione dei dati personal o richieste di esercizio dei diritti degli interessati o formazione e consapevolezza  Controllo o audit interno o relazione periodica o non conformità e azioni correttive
PRASSI DI RIFERIMENTO UNINFO 14/03/2019 23 Sezione 2 Questa sezione è ispirata all’ottima norma inglese BS 10012 Data protection - Specification for a personal information management system, aggiornata nel 2017 per essere pienamente allineata al GDPR. La PdR presenta tuttavia i seguenti distinguo fondamentali:  pone maggiore attenzione sull’ICT e sui trattamenti per suo mezzo effettuati  esplicita dei requisiti che possono essere utilizzati per una certificazione  non è strutturata strettamente come un sistema di gestione, risultando più leggera  è semplificata per rivolgersi alle PMI, nella sostanza ma anche nei vocaboli utilizzati Per poter scaricare gratuitamente le prassi di riferimento i link sono: http://store.uni.com/catalogo/index.php/uni-pdr-43-1-2018.html http://store.uni.com/catalogo/index.php/uni-pdr-43-2-2018.html
PRASSI DI RIFERIMENTO UNINFO 14/03/2019 24 Benefici della certificazione (secondo ICO)  essere più trasparenti e responsabili – consentendo alle aziende o ai singoli individui che vi affidano i loro dati personali di capire quali trattamenti, prodotti e servizi devono rispettare i requisiti di protezione dei dati personali del GDPR  disporre di un vantaggio competitivo rispetto a chi non è certificato  adottare dei controlli efficaci al fine di mitigare il rischio connesso al trattamento dei dati personali e ai diritti e le libertà degli interessati  migliorare i propri standard adottando una best practice riconosciuta  agevolare i trasferimenti di dati personali internazionali  ridurre il rischio di sanzioni
NORMAZIONE INTERNAZIONALE SULLA DATA PROTECTION 14/03/2019 25 Policy& security requirements eIDAS Blockchain Normazione nazionale sulla data protection Normazione internazionale sulla data protection
Standard pubblicati ISO/IEC 29100 - Information technology — Security techniques — Privacy framework ISO/IEC 29134 - Guidelines for privacy impact assessment (PIA) ISO/IEC 29151 - Code of practice for the protection of personally identifiable information ISO 20889 - Privacy enhancing data de-identification techniques 14/03/2019 26
Standard in lavorazione ISO 29184 - Online privacy notices and consent ISO 27552 - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines ISO 27555 – Deletion PII ISO 27570 - Privacy Guidelines for Smart Cities ISO 31700 - Consumer protection Privacy by design for consumer goods and services 14/03/2019 27
ISO 29100 - principi Consent and choice Purpose legitimacy and specification Collection limitation Data minimization Use, retention and disclosure limitation Accuracy and quality Openness, transparency and notice Individual participation and access Accountability Information security Privacy compliance 14/03/2019 28
ISO 29100 – esempi di attributi identificativi Età o bisogni speciali di persone fisiche fragili Numero di conto bancario o carta di credito Identificatore biometrico Numero cliente Data di nascita Informazioni diagnostiche sanitarie Fatture mediche Stipendi e documenti delle risorse umane Numero di telefono personale Fotografia o video che identificano una persona fisica Bollette dei servizi di pubblica utilità Posizione GPS Traiettorie GPS Indirizzo dell'abitazione Indirizzo IP Ubicazione ricavata dai sistemi di telecomunicazioni Identificatori nazionali (per esempio, numero di passaporto) Indirizzo di e-mail personale Numeri di identificazione personale (PIN) o password Interessi personali desunti dal tracciamento dell'utilizzo dei siti Web di Internet Profilo personale o comportamentale Preferenze di prodotti e servizi 14/03/2019 29
ISO 29134 - fasi decisione se effettuare la PIA preparazione della PIA (allocazione risorse, piano, descrizione dell’oggetto della PIA, coinvolgimento stakeholder) esecuzione della PIA (flussi di dati, usecases, requisiti rilevanti per la privacy, trattamento rischi privacy) follow up (report, pubblicazione report, adozione piano trattamento rischio, revisione/audit, input per inizializzare un nuovo ciclo di PIA) 14/03/2019 30
ISO 29134 – come? Alcune domande.. What is the personal data - types processed? What is the purpose of the processing? What are the means used for the processing of personal data? How will the privacy process of personal data be implemented? How does the personal data processing take place? Which are the categories of data subjects? Which are the recipients of the data? Supporting assets Operational plans, procedures 14/03/2019 31
ISO 29151 - controlli Policies for the protection of PII Use, retention and disclosure limitation Secure erasure of temporary files PII disclosure notification Recording of PII disclosures Disclosure of sub- contracted PII processing Privacy notice Dissemination of privacy program information PII principal access Redress and participation Complaint management Privacy risk assessment Privacy requirement for contractors and service providers Privacy monitoring and auditing PII protection awareness and training PII protection reporting Continuous Improvement of PII management systems Cross border data transfer restrictions in certain jurisdictions 14/03/2019 32
ISO 27552 4 General (structure, application of ISO/IEC 27001:2013 requirements, application of ISO/IEC 27002:2013 guidelines) 5: PIMS-specific requirements related to ISO/IEC 27001 6: PIMS-specific guidance related to ISO/IEC 27002 7: Additional ISO/IEC 27002 guidance for PII controllers 8: Additional ISO/IEC 27002 guidance for PII processors Annex A (normative) PIMS specific reference control objectives and controls (PII Controllers) Annex B (normative) PIMS specific reference control objectives and controls (PII Processors) Annex C (informative) Mapping to the General Data Protection Regulation Annex D (informative) Mapping to ISO/IEC 29100 (PII controllers and PII processors) Annex E (informative) Mapping to ISO/IEC 27018 and ISO/IEC 29151 Annex F (informative) Terms and alternative terms Annex G (informative) How to apply ISO/IEC 27552 to ISO/IEC 27001 and ISO/IEC 27002 14/03/2019 33
Lavori in corso presso l’EDPB Guidelines to identify common criteria to accredit certification bodies under Regulation 2016/679 requisiti aggiuntivi per l’accreditamento ai sensi dell’art. 43, par. 1, lett. b), del Regolamento Guidelines to identify common criteria to certify processing under Regulation 2016/679 criteri di certificazione di cui all’art. 42 del Regolamento (punto 3) 14/03/2019 34
14/03/2019 35 Grazie dell'attenzione Follow us on: www.uninfo.it https://www.facebook.com/UNINFO.it https://twitter.com/uninfo_it http://www.slideshare.net/uninfoit Segreteria UNINFO - uninfo@uninfo.it

Recommandé

La cybersecurity e la protezione dei dati
La cybersecurity e la protezione dei datiLa cybersecurity e la protezione dei dati
La cybersecurity e la protezione dei datiVincenzo Calabrò
 
Gli impatti del Regolamento eIDAS in Italia
Gli impatti del Regolamento eIDAS in ItaliaGli impatti del Regolamento eIDAS in Italia
Gli impatti del Regolamento eIDAS in ItaliaDigital Law Communication
 
Regolamento EIDAS - G. Allegrezza
Regolamento EIDAS - G. AllegrezzaRegolamento EIDAS - G. Allegrezza
Regolamento EIDAS - G. AllegrezzaGuido Allegrezza
 
LE NUOVE REGOLE TECNICHE PER IL DOCUMENTO INFORMATICO
LE NUOVE REGOLE TECNICHE PER IL DOCUMENTO INFORMATICOLE NUOVE REGOLE TECNICHE PER IL DOCUMENTO INFORMATICO
LE NUOVE REGOLE TECNICHE PER IL DOCUMENTO INFORMATICOSalomone & Travaglia Studio Legale
 
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...uninfoit
 
LE NOVITA’ DELLA REGOLAMENTAZIONE SUI DERIVATI NEGOZIATI OVER THE COUNTER
LE NOVITA’ DELLA REGOLAMENTAZIONE SUI DERIVATI NEGOZIATI OVER THE COUNTERLE NOVITA’ DELLA REGOLAMENTAZIONE SUI DERIVATI NEGOZIATI OVER THE COUNTER
LE NOVITA’ DELLA REGOLAMENTAZIONE SUI DERIVATI NEGOZIATI OVER THE COUNTERSalomone & Travaglia Studio Legale
 
