Sei sulla pagina 1di 22

Regole di comportamento per la

gestione sicura delle risorse e delle


informazioni
ITA version

Redatto:

Privacy IT Reply

Verificato:

O.Pepino Reply COO

Approvato:

Chief Executive Officer


Chief Operation Officer
HR&Sourcing Director

Emanato:
Revisione:

Reply Corporate
1.3

Data di emissione:
Doc ID

Ottobre 2014
n.a.

Doc template

n.a

Note di riservatezza:

Uso interno

Regole di comportamento per la gestione


sicura delle risorse e delle informazioni
ITA version
Stato del documento
revisione
1.0

data
Novembre 2012

1.1
1.2
1.3

Giugno 2013
Febbraio 2014
Ottobre 2014

sintesi dei cambiamenti


Emissione

(approvato da)
Chief Executive Officer
Chief Operation Officer
HR&Sourcing Director
Regole mailing aziendale
Chief Operation Officer
Tempi retention caselle di posta
Chief Operation Officer
Evidenziazione delle norme specifiche Chief Operation Officer
per le societ italiane e requisito sui
Social Media

Sintesi dei cambiamenti


Lista dei principali cambiamenti
rispetto la revisione precedente:
1.1
1.2
1.3

Migliore specifica delle norme per lutilizzo Posta Elettronica.


Modifica ai tempi di retention delle caselle di posta (par.6.1.1) e
maggiore puntualizzazione di alcune indicazioni.
Evidenziazione delle indicazioni specifiche per lItalia rispetto alle
norme di comportamento generali valide per tutte le Country e
inserimento delle indicazioni sullutilizzo dei Social Media (par.
5.2).

Allegati:
-

Redatto:

Privacy IT Reply

Emanato:
Reply Corporate
Note di riservatezza: Uso interno

Verificato:

O.Pepino Reply COO

Data di emissione:

Ottobre 2014

Approvato:
Revisione
Pag.

CEO
COO
HR&Sourcing Director
1.3
2/22

Regole di comportamento per la gestione


sicura delle risorse e delle informazioni
ITA version
Contenuti
1

INTRODUZIONE ..................................................................................................... 4
1.1
1.2
1.3
1.4

SCOPO ................................................................................................................
DESTINATARI .........................................................................................................
RESPONSABILIT ....................................................................................................
GLOSSARIO ...........................................................................................................

4
4
4
5

PRINCIPI PER LA GESTIONE SICURA DEI LOCALI E DELLE RISORSE FISICHE ....... 7

PRINCIPI PER LA GESTIONE SICURA DEI SUPPORTI CARTACEI ............................ 8


3.1
3.2

CLEAN DESK POLICY................................................................................................. 8


GESTIONE DEGLI ARCHIVI FISICI E DEI SUPPORTI CARTACEI ................................................... 8

PRINCIPI PER LA GESTIONE SICURA DEGLI STRUMENTI INFORMATICI .............. 10


4.1 PREVENZIONE DEI REATI INFORMATICI ........................................................................... 10
4.2 GESTIONE DELLE CREDENZIALI DI ACCESSO .................................................................... 11
4.3 GESTIONE DELLE POSTAZIONI DI LAVORO ....................................................................... 12
4.3.1 PC portatili ................................................................................................... 13
4.3.2 Dispositivi Portatili (PDA) ............................................................................... 13
4.3.3 Supporti di memorizzazione ........................................................................... 14
4.4 GESTIONE DELLA DOTAZIONE SOFTWARE ....................................................................... 14
4.5 GESTIONE DEL SOFTWARE ANTIVIRUS ........................................................................... 15

PRINCIPI PER LA GESTIONE SICURA DEI SERVIZI AZIENDALI ............................ 16


5.1
5.2
5.3

NORME PER LUTILIZZO DELLA POSTA ELETTRONICA ........................................................... 16


NORME PER LA NAVIGAZIONE IN INTERNET ..................................................................... 18
ACCESSO AI DATI IN ASSENZA DELLUTENTE .................................................................... 18

CONTROLLI SULLUTILIZZO DEI SERVIZI AZIENDALI .......................................... 20


6.1.1
6.1.2

Controllo sul rispetto delle modalit di utilizzo della Posta Elettronica .................. 20
Controllo sul rispetto delle modalit di utilizzo della rete ed Internet ................... 21

CONSEGUENZE IN CASO DI MANCATA OSSERVANZA DELLE PRESCRIZIONI ......... 22

Redatto:

Privacy IT Reply

Emanato:
Reply Corporate
Note di riservatezza: Uso interno

Verificato:

O.Pepino Reply COO

Data di emissione:

Ottobre 2014

Approvato:
Revisione
Pag.

CEO
COO
HR&Sourcing Director
1.3
3/22

Regole di comportamento per la gestione


sicura delle risorse e delle informazioni
ITA version

INTRODUZIONE
1.1

Scopo

Scopo del presente documento definire le norme e le linee guida che devono essere rispettate
da tutto il personale, ciascuno nei limiti delle proprie mansioni lavorative, al fine di garantire il
corretto e sicuro utilizzo delle risorse messe a disposizione dalle Societ del Gruppo Reply per lo
svolgimento dellattivit lavorativa. Pi precisamente, le regole riportate allinterno del presente
documento sono da applicarsi tanto con riferimento alle risorse fornite dalle singole Societ
quanto con riferimento a quelle fornite dalle aree di staff di Reply Spa (con particolare ma non
esclusivo riferimento a quelle garantite dallArea ICT Italy, nel seguito Area ICT).
Questo documento stato emesso da Reply Corporate. Ciascuna country del Gruppo ha il
compito di adottare e contestualizzare il documento allinterno della propria organizzazione,
considerando i requisiti normativi locali e le proprie specificit organizzative; ciascun
cambiamento al documento, legato a questo genere di specificit, deve essere sottoposto e
verificato dal Chief Operation Officer di Reply.
Allinterno del documento ogni sezione specifica per la Country, legata a requisiti normativi
locali o specificit organizzative, viene sottolineata in questo modo.
In assenza di indicazioni puntuali da parte dei Clienti, le regole di comportamento nel seguito
riportate sono da considerare valide, ove applicabili, anche alle attivit progettuali condotte al
di fuori delle sedi Reply ed ai casi di utilizzo e ricorso ad asset e strumentazioni di terze parti.
Alla luce di quanto sopra riportato, nel seguito del documento, ove non meglio specificato, con il
termine Societ verr fatto sinteticamente riferimento tanto alle Societ del Gruppo Reply
quanto alle Societ clienti.

1.2

Destinatari

Destinatario delle presenti Regole di comportamento il personale dipendente dalle Societ


italiane del Gruppo Reply.
A determinate condizioni o in particolari contesti operativi, il documento, e con esso i suoi
contenuti, potranno essere applicati, integralmente o in parte, anche ad altri soggetti che
collaborano a vario titolo con le Societ del Gruppo.

