Ogni attività di recupero crediti deve avvenire nel rispetto della
dignità personale del debitore, evitando comportamenti che ne
possano ledere la riservatezza a causa di un momento di
difficoltà economica o di una dimenticanza.
Gli accertamenti del Garante hanno messo in luce l'esistenza di
prassi in alcuni casi decisamente invasive (visite a domicilio o
sul posto di lavoro; reiterate sollecitazioni al telefono fisso o sul
cellulare; telefonate preregistrate; invio di posta con l'indicazione
all'esterno della scritta "recupero crediti" o "preavviso esecuzione
notifica", fino all'affissione di avvisi di mora sulla porta di casa.
Spesso anche dati personali di intere famiglie risultavano inseriti
nei data base del soggetto creditore o delle società di recupero
crediti).
È per questo motivo che l'Autorità ha deciso di intervenire con un
provvedimento generale e prescrivere a quanti svolgono
l'attività di recupero crediti (le società specializzate e quanti -
finanziarie, banche, concessionari di pubblici servizi, compagnie
telefoniche - svolgono tale attività direttamente) le misure
necessarie perché tutto si svolga nel rispetto dei principi di liceità,
correttezza e pertinenza.
Le regole per il corretto trattamento dei dati personali dei lavoratori da parte di soggetti pubblici e privati
Il datore di lavoro può trattare informazioni personali solo se strettamente indispensabili all’esecuzione del rapporto di lavoro. I dati possono essere trattati solo dal personale incaricato assicurando idonee misure di sicurezza per proteggerli da intrusioni o divulgazioni illecite.
Sul luogo di lavoro va assicurata la tutela dei diritti, delle libertà fondamentali e della dignità delle persone garantendo la sfera della riservatezza nelle relazioni personali e professionali.
Le informazioni personali trattate possono riguardare, oltre all’attività lavorativa, la sfera personale e la vita privata dei lavoratori (ad esempio i dati sulla residenza e i recapiti telefonici) e dei terzi (ad esempio dati relativi al nucleo familiare per garantire determinate provvidenze).
I trattamenti di dati personali devono rispettare il principio di necessità, secondo cui i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzo di informazioni personali e identificative.
Si deve inoltre rispettare il principio di correttezza, secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori.
I trattamenti devono essere effettuati per finalità determinate, esplicite e legittime in base ai principi di pertinenza e non eccedenza.
Il trattamento di dati personali anche sensibili riferibili a singoli lavoratori è lecito, se finalizzato ad assolvere obblighi derivanti dalla legge, dal regolamento o dal contratto individuale (ad esempio, per verificare l'esatto adempimento della prestazione o commisurare l'importo della retribuzione).
Il Commercio on-line e i rischi per gli operatori: La Comunicazione, il Trattamento Dati, il Diritto d'Autore, la Proprietà intellettuale. Avvocato Giorgio Carozzi
Le regole per il corretto trattamento dei dati personali dei lavoratori da parte di soggetti pubblici e privati
Il datore di lavoro può trattare informazioni personali solo se strettamente indispensabili all’esecuzione del rapporto di lavoro. I dati possono essere trattati solo dal personale incaricato assicurando idonee misure di sicurezza per proteggerli da intrusioni o divulgazioni illecite.
Sul luogo di lavoro va assicurata la tutela dei diritti, delle libertà fondamentali e della dignità delle persone garantendo la sfera della riservatezza nelle relazioni personali e professionali.
Le informazioni personali trattate possono riguardare, oltre all’attività lavorativa, la sfera personale e la vita privata dei lavoratori (ad esempio i dati sulla residenza e i recapiti telefonici) e dei terzi (ad esempio dati relativi al nucleo familiare per garantire determinate provvidenze).
I trattamenti di dati personali devono rispettare il principio di necessità, secondo cui i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzo di informazioni personali e identificative.
Si deve inoltre rispettare il principio di correttezza, secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori.
I trattamenti devono essere effettuati per finalità determinate, esplicite e legittime in base ai principi di pertinenza e non eccedenza.
Il trattamento di dati personali anche sensibili riferibili a singoli lavoratori è lecito, se finalizzato ad assolvere obblighi derivanti dalla legge, dal regolamento o dal contratto individuale (ad esempio, per verificare l'esatto adempimento della prestazione o commisurare l'importo della retribuzione).
Il Commercio on-line e i rischi per gli operatori: La Comunicazione, il Trattamento Dati, il Diritto d'Autore, la Proprietà intellettuale. Avvocato Giorgio Carozzi
Intervento dell'Avv. Sarah Ungaro al convegno organizzato dall'Associazione Forense di Lecce il 1 dicembre 2016 sul tema:
Il commercio elettronico nella società dell'informazione
Intervento sulla normativa privacy, sul trattamento dei dati in ambito aziendale e sul controllo dei lavoratori prima e dopo il “Jobs-Act”, oltre che con riferimento agli amministratori di sistema.