I PROGRAMMI DI COMPLIANCE ANTITRUST
I PROGRAMMI DI COMPLIANCE ANTITRUSTI PROGRAMMI DI COMPLIANCE ANTITRUST
I PROGRAMMI DI COMPLIANCE ANTITRUSTSalomone & Travaglia Studio Legale
 
MiFID 2: GOVERNANCE DEI PRODOTTI FINANZIARI E COMPLIANCE, INFORMATIVA E PROFI...
MiFID 2: GOVERNANCE DEI PRODOTTI FINANZIARI E COMPLIANCE, INFORMATIVA E PROFI...MiFID 2: GOVERNANCE DEI PRODOTTI FINANZIARI E COMPLIANCE, INFORMATIVA E PROFI...
MiFID 2: GOVERNANCE DEI PRODOTTI FINANZIARI E COMPLIANCE, INFORMATIVA E PROFI...Salomone & Travaglia Studio Legale
 

Recommandé

La cybersecurity e la protezione dei dati
La cybersecurity e la protezione dei datiLa cybersecurity e la protezione dei dati
La cybersecurity e la protezione dei datiVincenzo Calabrò
 
Gli impatti del Regolamento eIDAS in Italia
Gli impatti del Regolamento eIDAS in ItaliaGli impatti del Regolamento eIDAS in Italia
Gli impatti del Regolamento eIDAS in ItaliaDigital Law Communication
 
Regolamento EIDAS - G. Allegrezza
Regolamento EIDAS - G. AllegrezzaRegolamento EIDAS - G. Allegrezza
Regolamento EIDAS - G. AllegrezzaGuido Allegrezza
 
LE NUOVE REGOLE TECNICHE PER IL DOCUMENTO INFORMATICO
LE NUOVE REGOLE TECNICHE PER IL DOCUMENTO INFORMATICOLE NUOVE REGOLE TECNICHE PER IL DOCUMENTO INFORMATICO
LE NUOVE REGOLE TECNICHE PER IL DOCUMENTO INFORMATICOSalomone & Travaglia Studio Legale
 
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...
Sicurezza Informatica: opportunità e rischi per grandi aziende e PMI manufatt...uninfoit
 
LE NOVITA’ DELLA REGOLAMENTAZIONE SUI DERIVATI NEGOZIATI OVER THE COUNTER
LE NOVITA’ DELLA REGOLAMENTAZIONE SUI DERIVATI NEGOZIATI OVER THE COUNTERLE NOVITA’ DELLA REGOLAMENTAZIONE SUI DERIVATI NEGOZIATI OVER THE COUNTER
LE NOVITA’ DELLA REGOLAMENTAZIONE SUI DERIVATI NEGOZIATI OVER THE COUNTERSalomone & Travaglia Studio Legale
 
I PROGRAMMI DI COMPLIANCE ANTITRUST
I PROGRAMMI DI COMPLIANCE ANTITRUSTI PROGRAMMI DI COMPLIANCE ANTITRUST
I PROGRAMMI DI COMPLIANCE ANTITRUSTSalomone & Travaglia Studio Legale
 
MiFID 2: GOVERNANCE DEI PRODOTTI FINANZIARI E COMPLIANCE, INFORMATIVA E PROFI...
MiFID 2: GOVERNANCE DEI PRODOTTI FINANZIARI E COMPLIANCE, INFORMATIVA E PROFI...MiFID 2: GOVERNANCE DEI PRODOTTI FINANZIARI E COMPLIANCE, INFORMATIVA E PROFI...
MiFID 2: GOVERNANCE DEI PRODOTTI FINANZIARI E COMPLIANCE, INFORMATIVA E PROFI...Salomone & Travaglia Studio Legale
 
News SSL 10 2016
News SSL 10 2016News SSL 10 2016
News SSL 10 2016Roberta Culiersi
 
La Cybersecurity nelle Smart Grid - Regolamentazione e quadro normativo (Giov...
La Cybersecurity nelle Smart Grid - Regolamentazione e quadro normativo (Giov...La Cybersecurity nelle Smart Grid - Regolamentazione e quadro normativo (Giov...
La Cybersecurity nelle Smart Grid - Regolamentazione e quadro normativo (Giov...Sardegna Ricerche
 
Fatturazione ElettronicaPA
Fatturazione ElettronicaPAFatturazione ElettronicaPA
Fatturazione ElettronicaPAInfoCert S.p.A.
 
Le norme, le PdR e le attività di Normazione Tecnica in corso per "Industry 4.0"
Le norme, le PdR e le attività di Normazione Tecnica in corso per "Industry 4.0"Le norme, le PdR e le attività di Normazione Tecnica in corso per "Industry 4.0"
Le norme, le PdR e le attività di Normazione Tecnica in corso per "Industry 4.0"uninfoit
 
Nuovo CAD, Regolamento UE eIDAS. Come cambia la sicurezza nella gestione e la...
Nuovo CAD, Regolamento UE eIDAS. Come cambia la sicurezza nella gestione e la...Nuovo CAD, Regolamento UE eIDAS. Come cambia la sicurezza nella gestione e la...
Nuovo CAD, Regolamento UE eIDAS. Come cambia la sicurezza nella gestione e la...ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
IL REGOLAMENTO UE SULLA PRIVACY
IL REGOLAMENTO UE SULLA PRIVACYIL REGOLAMENTO UE SULLA PRIVACY
IL REGOLAMENTO UE SULLA PRIVACYSalomone & Travaglia Studio Legale
 
News SSL 20 2015
News SSL 20 2015News SSL 20 2015
News SSL 20 2015Roberta Culiersi
 
Il contesto legislativo e tecnico-normativo applicabile
Il contesto legislativo e tecnico-normativo applicabileIl contesto legislativo e tecnico-normativo applicabile
Il contesto legislativo e tecnico-normativo applicabileUNI - Ente Italiano di Normazione
 
Digitalizzazione 2017 - Intervento Avv. Luigi Foglia
Digitalizzazione 2017 - Intervento Avv. Luigi FogliaDigitalizzazione 2017 - Intervento Avv. Luigi Foglia
Digitalizzazione 2017 - Intervento Avv. Luigi FogliaANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
Piano di implementazione Strategia nazionale di cybersicurezza 2022-2026
Piano di implementazione Strategia nazionale di cybersicurezza 2022-2026Piano di implementazione Strategia nazionale di cybersicurezza 2022-2026
Piano di implementazione Strategia nazionale di cybersicurezza 2022-2026Massa Critica
 
Cloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyCloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyPolaris informatica
 
La norma UNI 11506 e la classificazione delle professionalità informatiche
La norma UNI 11506 e la classificazione delle professionalità informaticheLa norma UNI 11506 e la classificazione delle professionalità informatiche
La norma UNI 11506 e la classificazione delle professionalità informaticheRoberto Scano
 
LA FIRMA E LA CONSERVAZIONE ELETTRONICA A SEGUITO DELLE LINEE GUIDA DEL GARAN...
LA FIRMA E LA CONSERVAZIONE ELETTRONICA A SEGUITO DELLE LINEE GUIDA DEL GARAN...LA FIRMA E LA CONSERVAZIONE ELETTRONICA A SEGUITO DELLE LINEE GUIDA DEL GARAN...
LA FIRMA E LA CONSERVAZIONE ELETTRONICA A SEGUITO DELLE LINEE GUIDA DEL GARAN...Salomone & Travaglia Studio Legale
 
Digitalizzazione 2017 - Intervento Carola Caputo
Digitalizzazione 2017 - Intervento Carola CaputoDigitalizzazione 2017 - Intervento Carola Caputo
Digitalizzazione 2017 - Intervento Carola CaputoANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
Il valore della certificazione ecdl
Il valore della certificazione ecdlIl valore della certificazione ecdl
Il valore della certificazione ecdlcorsoPodcast
 
La firma digitale: concetti e regole
La firma digitale: concetti e regoleLa firma digitale: concetti e regole
La firma digitale: concetti e regoleMario Gentili
 
“Le evoluzioni della Blockchain e la definizione di nuovi standard per la cer...
“Le evoluzioni della Blockchain e la definizione di nuovi standard per la cer...“Le evoluzioni della Blockchain e la definizione di nuovi standard per la cer...
“Le evoluzioni della Blockchain e la definizione di nuovi standard per la cer...ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
GGDModena4 | Diritto e Web 2.0| Commercio Elettronico
GGDModena4 | Diritto e Web 2.0| Commercio ElettronicoGGDModena4 | Diritto e Web 2.0| Commercio Elettronico
GGDModena4 | Diritto e Web 2.0| Commercio ElettronicoGirl Geek Dinners Modena
 