1.3

Responsabilit

Dipendente

Redatto:

Ogni dipendente responsabile del rispetto, oltre che dei doveri


generali di lealt, correttezza ed esecuzione del contratto di lavoro
secondo buona fede, di quanto descritto nel presente documento,
nonch nei documenti di indirizzo emanati dalla Societ.
Nellapplicazione delle norme nel seguito riportate, linterpretazione
pi restrittiva (quella cio che va nel senso della massima tutela dei
dati e del patrimonio informativo) quella da ritenere valida e,

Privacy IT Reply

Emanato:
Reply Corporate
Note di riservatezza: Uso interno

Verificato:

O.Pepino Reply COO

Data di emissione:

Ottobre 2014

Approvato:
Revisione
Pag.

CEO
COO
HR&Sourcing Director
1.3
4/22

Regole di comportamento per la gestione


sicura delle risorse e delle informazioni
ITA version
quindi, da applicare. Lo stesso principio interpretativo da applicare
anche nel caso in cui si debbano rispettare delle specifiche norme
emanate dai Clienti.
Responsabile
diretto di ciascun
dipendente

Il Responsabile diretto di ciascun dipendente deve vigilare sulluso


degli strumenti informatici assegnati e deve segnalare, qualora
necessario, le presunte infrazioni e/o violazioni delle norme e/o dei
principi del presente documento alla funzione HR&Sourcing.

Chief Operation
Officer

Il riesame e laggiornamento con cadenza annuale del presente


documento, effettuato al fine di garantire che le disposizioni
riflettano i requisiti normativi e le best practice, ricadono nellambito
delle responsabilit del Chief Operation Officer che potr avvalersi,
se necessario, del supporto di tutte le altre strutture aziendali
relativamente ai diversi ambiti di competenza.

1.4

Glossario

D. Lgs. 196/2003

Decreto Legislativo 30 giugno 2003, n. 196 (Codice in materia di


protezione dei dati personali)

D. Lgs. 231/2001

Decreto Legislativo 8 giugno 2001, n. 231 (Disciplina della


responsabilit amministrativa delle persone giuridiche, delle
societ e delle associazioni anche prive di personalit giuridica, a
norma dell'articolo 11 della legge 29 settembre 2000, n. 300)

L. 633/1941

Legge 22 aprile 1941 n. 633 (Protezione del diritto d'autore e di


altri diritti connessi al suo esercizio) - G.U. n.166 del 16 luglio
1941

Dato personale

qualunque informazione relativa a persona fisica, identificata o


identificabile, anche indirettamente, mediante riferimento a
qualsiasi altra informazione, ivi compreso un numero di
identificazione personale
(definizione tratta dal D. Lgs. 196/2003 Art. 4 comma 1.b)

Dati identificativi

i dati personali che permettono l'identificazione diretta


dell'interessato
(definizione tratta dal D. Lgs. 196/2003 Art. 4 comma 1.c)

Dati sensibili

i dati personali idonei a rivelare l'origine razziale ed etnica, le


convinzioni religiose, filosofiche o di altro genere, le opinioni
politiche, l'adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico o
sindacale, nonch i dati personali idonei a rivelare lo stato di
salute e la vita sessuale
(definizione tratta dal D. Lgs. 196/2003 Art. 4 comma 1.d)

Dati giudiziari

i dati personali idonei a rivelare provvedimenti di cui all'articolo


3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14
novembre 2002, n. 313, in materia di casellario giudiziale, di

Redatto:

Privacy IT Reply

Emanato:
Reply Corporate
Note di riservatezza: Uso interno

Verificato:

O.Pepino Reply COO

Data di emissione:

Ottobre 2014

Approvato:
Revisione
Pag.

CEO
COO
HR&Sourcing Director
1.3
5/22

Regole di comportamento per la gestione


sicura delle risorse e delle informazioni
ITA version
anagrafe delle sanzioni amministrative dipendenti da reato e dei
relativi carichi pendenti, o la qualit di imputato o di indagato ai
sensi degli articoli 60 e 61 del codice di procedura penale
(definizione tratta dal D. Lgs. 196/2003 Art. 4 comma 1.e)

Redatto:

Privacy IT Reply

Emanato:
Reply Corporate
Note di riservatezza: Uso interno

Verificato:

O.Pepino Reply COO

Data di emissione:

Ottobre 2014

Approvato:
Revisione
Pag.

CEO
COO
HR&Sourcing Director
1.3
6/22

Regole di comportamento per la gestione


sicura delle risorse e delle informazioni
ITA version

PRINCIPI PER LA GESTIONE SICURA DEI LOCALI E DELLE RISORSE FISICHE

Principi generali
I locali e tutte le risorse fisiche fornite dalle Societ
devono essere protetti con la massima diligenza e nel
al fine di prevenire danni conseguenti ad azioni
attenzione deve essere posta allidentificazione di
potenzialmente tali.

e utilizzate nei diversi ambienti di lavoro


rispetto delle procedure di lavoro definite,
di carattere doloso/colposo. Particolare
tutte le situazioni anomale o ritenute

Norme di dettaglio
Per garantire la sicurezza delle informazioni contenute nelle aree, negli uffici e negli open space
allinterno dei quali si svolge lattivit lavorativa, dovranno essere rispettate le seguenti
disposizioni:
2.1. laccesso alle sedi consentito solo previa identificazione. Il badge di riconoscimento deve
essere tenuto in posizione ben visibile per lintero periodo di permanenza allinterno delle
sedi aziendali. Non in alcun caso consentito lo scambio o il prestito seppur temporaneo
del badge di riconoscimento assegnato;
2.2. i visitatori possono accedere alle sole aree coerenti rispetto alle ragioni della loro visita;
inoltre devono essere sempre accompagnati dal proprio referente interno, vale a dire dalla
persona o dalle persone cui sono stati annunciati al momento del loro arrivo;
2.3. il personale deve tempestivamente comunicare alle reception/segreterie di sede eventuali
anomalie connesse alla sicurezza fisica di aree e locali nei quali viene svolta lattivit
lavorativa e da cui pu potenzialmente derivare un danno per i dati e le informazioni
gestite. A titolo esemplificativo, rientra tra i doveri di ogni dipendente comunicare le
seguenti circostanze:

guasto o rottura dei sistemi di chiusura delle porte di accesso agli uffici/ delle
finestre;

smarrimento o furto di chiavi di accesso ai locali e/o agli archivi fisici (limitato ai
soli dipendenti che possiedono delle chiavi di accesso).

