MODULO DI DENUNCIA EVENTI DI DATA BREACH
Sez. 1 Cronologia Evento Descrizione
1.1 (obbligatorio) Data di registrazione
1.2 (obbligatorio) Data e Ora in cui si è verificato l'evento 1.3 (obbligatorio) Luogo in cui si è verificato l'evento
1.4 (obbligatorio se fornitore) Momento in cui il fornitore è venuto a conoscenza della violazione
Sez. 2 da compilare se il denunciante è dipendente o interno al
Gruppo Descrizione
2.1 Nome e cognome di chi ha scoperto il data breach se diverso dal segnalante
2.2 (obbligatorio) Cognome e Nome della persona che segnala l’incidente
2.3 Il denunciante è un Referente Operativo Privacy?
2.4 (obbligatorio se diverso dal Referente Operativo delle Compagnie del Gruppo Cattolica Ass.ni) Tipo rapporto lavoro della persona che segnala l’incidente
2.5 (obbligatorio) Società del gruppo Cattolica
2.6 (obbligatorio se soggetto diverso dal Referente Operativo) Num. telefonico di contatto (cellulare o fisso)
2.7 Indirizzo di posta elettronica personale (alternativo alla posta aziendale) - (opzionale)
Sez. 3 da compilare se il denunciante è un Terzo Fornitore nominato Responsabile ex art 28 GDPR
3.1 Ragione Sociale del Fornitore e p.iva (obbligatorio)
3.2 Numero contratto di fornitura e data
Data di effettuazione della chiamata al service desk
Data e Ora in cui si è verificato l'evento Luogo in cui si è verificato l'evento
Cognome e Nome della persona che segnala l’
incidente Si / No
Società di appartenenza
Numero di telefono fisso o cellulare per futuro contatto in caso di aggiornamenti. Nel caso in cui la segnalazione fosse riferita alla
compromissione, furto o smarrimento del cellulare aziendale in dotazione, inserire numero cellulare alternativo specificandone l’
intestatario
Un indirizzo di posta elettronica per futuro contatto in caso di aggiornamenti.Nel caso in cui la segnalazione fosse riferita alla compromissione, furto o smarrimento del notebook o cellulare aziendale in dotazione, oppure evento relativo alla compromissione dell'account di posta elettronica aziendale, inserire una email alternativa specificandone l’
intestatario.
Indicare Ragione Sociale e Partita IVA del Fornitore
Indicare numero contratto e data di sottoscrizione o almeno anno
3.3 (obbligatorio) Cognome e Nome della persona che segnala l’incidente e recapito
3.4 Nome cognome e contatto del DPO o Referente Privacy e recapiti
3.5 Nome cognome e recapiti dell’Amministratore di Sistema qualora si tratti di violazione di applicativi informatici
Sez. 4 (obbligatorio) Tipo evento Descrizione
4.1 Furto (es dispositivo hardware, credenziali, doc.ti)
4.2 Smarrimento/ Perdita (es: dispositivo hardware, doc.ti cartacei)
4.3 Infezione da Malware/Ransomware 4.4 Danneggiamento dispositivo aziendale 4.5 Sospetto accesso non autorizzato ai dati
4.6 Distruzione (es. hardware, software, documenti cartacei) 4.7 Problemi legati agli applicativi
4.8 Errore umano:
4.9 Altro
Sez. 5 (obbligatorio) Dispositivi/ Supporti coinvolti/ interessati
5.1 Personal Computer/Laptop
5.2 Tablet 5.3 Smartphone
5.4 Chiavetta USB aziendale/personale 5.5 Disco esterno aziendale/personale 5.6 Memory card aziendale/personale
5.7 CD/DVD
5.8 Chiavetta connessione internet 5.9 Cartaceo
5.10 Altro (specificare)
Sez. 6 (obbligatorio) Tipologia di dati memorizzati nel dispositivo o oggetto di Data Breach
6.1 Interessati coinvolti
Cognome e Nome della persona che segnala l’
incidente
Si / No - Se Si indicare num. soggetti interessati Si / No - Se Si indicare num. soggetti interessati Si / No - Se Si indicare num. soggetti interessati Si / No - Se Si indicare num. soggetti interessati Si / No - Se Si indicare num. soggetti interessati Si / No - Se Si indicare num. soggetti interessati Si / No - Se Si indicare num. soggetti interessati Si / No - Se Si indicare num. soggetti interessati (es. invio di email a destinatari errati, mettere in chiaro dei dati di clienti per sbaglio)
Si / No - Se Si indicare num. soggetti interessati Si / No - Se Si indicare num. soggetti interessati Si / No - Se Si indicare num. soggetti interessati Si / No - Se Si indicare num. soggetti interessati Si / No - Se Si indicare num. soggetti interessati Si / No - Se Si indicare num. soggetti interessati Si / No - Se Si indicare num. soggetti interessati Si / No - Se Si indicare num. soggetti interessati Si / No - Se Si indicare num. soggetti interessati
Soggetti a cui si riferiscono i dati personali: es clienti, dipendenti, fornitori, agenti…
6.2.1 Dati Comuni di tipo Anagrafico
6.2.2. Dati comuni di tipo Comportamentale
6.2.3. Dati comuni di tipo economico-finanziario
6.2.4 Dati comuni relativi agli Asset
6.2.5 Dati comuni di tipo Assicurativo
6.2.6. Log di sistema
Dati identificativi degli estremi Anagrafici dell’Interessato del Trattamento. Le tipologie di dato anagrafico più frequentemente prese in esame riguardano: Nome, Cognome, Data e luogo di nascita, Luogo di residenza, Sesso, Cittadinanza, Estremi telefonici. Comprendono anche i dati multimediali (foto) dei documenti di identità, nonché le foto/video che ritraggono il volto della persona (es. videosorveglianza), registrazioni vocali che consentono la identificazione
Dati derivanti da informazioni sul
comportamento dell’individuo. Le tipologie di dato più frequentemente prese in esame riguardano: abitudini, preferenze personali e interessi, vita sociale e contatti social, immagini che ritraggono comportamenti della persona
Dati derivanti da informazioni reddituali e patrimoniali dell’individuo. Le tipologie di dato economico-finanziario più frequentemente prese in esame riguardano: - Reddito, individuale o del gruppo familiare;-
Professione- Investimenti finanziari;- Posizioni creditorie e/o debitorie;- Coordinate C/C e carta di credito/debito.