Le novità del dmef 17 giugno 2014 per la conservazione dei documenti fiscali ...
Le novità del dmef 17 giugno 2014 per la conservazione dei documenti fiscali ...Le novità del dmef 17 giugno 2014 per la conservazione dei documenti fiscali ...
Le novità del dmef 17 giugno 2014 per la conservazione dei documenti fiscali ...ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
Presentazione EVENTO 19 ottobre_G.RICCIO_rev01.pptx
Presentazione EVENTO 19 ottobre_G.RICCIO_rev01.pptxPresentazione EVENTO 19 ottobre_G.RICCIO_rev01.pptx
Presentazione EVENTO 19 ottobre_G.RICCIO_rev01.pptxUNI - Ente Italiano di Normazione
 
Pillole di normazione tecnica
Pillole di normazione tecnicaPillole di normazione tecnica
Pillole di normazione tecnicauninfoit
 
Riunione in AIAD-STAN del 16/12/2020
Riunione in AIAD-STAN del 16/12/2020Riunione in AIAD-STAN del 16/12/2020
Riunione in AIAD-STAN del 16/12/2020uninfoit
 

Contenu connexe

Similaire à 20190314 - Seminario UNINFO Security Summit

La Cybersecurity nelle Smart Grid - Regolamentazione e quadro normativo (Giov...
La Cybersecurity nelle Smart Grid - Regolamentazione e quadro normativo (Giov...La Cybersecurity nelle Smart Grid - Regolamentazione e quadro normativo (Giov...
La Cybersecurity nelle Smart Grid - Regolamentazione e quadro normativo (Giov...Sardegna Ricerche
 
Fatturazione ElettronicaPA
Fatturazione ElettronicaPAFatturazione ElettronicaPA
Fatturazione ElettronicaPAInfoCert S.p.A.
 
Le norme, le PdR e le attività di Normazione Tecnica in corso per "Industry 4.0"
Le norme, le PdR e le attività di Normazione Tecnica in corso per "Industry 4.0"Le norme, le PdR e le attività di Normazione Tecnica in corso per "Industry 4.0"
Le norme, le PdR e le attività di Normazione Tecnica in corso per "Industry 4.0"uninfoit
 
Piano di implementazione Strategia nazionale di cybersicurezza 2022-2026
Piano di implementazione Strategia nazionale di cybersicurezza 2022-2026Piano di implementazione Strategia nazionale di cybersicurezza 2022-2026
Piano di implementazione Strategia nazionale di cybersicurezza 2022-2026Massa Critica
 
Cloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyCloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyPolaris informatica
 
La norma UNI 11506 e la classificazione delle professionalità informatiche
La norma UNI 11506 e la classificazione delle professionalità informaticheLa norma UNI 11506 e la classificazione delle professionalità informatiche
La norma UNI 11506 e la classificazione delle professionalità informaticheRoberto Scano
 
LA FIRMA E LA CONSERVAZIONE ELETTRONICA A SEGUITO DELLE LINEE GUIDA DEL GARAN...
LA FIRMA E LA CONSERVAZIONE ELETTRONICA A SEGUITO DELLE LINEE GUIDA DEL GARAN...LA FIRMA E LA CONSERVAZIONE ELETTRONICA A SEGUITO DELLE LINEE GUIDA DEL GARAN...
LA FIRMA E LA CONSERVAZIONE ELETTRONICA A SEGUITO DELLE LINEE GUIDA DEL GARAN...Salomone & Travaglia Studio Legale
 
Il valore della certificazione ecdl
Il valore della certificazione ecdlIl valore della certificazione ecdl
Il valore della certificazione ecdlcorsoPodcast
 
La firma digitale: concetti e regole
La firma digitale: concetti e regoleLa firma digitale: concetti e regole
La firma digitale: concetti e regoleMario Gentili
 
GGDModena4 | Diritto e Web 2.0| Commercio Elettronico
GGDModena4 | Diritto e Web 2.0| Commercio ElettronicoGGDModena4 | Diritto e Web 2.0| Commercio Elettronico
GGDModena4 | Diritto e Web 2.0| Commercio ElettronicoGirl Geek Dinners Modena
 

Similaire à 20190314 - Seminario UNINFO Security Summit (20)

News SSL 10 2016
News SSL 10 2016News SSL 10 2016
News SSL 10 2016
 
La Cybersecurity nelle Smart Grid - Regolamentazione e quadro normativo (Giov...
La Cybersecurity nelle Smart Grid - Regolamentazione e quadro normativo (Giov...La Cybersecurity nelle Smart Grid - Regolamentazione e quadro normativo (Giov...
La Cybersecurity nelle Smart Grid - Regolamentazione e quadro normativo (Giov...
 
Fatturazione ElettronicaPA
Fatturazione ElettronicaPAFatturazione ElettronicaPA
Fatturazione ElettronicaPA
 
Le norme, le PdR e le attività di Normazione Tecnica in corso per "Industry 4.0"
Le norme, le PdR e le attività di Normazione Tecnica in corso per "Industry 4.0"Le norme, le PdR e le attività di Normazione Tecnica in corso per "Industry 4.0"
Le norme, le PdR e le attività di Normazione Tecnica in corso per "Industry 4.0"
 
Nuovo CAD, Regolamento UE eIDAS. Come cambia la sicurezza nella gestione e la...
Nuovo CAD, Regolamento UE eIDAS. Come cambia la sicurezza nella gestione e la...Nuovo CAD, Regolamento UE eIDAS. Come cambia la sicurezza nella gestione e la...
Nuovo CAD, Regolamento UE eIDAS. Come cambia la sicurezza nella gestione e la...
 
IL REGOLAMENTO UE SULLA PRIVACY
IL REGOLAMENTO UE SULLA PRIVACYIL REGOLAMENTO UE SULLA PRIVACY
IL REGOLAMENTO UE SULLA PRIVACY
 
News SSL 20 2015
News SSL 20 2015News SSL 20 2015
News SSL 20 2015
 
Il contesto legislativo e tecnico-normativo applicabile
Il contesto legislativo e tecnico-normativo applicabileIl contesto legislativo e tecnico-normativo applicabile
Il contesto legislativo e tecnico-normativo applicabile
 
Digitalizzazione 2017 - Intervento Avv. Luigi Foglia
Digitalizzazione 2017 - Intervento Avv. Luigi FogliaDigitalizzazione 2017 - Intervento Avv. Luigi Foglia
Digitalizzazione 2017 - Intervento Avv. Luigi Foglia
 
Piano di implementazione Strategia nazionale di cybersicurezza 2022-2026
Piano di implementazione Strategia nazionale di cybersicurezza 2022-2026Piano di implementazione Strategia nazionale di cybersicurezza 2022-2026
Piano di implementazione Strategia nazionale di cybersicurezza 2022-2026
 
Cloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyCloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacy
 
La norma UNI 11506 e la classificazione delle professionalità informatiche
La norma UNI 11506 e la classificazione delle professionalità informaticheLa norma UNI 11506 e la classificazione delle professionalità informatiche
La norma UNI 11506 e la classificazione delle professionalità informatiche
 
LA FIRMA E LA CONSERVAZIONE ELETTRONICA A SEGUITO DELLE LINEE GUIDA DEL GARAN...
LA FIRMA E LA CONSERVAZIONE ELETTRONICA A SEGUITO DELLE LINEE GUIDA DEL GARAN...LA FIRMA E LA CONSERVAZIONE ELETTRONICA A SEGUITO DELLE LINEE GUIDA DEL GARAN...
LA FIRMA E LA CONSERVAZIONE ELETTRONICA A SEGUITO DELLE LINEE GUIDA DEL GARAN...
 
