Protezione dei dati personali e Data Security
Mai come ora il web è al centro delle nostre vite, sia in termini di opportunità che di rischi. In Mediobanca, la sicurezza dei dati è un impegno chiave nel processo di sviluppo dei servizi
A causa della natura del nostro business, ogni giorno raccogliamo, trattiamo e gestiamo un numero altissimo di dati personali e informazioni di varia natura sulla clientela, sia in forma cartacea che elettronica.
Il rispetto della privacy e la salvaguardia delle informazioni sono un impegno per noi imprescindibile e irrinunciabile, così come la loro integrità, affidabilità e fruibilità, perché alla base del rapporto di fiducia nonché degli obblighi legislativi che si applicano ai nostri servizi.
Lavoriamo costantemente per il miglioramento del nostro sistema di controllo di sicurezza, anche attraverso l’implementazione di soluzioni e servizi di Cyber Intelligence.
Abbiamo definito l’impegno e i principi che ci guidano in ambito data protection all’interno della Politica di protezione dei dati personali di gruppo, e ogni giorno lavoriamo affinché essa trovi riscontro nella nostra operatività. Nel 2019, ci siamo concentrati sul consolidamento delle attività necessarie per ottemperare alle norme del Regolamento europeo 2016/679 (GDPR - General Data Protection Regulation). Nello specifico abbiamo:
- rafforzato i profili di sicurezza sugli applicativi IT;
- redatto delle nuove procedure interne e linee guida, in particolare relative alla gestione dei dati personali dei clienti potenziali e alla gestione degli adempimenti privacy correlati ai fornitori di gruppo e delle singole società;
- promosso l’adozione di un tool elettronico per il registro dei trattamenti;
- proseguito le attività di implementazione per l’adempimento degli obblighi di conservazione dei dati personali;
- promosso e rafforzato le attività di privacy by design all’interno del gruppo.
Siamo costantemente al lavoro per rafforzare la nostra strategia per garantire sicurezza, riservatezza, integrità e disponibilità delle informazioni. In particolare, abbiamo adottato protocolli di comunicazione sicuri e certificati da autorità (GlobalTrust Certification Authority) e, quando necessario, strumenti di autenticazione robusta (strong authentication) per assicurare protezione nello scambio e nell’accesso ai dati.
Inoltre, svolgiamo continue verifiche di sicurezza e attività di analisi dei rischi, atte a garantire adeguati presidi di controllo, organizzativi e tecnologici, su tutto il perimetro del gruppo, nonché regolari campagne di awareness per i nostri dipendenti, volte a rafforzare la consapevolezza aziendale sui temi di protezione delle informazioni gestite.
Politica sulla Sicurezza delle Informazioni
Descrive gli obiettivi e i principi generali che il gruppo Mediobanca adotta nel trattamento delle informazioni per supportare le esigenze del business e garantire il rispetto di prescrizioni legali o regolamentari e delle scelte in materia di gestione dei rischi.
Politica di gestione del rischio informatico
La Politica definisce il quadro organizzativo e metodologico che il gruppo adotta nell’ambito della gestione del rischio informatico, al fine di garantire l’efficacia e l’efficienza delle misure di protezione delle risorse IT e di graduare le misure di mitigazione in funzione del profilo di rischio.
Direttiva classificazione e gestione delle informazioni
Fornisce i criteri e le regole cui gli utenti devono attenersi per garantire che le informazioni siano classificate e gestite in modo opportuno, al fine di assicurare un adeguato livello di protezione del patrimonio informativo aziendale.
Direttiva gestione cifratura e mascheramento dei dati
Descrive le azioni e le regole da adottare per la gestione delle attività di cifratura e mascheramento dei dati, dei relativi canali di comunicazione e dei backup, per le applicazioni identificate sulla base dell’analisi del rischio informatico e della criticità privacy.
Direttiva tracciamento e gestione dei log
Direttiva sicurezza nei rapporti delle terze parti
Politiche, Direttive e Manuali privacy e data security
- Politica in materia di protezione dei dati personali: definisce i principi generali cui il Gruppo Mediobanca deve attenersi per assicurare la protezione dei dati personali che tratta nello svolgimento delle proprie attività.
- Politica di Gruppo sulla Sicurezza delle Informazioni: descrive gli obiettivi e i principi generali che il Gruppo Mediobanca adotta nel trattamento delle informazioni per supportare le esigenze del business e garantire il rispetto di prescrizioni legali o regolamentari e delle scelte in materia di gestione dei rischi. La Politica è in corso di aggiornamento, per essere adeguata ai nuovi requisiti normativi e in funzione dei cambiamenti tecnologici del sistema informativo previsti dal Piano Strategico IT.
- Politica di Gruppo per la gestione del rischio informatico: la politica di Gruppo definisce il quadro organizzativo e metodologico che il Gruppo Mediobanca adotta nell’ambito della gestione del rischio informatico, al fine di garantire l’efficacia e l’efficienza delle misure di protezione delle risorse IT e di graduare le misure di mitigazione in funzione del profilo di rischio.