Redatto:

Privacy IT Reply

Emanato:
Reply Corporate
Note di riservatezza: Uso interno

Verificato:

O.Pepino Reply COO

Data di emissione:

Ottobre 2014

Approvato:
Revisione
Pag.

CEO
COO
HR&Sourcing Director
1.3
7/22

Regole di comportamento per la gestione


sicura delle risorse e delle informazioni
ITA version
3

PRINCIPI PER LA GESTIONE SICURA DEI SUPPORTI CARTACEI

Principi generali
La documentazione cartacea deve essere utilizzata e conservata con la massima cura, in modo
da evitare che personale non autorizzato possa avervi accesso.

3.1 Clean Desk policy


Norme di dettaglio
Il personale deve rispettare una serie di norme alle quali si fa normalmente riferimento col
termine Clean Desk Policy; in particolare si stabilisce che:
3.1.1. le scrivanie allinterno degli uffici e degli open space siano utilizzate per accogliere i soli
documenti necessari per svolgere le proprie attivit in uno specifico momento;
3.1.2. tutti i documenti vengano custoditi allinterno di contenitori o archivi
adeguatamente protetti, ad esclusione del momento del loro reale utilizzo;

fisici

3.1.3. al termine della giornata lavorativa non siano lasciati incustoditi e facilmente accessibili
documenti di qualsiasi genere.

3.2 Gestione degli archivi fisici e dei supporti cartacei


Norme di dettaglio
Per quanto riguarda gli archivi fisici presenti allinterno dei locali di lavoro devono essere
adottate le seguenti norme di comportamento:
3.2.1. laccesso agli archivi contenenti documenti rilevanti per la societ e per il business deve
essere consentito solamente al personale autorizzato; sono da considerare autorizzati:
o

ad accedere ai dati trattati in una specifica area-ufficio tutti coloro che vi prestano
servizio o che hanno pertinenza con il tipo di attivit svolta;

ad effettuare trattamento di dati personali tutti coloro che hanno ricevuto specifiche
istruzioni in merito attraverso consegna di apposita lettera di incarico al trattamento
dei dati personali.

Con riferimento alla sicurezza di dati ed informazioni su supporto cartaceo, mantenuti


temporaneamente allesterno degli archivi fisici, valgono le seguenti norme di comportamento:
3.2.2. fotocopiatrici, stampanti e fax sono strumenti aziendali e devono essere utilizzati solo
per lo svolgimento dellattivit lavorativa;
3.2.3. vietato lasciare incustoditi fax, fotocopie, stampe presso le apposite apparecchiature.
In caso di stampe multiple o stampe di lunghi documenti, particolare attenzione deve
essere posta alla verifica della coda di stampa, al fine di accertare che nessuno dei
documenti inviati sia rimasto in sospeso;

Redatto:

Privacy IT Reply

Emanato:
Reply Corporate
Note di riservatezza: Uso interno

Verificato:

O.Pepino Reply COO

Data di emissione:

Ottobre 2014

Approvato:
Revisione
Pag.

CEO
COO
HR&Sourcing Director
1.3
8/22

Regole di comportamento per la gestione


sicura delle risorse e delle informazioni
ITA version
3.2.4. i documenti rilevanti per la societ e per il business se portati al di fuori delle sedi
aziendali non devono essere lasciati incustoditi in luoghi pubblici;
3.2.5. la documentazione non pi necessaria deve essere eliminata ricorrendo a pratiche che
garantiscano limpossibilit, per un soggetto terzo, di ricostruire il contenuto della
medesima con uno sforzo ragionevole; viene in particolare fatto obbligo di utilizzo dei
macchinari distruggi documenti in tutti gli ambiti di lavoro in cui gli stessi risultano
presenti.

Redatto:

Privacy IT Reply

Emanato:
Reply Corporate
Note di riservatezza: Uso interno

Verificato:

O.Pepino Reply COO

Data di emissione:

Ottobre 2014

Approvato:
Revisione
Pag.

CEO
COO
HR&Sourcing Director
1.3
9/22

Regole di comportamento per la gestione


sicura delle risorse e delle informazioni
ITA version
4

PRINCIPI PER LA GESTIONE SICURA DEGLI STRUMENTI INFORMATICI

Principi generali
4.1. vietato compiere qualsiasi azione contraria alle norme di legge, con particolare ma non
esclusivo riferimento al D.lgs 196/2003 (Codice in materia di protezione dei dati
personali), al D.Lgs 231/2001 (responsabilit amministrativa degli enti), ed alla Legge
633/1941 (Diritto dautore); ci anche nel caso in cui lazione sia posta in essere per
conto e/o a favore di una o pi delle Societ del Gruppo Reply.
4.2. Deve essere garantito da parte di tutto il personale il rispetto del processo di
identificazione, autenticazione ed autorizzazione definito per laccesso alle risorse
informatiche.
4.3. Le strumentazioni di lavoro devono essere utilizzate dallutente a cui sono assegnate in
modo da prevenire il danneggiamento fisico delle medesime nonch il furto delle
informazioni gestite per il loro tramite.
4.4. Il comportamento degli utenti deve essere tale da non interferire con il corretto
funzionamento delle soluzioni software implementate per la tutela delle singole risorse
informatiche.

4.1

Prevenzione dei reati informatici

Norme di dettaglio
Nellambito delle pi generali attivit volte a prevenire la commissione di quelli che la normativa
definisce reati informatici, sono vietati i seguenti comportamenti, anche se posti in essere
nellinteresse e/o a vantaggio di una o pi delle Societ del Gruppo Reply:
4.1.1. introdursi abusivamente in un sistema informatico o telematico protetto da misure di
sicurezza ovvero mantenersi nel sistema stesso contro la volont espressa o tacita di chi ha
il diritto di escluderlo;
4.1.2. procurarsi, riprodurre, diffondere, comunicare o consegnare codici, parole chiave o altri
mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di
sicurezza, o comunque fornire indicazioni o istruzioni idonee al predetto scopo;
4.1.3. procurarsi, produrre, riprodurre, importare, diffondere, comunicare, consegnare o,
comunque, mettere a disposizione di altri apparecchiature, dispositivi o programmi
informatici al fine di danneggiare illecitamente un sistema informatico o telematico, le
informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero favorire
l'interruzione, totale o parziale, o l'alterazione del suo funzionamento;
4.1.4. intercettare comunicazioni relative ad un sistema informatico o telematico o
intercorrenti tra pi sistemi, ovvero impedire, interrompere o rilevare mediante qualsiasi
mezzo di informazione al pubblico in tutto o in parte il contenuto di tali comunicazioni;
4.1.5. installare apparecchiature atte ad intercettare, impedire o interrompere comunicazioni
relative ad un sistema informatico o telematico ovvero intercorrenti tra pi sistemi;

Redatto:

Privacy IT Reply

Emanato:
Reply Corporate
Note di riservatezza: Uso interno

Verificato:

O.Pepino Reply COO

Data di emissione:

Ottobre 2014

Approvato:
Revisione
Pag.