Digitalizzazione 2017 - Intervento Carola Caputo
Digitalizzazione 2017 - Intervento Carola CaputoDigitalizzazione 2017 - Intervento Carola Caputo
Digitalizzazione 2017 - Intervento Carola Caputo
 
Il valore della certificazione ecdl
Il valore della certificazione ecdlIl valore della certificazione ecdl
Il valore della certificazione ecdl
 
La firma digitale: concetti e regole
La firma digitale: concetti e regoleLa firma digitale: concetti e regole
La firma digitale: concetti e regole
 
“Le evoluzioni della Blockchain e la definizione di nuovi standard per la cer...
“Le evoluzioni della Blockchain e la definizione di nuovi standard per la cer...“Le evoluzioni della Blockchain e la definizione di nuovi standard per la cer...
“Le evoluzioni della Blockchain e la definizione di nuovi standard per la cer...
 
GGDModena4 | Diritto e Web 2.0| Commercio Elettronico
GGDModena4 | Diritto e Web 2.0| Commercio ElettronicoGGDModena4 | Diritto e Web 2.0| Commercio Elettronico
GGDModena4 | Diritto e Web 2.0| Commercio Elettronico
 
Le novità del dmef 17 giugno 2014 per la conservazione dei documenti fiscali ...
Le novità del dmef 17 giugno 2014 per la conservazione dei documenti fiscali ...Le novità del dmef 17 giugno 2014 per la conservazione dei documenti fiscali ...
Le novità del dmef 17 giugno 2014 per la conservazione dei documenti fiscali ...
 
Presentazione EVENTO 19 ottobre_G.RICCIO_rev01.pptx
Presentazione EVENTO 19 ottobre_G.RICCIO_rev01.pptxPresentazione EVENTO 19 ottobre_G.RICCIO_rev01.pptx
Presentazione EVENTO 19 ottobre_G.RICCIO_rev01.pptx
 

Plus de uninfoit

Pillole di normazione tecnica
Pillole di normazione tecnicaPillole di normazione tecnica
Pillole di normazione tecnicauninfoit
 
Riunione in AIAD-STAN del 16/12/2020
Riunione in AIAD-STAN del 16/12/2020Riunione in AIAD-STAN del 16/12/2020
Riunione in AIAD-STAN del 16/12/2020uninfoit
 
Italian NeTEx Profile group Kick-off Meeting
Italian NeTEx Profile group Kick-off MeetingItalian NeTEx Profile group Kick-off Meeting
Italian NeTEx Profile group Kick-off Meetinguninfoit
 
Normazione Tecnica e Industria 4.0
Normazione Tecnica e Industria 4.0Normazione Tecnica e Industria 4.0
Normazione Tecnica e Industria 4.0uninfoit
 
Assemblea dei Soci UNI del 25 novembre 2019
Assemblea dei Soci UNI del 25 novembre 2019Assemblea dei Soci UNI del 25 novembre 2019
Assemblea dei Soci UNI del 25 novembre 2019uninfoit
 
Confindustria Salerno 21 novembre 2019
Confindustria Salerno 21 novembre 2019Confindustria Salerno 21 novembre 2019
Confindustria Salerno 21 novembre 2019uninfoit
 
UNINFO at Z-Fact0r event - Bergamo 10 Ottobre
UNINFO at Z-Fact0r event - Bergamo 10 OttobreUNINFO at Z-Fact0r event - Bergamo 10 Ottobre
UNINFO at Z-Fact0r event - Bergamo 10 Ottobreuninfoit
 
2019-06-14:7 - Neutral Network Compression
2019-06-14:7 - Neutral Network Compression2019-06-14:7 - Neutral Network Compression
2019-06-14:7 - Neutral Network Compressionuninfoit
 
2019-06-14:6 - Reti neurali e compressione immagine
2019-06-14:6 - Reti neurali e compressione immagine2019-06-14:6 - Reti neurali e compressione immagine
2019-06-14:6 - Reti neurali e compressione immagineuninfoit
 
2019-06-14:5 - Componenti per reti neurali
2019-06-14:5 - Componenti per reti neurali2019-06-14:5 - Componenti per reti neurali
2019-06-14:5 - Componenti per reti neuraliuninfoit
 
2019-06-14:3 - Reti neurali e compressione video
2019-06-14:3 - Reti neurali e compressione video2019-06-14:3 - Reti neurali e compressione video
2019-06-14:3 - Reti neurali e compressione videouninfoit
 
2019-06-14:2 - Perchè comprimere una rete neurale?
2019-06-14:2 - Perchè comprimere una rete neurale?2019-06-14:2 - Perchè comprimere una rete neurale?
2019-06-14:2 - Perchè comprimere una rete neurale?uninfoit
 
24/05/2019 Workshop AIDI-UniFI-UNINFO
24/05/2019 Workshop AIDI-UniFI-UNINFO24/05/2019 Workshop AIDI-UniFI-UNINFO
24/05/2019 Workshop AIDI-UniFI-UNINFOuninfoit
 
Normazione Tecnica e DLT @ Digital Innovation - 2019 - San Marino
Normazione Tecnica e DLT @ Digital Innovation - 2019 - San MarinoNormazione Tecnica e DLT @ Digital Innovation - 2019 - San Marino
Normazione Tecnica e DLT @ Digital Innovation - 2019 - San Marinouninfoit
 
Codice di Condotta e Certificazione
Codice di Condotta e CertificazioneCodice di Condotta e Certificazione
Codice di Condotta e Certificazioneuninfoit
 
Stakeholder meeting per CEN/TC353
Stakeholder meeting per CEN/TC353Stakeholder meeting per CEN/TC353
Stakeholder meeting per CEN/TC353uninfoit
 
Conferenza Nazionale NIS e GDPR - Tor Vergata
Conferenza Nazionale NIS e GDPR - Tor VergataConferenza Nazionale NIS e GDPR - Tor Vergata
Conferenza Nazionale NIS e GDPR - Tor Vergatauninfoit
 
Normazione Tecnica per Tecnologie Additive
Normazione Tecnica per Tecnologie AdditiveNormazione Tecnica per Tecnologie Additive
Normazione Tecnica per Tecnologie Additiveuninfoit
 
Squillace - Convegno su Sicurezza hardware nei sistemi digitali
Squillace - Convegno su Sicurezza hardware nei sistemi digitaliSquillace - Convegno su Sicurezza hardware nei sistemi digitali
Squillace - Convegno su Sicurezza hardware nei sistemi digitaliuninfoit
 
Sicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA GenovaSicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA Genovauninfoit
 

Plus de uninfoit (20)

Pillole di normazione tecnica
Pillole di normazione tecnicaPillole di normazione tecnica
Pillole di normazione tecnica
 
Riunione in AIAD-STAN del 16/12/2020
Riunione in AIAD-STAN del 16/12/2020Riunione in AIAD-STAN del 16/12/2020
Riunione in AIAD-STAN del 16/12/2020
 
Italian NeTEx Profile group Kick-off Meeting
Italian NeTEx Profile group Kick-off MeetingItalian NeTEx Profile group Kick-off Meeting
Italian NeTEx Profile group Kick-off Meeting
 
Normazione Tecnica e Industria 4.0
Normazione Tecnica e Industria 4.0Normazione Tecnica e Industria 4.0
Normazione Tecnica e Industria 4.0
 
Assemblea dei Soci UNI del 25 novembre 2019
Assemblea dei Soci UNI del 25 novembre 2019Assemblea dei Soci UNI del 25 novembre 2019
Assemblea dei Soci UNI del 25 novembre 2019
 
Confindustria Salerno 21 novembre 2019
Confindustria Salerno 21 novembre 2019Confindustria Salerno 21 novembre 2019
Confindustria Salerno 21 novembre 2019
 
UNINFO at Z-Fact0r event - Bergamo 10 Ottobre
UNINFO at Z-Fact0r event - Bergamo 10 OttobreUNINFO at Z-Fact0r event - Bergamo 10 Ottobre
UNINFO at Z-Fact0r event - Bergamo 10 Ottobre
 
2019-06-14:7 - Neutral Network Compression
2019-06-14:7 - Neutral Network Compression2019-06-14:7 - Neutral Network Compression
2019-06-14:7 - Neutral Network Compression
 
2019-06-14:6 - Reti neurali e compressione immagine
2019-06-14:6 - Reti neurali e compressione immagine2019-06-14:6 - Reti neurali e compressione immagine
2019-06-14:6 - Reti neurali e compressione immagine
 
2019-06-14:5 - Componenti per reti neurali
2019-06-14:5 - Componenti per reti neurali2019-06-14:5 - Componenti per reti neurali
2019-06-14:5 - Componenti per reti neurali
 
2019-06-14:3 - Reti neurali e compressione video
2019-06-14:3 - Reti neurali e compressione video2019-06-14:3 - Reti neurali e compressione video
2019-06-14:3 - Reti neurali e compressione video
 
2019-06-14:2 - Perchè comprimere una rete neurale?
2019-06-14:2 - Perchè comprimere una rete neurale?2019-06-14:2 - Perchè comprimere una rete neurale?
2019-06-14:2 - Perchè comprimere una rete neurale?
 