Dati descrittivi degli Asset dell'Interessato, rilevanti nel rapporto dell’individuo con le Compagnie del Gruppo Cattolica
Dati derivanti dal rapporto dell’individuo con le Compagnie del Gruppo Cattolica, inerenti la posizione assicurativa
Dati idonei a rivelare il comportamento di un Utente su un applicativo/ sistema.Rientrano nella tipologia le cronologie di navigazione web degli utenti, ossia dati sotto forma di file di testo (cookie) che un sito web scrive sul disco fisso di un utente per identificarlo e poterne successivamente seguire i percorsi di ricerca Internet, allo scopo di individuarne gli interessi e le preferenze di consumo, creando profili delle persone fisiche e identificandole.
6.2.7 Dati comuni relativi alla geolocalizzazione
6.2.8 Dati comuni relativi alla profilazione degli utenti
6.3 Dati di tipo personale particolari
6.4 Dati relativi a condanne penali
6.5 Dati aziendali di natura riservata o altamente riservata che includano anche dati personali
6.6 Altro (Descrivere) Sez. 7 Descrizione dell’evento
7.1 (obbligatorio) Descrizione
7.2 Misure realizzate per “interrompere” la violazione diverse dal precedente punto 7.1
Dati di identificazione, in tempo reale, della posizione geografica di una persona o di un asset.
Dati utilizzati per la clusterizzazione di un Interessato, frutto di un processo
semi-automatizzato/automatizzato di calcolo.
Tipologie specifiche di dati memorizzati e numerosità stimata anche approssimativa (es.
10000 anagrafiche clienti) ad esempio i dati possono essere della seguente natura:Dati di origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o
l'appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona
Se Si riportare quali
Tipologie specifiche di dati memorizzati e numerosità stimata anche approssimativa (es.
10000 record di dati aziendali, documenti, lettere, verbali, etc. relativi a Strategie Aziendali, Offerte commerciali, Budget, Preventivi, Polizze);e/o Credenziali (utenze e password) di accesso a sistemi/applicazioni aziendali (quali e quanti approssimativamente)
Tipologia di informazioni contenute
Descrivere cosa è stato scoperto/ avvenuto
Esempio modifica password di accesso: alla rete, al portale servizi web, ad altri applicativi aziendali.Indicare per quali accessi sono state cambiate le password. I dati personali coinvolti nella violazione sono stati recuperati? Quali misure di sicurezza sono state adottate volte a limitare o interrompere la violazione.Vi è ripristino dei dati
Sez. 8 (obbligatorio) Altre informazioni (da compilare solo se trattasi di furto o smarrimento dispositivo o Hardware) 8.1 (obbligatorio) I dati memorizzati nel dispositivo sono
crittografati?
8.2 Indicazione sull’ubicazione dei dati
8.3 (obbligatorio) Applicazioni particolari installate nel dispositivo (che gestiscono o trattano dati riservati)
8.4 (obbligatorio solo se trattasi di smarrimento o furto dispositivo o Hardware) È stata già presentata denuncia alle autorità?
8.5 (obbligatorio) Se No, indicare quando è previsto che verrà fatta
8.6 (obbligatorio) Se Si, indicare presso quale autorità e Luogo, data, Ora della denuncia. Inviare copia alla mail segnalazionedatabreach@cattolicaassicurazioni.it
Se per i dati all'interno del dispositivo è stata prevista la criptazione delle informazioni
I dati si trovano intra o extra UE (specificando preferibilmente dove)
Eventuali applicazioni presenti nel dispositivo che a loro volta gestiscono o trattano dati riservati
Tempistiche ed estremi per la denuncia
Le informazioni relative alla denuncia effettuata