CEO
COO
HR&Sourcing Director
1.3
10/22

Regole di comportamento per la gestione


sicura delle risorse e delle informazioni
ITA version
4.1.6. distruggere, deteriorare, cancellare, alterare o sopprimere informazioni, dati o
programmi informatici altrui (ivi inclusi quelli utilizzati dallo Stato o da altro ente pubblico o
ad esso pertinenti o, comunque, di pubblica utilit);
4.1.7. utilizzare gli strumenti informatici per visionare, memorizzare, stampare, copiare,
ricevere e/o diffondere materiale illegale, di propriet altrui, coscientemente falso, osceno o
similare.
Osservazioni ulteriori
A completamento di quanto riportato in precedenza si sottolinea che:

in alcuni specifici contesti progettuali le norme di comportamento sopra descritte


potrebbero risultare inapplicabili (ad esempio nel caso in cui vengano commissionate
attivit di penetration test e vulnerability assessment); in tali casi le attivit
operative dovranno essere condotte esclusivamente in presenza di documentazione che
comprovi lesistenza di unautorizzazione a procedere nonch in presenza di specifici
accordi di manleva. Le attivit dovranno inoltre essere condotte rigidamente sul
perimetro concordato e formalizzato con il cliente;

le regole di comportamento sopra riportate sono da considerare valide, ove applicabili,


anche nel caso in cui nel corso delle attivit si utilizzino asset, strumentazioni e risorse
di terze parti (con particolare riferimento a quelle dei clienti);

con specifico riferimento alla necessit di prevenire i c.d. reati informatici, tutto il
personale tenuto a prendere visione, ciascuno in funzione del ruolo e delle indicazioni
ricevute da parte della Societ, della documentazione e delle regole definite per il
recepimento del D.Lgs 231/2001 disciplinante la responsabilit amministrativa delle
persone giuridiche, delle societ e delle associazioni anche prive di personalit
giuridica.

4.2

Gestione delle credenziali di accesso

Norme di dettaglio
Ogni utente, per accedere ai sistemi informatici aziendali deve essere preventivamente
identificato ed autenticato, attraverso la verifica delle proprie credenziali. Le credenziali sono
costituite da:

user-id;

password.

Le norme definite in tale ambito sono le seguenti:


4.2.1. ogni utente deve essere dotato di credenziali di autenticazione nominali e personali;
ciascuno direttamente responsabile per eventuali utilizzi impropri delle proprie
credenziali di autenticazione;
4.2.2. le utenze amministrative devono essere utilizzate solo quando strettamente necessario
al raggiungimento delle finalit operative;

Redatto:

Privacy IT Reply

Emanato:
Reply Corporate
Note di riservatezza: Uso interno

Verificato:

O.Pepino Reply COO

Data di emissione:

Ottobre 2014

Approvato:
Revisione
Pag.

CEO
COO
HR&Sourcing Director
1.3
11/22

Regole di comportamento per la gestione


sicura delle risorse e delle informazioni
ITA version
4.2.3. la password strettamente personale; la sua composizione deve rispettare i seguenti
requisiti:

la lunghezza minima deve essere pari a 8 caratteri;

devono essere utilizzati caratteri alfanumerici;

devono essere definite password non banali, vale a dire non facilmente riconducibili
alla sfera di vita della singola persona;

non pu essere uguale all identificativo utente;

4.2.4. quando la password viene ricevuta dagli addetti ai lavori per consentire il primo accesso
al sistema deve essere immediatamente sostituita con una che rispetti i requisiti descritti
nei punti precedenti;
4.2.5. qualora il sistema non richieda automaticamente la sostituzione, la password deve
essere modificata almeno ogni sei mesi (tre mesi nel caso in cui lutente tratti dati
sensibili/giudiziari);
4.2.6. indipendentemente dalle scadenze riportate al punto precedente, la password deve
essere sostituita ogniqualvolta si tema che possa essere stata individuata, anche
fortuitamente, da qualcuno;
4.2.7. la password deve essere sostituita nei casi previsti nel successivo paragrafo 5.3;
4.2.8. la password non deve essere memorizzata su alcun tipo di supporto, magnetico o
cartaceo.

4.3

Gestione delle postazioni di lavoro

Norme di dettaglio
Gli strumenti di lavoro forniti dalle Societ, primi fra tutti i PC portatili e fissi sono di esclusiva
propriet delle stesse che ne possono disporre in qualsiasi momento; si ricorda che la
responsabilit dello strumento attribuita a chi ne fa direttamente uso.
A tutto il personale richiesto il rispetto delle seguenti norme:
4.3.a. gli strumenti di lavoro devono essere utilizzati con la massima diligenza possibile e per
finalit prevalenti di carattere lavorativo (in relazione alle mansioni assegnate);
4.3.b. non devono essere consumati cibi e bevande in prossimit delle strumentazioni stesse,
per ridurre i rischi di danneggiamento e/o malfunzionamento;
4.3.c. le postazioni di lavoro devono essere protette da accessi non autorizzati anche attraverso
il ricorso a screensaver attivati automaticamente dopo un predefinito periodo di inattivit
o attivabili quando lutente si allontana dalla propria postazione di lavoro e configurati per
richiedere lautenticazione per laccesso;
4.3.d. la documentazione di lavoro deve essere preferibilmente archiviata allinterno di cartelle
di rete ad accesso controllato e limitato; qualora non possibile lutente deve condurre

Redatto:

Privacy IT Reply

Emanato:
Reply Corporate
Note di riservatezza: Uso interno

Verificato:

O.Pepino Reply COO

Data di emissione:

Ottobre 2014

Approvato:
Revisione
Pag.

CEO
COO
HR&Sourcing Director
1.3
12/22

Regole di comportamento per la gestione


sicura delle risorse e delle informazioni
ITA version
autonomamente il backup dei dati presenti sulla propria postazione, almeno con cadenza
settimanale;
4.3.e. Gli utenti sono tenuti a rispettare tutte le regole ulteriori che potranno essere indicate
dalle Societ e dai referenti di progetto in funzione di particolari livelli di criticit associati
alle singole attivit demandate.