La protezione dei dati personali nell'ambiente degli istituti di credito è un tema molto delicato . Seguire le linee guida del Garante ci mette a riparo da molti errori a cui possiamo andare incontro.
RICORSO COLLETTIVO PER L’ADEGUAMENTO DELL’AMMONTARE DELLE PENSIONI A QUELLO DEGLI STIPENDI
Possono aderire i dipendenti pubblici in pensione.
Sono aperte le adesioni al ricorso collettivo per l’adeguamento delle pensioni ai miglioramenti economici degli stipendi, con gli arretrati ed anche per gli aumenti futuri.
I pensionati percepiscono pensioni più basse rispetto al personale in servizio di pari qualifica ed anzianità.
Questa differenza è irragionevole ed ingiusta (Sent. 53/2018 Corte Conti Puglia).
Lo scostamento tra il trattamento stipendiale ed il minor trattamento pensionistico è irragionevole e la mancata commisurazione delle pensioni agli stipendi impone l’esigenza di un immediato adeguamento delle prime che permanga anche in relazione ad ulteriori aumenti futuri dei secondi, in corretta applicazione del principio costituzionale di proporzionalità ed adeguatezza della pensione, da garantire non soltanto con riferimento al momento del collocamento a riposo ma anche in prosieguo, in relazione alle variazioni del potere di acquisto della moneta.
Noi depositiamo ricorsi collettivi per ottenere la commisurazione economica delle pensioni agli stipendi.
Intervento dell'Avv. Sarah Ungaro al convegno organizzato dall'Associazione Forense di Lecce il 1 dicembre 2016 sul tema:
Il commercio elettronico nella società dell'informazione
Intervento sulla normativa privacy, sul trattamento dei dati in ambito aziendale e sul controllo dei lavoratori prima e dopo il “Jobs-Act”, oltre che con riferimento agli amministratori di sistema.
La protezione dei dati personali nell'ambiente degli istituti di credito è un tema molto delicato . Seguire le linee guida del Garante ci mette a riparo da molti errori a cui possiamo andare incontro.
RICORSO COLLETTIVO PER L’ADEGUAMENTO DELL’AMMONTARE DELLE PENSIONI A QUELLO DEGLI STIPENDI
Possono aderire i dipendenti pubblici in pensione.
Sono aperte le adesioni al ricorso collettivo per l’adeguamento delle pensioni ai miglioramenti economici degli stipendi, con gli arretrati ed anche per gli aumenti futuri.
I pensionati percepiscono pensioni più basse rispetto al personale in servizio di pari qualifica ed anzianità.
Questa differenza è irragionevole ed ingiusta (Sent. 53/2018 Corte Conti Puglia).
Lo scostamento tra il trattamento stipendiale ed il minor trattamento pensionistico è irragionevole e la mancata commisurazione delle pensioni agli stipendi impone l’esigenza di un immediato adeguamento delle prime che permanga anche in relazione ad ulteriori aumenti futuri dei secondi, in corretta applicazione del principio costituzionale di proporzionalità ed adeguatezza della pensione, da garantire non soltanto con riferimento al momento del collocamento a riposo ma anche in prosieguo, in relazione alle variazioni del potere di acquisto della moneta.
Noi depositiamo ricorsi collettivi per ottenere la commisurazione economica delle pensioni agli stipendi.
RICORSO COLLETTIVO STABILIZZAZIONE E RISARCIMENTO PER I PRECARI DELLA PUBBLICA AMMINISTRAZIONE
Possono aderire:
tutti i dipendenti pubblici in servizio assunti con contratti di lavoro a tempo determinato per più di 36 mesi anche non consecutivi, ed anche tutti i dipendenti pubblici che abbiano lavorato a tempo determinato per più di 36 mesi anche non consecutivi anche se oggi già stabilizzati a tempo indeterminato
Cosa chiediamo:
Per chi è assunto a tempo determinato chiederemo la conversione del contratto di lavoro da tempo determinato a tempo indeterminato, nonché il risarcimento del danno ed il riconoscimento della anzianità di servizio
Per chi è già stato stabilizzato a tempo indeterminato chiederemo il riconoscimento della anzianità di servizio relativa al periodo di precariato con richiesta di pagamento delle differenze retributive.
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...Social Hub Genova
GDPR. Privacy for dummies. Come rispondere alla nuova normativa europea sulla privacy senza impazzire!
La privacy è un obbligo di legge, poco compreso, molto discusso, sempre mal praticato. Come già succede per Certificazione di Qualità, anche la privacy può essere gestita male e rivelarsi inutile, oppure amministrata bene e portare a dei risultati interessanti. Una corretta gestione dei nuovi adempimenti sulla privacy, prescritti dalla normativa europea General Data Protection Regulation, permette infatti alle aziende di seguire dei processi certificati, acquisendo autorevolezza agli occhi dei propri clienti e interlocutori.