24/05/2019 Workshop AIDI-UniFI-UNINFO
24/05/2019 Workshop AIDI-UniFI-UNINFO24/05/2019 Workshop AIDI-UniFI-UNINFO
24/05/2019 Workshop AIDI-UniFI-UNINFO
 
Normazione Tecnica e DLT @ Digital Innovation - 2019 - San Marino
Normazione Tecnica e DLT @ Digital Innovation - 2019 - San MarinoNormazione Tecnica e DLT @ Digital Innovation - 2019 - San Marino
Normazione Tecnica e DLT @ Digital Innovation - 2019 - San Marino
 
Codice di Condotta e Certificazione
Codice di Condotta e CertificazioneCodice di Condotta e Certificazione
Codice di Condotta e Certificazione
 
Stakeholder meeting per CEN/TC353
Stakeholder meeting per CEN/TC353Stakeholder meeting per CEN/TC353
Stakeholder meeting per CEN/TC353
 
Conferenza Nazionale NIS e GDPR - Tor Vergata
Conferenza Nazionale NIS e GDPR - Tor VergataConferenza Nazionale NIS e GDPR - Tor Vergata
Conferenza Nazionale NIS e GDPR - Tor Vergata
 
Normazione Tecnica per Tecnologie Additive
Normazione Tecnica per Tecnologie AdditiveNormazione Tecnica per Tecnologie Additive
Normazione Tecnica per Tecnologie Additive
 
Squillace - Convegno su Sicurezza hardware nei sistemi digitali
Squillace - Convegno su Sicurezza hardware nei sistemi digitaliSquillace - Convegno su Sicurezza hardware nei sistemi digitali
Squillace - Convegno su Sicurezza hardware nei sistemi digitali
 
Sicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA GenovaSicurezza Informatica Evento AITA Genova
Sicurezza Informatica Evento AITA Genova
 

Dernier

LE ALGHE.pptx ..........................
LE ALGHE.pptx ..........................LE ALGHE.pptx ..........................
LE ALGHE.pptx ..........................giorgiadeascaniis59
 
descrizioni della antica civiltà dei sumeri.pptx
descrizioni della antica civiltà dei sumeri.pptxdescrizioni della antica civiltà dei sumeri.pptx
descrizioni della antica civiltà dei sumeri.pptxtecongo2007
 
Nicola pisano aaaaaaaaaaaaaaaaaa(1).pptx
Nicola pisano aaaaaaaaaaaaaaaaaa(1).pptxNicola pisano aaaaaaaaaaaaaaaaaa(1).pptx
Nicola pisano aaaaaaaaaaaaaaaaaa(1).pptxlorenzodemidio01
 
Lorenzo D'Emidio_Vita e opere di Aristotele.pptx
Lorenzo D'Emidio_Vita e opere di Aristotele.pptxLorenzo D'Emidio_Vita e opere di Aristotele.pptx
Lorenzo D'Emidio_Vita e opere di Aristotele.pptxlorenzodemidio01
 
Aristotele, vita e opere e fisica...pptx
Aristotele, vita e opere e fisica...pptxAristotele, vita e opere e fisica...pptx
Aristotele, vita e opere e fisica...pptxtecongo2007
 
Descrizione Piccolo teorema di Talete.pptx
Descrizione Piccolo teorema di Talete.pptxDescrizione Piccolo teorema di Talete.pptx
Descrizione Piccolo teorema di Talete.pptxtecongo2007
 
Lorenzo D'Emidio_Francesco Petrarca.pptx
Lorenzo D'Emidio_Francesco Petrarca.pptxLorenzo D'Emidio_Francesco Petrarca.pptx
Lorenzo D'Emidio_Francesco Petrarca.pptxlorenzodemidio01
 
Tosone Christian_Steve Jobsaaaaaaaa.pptx
Tosone Christian_Steve Jobsaaaaaaaa.pptxTosone Christian_Steve Jobsaaaaaaaa.pptx
Tosone Christian_Steve Jobsaaaaaaaa.pptxlorenzodemidio01
 
Scrittura seo e scrittura accessibile
Scrittura seo e scrittura accessibileScrittura seo e scrittura accessibile
Scrittura seo e scrittura accessibileNicola Rabbi
 
ProgettoDiEducazioneCivicaDefinitivo_Christian Tosone.pptx
ProgettoDiEducazioneCivicaDefinitivo_Christian Tosone.pptxProgettoDiEducazioneCivicaDefinitivo_Christian Tosone.pptx
ProgettoDiEducazioneCivicaDefinitivo_Christian Tosone.pptxlorenzodemidio01
 
Oppressi_oppressori.pptx................
Oppressi_oppressori.pptx................Oppressi_oppressori.pptx................
Oppressi_oppressori.pptx................giorgiadeascaniis59
 
Scienza Potere Puntoaaaaaaaaaaaaaaa.pptx
Scienza Potere Puntoaaaaaaaaaaaaaaa.pptxScienza Potere Puntoaaaaaaaaaaaaaaa.pptx
Scienza Potere Puntoaaaaaaaaaaaaaaa.pptxlorenzodemidio01
 
case passive_GiorgiaDeAscaniis.pptx.....
case passive_GiorgiaDeAscaniis.pptx.....case passive_GiorgiaDeAscaniis.pptx.....
case passive_GiorgiaDeAscaniis.pptx.....giorgiadeascaniis59
 
Lorenzo D'Emidio- Lavoro sulla Bioarchittetura.pptx
Lorenzo D'Emidio- Lavoro sulla Bioarchittetura.pptxLorenzo D'Emidio- Lavoro sulla Bioarchittetura.pptx
Lorenzo D'Emidio- Lavoro sulla Bioarchittetura.pptxlorenzodemidio01
 
discorso generale sulla fisica e le discipline.pptx
discorso generale sulla fisica e le discipline.pptxdiscorso generale sulla fisica e le discipline.pptx
discorso generale sulla fisica e le discipline.pptxtecongo2007
 
Quadrilateri e isometrie studente di liceo
Quadrilateri e isometrie studente di liceoQuadrilateri e isometrie studente di liceo
Quadrilateri e isometrie studente di liceoyanmeng831
 
Presentazioni Efficaci e lezioni di Educazione Civica
Presentazioni Efficaci e lezioni di Educazione CivicaPresentazioni Efficaci e lezioni di Educazione Civica
Presentazioni Efficaci e lezioni di Educazione CivicaSalvatore Cianciabella
 
Vuoi girare il mondo? educazione civica.
Vuoi girare il mondo? educazione civica.Vuoi girare il mondo? educazione civica.
Vuoi girare il mondo? educazione civica.camillaorlando17
 
Lorenzo D'Emidio_Vita di Cristoforo Colombo.pptx
Lorenzo D'Emidio_Vita di Cristoforo Colombo.pptxLorenzo D'Emidio_Vita di Cristoforo Colombo.pptx
Lorenzo D'Emidio_Vita di Cristoforo Colombo.pptxlorenzodemidio01
 

Dernier (19)

LE ALGHE.pptx ..........................
LE ALGHE.pptx ..........................LE ALGHE.pptx ..........................
LE ALGHE.pptx ..........................
 
descrizioni della antica civiltà dei sumeri.pptx
descrizioni della antica civiltà dei sumeri.pptxdescrizioni della antica civiltà dei sumeri.pptx
descrizioni della antica civiltà dei sumeri.pptx
 
Nicola pisano aaaaaaaaaaaaaaaaaa(1).pptx
Nicola pisano aaaaaaaaaaaaaaaaaa(1).pptxNicola pisano aaaaaaaaaaaaaaaaaa(1).pptx
Nicola pisano aaaaaaaaaaaaaaaaaa(1).pptx
 
Lorenzo D'Emidio_Vita e opere di Aristotele.pptx
Lorenzo D'Emidio_Vita e opere di Aristotele.pptxLorenzo D'Emidio_Vita e opere di Aristotele.pptx
Lorenzo D'Emidio_Vita e opere di Aristotele.pptx
 