4.3.1

PC portatili

Norme di dettaglio
Alle norme elencate per la gestione delle postazioni di lavoro si aggiungono le seguenti,
specifiche per i PC portatili:
4.3.1.1. il supporto tecnico garantito solo per i dispositivi forniti dalle Societ;
4.3.1.2. il PC portatile non deve mai essere lasciato incustodito durante gli spostamenti al di
fuori delle sedi aziendali; in particolare, non deve essere mai lasciato in automobile;
4.3.1.3. i PC portatili devono essere custoditi con la massima cura in modo da evitare incidenti
(cadute accidentali, danneggiamento dello schermo, sottrazione indebita ecc.);
4.3.1.4. in caso di viaggi aerei il PC deve essere sempre trasportato come bagaglio a mano e
sistemato in una custodia adeguata;
4.3.1.5. deve essere posta particolare attenzione allutilizzo di pc portatili in luoghi pubblici,
quali ad esempio locali, stazioni e mezzi di trasporto, al fine di prevenire la presa
visione di informazioni aziendali da parte di terzi non autorizzati;
4.3.1.6. il PC portatile uno strumento aziendale e come tale non deve essere concesso in uso
a terzi, neanche se utilizzato al di fuori della propria sede lavorativa;
4.3.1.7. poich possibile che il PC non sia costantemente connesso alla rete aziendale, deve
essere cura dellutente verificare che il software antivirus venga aggiornato al fine di
disporre dellultima release del file contenente la definizione dei virus (pattern file).

4.3.2

Dispositivi Portatili (PDA)

Norme di dettaglio
Le presenti norme comportamentali sono valide per tutti i dispositivi portatili (es. smartphone,
tablet, ecc.):
4.3.2.1. il supporto tecnico garantito solo per i dispositivi forniti dalle Societ;
4.3.2.2. nel caso in cui si utilizzi un PDA personale oppure, a vario titolo, quello di un cliente,
sul medesimo non devono essere memorizzati dati delle Societ del Gruppo Reply o
del cliente stesso o afferenti lambiente lavorativo (ad esempio attraverso la raccolta
di foto e video) se non nei limiti strettamente necessari per adempiere alle mansioni
attribuite;
4.3.2.3. il PDA non deve mai essere lasciato incustodito;
4.3.2.4. laccesso allo strumento deve essere subordinato, ove possibile, allinserimento di un
PIN di accesso;

Redatto:

Privacy IT Reply

Emanato:
Reply Corporate
Note di riservatezza: Uso interno

Verificato:

O.Pepino Reply COO

Data di emissione:

Ottobre 2014

Approvato:
Revisione
Pag.

CEO
COO
HR&Sourcing Director
1.3
13/22

Regole di comportamento per la gestione


sicura delle risorse e delle informazioni
ITA version
4.3.2.5. i servizi di trasmissione e comunicazione dati (ad esempio bluetooth, wifi, ecc.)
quando non utilizzati devono essere disabilitati;
4.3.2.6. deve essere posta particolare attenzione alla gestione delle comunicazioni telefoniche
in ambienti pubblici, quali ad esempio locali, stazioni e mezzi di trasporto, al fine di
prevenire la diffusione di informazioni aziendali da parte di terzi non autorizzati;
4.3.2.7. i dispositivi di telefonia mobile aziendali devono di norma essere utilizzati per finalit
di carattere lavorativo, salvo che in presenza di specifiche autorizzazioni concesse dal
proprio Responsabile.

4.3.3

Supporti di memorizzazione

Norme di dettaglio
Per garantire la sicurezza dei dati contenuti allinterno dei supporti di memorizzazione (ad
esempio CD, DVD, hard disk esterni, chiavette USB, ecc.) dovranno essere rispettate le
seguenti disposizioni:
4.3.3.1. i supporti di memorizzazione, quando mantenuti allinterno di una delle sedi aziendali,
devono essere custoditi in archivi ad accesso limitato al solo personale autorizzato;
durante gli spostamenti al di fuori delle sedi aziendali non devono mai essere lasciati
incustoditi;
4.3.3.2. in funzione della criticit dei contenuti occorre valutare ladozione di tecniche di
protezione dei dati (ad esempio inserimento di password di accesso oppure, per i dati
pi critici, utilizzo di tecniche crittografiche);
4.3.3.3. quanto contenuto nei supporti di memorizzazione deve essere cancellato prima della
dismissione del supporto stesso.

4.4

Gestione della dotazione Software

Norme di dettaglio
Le Societ del Gruppo Reply mettono a disposizione strumenti di lavoro personalizzati, in
termini di dotazione software, sulla base delle specifiche esigenze lavorative.
Per quanto riguarda lutilizzo e linstallazione di prodotti software, necessario attenersi alle
norme descritte nel seguito:
4.4.1. non consentito riprodurre (in modo permanente o temporaneo, totale o parziale),
tradurre, adattare, trasformare, distribuire software di propriet di terzi senza preventiva
autorizzazione;
4.4.2. vietato effettuare download/upload di software illegali (privi di regolare licenza);
4.4.3. vietato utilizzare o anche solo installare software illegali sugli elaboratori di propriet
delle Societ;
4.4.4. vietato installare software volti a consentire laccesso abusivo ad un sistema
informatico o ad arrecare danni ad uninfrastruttura informatica, fatta eccezione per i

Redatto:

Privacy IT Reply

Emanato:
Reply Corporate
Note di riservatezza: Uso interno

Verificato:

O.Pepino Reply COO

Data di emissione:

Ottobre 2014

Approvato:
Revisione
Pag.

CEO
COO
HR&Sourcing Director
1.3
14/22

Regole di comportamento per la gestione


sicura delle risorse e delle informazioni
ITA version
casi in cui tali risorse risultino necessarie per svolgere incarichi assegnati ed
esplicitamente autorizzati (si veda al riguardo anche il precedente paragrafo 4.1);
4.4.5. nel caso si rinvenissero sul computer dato in uso programmi non licenziati o di dubbia
provenienza, si deve provvedere ad avvisare il proprio Responsabile.

4.5

Gestione del software Antivirus

Norme di dettaglio
La possibilit che si riescano a prevenire infezioni da virus informatico non dipende solo dalla
presenza di adeguati strumenti a ci dedicati e dalla loro corretta configurazione, ma anche e
soprattutto dalle modalit di utilizzo degli stessi da parte della generalit degli utenti.
Pertanto a questi ultimi viene chiesto di:
4.5.1. verificare che sia installato un software antivirus sulla propria postazione; in caso non
fosse presente, occorre segnalare tale mancanza allArea ICT;
4.5.2. accertarsi che il sistema antivirus presente sulla propria postazione di lavoro risulti
sempre aggiornato, verificando in particolare che non compaiano avvisi e segnalazioni di
malfunzionamento/mancato aggiornamento. In condizioni di normale funzionamento gli
aggiornamenti sono automatici e trasparenti allutente ed avvengono durante il
collegamento del PC alla rete aziendale;
4.5.3. non modificare la configurazione n disabilitare, per qualsiasi motivo il sistema antivirus.
Qualora specifici applicativi richiedessero lassenza di programmi antivirus per un
corretto funzionamento necessario valutare, con il supporto dellArea ICT, il loro
utilizzo.
4.5.4. non utilizzare prodotti antivirus diversi da quelli forniti dalle Societ;
4.5.5. segnalare tempestivamente allArea ICT eventuali malfunzionamenti del sistema
antivirus; a tal proposito necessario porre particolare attenzione a tutte quelle
situazioni sintomatiche di possibili infezioni informatiche (perdita o modifica di dati o
files, rallentamento delle prestazioni, cambiamenti di nome dei dischi, presenza di
programmi non installati dallutente ecc.);
4.5.6. segnalare tempestivamente allArea ICT la presenza di virus riconosciuti dal sistema
antivirus e non autonomamente rimossi dal sistema stesso.