Nel corso dell’evento si parlerà di privacy in un modo un po' differente rispetto a quanto abbiamo sentito sin ora. E' un obbligo, lo sappiamo tutti, ma seguire la normativa dovrebbe essere utile alle aziende anche per stringere rapporti con nuovi stakeholder, rafforzare la presenza nel proprio ecosistema e intercettare clienti potenziali.
Guido Loleo si propone di raccontarci ciò che davvero serve sapere sul GDPR, lo spirito della normativa ed il modo più semplice per adeguare un’azienda alle disposizioni europee, inquadrandole all’interno delle politiche di sviluppo aziendali.
L'incontro è rivolto a imprese avviate e nuove imprese, startup, cooperative e imprese sociali, che si confrontano con il trattamento dei dati di persone fisiche.
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
Il Vol. 1 del vademecum in tema di privacy e GDPR a cura dei colleghi del Movimento Forense Triveneto.
"Regole di base e applicazioni pratiche"
(Co-autori: Avv. Maela Coccato, Avv. Antonio Zago, Avv. Daniele A. M. Trento)
Privacy ed email marketing B2B
Posso trasmettere comunicazioni di vario genere a persone giuridiche (quindi aziende o liberi professionisti) con cui non ho un rapporto esistente o il consenso a farlo?
Temi affrontati:
- Normativa previgente
- Le recenti modifiche
- Trattamento dei dati
- Modalità di utilizzo
- Modalità di comunicazione
- Esempi pratici
The role and relevance of configuration management in the cloud has
been unclear as more companies move to a Hybrid IT model. Companies
are weighing the following pros and cons of cloud migration:
Technology’s role in data protection – the missing link in GDPR transformationat MicroFocus Italy ❖✔
The EU General Data Protection Regulation (GDPR) delivers a fundamental change in how data controllers and data processors handle personal data. Instead of being an afterthought within business operations, protections for personal data will now have to be designed into the very fabric of data processing systems, meaning that businesses will need to re-examine how they approach the use of technology in their organisations.
As this whitepaper from PwC explains, technology is both the problem and the solution as far as GDPR compliance is concerned. Authors Stewart Room, Peter Almond and Kayleigh Clark argue that today’s technology solutions have not been designed or deployed from the perspective of data protection, and this means that compliance could be a long and complex journey.
Yet, at the same time, the authors say that technology could also be the solution to this problem, with more modern, advanced technologies potentially able to help companies in deleting, erasing and de-duplicating personal data – a critical component under GDPR.
This whitepaper considers how businesses must transition to GDPR compliance through technology, involve the relevant stakeholders and advisers at the appropriate stages, and design and mobilise their GDPR transformation programme for business change.
HPE SecureMail è una soluzione di email encryption utilizzata nei più grandi progetti si secure messaging del mondo. HPE SecureMail utilizza tecnologie di encryption avanzate già ampiamente testate, basate sui principi delle Next Generation PKI , in grado di fornire un livello di sicurezza eccezionale ed allo stesso tempo una facilità di utilizzo e configurazione che non ha rivali nel panorama di soluzioni mail encryption alternative. Con HPE SecureMail, le informazioni più sensibili e private possono essere trasmesse con sicurezza tramite posta elettronica con la stessa facilità d’uso delle email in chiaro che scambiamo quotidianamente.
Una soluzione unica per Desktop, Web, Mobile, Cloud, Applicazioni ed Automazione.
Last Thursday I have been to the CEOP: Child Exploitation & Online Protection Centre Workshop.
Today is Safer Internet Day 2017 and I want share with all of you the pdf I got from CEOP and keep you aware about Cyberbullying and Online Grooming.
We HAVE TO keep safe our kids.
The Best Articles of 2016 DEVELOPING AND CONNECTING CYBERSECURITY LEADERS GLO...at MicroFocus Italy ❖✔
Article: Crypto Wars II
By Luther Martin – ISSA member, Silicon Valley Chapter
and Amy Vosters
The debate over whether or not to give US law
enforcement officials the ability to decrypt encrypted
messaging has recently been revisited after a twentyyear
break. The results may be surprising.
The HPE SecureData Payments solution is intended to increase the security of card-present payments
without impacting the buyer experience. Solutions based on HPE SecureData Payments reduce
merchant risk of losing credit card data and potentially reduce the number of PCI DSS controls applicable
to the retail payment environment substantially.
HPE SecureData Payments implements encryption of sensitive credit card data in point-of-interaction
(POI) devices’ firmware, immediately on swipe, insertion, tap, or manual entry. Sensitive card information
can only be decrypted by the solution provider, typically a payment service. Even a compromise of the
point-of-sale (POS) system does not expose customers’ sensitive data.