Aristotele, vita e opere e fisica...pptx
Aristotele, vita e opere e fisica...pptxAristotele, vita e opere e fisica...pptx
Aristotele, vita e opere e fisica...pptx
 
Descrizione Piccolo teorema di Talete.pptx
Descrizione Piccolo teorema di Talete.pptxDescrizione Piccolo teorema di Talete.pptx
Descrizione Piccolo teorema di Talete.pptx
 
Lorenzo D'Emidio_Francesco Petrarca.pptx
Lorenzo D'Emidio_Francesco Petrarca.pptxLorenzo D'Emidio_Francesco Petrarca.pptx
Lorenzo D'Emidio_Francesco Petrarca.pptx
 
Tosone Christian_Steve Jobsaaaaaaaa.pptx
Tosone Christian_Steve Jobsaaaaaaaa.pptxTosone Christian_Steve Jobsaaaaaaaa.pptx
Tosone Christian_Steve Jobsaaaaaaaa.pptx
 
Scrittura seo e scrittura accessibile
Scrittura seo e scrittura accessibileScrittura seo e scrittura accessibile
Scrittura seo e scrittura accessibile
 
ProgettoDiEducazioneCivicaDefinitivo_Christian Tosone.pptx
ProgettoDiEducazioneCivicaDefinitivo_Christian Tosone.pptxProgettoDiEducazioneCivicaDefinitivo_Christian Tosone.pptx
ProgettoDiEducazioneCivicaDefinitivo_Christian Tosone.pptx
 
Oppressi_oppressori.pptx................
Oppressi_oppressori.pptx................Oppressi_oppressori.pptx................
Oppressi_oppressori.pptx................
 
Scienza Potere Puntoaaaaaaaaaaaaaaa.pptx
Scienza Potere Puntoaaaaaaaaaaaaaaa.pptxScienza Potere Puntoaaaaaaaaaaaaaaa.pptx
Scienza Potere Puntoaaaaaaaaaaaaaaa.pptx
 
case passive_GiorgiaDeAscaniis.pptx.....
case passive_GiorgiaDeAscaniis.pptx.....case passive_GiorgiaDeAscaniis.pptx.....
case passive_GiorgiaDeAscaniis.pptx.....
 
Lorenzo D'Emidio- Lavoro sulla Bioarchittetura.pptx
Lorenzo D'Emidio- Lavoro sulla Bioarchittetura.pptxLorenzo D'Emidio- Lavoro sulla Bioarchittetura.pptx
Lorenzo D'Emidio- Lavoro sulla Bioarchittetura.pptx
 
discorso generale sulla fisica e le discipline.pptx
discorso generale sulla fisica e le discipline.pptxdiscorso generale sulla fisica e le discipline.pptx
discorso generale sulla fisica e le discipline.pptx
 
Quadrilateri e isometrie studente di liceo
Quadrilateri e isometrie studente di liceoQuadrilateri e isometrie studente di liceo
Quadrilateri e isometrie studente di liceo
 
Presentazioni Efficaci e lezioni di Educazione Civica
Presentazioni Efficaci e lezioni di Educazione CivicaPresentazioni Efficaci e lezioni di Educazione Civica
Presentazioni Efficaci e lezioni di Educazione Civica
 
Vuoi girare il mondo? educazione civica.
Vuoi girare il mondo? educazione civica.Vuoi girare il mondo? educazione civica.
Vuoi girare il mondo? educazione civica.
 
Lorenzo D'Emidio_Vita di Cristoforo Colombo.pptx
Lorenzo D'Emidio_Vita di Cristoforo Colombo.pptxLorenzo D'Emidio_Vita di Cristoforo Colombo.pptx
Lorenzo D'Emidio_Vita di Cristoforo Colombo.pptx
 