Redatto:

Privacy IT Reply

Emanato:
Reply Corporate
Note di riservatezza: Uso interno

Verificato:

O.Pepino Reply COO

Data di emissione:

Ottobre 2014

Approvato:
Revisione
Pag.

CEO
COO
HR&Sourcing Director
1.3
15/22

Regole di comportamento per la gestione


sicura delle risorse e delle informazioni
ITA version
5

PRINCIPI PER LA GESTIONE SICURA DEI SERVIZI AZIENDALI

Norme di dettaglio
Le Societ del Gruppo Reply, per permettere il regolare svolgimento dellattivit lavorativa
mettono a disposizione di tutti i dipendenti numerosi servizi centrali, primi fra tutti la posta
elettronica e la navigazione Internet.
La casella di posta elettronica e laccesso ad Internet sono attivati dallArea ICT nel momento in
cui si instaura un rapporto di lavoro con una delle Societ del Gruppo Reply.
Di seguito sono riportate le norme alle quali tutti coloro che risultano dotati di una casella di
posta aziendale e di una connessione alla rete Internet dovranno attenersi.

Norme per lutilizzo della Posta Elettronica

5.1

Norme di dettaglio
La casella di Posta Elettronica aziendale (@reply.it), assegnata dalla Societ datrice di lavoro
allutente, uno strumento di lavoro. Lutente assegnatario della casella di posta elettronica
responsabile del corretto utilizzo della stessa.
Tutte le comunicazioni tramite email inerenti le attivit lavorative devono essere
inviate/ricevute utilizzando il dominio @reply.it, a meno di autorizzazione esplicita da parte
dellAzienda.
Utilizzando lindirizzo di posta elettronica aziendale, il dipendente a conoscenza e consapevole
che:

ogni messaggio spedito o inoltrato verr ricevuto come proveniente da Reply;

tutti i messaggi in entrata ed in uscita dagli indirizzi di posta elettronica aziendale sono
di propriet della Societ datrice di lavoro; la Societ si riserva pertanto il diritto, per
improrogabili necessit legate allattivit lavorativa, di accedere alla casella in caso di
assenza dellutente assegnatario in accordo con le procedure aziendali, come meglio
descritto nel successivo paragrafo 5.3.

Tutto ci premesso, lutente deve attenersi alle seguenti disposizioni:


5.1.1.

il contenuto dei messaggi di posta deve essere tale da non ledere i diritti della Societ
ed in ogni caso non deve in alcun modo rappresentare una minaccia per limmagine e
la reputazione della stessa;

5.1.2.

agli utenti consentito accedere alle proprie eventuali caselle di posta elettronica
personali tramite Internet. La facolt di utilizzo di tali caselle consentita solo a
condizione che questa non interferisca con gli obblighi di lavoro del dipendente e che
non pregiudichi le attivit della Societ datrice di lavoro e/o delle Societ del Gruppo
Reply;

Redatto:

Privacy IT Reply

Emanato:
Reply Corporate
Note di riservatezza: Uso interno

Verificato:

O.Pepino Reply COO

Data di emissione:

Ottobre 2014

Approvato:
Revisione
Pag.

CEO
COO
HR&Sourcing Director
1.3
16/22

Regole di comportamento per la gestione


sicura delle risorse e delle informazioni
ITA version
5.1.3.

fatto divieto di inoltrare automaticamente i messaggi inviati e ricevuti allindirizzo di


posta elettronica aziendale su indirizzi personali; inoltre necessario verificare con
particolare attenzione i destinatari di ogni e-mail inoltrata, in relazione al contenuto
della mail stessa;

5.1.4.

non consentito utilizzare il servizio di posta elettronica per trasmettere a soggetti


esterni alle Societ del Gruppo Reply informazioni riservate o comunque documenti
aziendali, se non nei limiti associati alle proprie mansioni, responsabilit e/o alle
esigenze di progetto; analoghe regole devono essere rispettate per lutilizzo dei servizi
di messaggistica istantanea;

5.1.5.

vietato rispondere a tutte le e-mail, comunemente note con il nome di catene di S.


Antonio, nelle quali si richiede di inoltrare il contenuto della stessa a tutti i propri
contatti nonch inviare materiale pubblicitario/ non richiesto;

5.1.6.

non aprire i link presenti nei messaggi ricevuti da e-mail non sicure o da mittenti
sconosciuti. I phisher possono utilizzare questi collegamenti per reindirizzare l'utente
su un sito clone di quello desiderato. E preferibile, in caso di necessit, digitare LURL
del sito nell'apposita barra;

5.1.7.

vietato creare o distribuire qualsiasi messaggio molesto, offensivo o discriminante


(es. commenti offensivi su razza, orientamento sessuale, credo religioso). I dipendenti
che dovessero ricevere qualsiasi email con questo tipo di contenuto sono tenuti ad
effettuare una segnalazione al proprio Responsabile;

5.1.8.

in caso di assenza programmata (ad esempio per ferie o attivit di lavoro fuori sede
che pregiudichino la visibilit della posta elettronica) opportuno impostare allinterno
del client di posta elettronica messaggi di risposta automatici per permettere ai mittenti
delle mail di essere consapevoli dellassenza dallazienda nonch di ricevere indicazioni
in merito a possibili referenti alternativi;

5.1.9.

necessario prestare la massima attenzione nellapertura degli allegati alle mail


ricevute, indipendentemente dal fatto che si conosca o meno il mittente. In particolare
non dovranno essere aperti messaggi contenenti documenti con estensioni differenti
rispetto a quelle comunemente utilizzate;

5.1.10. tutta la posta entrante controllata da un software antispam: comunque possibile


che alcune mail di spam superino i filtri impostati sul sistema centrale. Lutente
tenuto a mettere tali e-mail nella cartella Posta Indesiderata della propria casella
personale affinch il sistema possa filtrarle in futuro.
Il contenuto e la manutenzione della casella di posta elettronica (mailbox) dellutente sono di
responsabilit dellutente stesso che, nel limite del possibile, deve:
5.1.11. controllare la posta quotidianamente;
5.1.12. cancellare i messaggi non pi utili;
5.1.13. archiviare localmente i messaggi da conservare al fine di rispettare gli eventuali limiti
imposti per la dimensione delle caselle di posta.
Per indicazioni di dettaglio circa le modalit di gestione della propria casella di posta elettronica
si rimanda alla documentazione disponibile sulla Intranet aziendale.