Merchants can also realize reduction in DSS compliance scope by implementing their own HPE
SecureData Payments solution.
AUDIENCE
This assessment white paper has three target audiences:
1. First, merchants using HPE SecureData Payments to create proprietary encryption solutions for
card-present payments
2. The second is service providers, like processors, and payment services that are developing cardpresent
encryption services that utilize HPE SecureData Payments
3. The third is the QSA and internal audit community that is evaluating solutions in both merchant
and service provider environments using the HPE SecureData Payments solution
ASSESSMENT SCOPE
HPE contracted with Coalfire to provide an independent compliance impact review of the HPE
SecureData Payments solution. The intent of this assessment was to analyze the impact on PCI DSS
scope of applicable controls for merchants that implement an HPE SecureData Payments solution for
their card-present sales.
Discover HPE Software
Technology and business are changing at an unprecedented rate.
New ways of doing business from streamlining processes, fasttracking
innovation, and delivering amazing customer experience
all come from the convergence of IT and business strategy. But
you need to be fast to win. At HPE Software we can accelerate
your digital transformation.
Change is at our core. On 7 September, Hewlett Packard
Enterprise announced plans for a spin-off and merger of our
software business unit with Micro Focus, a global software
company dedicated to delivering and supporting enterprise
software solutions. The combination of HPE software assets
with Micro Focus will create one of the world’s largest pure-play
enterprise software companies. We will remain focused on helping
you get the most out of the software that runs your business.
Discover how HPE Software can help you thrive in a world of
digital transformation.
The National Cyber Security Strategy 2016 to 2021 sets out the government's p...at MicroFocus Italy ❖✔
The UK is one of the world’s leading
digital nations. Much of our prosperity
now depends on our ability to secure our
technology, data and networks from the
many threats we face.
Yet cyber attacks are growing more
frequent, sophisticated and damaging when
they succeed. So we are taking decisive
action to protect both our economy and the
privacy of UK citizens.
Our National Cyber Security Strategy sets out
our plan to make Britain confident, capable
and resilient in a fast-moving digital world.
Over the lifetime of this five-year strategy,
we will invest £1.9 billion in defending
our systems and infrastructure, deterring
our adversaries, and developing a wholesociety
capability – from the biggest
companies to the individual citizen.
From the most basic cyber hygiene, to the
most sophisticated deterrence, we need a
comprehensive response.
We will focus on raising the cost of
mounting an attack against anyone in the
UK, both through stronger defences and
better cyber skills. This is no longer just
an issue for the IT department but for the
whole workforce. Cyber skills need to reach
into every profession.
The new National Cyber Security Centre will
provide a hub of world-class, user-friendly
expertise for businesses and individuals, as
well as rapid response to major incidents.
Government has a clear leadership role,
but we will also foster a wider commercial
ecosystem, recognising where industry
can innovate faster than us. This includes
a drive to get the best young minds into
cyber security.
The cyber threat impacts the whole of our
society, so we want to make very clear
that everyone has a part to play in our
national response. It’s why this strategy is
an unprecedented exercise in transparency.
We can no longer afford to have this
discussion behind closed doors.
Ultimately, this is a threat that cannot be
completely eliminated. Digital technology
works because it is open, and that
openness brings with it risk. What we
can do is reduce the threat to a level that
ensures we remain at the vanguard of the
digital revolution. This strategy sets out how.
This thesis aims to give a theoretical as well as practical overview of an emerging issue in the field of IT security named Format Preserving Encryption (FPE).
Although FPE is not new, it is relatively unknown. It is used in the full-disk encryption and some other areas. Nevertheless, it is to this day even unknown to many cryptographers. Another issue that is on everyone's lips is the Internet of Things (IoT). IoT offers a whole new scope for FPE and could give it possibly a further boost.
Format Preserving Encryption is - as the name says - an encryption in which the format of the encrypted data is maintained. When a plaintext is encrypted with FPE, the ciphertext then has the same format again. As illustrated for example on the cover page: If we encrypt the owner and the number of a credit card with AES we get an unrecognizable string. If we use FPE instead, we might get for example Paul Miller and the number 4000 0838 7507 2846. The advantage is that for man and/or machine nothing changes. The encryption is therefore not noticed without analysis of the data. The advantage can also become a disadvantage. An attacker has with the format of the ciphertext already information about the plaintext.
This thesis starts with an introduction to the Format Preserving Encryption. In doing so, different variants of FPE are shown. In a next step, a Java library is explained and documented, in which we have implemented some of these FPE variants. This library is designed to enable programmers to use FPE without the need for detailed knowledge about the functionality. Then we explain by means of a tutorial and step by step with a concrete and simple example, how a subsequent integration of FPE could look like. In a final part the integration into a more complex and already widely used application is shown, an Android app called OwnTracks.