- Direttiva di Gruppo di Gestione degli incidenti IT e di Sicurezza: descrive le azioni da adottare per la gestione degli incidenti relativi ai sistemi informativi e alla sicurezza delle informazioni che generano, o possono generare, disservizi agli utenti, impatti sul business aziendale o rischi per la protezione dei dati personali.
- Direttiva di Gruppo Gestione degli Amministratori di Sistema: definisce le regole dirette a disciplinare le attività svolte dagli amministratori di sistema in attuazione di quanto previsto dal Provvedimento del Garante, nonché di identificare ruoli e responsabilità operative nell’ambito del processo di gestione degli amministratori di sistema.
- Direttiva Classificazione e gestione delle informazioni: fornisce i criteri e le regole cui gli utenti devono attenersi per garantire che le informazioni siano classificate e gestite in modo opportuno, al fine di assicurare un adeguato livello di protezione del patrimonio informativo aziendale. La Direttiva è stata aggiornata rivedendo i livelli di classificazione delle informazioni e integrando le relative regole di sicurezza.
- Direttiva di Gruppo - Gestione Cifratura e Mascheramento dei dati: descrive le azioni e le regole da adottare per la gestione delle attività di cifratura e mascheramento dei dati, dei relativi canali di comunicazione e dei backup, per le applicazioni identificate sulla base dell’analisi del rischio informatico e della criticità privacy.
- Direttiva di Gruppo - Tracciamento e gestione dei Log: fornisce i criteri e le regole di carattere generale cui attenersi per la gestione dei sistemi e delle attività di log management.
- Direttiva di Gruppo - Sicurezza nei Rapporti delle Terze Parti: definisce gli obiettivi e i principi di sicurezza cui le terze parti devono attenersi in accordo con la propensione al rischio definita a livello aziendale e coerentemente con la normativa interna in materia di trattamento di informazioni privilegiate e confidenziali.
- Manuale d'ambito per la gestione del registro dei trattamenti: definisce l’approccio metodologico per la redazione e la tenuta del registro, la struttura e il contenuto minimo del registro, le modalità operative di compilazione e le casistiche di aggiornamento.
- Manuale d'ambito in materia di analisi del rischio e data protection impact assessment (DPIA): definisce le linee guida per l’esecuzione dell’analisi dei rischi e del DPIA, delineando l'approccio metodologico, i casi in cui è necessario lo svolgimento del DPIA, le metriche di valutazione e le casistiche di aggiornamento.
- Manuale d’ambito in materia di conservazione dei dati personali: definisce i criteri per la determinazione del periodo di conservazione delle diverse categorie di dati personali trattati e le regole generali in base a cui predisporre le procedure aziendali per garantire l'applicazione dei requisiti di conservazione.
- Manuale di Gruppo sui Principi di Privacy by Design e by Default: ha l’obiettivo di consolidare tali principi nelle iniziative che comportano il trattamento di dati personali, tramite regole generali di coinvolgimento delle strutture di competenza, e di garantire l’implementazione di idonee misure tecniche e organizzative, volte ad attuare in modo efficace i principi di protezione dei dati, integrando nel trattamento le necessarie garanzie atte a soddisfare i requisiti normativi, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso.
- Direttiva Di Gruppo - Violazione Dei Dati Personali (Data Breach): ha lo scopo di regolare le attività connesse alla gestione del data breach e le specifiche responsabilità attribuite.
- Procedura Operativa in materia di Analisi dei rischi e DPIA in ambito privacy: descrive i processi per l’esecuzione dell’analisi dei rischi e del DPIA.
- Procedura Operativa in materia di diritti degli interessati in ambito privacy: descrive la gestione dei diritti degli interessati, con cui si rende agevole l'esercizio delle richieste di accesso ai dati, della loro rettifica, della cancellazione e per esercitare il diritto di opposizione.
- Procedura Operativa in materia di consensi in ambito privacy: descrive la gestione dei consensi che garantisce agli interessati la possibilità di revocare o modificare in modo semplice il proprio consenso.
- Procedura Operativa in materia di Gestione profili privacy relativi ai fornitori: disciplina le attività propedeutiche all'individuazione del profilo privacy di fornitori che trattano dati personali di titolarità della banca.
- Direttiva in materia di Gestione della tracciabilità delle operazioni bancarie: fornisce i criteri e le regole generali che Mediobanca ha adottato per adempiere agli obblighi prescritti dal Provvedimento 192/11, pubblicato dal Garante Privacy per l’individuazione e l’analisi di potenziali accessi indebiti ai dati personali della clientela.
- Procedura Operativa in materia di Registro dei trattamenti in ambito privacy: disciplina il processo di predisposizione e manutenzione del Registro dei trattamenti, così come richiesto dal Regolamento Europeo (GDPR).
- Procedura Operativa in materia di Gestione della cancellazione dei dati personali: disciplina, per ogni categoria di soggetto interessato, il processo periodico di cancellazione massiva dei dati personali.
- Direttiva Di Gruppo Gestione Del Rischio Delle Terze Parti In Ambito IT: stabilisce i criteri di definizione del perimetro delle Terze Parti in ambito IT e le azioni da attuare per rafforzare il presidio.