Redatto:

Privacy IT Reply

Emanato:
Reply Corporate
Note di riservatezza: Uso interno

Verificato:

O.Pepino Reply COO

Data di emissione:

Ottobre 2014

Approvato:
Revisione
Pag.

CEO
COO
HR&Sourcing Director
1.3
17/22

Regole di comportamento per la gestione


sicura delle risorse e delle informazioni
ITA version

5.2

Norme per la Navigazione in Internet

Norme di dettaglio
Devono essere mantenuti comportamenti corretti nellambito della navigazione in Internet. In
particolare:
5.2.1.

la navigazione in Internet deve essere considerata in primo luogo un elemento a


supporto dell attivit lavorativa; lutilizzo per finalit di carattere personale

consentito solo a patto che ci non interferisca con gli obblighi di lavoro e che non
pregiudichi le attivit della Societ datrice di lavoro e/o delle Societ del Gruppo Reply;

5.2.2.

vietata la navigazione su qualsiasi sito contenente materiale illecito o che possa in


ogni caso essere considerato inappropriato e/o offensivo per la sensibilit altrui;

5.2.3.

vietato utilizzare le risorse informatiche aziendali per condividere documenti con


persone sconosciute in modalit peer-to-peer;

5.2.4.

non devono essere condotte attivit dolose a danno di qualsiasi indirizzo internet
visitato (ad esempio tentativi di intrusione);

5.2.5.

nell'utilizzo di Social Media fatto divieto di esprimere opinioni o condividere contenuti


che possano ledere la rispettabilit della societ o dei suoi partner, clienti e fornitori;
inoltre vietato divulgare informazioni di cui si venga a conoscenza in ambito lavorativo
e che non siano gi di dominio pubblico o siano di carattere riservato.

Accesso ai dati in assenza dellutente

5.3

Qualora fosse necessario, urgente e indifferibile laccesso ai dati ovvero richiesto da esigenze
operative/di sicurezza e contestualmente il dipendente risulti assente o indisponibile per un
periodo prolungato di tempo, le Societ possono adottare procedure di emergenza per accedere
ai dati necessari al fine di garantire la normale prosecuzione delle attivit.
Laccesso pu avvenire dunque solo a condizione che:

vi sia una reale esigenza di accesso a specifici dati ed informazioni e gli stessi non siano
in alcun modo recuperabili in modo alternativo (ad esempio rivolgendosi ad un collega
della persona assente, ad un partner di business o utilizzando le copie presenti su una
cartella di lavoro condivisa);

sia opportunamente documentato;

sia eseguito nel rispetto delle procedure aziendali definite a tale scopo.

In particolare la richiesta di accesso ai dati pu essere eseguita solo dal Partner responsabile
della persona assente e, ove possibile, garantendo preventivamente allo stesso comunicazione
in merito allazione che occorre porre in essere. La richiesta del Partner deve essere inoltrata
direttamente al Responsabile dellArea ICT cui spetta il compito, anche per il tramite di suoi
diretti riporti, di eseguire lestrazione dei dati dellutente secondo modalit operative definite in

Redatto:

Privacy IT Reply

Emanato:
Reply Corporate
Note di riservatezza: Uso interno

Verificato:

O.Pepino Reply COO

Data di emissione:

Ottobre 2014

Approvato:
Revisione
Pag.

CEO
COO
HR&Sourcing Director
1.3
18/22

Regole di comportamento per la gestione


sicura delle risorse e delle informazioni
ITA version
apposite procedure. ICT Reply, al termine delloperazione, provvede a darne comunicazione
allutente.
Ogni singolo dipendente pu prevenire linsorgere di situazioni che presuppongano lattivazione
delle logiche di accesso ai dati sopradescritte, ad esempio tramite limpostazione dellout of
office in caso di assenza programmata o tramite larchiviazione di documenti di lavoro condivisi
tra pi dipendenti su cartelle di rete.
Nel caso in cui invece sia necessario accedere ai dati associati ad utenze di persone non pi alle
dipendenze di Societ del Gruppo Reply, possibile identificare due distinti scenari, in funzione
della tipologia di richiedente:

richiesta avanzata dallex-responsabile della persona interessata al fine di garantire la


continuit lavorativa, le Societ del Gruppo Reply ammettono laccesso a tali dati fino a
quando gli stessi risultano presenti, vale a dire fino a quando non si rende necessario
procedere ad una loro cancellazione (per dettagli si rimanda al successivo paragrafo
6.1.1);

richiesta avanzata dalla persona che non lavora pi alle dipendenze della Societ
interessata tali richieste non sono ammesse e pertanto, una volta cessato il rapporto di
lavoro, non pi possibile accedere ai dati associati alle proprie utenze.

Redatto:

Privacy IT Reply

Emanato:
Reply Corporate
Note di riservatezza: Uso interno

Verificato:

O.Pepino Reply COO

Data di emissione:

Ottobre 2014

Approvato:
Revisione
Pag.

CEO
COO
HR&Sourcing Director
1.3
19/22

Regole di comportamento per la gestione


sicura delle risorse e delle informazioni
ITA version

CONTROLLI SULLUTILIZZO DEI SERVIZI AZIENDALI

Dal momento che la violazione delle norme riportate nel presente documento potrebbe esporre
le Societ del Gruppo al rischio di danneggiamento o malfunzionamento del sistema
informativo, le Societ stesse si riservano espressamente il diritto di esercitare dei controlli
generici, in forma anonima e aggregata, sul rispetto dello stesso da parte degli utenti, e di
procedere con indagini pi puntuali in presenza di comportamenti anomali.
I controlli posti in essere dalle Societ del Gruppo Reply vengono svolti nel rispetto delle norme
di legge e di contratto che tutelano lo svolgimento del rapporto di lavoro, la dignit e la privacy
degli utenti e non vengono condotti in modo sistematico. Gli eventuali controlli vengono
effettuati con gradualit. In prima battuta vengono effettuate verifiche in forma aggregata, in
modo da individuare l'area da richiamare all'osservanza delle regole. Solo successivamente, al
ripetersi dell'anomalia, si potrebbe passare a controlli su base individuale.
Di seguito sono riportate le modalit di gestione e controllo messe in atto dalle Societ al fine di
garantire il corretto utilizzo degli strumenti informatici a disposizione dei propri dipendenti ed il
rispetto delle regole di comportamento riportate allinterno del presente documento.