With this combination of theoretical and practical information a broad basic knowledge should be provided on the topic, which then can serve as a basis on how FPE can be used and whether a use is reasonable.
The Business of Hacking - Business innovation meets the business of hackingat MicroFocus Italy ❖✔
Introduction
Attackers are sophisticated. They are organized. We hear these statements a lot but what
do they mean to us? What does it mean to our businesses? When we dig deeper into the
“business of hacking,” we see that the attackers have become almost corporate in their behavior.
Their business looks a lot like ours. Cyber criminals look to maximize their profits and minimize
risk. They have to compete on quality, customer service, price, reputation, and innovation. The
suppliers specialize in their market offerings. They have software development lifecycles and
are rapidly moving to Software as a Service (SaaS) offerings. Our businesses overlap in so many
ways that we should start to look at these attackers as competitors.
This paper will explore the business of hacking: the different ways people make money by
hacking, the motivations, the organization. It will break down the businesses’ profitability and
risk levels, and provide an overall SWOT analysis. From this, opportunities for disruption will be
discussed and a competitive approach for disrupting the business of hacking will be laid out.
The information in this paper draws on data and observations from HPE Security teams, open
source intelligence, and other industry reports as noted.
Whether building in enterprise security or applying security intelligence and advanced analytics,
we can use our understanding of the business of hacking and the threats to our specific
businesses to ensure that we are investing in the most effective security strategy.
Users are reaching for mobile devices numerous times every day specifically to use mobile apps. The power and
freedom of connected mobile computing continues to raise expectations but users have little patience for problematic
apps. Mobile device users heavily rely on peer reviews and star ratings to help them choose their apps. Once a
mobile app is installed, that app is judged for its speed, responsiveness and stability which define the user experience
and overall satisfaction. Yet this study finds that users are experiencing app issues regularly. Critically, this report
reveals that apps that exhibit issues are quickly abandoned after just a couple of occurrences.
For a company who creates mobile apps, while good performance can lead to satisfied user and app downloads,
poor performance will result in quick app abandonment. The findings indicate that the key to loyal customers from
mobile apps is directly related to the mobile app performance, stability and resource consumption. Metrics defining
the mobile app user experience must be measured from the customer’s perspective and ensure it meets or exceeds
expectations at all times. The consequence of failing to meet user expectations is not only app abandonment – it also
leads to a tarnished brand with lost revenue opportunities from both current and future users.
The 2015 Threat Report provides a comprehensive overview of the cyber
threat landscape facing both companies and individuals. Using data from 2015,
this report combines our observations on reported malware encounters with
threat intelligence, and identifies several key trends and developments.
The report introduces the Chain of Compromise as an analytical concept to
help readers, particularly those working in cyber security and information
technology roles, understand how attackers compromise security using
different combinations of tactics and resources. Some of 2015’s most prominent
threats, such as exploit kits, ransomware, and DNS hijacks, are discussed in
relation to this model, demonstrating how users become compromised by
modern cyber attacks.
Key findings discussed in the report include the establishment of worms,
exploits, and macro malware as trending threats; the increasing use of cryptoransomware
for online extortion; and an increase in the use and efficiency of
Flash vulnerabilities in exploit kits. The report also highlights the significance
of different cyber security events that occurred in 2015, including the discovery
of the XcodeGhost bug in Apple’s App Store, the exposure of the Dukes
advanced persistent threat group, and signs that the intersection between
geopolitics and cyber security is paving the way toward a cyber arms race.
Information on the global threat landscape is supplemented with details on
the prominent threats facing different countries and regions, highlighting the
fact that while the Internet connects everyone, attackers can develop and
distribute resources to selectively target people and companies with greater
efficiency
Anche se crescono nuove forme di comunicazione, come l'Instant Messaging, che dal consumer si espande nell'ambito business, la posta elettronica è innegabilmente un elemento critico nei processi aziendali. Di fatto, una pratica comune è quella di utilizzare la casella di posta elettronica come repository non solo delle corrispondenze importanti con colleghi, collaboratori, clienti e fornitori, ma anche di file e documenti che possono essere così recuperabili in qualsiasi momento, anche attraverso un dispositivo mobile. Non è poi passato così tanto tempo da quando la posta elettronica rappresentava la killer application per la diffusione dei dispositivi mobili in azienda e lo sviluppo della Unified Communication e Collaboration non fa altro che confermarne l'utilità. Questo, però, insieme allo sviluppo della mobility non fa che fornire continui grattacapi ai responsabili dei sistemi informativi e della sicurezza in particolare.
L'email è una delle principali forme di comunicazione verso l'esterno, cioè oltre il firewall. È quindi anche, se non adeguatamente protetta, la principale via per immettere nel sistema aziendale dei malware o, più in generale, dei kit software preposti a sferrare attacchi all'infrastruttura. Ma non basta entrare, bisogna anche uscire con i dati copiati ed è sempre l'email a rappresentare una delle vie d'uscita più vulnerabili e, come tale, utilizzata per portare le informazioni all'esterno dell'azienda.