20190314 - Seminario UNINFO Security Summit

  • 2. AGENDA 14/03/2019 2 Policy& security requirements eIDAS Blockchain Normazione nazionale sulla data protection Normazione internazionale sulla data protection
  • 3. POLICY & SECURITY REQUIREMENTS EIDAS 14/03/2019 3 Policy& security requirements eIDAS Blockchain Normazione nazionale sulla data protection Normazione internazionale sulla data protection
  • 4. RELATORE Andrea CACCIA Presidente UNI/CT 510/GL 02 UNINFO Firme, Identità, Sigilli elettronici e relativi servizi che interfaccia il TB ETSI/ESI "Electronic Signatures and Infrastructures" Presidente UNI/CT 532 "UNINFO Blockchain e tecnologie per la gestione distribuita dei registri elettronici (distributed ledger)" e CEN/CENELEC Focus Group on Blockchain and DLT Esperto SBS (Small Business Standard) Socio onorario UNINFO 14/03/2019 4
  • 5. Come si applica eIDAS 14/03/2019 5 Dal 1° luglio 2016 il Regolamento (UE) n.910/2014 «eIDAS» abroga la Direttiva 1999/93/CE «signature Directive» ed è direttamente applicabile in tutta l’Unione Europea, così come gli Atti di Esecuzione della Commissione Europea previsti da eIDAS Salvo poche eccezioni gli atti possono solo richiamare norme tecniche (standard) europee o internazionali quali strumento di presunzione di conformità i requisiti del Regolamento
  • 6. I servizi fiduciari (trust services) 14/03/2019 6 eIDAS introduce il concetto di servizi fiduciari come servizi elettronici prestati normalmente dietro remunerazione consistenti in: creazione, verifica e convalida di: - firme elettroniche, - sigilli elettronici, - validazioni temporali elettroniche, - servizi di recapito elettronico certificato, - certificati relativi a tali servizi; oppure creazione, verifica e convalida di certificati di autenticazione di siti web; oppure conservazione di firme, sigilli o certificati elettronici relativi a tali servizi. I prestatori di servizi fiduciari possono fare domanda di qualificazione secondo le modalità previste da eIDAS (evoluzione dei certificatori accreditati che esistevano nell’ambito della Direttiva 99/97/CE abrogata da eIDAS) Esulano dall’applicazione di eIDAS i gruppi chiusi e altri servizi con regole nazionali diversi da quelli presenti nell’elenco contenuto nel Regolamento
  • 7. Requisiti generali per i prestatori di servizi fiduciari 14/03/2019 7 I prestatori di servizi fiduciari sono responsabili di danni causati, con dolo o per negligenza Responsabilità per i danni causati da: prestatori qualificati -> presunta, salvo prova contraria prestatori non qualificati -> con prova a carico di chi denuncia comunque non oltre i limiti d'uso, se correttamente comunicati Requisiti di sicurezza dei prestatori di servizi fiduciari: Adozione di misure tecniche e organizzative che garantiscano un livello di sicurezza commisurato al grado di rischio di sicurezza dei servizi offerti In particolare misure per prevenire gli incidenti e informare le parti interessate degli effetti negativi di eventuali incidenti Notifica violazioni di sicurezza o perdite di integrità significative entro 24 ore a: autorità di vigilanza, altri organismi interessati, ENISA se coinvolti più Stati membri Notifica a persona fisica o giuridica in caso di effetti negativi su questi soggetti
  • 8. Prestatori di Servizi Fiduciari Qualificati (QTSP) 14/03/2019 8 Godono di forme di presunzione legale Una firma elettronica qualificata ha effetti giuridici equivalenti a quelli di una firma autografa ed è riconosciuta come tale in tutti gli Stati membri Requisiti: basata su certificato qualificato di firma (emesso a persona fisica da un QTSP) associato ad un dispositivo qualificato per la creazione di firme Un sigillo elettronico qualificato gode della presunzione di integrità dei dati e di correttezza dell’origine di quei dati a cui il sigillo elettronico qualificato è associato ed è riconosciuto come tale in tutti gli Stati membri Requisiti: basato su certificato qualificato di sigillo (emesso a persona fisica da un QTSP) associato ad un dispositivo qualificato per la creazione di sigilli Una validazione temporale elettronica qualificata (emessa da QTSP) gode della presunzione di accuratezza della data e dell’ora che indica e di integrità dei dati ai quali tale data e ora sono associate ed è riconosciuto come tale in tutti gli Stati membri I dati inviati e ricevuti mediante servizio di recapito certificato qualificato (prestato da un QTSP) godono della presunzione di integrità dei dati, dell’invio di tali dati da parte del mittente identificato, della loro ricezione da parte del destinatario identificato e di accuratezza della data e dell’ora dell’invio e della ricezione indicate dal servizio di recapito certificato qualificato Col Decreto Semplificazioni è prevista l’evoluzione della PEC verso un servizio di recapito elettronico certificato qualificato
  • 9. Qualificazione dei servizi fiduciari 14/03/2019 9 In ogni Stato membro è stato designato un un organismo di vigilanza per il proprio territorio (AgID per l'Italia) che assegna lo stato di «qualificato» ai prestatori di servizi fiduciari e mantiene e pubblica un elenco di fiducia, con le informazioni relative ai prestatori di servizi fiduciari qualificati e ai servizi fiduciari qualificati da essi prestati Per ottenere (o mantenere) la qualifica il prestatore di servizi fiduciari deve: Ottenere ogni 24 mesi una relazione di valutazione della conformità ai requisiti del Regolamento da parte di un Organismo di Certificazione (CAB - Conformity Assessment Body) accreditato secondo il Regolamento (CE) n. 765/2008 (in Italia opera ACCREDIA) Chiedere la qualificazione/mantenimento all'Organismo di vigilanza competente sul territorio sul quale è stabilito allegando la relazione di cui sopra
  • 10. Norme di riferimento per lo schema italiano 14/03/2019 10 ETSI EN 319 403 è la norma di accreditamento che stabilisce i requisiti che un organismo di certificazione deve soddisfare per dimostrare di operare in modo competente, coerente e imparziale nell’ambito della valutazione di conformità di un prestatore di servizi fiduciari eIDAS Rientra nell’accreditamento della ISO/IEC 17065 «Valutazione della conformità. Requisiti per organismi che certificano prodotti, processi e servizi» Estratto dalla Circolare ACCREDIA n. 8/2017 (che si applica in ambito eIDAS): Tutte le norme ETSI sono ricercabili e scaricabili gratuitamente dal relativo sito: http://www.etsi.org/standards-search
  • 11. BLOCKCHAIN 14/03/2019 11 Policy& security requirements eIDAS Blockchain Normazione nazionale sulla data protection Normazione internazionale sulla data protection
  • 12. RELATORE Daniele TUMIETTO Iscritto all’albo dei Dottori Commercialisti di Milano Professore a contratto presso la Link Campus University di Roma Esperto di normazione tecnica in ambito nazionale (UNI/UNINFO), europeo (CE, CEN, CEF) ed internazionale (UN/CEFACT, UNECE, ITU) su eInvoicing, eProcurement, Blockchain e DLT, GDPR. Advisor 14/03/2019 12
  • 13. 14/03/2019 iNCONTRO DG UNI E EEFF 13 Perché sviluppare standard su Blockchain & DLT? L’uso principale di queste tecnologie è stato in ambito crittovalute, nate da comunità indipendenti e operanti come isole a sé stanti Esigenze fondamentali diventano: • la possibilità di integrare servizi ed applicazioni gestite da soggetti diversi, • fornire garanzie sufficienti di disponibilità, integrità ed origine delle informazioni e delle transazioni. Le sfide sono molteplici per la vastità dei domini di applicazione, in un mercato sostanzialmente immaturo, e per il cambio del paradigma sottostante alla tecnologia. Il dato non è più centralizzato ma distribuito pertanto le minacce non riguardano il singolo ma tutta la comunità Negli scenari che stanno emergendo e si stanno consolidando gli standard possono svolgere un ruolo abilitante chiave per creare un ecosistema affidabile e opportunità per tutti gli attori coinvolti, anche PMI
  • 14. 14/03/2019 14 CEN-CENELEC Focus Group on Blockchain & DLT Il CEN e il CENELEC sono due delle tre organizzazioni europee di normalizzazione i cui membri sono anche membri di ISO e IEC Il CEN-CLC Focus Group Blockchain e DLT è stato istituito da CEN e CENELEC nel gennaio 2018 e la segreteria è stata assegnata all'UNI (Ente Nazionale Italiano di Normazione), chair Andrea Caccia Un Focus Group in CEN/CENELEC è un gruppo a breve termine creato per assicurare l'interazione tra tutti gli stakeholder europei interessati ad una (potenziale) attività di standardizzazione in un nuovo campo o argomento Ha l’obiettivo di preparare una panoramica per la comunità degli stakeholder sugli standard già disponibili o in preparazione, adatti a soddisfare specifiche esigenze europee in Blockchain e DLT Ove non esistano norme adeguate definire i modi migliori per fornirle a livello internazionale e, se necessario a livello europeo, formulando raccomandazioni in tal senso
  • 15. 14/03/2019 15 White Paper del Focus Group CEN-CENELEC Uno specifico sottogruppo del Focus Group ha sviluppato un white paper con l’obiettivo di identificare le esigenze specifiche europee da affrontare in ISO/TC 307 per l'implementazione di Blockchain/DLT in Europa Il white paper, approvato da CEN e del CENELEC il 10 ottobre 2018, contiene diverse raccomandazioni senza prendere specifiche posizioni sulla loro implementazione: Recommendations for Successful Adoption in Europe of Emerging Technical Standards on Distributed Ledger/Blockchain Technologies Introduction Sections Recommendations Conclusions EU DLT Approach Sections Background Recap
  • 16. 14/03/2019 16 Le massime priorità europee individuate Nascono principalmente negli ambiti regolamentati: Privacy -> GDPR Identità e servizi fiduciari -> eIDAS Sarà probabilmente necessario costituire un comitato formale in seno a CEN/CENELEC