6.1.1

Controllo sul rispetto delle modalit di utilizzo della Posta Elettronica

Le Societ del Gruppo Reply applicano le seguenti modalit di gestione e controllo delle caselle
di posta elettronica aziendali:

tutta la posta entrante controllata da un software antispam; eventuali email


classificate come SPAM vengono bloccate dal server, archiviate e conservate per 7 giorni
(in modo che possano essere recuperate su richiesta dellutente); le mail sospettate di
essere SPAM sono invece lasciate passare dal server ma vengono messe in una cartella
Posta Indesiderata direttamente nella casella dellutente;

le Societ non effettuano controlli sistematici sulle caselle di posta degli utenti; laccesso
alla casella di un utente pu avvenire solo nei casi eccezionali descritti al paragrafo 5.3 o
in caso di necessit, su richiesta dellutente stesso, per finalit di manutenzione;

le informazioni relative ai messaggi in entrata ed in uscita dagli indirizzi di posta


elettronica aziendale ed i relativi dettagli tecnici (Mittente, Data e ora di invio, Subject,
Dimensione, Elenco dei server dai quali il messaggio passato) vengono registrate e
memorizzate allinterno di file di log;

non sono effettuate analisi sui log di posta; laccesso ai log consentito solo agli addetti
dellArea ICT su richiesta del Responsabile dellArea stessa ed in solo caso di comprovate
esigenze di indagini interne/esterne. Le richieste di accesso devono essere
opportunamente documentate;

previsto per tutte le caselle di posta un programma di salvataggio automatico, che


permette di non perdere le informazioni memorizzate, anche a seguito di anomalie od
incidenti. In particolare viene effettuato un backup completo delle caselle di posta con
cadenza settimanale, mentre nel corso della settimana vengono effettuati backup
differenziali. Il tempo di conservazione dei backup di circa 14 giorni, termine oltre il
quale i dati vengono sovrascritti a causa della rotazione dei nastri;

Redatto:

Privacy IT Reply

Emanato:
Reply Corporate
Note di riservatezza: Uso interno

Verificato:

O.Pepino Reply COO

Data di emissione:

Ottobre 2014

Approvato:
Revisione
Pag.

CEO
COO
HR&Sourcing Director
1.3
20/22

Regole di comportamento per la gestione


sicura delle risorse e delle informazioni
ITA version

6.1.2

le caselle di posta degli utenti cessati vengono disattivate e mantenute sul server per un
periodo di circa 6 mesi (in caso di disputa o per comprovate necessit di indagine le
Societ si riservano la facolt di allungare i predetti periodi di conservazione). Laccesso
a tali caselle pu avvenire solo nelle modalit riportate al paragrafo 5.3.

Controllo sul rispetto delle modalit di utilizzo della rete ed Internet

Le Societ del Gruppo Reply applicano le seguenti modalit di gestione e controllo della
navigazione Internet:

le informazioni di accesso ad Internet ed i relativi dettagli tecnici (IP sorgente, utente,


data, ora e sito a cui si ha avuto accesso) vengono registrate e memorizzate allinterno
di file di log mantenuti sui proxy Internet;

non sono effettuate analisi sui log di navigazione; laccesso ai log consentito solo agli
addetti dellArea ICT su richiesta del Responsabile dellArea stessa ed in solo caso di
comprovate esigenze di indagini interne/esterne;

le Societ hanno la facolt di effettuare generici controlli sull'osservanza del codice


aziendale e sull'uso della rete, ma possono anche effettuare controlli sulle postazioni
individuali in seguito a riscontrate anomalie, sempre secondo la gi evidenziata politica
di graduazione dei controlli.

Redatto:

Privacy IT Reply

Emanato:
Reply Corporate
Note di riservatezza: Uso interno

Verificato:

O.Pepino Reply COO

Data di emissione:

Ottobre 2014

Approvato:
Revisione
Pag.

CEO
COO
HR&Sourcing Director
1.3
21/22

Regole di comportamento per la gestione


sicura delle risorse e delle informazioni
ITA version

CONSEGUENZE IN CASO DI MANCATA OSSERVANZA DELLE PRESCRIZIONI

La violazione delle disposizioni e/o dei principi sanciti nel presente regolamento (anche a
prescindere dal verificarsi di eventuali danni al patrimonio delle Societ del Gruppo Reply),
potranno essere sanzionati con:

misure interne di tipo tecnico-preventivo (quali, ad esempio, la sospensione e/o


il blocco della navigazione Internet, delluso della posta elettronica e/o delluso degli
strumenti informatici in dotazione allutente) che potranno essere decise ed adottate
anche in via provvisoria ed urgente;

adozione di provvedimenti disciplinari nei confronti del dipendente che si sia reso
responsabile di eventuali violazioni, nel rispetto delle norme legislative, contrattuali
collettive e regolamentari applicabili in materia.

misure esterne, rappresentate dalle azioni amministrative e/o giudiziarie, anche di


tipo risarcitorio, necessarie ai fini della tutela dei diritti e degli interessi delle Societ
del Gruppo Reply.

Nel rispetto del principio di gradualit e proporzionalit delle sanzioni in relazione alla gravit
della violazione, la tipologia e lentit di ciascuna sanzione verr determinata in relazione ai
seguenti criteri generali:
a. intenzionalit del comportamento, grado di negligenza, imprudenza o imperizia
dimostrate, tenuto conto anche della prevedibilit dellevento;
b. rilevanza degli obblighi violati;
c. responsabilit connesse alla posizione di lavoro occupata;
d. rilevanza del danno o grado di pericolo arrecato alle Societ del Gruppo Reply, ai clienti
o a terzi e del disservizio determinatosi;
e. sussistenza di circostanze aggravanti o attenuanti;
f.

concorso nellinfrazione di pi dipendenti in accordo tra di loro.

I criteri generali sopra riportati non costituiscono un elenco esaustivo: ogni situazione specifica
verr analizzata di volta in volta sulla base di quanto avvenuto e dei criteri identificati.
Ladozione di eventuali sanzioni disciplinari nei confronti dei dipendenti che abbiano violato le
diposizioni riportate allinterno del presente documento non esclude il diritto e la facolt delle
Societ del Gruppo Reply di provvedere alla tutela dei propri diritti ed interessi nelle sedi
amministrative e/o giudiziarie competenti e/o il diritto/dovere di segnalare eventuali
infrazioni/violazioni alle pubbliche autorit.

Redatto:

Privacy IT Reply

Emanato:
Reply Corporate
Note di riservatezza: Uso interno

Verificato:

O.Pepino Reply COO

Data di emissione:

Ottobre 2014

Approvato:
Revisione
Pag.

CEO
COO
HR&Sourcing Director
1.3
22/22