Se guardiamo solo l'ultimo decennio, possiamo osservare come la posta elettronica sia stata utilizzata per realizzare varie tipologie di truffe o attacchi informatici. Vanno ricordati, per esempio, i "worm", cioè un particolare tipo di codice malware il cui scopo era di penetrare nel computer della vittima lasciando traccia del suo passaggio con un virus, praticamente impedendone l'uso. Per entrare utilizzava un messaggio email contenente un allegato infetto e, per diffondersi si "autoinviava" a tutti i contatti della vittima stessa. Il più famoso è "I Love You", il cui scopo era compiere il "giro del mondo" nel più breve tempo possibile.
Did you suffer a data breach in 2014? Even if you avoided
a breach, it’s likely that you saw an increase in the number
of security incidents — according to PwC research, since
2009 the volume has grown at an average of 66% per
year.1 It seems that it’s only retailers and entertainment
companies that make the headlines, but organizations
of all kinds are affected. In this report we look at how
well prepared companies are to withstand attacks and
mitigate the impact of breaches, and recommend how
you can improve.
Protecting your data against cyber attacks in big data environmentsat MicroFocus Italy ❖✔
This article discusses the inherent risk of big data environments such as Hadoop and how
companies can take steps to protect the data in such an environment from current attacks.
It describes the best practices in applying current technology to secure sensitive data
without removing analytical capabilities.
Preparing today for tomorrow’s threats.
When companies hear the word “security,” what concepts come to mind
— safety, protection or perhaps comfort? To the average IT administrator,
security conjures up images of locked-down networks and virus-free devices.
An attacker, state-sponsored agent or hactivist, meanwhile, may view security
as a way to demonstrate expertise by infiltrating and bringing down corporate
or government networks for profit, military goals, political gain — or even fun.
We live in a world in which cybercrime is on the rise. A quick scan of the
timeline of major incidents (See Figure 1, Page 9) shows the increasing
frequency and severity of security breaches — a pattern that is likely
to continue for years to come. Few if any organizations are safe from
cybercriminals, to say nothing of national security. In fact, experts even
exposed authentication and encryption vulnerabilities in the U.S. Federal
Aviation Administration’s new state-of-the-art multibillion-dollar air
traffic control system
Hewlett Packard Enterprise (HPE) ha pubblicato l’edizione 2016 dello studio HPE Cyber Risk Report, un rapporto che identifica le principali minacce alla sicurezza subite dalle aziende nel corso dell’anno passato. La dissoluzione dei tradizionali perimetri di rete e la maggiore esposizione agli attacchi sottopongono gli specialisti della sicurezza a crescenti sfide per riuscire a proteggere utenti, applicazioni e dati senza tuttavia ostacolare l’innovazione né rallentare le attività aziendali.
La presente edizione del Cyber Risk Report analizza lo scenario delle minacce del 2015, proponendo azioni di intelligence nelle principali aree di rischio, quali la vulnerabilità delle applicazioni, le patch di sicurezza e la crescente monetizzazione del malware. Il report approfondisce inoltre tematiche di settore rilevanti come le nuove normative nell’ambito della ricerca sulla sicurezza, i “danni collaterali” derivanti dal furto di dati importanti, i mutamenti delle agende politiche e il costante dibattito su privacy e sicurezza.
Se le applicazioni web sono una fonte di rischio significativa per le organizzazioni, quelle mobile presentano rischi maggiori e più specifici. Il frequente utilizzo di informazioni personali da parte delle applicazioni mobili genera infatti vulnerabilità nella conservazione e trasmissione di informazioni riservate e sensibili, con circa il 75% delle applicazioni mobili analizzate che presenta almeno una vulnerabilità critica o ad alto rischio rispetto al 35% delle applicazioni non mobili.
Lo sfruttamento delle vulnerabilità software continua a essere un vettore di attacco primario, soprattutto in presenza di vulnerabilità mobili. Basti pensare che, come nel 2014,le prime dieci vulnerabilità sfruttate nel 2015 erano note da oltre un anno e il 68% di esse da tre anni o più. Windows è stata la piattaforma software più colpita nel 2015: il 42% delle prime 20 vulnerabilità scoperte è stato indirizzato a piattaforme e applicazioni Microsoft. Colpisce poi anche un altro dato. Il 29% di tutti gli attacchi condotti con successo nel 2015 ha infatti utilizzato quale vettore di infezione Stuxnet, un codice del 2010 già sottoposto a due patch.