  • 17. 14/03/2019 17 ISO/TC 307 WG 1 “Foundations”, ha il compito di definire un vocabolario e un'architettura di riferimento comuni WG 2 “Security, privacy and identity” si occupa di aspetti chiave per il futuro di queste tecnologie, in particolare qui rientrano privacy e identità che, in Europea, si declinano in compliance con i regolamenti GDPR ed eIDAS WG 3 “Smart contracts and their applications” indirizza la tematica dei contratti intelligenti e di come potere renderli giuridicamente vincolanti WG 5 “Governance” si pone l’obiettivo di definire delle linee guida in uno degli ambiti più importanti e potenzialmente controversi SG 2 “Use cases” è un gruppo di studio che mantiene un elenco di use case che sono utilizzati per mappare il lavoro degli altri gruppi su casi reali SG 7 “Interoperability of blockchain and distributed ledger technology systems” è un altro gruppo di studio che affronta gli aspetti di interoperabilità in modo trasversale rispetto agli altri gruppi JWG 4 “Blockchain and distributed ledger technologies and IT Security techniques” è un gruppo di lavoro congiunto con ISO/IEC JTC 1/SC 27 che consentirà di indirizzare le tematiche in ambito sicurezza sulla linea dei lavori di SC27 ovvero della nota famiglia di norme ISO/IEC 27000
  • 18. NORMAZIONE NAZIONALE SULLA DATA PROTECTION 14/03/2019 18 Policy& security requirements eIDAS Blockchain Normazione nazionale sulla data protection Normazione internazionale sulla data protection
  • 19. RELATORE Fabio GUASCONI Direttivo CLUSIT Direttivo UNINFO Presidente del CT 510 Sicurezza Informatica UNINFO Esperto SBS CISA, CISM, PCI-QSA, ITIL, ISFS, PRINCE2, Lead Auditor 27001 & 9001 Partner e co-founder BL4CKSWAN S.r.l. 14/03/2019 19
  • 20. PRASSI DI RIFERIMENTO UNINFO Nel corso del 2017, AIP (Associazione Informatici Professionisti), ha lanciato un’iniziativa per la scrittura di una linea guida relativa all’applicazione dell’incipiente Regolamento 2016/679. Su stimolo di Accredia, coinvolta nei lavori, si è deciso di creare anche uno schema di requisiti che potesse essere utilizzato per la certificazione, direttamente richiamata dallo stesso GDPR. Per evitare sovrapposizioni con altri lavori già esistenti, lo scopo è stato limitato al mondo ICT e non gli è stata data forma di sistema di gestione, pur ispirandosi ad essi. L’obiettivo del documento, che si rivolge ai trattamenti di dati personali mediante strumenti elettronici (ICT), è quello di definire in modo obiettivo e ripetibile le azioni per il corretto trattamento dei dati personali, offrendo a titolari e responsabili una linea guida di riferimento e alle autorità di controllo un metro di giudizio, ponendo le basi per meccanismi di certificazione come auspicati dall’art. 42 del Regolamento Europeo n.679/2016. 14/03/2019 20 18 ottobre 2017 •Avvio dei lavori 25 maggio 2018 •Lancio dell’inchiesta pubblica 13 settembre 2018 •Pubblicazione della prassi
  • 21. PRASSI DI RIFERIMENTO UNINFO Il documento è suddiviso in due sezioni correlate ma utilizzabili in modo indipendente. La sezione 1 fornisce le linee guida per la definizione e attuazione dei processi afferenti al trattamento dei dati personali, mediante strumenti elettronici (ICT), secondo il Regolamento Europeo 679/2016 (GDPR) e la normativa vigente. La sezione 2 fornisce un adeguato insieme di requisiti che permetta alle organizzazioni, in particolare alle PMI, di essere conformi a quanto previsto dal quadro normativo europeo e nazionale in modo efficace, potendo dimostrare tale conformità ed efficacia anche attraverso un percorso di certificazione. Il documento fornice inoltre gli indirizzi per la valutazione di conformità ai requisiti definiti. 14/03/2019 21
  • 22. PRASSI DI RIFERIMENTO UNINFO 14/03/2019 22 Sezione 2 28 pagine e 7 capitoli  Pianificazione o comprendere l’organizzazione e il suo contesto o politica per la protezione dei dati personali o ruoli e responsabilità o gestione del rischio o pianificazione delle modifiche  Attività operative o informative e consensi o aggiornamento delle posizioni o protezione dei dati personal o richieste di esercizio dei diritti degli interessati o formazione e consapevolezza  Controllo o audit interno o relazione periodica o non conformità e azioni correttive
  • 23. PRASSI DI RIFERIMENTO UNINFO 14/03/2019 23 Sezione 2 Questa sezione è ispirata all’ottima norma inglese BS 10012 Data protection - Specification for a personal information management system, aggiornata nel 2017 per essere pienamente allineata al GDPR. La PdR presenta tuttavia i seguenti distinguo fondamentali:  pone maggiore attenzione sull’ICT e sui trattamenti per suo mezzo effettuati  esplicita dei requisiti che possono essere utilizzati per una certificazione  non è strutturata strettamente come un sistema di gestione, risultando più leggera  è semplificata per rivolgersi alle PMI, nella sostanza ma anche nei vocaboli utilizzati Per poter scaricare gratuitamente le prassi di riferimento i link sono: http://store.uni.com/catalogo/index.php/uni-pdr-43-1-2018.html http://store.uni.com/catalogo/index.php/uni-pdr-43-2-2018.html
  • 24. PRASSI DI RIFERIMENTO UNINFO 14/03/2019 24 Benefici della certificazione (secondo ICO)  essere più trasparenti e responsabili – consentendo alle aziende o ai singoli individui che vi affidano i loro dati personali di capire quali trattamenti, prodotti e servizi devono rispettare i requisiti di protezione dei dati personali del GDPR  disporre di un vantaggio competitivo rispetto a chi non è certificato  adottare dei controlli efficaci al fine di mitigare il rischio connesso al trattamento dei dati personali e ai diritti e le libertà degli interessati  migliorare i propri standard adottando una best practice riconosciuta  agevolare i trasferimenti di dati personali internazionali  ridurre il rischio di sanzioni
  • 25. NORMAZIONE INTERNAZIONALE SULLA DATA PROTECTION 14/03/2019 25 Policy& security requirements eIDAS Blockchain Normazione nazionale sulla data protection Normazione internazionale sulla data protection
  • 26. Standard pubblicati ISO/IEC 29100 - Information technology — Security techniques — Privacy framework ISO/IEC 29134 - Guidelines for privacy impact assessment (PIA) ISO/IEC 29151 - Code of practice for the protection of personally identifiable information ISO 20889 - Privacy enhancing data de-identification techniques 14/03/2019 26
  • 27. Standard in lavorazione ISO 29184 - Online privacy notices and consent ISO 27552 - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management – Requirements and guidelines ISO 27555 – Deletion PII ISO 27570 - Privacy Guidelines for Smart Cities ISO 31700 - Consumer protection Privacy by design for consumer goods and services 14/03/2019 27
  • 28. ISO 29100 - principi Consent and choice Purpose legitimacy and specification Collection limitation Data minimization Use, retention and disclosure limitation Accuracy and quality Openness, transparency and notice Individual participation and access Accountability Information security Privacy compliance 14/03/2019 28
  • 29. ISO 29100 – esempi di attributi identificativi Età o bisogni speciali di persone fisiche fragili Numero di conto bancario o carta di credito Identificatore biometrico Numero cliente Data di nascita Informazioni diagnostiche sanitarie Fatture mediche Stipendi e documenti delle risorse umane Numero di telefono personale Fotografia o video che identificano una persona fisica Bollette dei servizi di pubblica utilità Posizione GPS Traiettorie GPS Indirizzo dell'abitazione Indirizzo IP Ubicazione ricavata dai sistemi di telecomunicazioni Identificatori nazionali (per esempio, numero di passaporto) Indirizzo di e-mail personale Numeri di identificazione personale (PIN) o password Interessi personali desunti dal tracciamento dell'utilizzo dei siti Web di Internet Profilo personale o comportamentale Preferenze di prodotti e servizi 14/03/2019 29
  • 30. ISO 29134 - fasi decisione se effettuare la PIA preparazione della PIA (allocazione risorse, piano, descrizione dell’oggetto della PIA, coinvolgimento stakeholder) esecuzione della PIA (flussi di dati, usecases, requisiti rilevanti per la privacy, trattamento rischi privacy) follow up (report, pubblicazione report, adozione piano trattamento rischio, revisione/audit, input per inizializzare un nuovo ciclo di PIA) 14/03/2019 30
  • 31. ISO 29134 – come? Alcune domande.. What is the personal data - types processed? What is the purpose of the processing? What are the means used for the processing of personal data? How will the privacy process of personal data be implemented? How does the personal data processing take place? Which are the categories of data subjects? Which are the recipients of the data? Supporting assets Operational plans, procedures 14/03/2019 31
  • 32. ISO 29151 - controlli Policies for the protection of PII Use, retention and disclosure limitation Secure erasure of temporary files PII disclosure notification Recording of PII disclosures Disclosure of sub- contracted PII processing Privacy notice Dissemination of privacy program information PII principal access Redress and participation Complaint management Privacy risk assessment Privacy requirement for contractors and service providers Privacy monitoring and auditing PII protection awareness and training PII protection reporting Continuous Improvement of PII management systems Cross border data transfer restrictions in certain jurisdictions 14/03/2019 32
  • 33. ISO 27552 4 General (structure, application of ISO/IEC 27001:2013 requirements, application of ISO/IEC 27002:2013 guidelines) 5: PIMS-specific requirements related to ISO/IEC 27001 6: PIMS-specific guidance related to ISO/IEC 27002 7: Additional ISO/IEC 27002 guidance for PII controllers 8: Additional ISO/IEC 27002 guidance for PII processors Annex A (normative) PIMS specific reference control objectives and controls (PII Controllers) Annex B (normative) PIMS specific reference control objectives and controls (PII Processors) Annex C (informative) Mapping to the General Data Protection Regulation Annex D (informative) Mapping to ISO/IEC 29100 (PII controllers and PII processors) Annex E (informative) Mapping to ISO/IEC 27018 and ISO/IEC 29151 Annex F (informative) Terms and alternative terms Annex G (informative) How to apply ISO/IEC 27552 to ISO/IEC 27001 and ISO/IEC 27002 14/03/2019 33
  • 34. Lavori in corso presso l’EDPB Guidelines to identify common criteria to accredit certification bodies under Regulation 2016/679 requisiti aggiuntivi per l’accreditamento ai sensi dell’art. 43, par. 1, lett. b), del Regolamento Guidelines to identify common criteria to certify processing under Regulation 2016/679 criteri di certificazione di cui all’art. 42 del Regolamento (punto 3) 14/03/2019 34
  • 35. 14/03/2019 35 Grazie dell'attenzione Follow us on: www.uninfo.it https://www.facebook.com/UNINFO.it https://twitter.com/uninfo_it http://www.slideshare.net/uninfoit Segreteria UNINFO - uninfo@uninfo.it