Passando ai malware, i bersagli sono cambiati notevolmente in funzione dell’evoluzione dei trend e di una sempre maggiore focalizzazione sull’opportunità di trarre guadagno. Il numero di minacce, malware e applicazioni potenzialmente indesiderate per Android è cresciuto del 153% da un anno all’altro: ogni giorno vengono scoperte oltre 10.000 nuove minacce. Apple iOS ha registrato le percentuali di crescita maggiori, con un incremento delle tipologie di malware di oltre il 230% anno su anno.
Protecting your data against cyber attacks in big data environmentsat MicroFocus Italy ❖✔
This article discusses the inherent risk of big data environments such as Hadoop and how
companies can take steps to protect the data in such an environment from current attacks.
It describes the best practices in applying current technology to secure sensitive data
without removing analytical capabilities.
2. Ogni attività di recupero crediti deve avvenire nel rispetto della
dignità personale del debitore, evitando comportamenti che ne
possano ledere la riservatezza a causa di un momento di
difficoltà economica o di una dimenticanza.
Gli accertamenti del Garante hanno messo in luce l'esistenza di
prassi in alcuni casi decisamente invasive (visite a domicilio o
sul posto di lavoro; reiterate sollecitazioni al telefono fisso o sul
cellulare; telefonate preregistrate; invio di posta con l'indicazione
all'esterno della scritta "recupero crediti" o "preavviso esecuzione
notifica", fino all'affissione di avvisi di mora sulla porta di casa.
Spesso anche dati personali di intere famiglie risultavano inseriti
nei data base del soggetto creditore o delle società di recupero
crediti).
È per questo motivo che l'Autorità ha deciso di intervenire con un
provvedimento generale e prescrivere a quanti svolgono
l'attività di recupero crediti (le società specializzate e quanti -
finanziarie, banche, concessionari di pubblici servizi, compagnie
telefoniche - svolgono tale attività direttamente) le misure
necessarie perché tutto si svolga nel rispetto dei principi di liceità,
correttezza e pertinenza.
Principi generali
Privacy
e recupero crediti
2
3. Privacy
e recupero crediti
L’attività di recupero crediti può essere realizzata direttamente
dal creditore come pure, nel suo interesse, da terzi (ad esempio
società specializzate nel recupero crediti, avvocati, altri liberi
professionisti), designati responsabili(1) del trattamento(2) di
regola operanti in virtù di contratti di servizio (in particolare,
attraverso la figura del mandato o dell'appalto di servizi).
In quest'ultima ipotesi, il creditore (ad esempio una società che
eroga servizi) dovrà comunicare ai soggetti incaricati del recupero
del credito i dati personali dei soli debitori e non di tutti i suoi
clienti. Occorre, infatti evitare che l’incaricato acceda direttamente
al database del titolare/creditore, contenente anche i dati di altri
soggetti.
Si tratta, per lo più, di dati anagrafici, di informazioni utili per
contattare il debitore (quali, ad esempio, i recapiti telefonici
forniti), oltre ai dati relativi alla somma dovuta.
Sia nella fase di raccolta delle informazioni sul debitore sia nel
tentativo di presa di contatto, non sono ammesse prassi
invasive o lesive della dignità personale.
(1) "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi
altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.
(2) "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio
di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la
consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo,
l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati,
anche se non registrati in una banca di dati.
Il recupero crediti e i dati personali
3
4. Per sollecitare ed ottenere il pagamento di somme dovute non è
lecito comunicare ingiustificatamente informazioni relative ai
mancati pagamenti ad altri soggetti che non siano
l'interessato (es. familiari, coabitanti, colleghi di lavoro o vicini di
casa) ed esercitare indebite pressioni su quest'ultimo.
Sono da ritenersi illecite le modalità invasive di ricerca, presa
di contatto, sollecitazione quali:
• visite al domicilio o sul luogo di lavoro con comunicazione
ingiustificata a soggetti terzi rispetto al debitore di
informazioni relative alla condizione di inadempimento nella
quale versa l'interessato (comportamento talora tenuto per
esercitare indebite pressioni sul debitore al fine di conseguire il
pagamento della somma dovuta);
• comunicazioni telefoniche di sollecito preregistrate, poste
in essere senza intervento di un operatore, perché con
questa modalità persone diverse dal debitore possono venire a
conoscenza di una sua eventuale condizione di inadempienza;
• utilizzo di cartoline postali o invio di plichi recanti all'esterno
la scritta "recupero crediti" o formule simili che rendono
visibile a persone estranee il contenuto della
comunicazione. É necessario, invece, che le sollecitazioni di
pagamento vengano portate a conoscenza del solo debitore,
usando plichi chiusi e senza scritte specifiche, che riportino
all'esterno le sole indicazioni necessarie ad identificare il
mittente al fine di evitare un'inutile divulgazione di dati
personali;
• affissioni di avvisi di mora (o, comunque, di sollecitazioni di
pagamento) sulla porta dell’abitazione del debitore, potendo
tali dati personali essere conosciuti da una serie indeterminata
di soggetti nell'intervallo di tempo (talora prolungato) in cui
l'avviso risulta visibile.
Le prassi illecitePrivacy
e recupero crediti
4
5. Possono formare oggetto di trattamento per recupero
crediti i soli dati necessari all'esecuzione dell'incarico (dati
anagrafici del debitore, codice fiscale o partita IVA, ammontare
del credito vantato, unitamente alle condizioni del pagamento,
e recapiti, anche telefonici) di norma forniti dall'interessato in
sede di conclusione del contratto o comunque desumibili da
elenchi o registri pubblici.
Quali dati posso trattare?Privacy
e recupero crediti
L’informativa
In attuazione dei principi di protezione dei dati personali, il
titolare del trattamento (il soggetto creditore, come ad
esempio le banche, le finanziarie, le società di forniture dei
servizi ecc.) deve informare gli interessati (di norma in sede di
sottoscrizione del contratto) dei dati previsti all'art. 13 del
Codice (finalità, natura obbligatoria o meno del trattamento dei
dati personali, l’eventualità, nel caso di inadempimento
contrattuale, di comunicare i dati a società o enti di recupero
crediti al fine di effettuare tutte le azioni tese al recupero del
credito, esercizio dei diritti ecc.), con particolare riferimento
all'indicazione degli eventuali responsabili del trattamento ai
quali è rimesso l'incarico di procedere al recupero crediti,
indicandoli nel proprio sito Internet e facendo ad esso espresso
riferimento nell'informativa resa.
5
Salvo l'assolvimento di specifici obblighi di legge (ad
esempio, per rendere conto delle attività svolte), che può
richiedere una conservazione prolungata dei dati raccolti, una
volta assolto l'incarico e acquisite le somme, i dati devono
essere cancellati.
La conservazione dei dati
6. Privacy
e recupero crediti
L’esercizio dei diritti
Il Codice in materia di protezione dei dati personali (d.lg. 30
giugno 2003, n. 196) riconosce all’interessato (in questo caso al
debitore) la possibilità di esercitare nei confronti del titolare
del trattamento (il soggetto creditore, come ad esempio le
banche, le finanziarie, le società di forniture dei servizi ecc. )
alcuni diritti, specificamente indicati all'art. 7 del Codice(3).
Tra questi, l'interessato ha la possibilità di richiedere l'origine
dei dati personali che lo riguardano; di opporsi, in tutto o in
parte, per motivi legittimi al trattamento dei dati che lo
riguardano, ancorché pertinenti alla raccolta, oppure, al
trattamento dei dati ai fini di invio di materiale pubblicitario
o di vendita diretta o per il compimento di ricerche di
mercato o di comunicazione commerciale.
Per esercitare i diritti è possibile utilizzare il modulo predisposto
dal Garante.
(3) Art. 7 - Diritto di accesso ai dati personali ed altri diritti
1. L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo
riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
2. L’interessato ha diritto di ottenere l’indicazione: a) dell’origine dei dati personali; b) delle finalità
e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l’ausilio di
strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili e del rappresentante
designato ai sensi dell’articolo 5, comma 2; e) dei soggetti o delle categorie di soggetti ai quali i
dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di
rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
3. L’interessato ha diritto di ottenere: a) l’aggiornamento, la rettificazione ovvero, quando vi ha
interesse, l’integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il
blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la
conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
c) l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche
per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi,
eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi
manifestamente sproporzionato rispetto al diritto tutelato.
4. L’interessato ha diritto di opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati
personali che lo riguardano, ancorché pertinenti allo scopo della raccolta; b) al trattamento di dati
personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il
compimento di ricerche di mercato o di comunicazione commerciale.
6
7. Privacy
e recupero crediti Documenti di riferimento
Liceità, correttezza e pertinenza nell'attività di recupero crediti -
30 novembre 2005
[doc web n. 1213644]
Invio alla clientela di comunicazioni telefoniche preregistrate
senza l'intervento di un operatore per finalità di recupero
crediti - 10 ottobre 2013
[doc web n. 2751860]
Comunicazioni sullo stato dei pagamenti attraverso messaggi
sullo schermo del televisore - 28 maggio 2015
[doc web n. 4131145]
Canone Rai: correttezza nei solleciti agli utenti – 5 marzo 2008
[doc web n. 1501024]
7
8. Documenti di riferimento
Per informazioni presso
l’Autorità
Ufficio relazioni con il pubblico
Lunedì-Venerdì, ore 10-12,30
Piazza di Monte Citorio, 121
00186 Roma
tel. 06 696772917
e-mail: urp@gpdp.it
A cura del Servizio
relazioni esterne e media
Aprile 2016Pubblicazione a fini divulgativi