Verifica fornitore

Inserire la ragione sociale del cliente che ha richiesto la verifica del fornitore
Inserire la ragione sociale dell'azienda fornitrice che compila il modulo
E' presente un regolamento che disciplina l'utilizzo dei dispositivi aziendali? Ad esempio: pc, cellulari, tablet ecc.
L'azienda ha adottato una password policy (in forma scritta)?
Le password hanno una scadenza automatica entro i 90 giorni che costringe l'utente al cambio password
Le password sono scelte dagli utenti e sono segrete?
L'utente può cambiare in autonomia la propria password?
Quale è il requisito minimo delle password?
Le credenziali utente rispettano il principio della “user accountability” ovvero non è previsto l’utilizzo di account generici ma l’accesso ai sistemi ICT avviene esclusivamente tramite utenze personali e non ricorrendo ad utenze NON NOMINATIVE.
L'accesso ai sistemi da ip non verificati prevede l'autenticazione a doppio fattore.
Il server di posta è dotato di un sistema anti-phishing?
La posta in transito è soggetta a controlli anti-virus?
Sono presenti sistemi di log management relativamente alle attività degli utenti sui sistemi?
Sono attivi meccanismi automatici di sospensione della sessione di lavoro per inattività dell’utente?
Sui dispositivi è sempre presente un antivirus aggiornato
Ogni dispositivo è protetto da firewall
I dispositivi personali forniti ai soggetti autorizzati (smartphone, pc portatili, tablet ecc.) sono sempre muniti di sistemi di disattivazione e gestione da remoto.
L’azienda adotta processi che prevedono il blocco tempestivo delle utenze del personale (sia interno che esterno) che lascia l’azienda?
Sono adottate e documentate politiche di configurazione degli apparati di sicurezza (es. tipologie e direzione flussi attraverso Firewall, ecc...).
L'azienda effettua con periodicità almeno Annuale test di sicurezza volti ad individuare eventuali vulnerabilità nei sistemi che compongono il perimetro tecnologico dell'Azienda (Vulnerability Assessment e Penetration Test)? In caso di risposta positiva (SI) si richiede di forinre una dichiarazione con la data di esecuzione dell'ultimo test e la conferma che le eventuali vulnerabilità più significative (Critical or Hight secondo lo standard di valutazione CVSS 3.1 - Hight 7.0 - 8.9 Critical 9.0 - 10.0) siano state risolte. "
E’ presente nell’organizzazione aziendale la figura del Risk Officer?
Viene svolta attività di Privacy Impact Assessment sui sistemi che trattano dati personali?
L’azienda adotta una politica di gestione dei dati personali conforme a quanto previsto dalla normativa di riferimento?
L’azienda è in grado di dar seguito ai diritti dell’interessato così come previsti dalla normativa vigente (es. Accesso, rettifica, cancellazione, trasferimento)?
Nel caso di trattamenti che presentano un rischio elevato per i diritti e le libertà delle persone fisiche, viene effettuata dal titolare la valutazione d’impatto (DPIA) prima di procedere al trattamento?
Esiste un processo formale di gestione dei data breach?
Il processo di data breach prevede modalità chiare di come deve essere effettuata la comunicazione all’interessato in caso di violazione dei dati personali?
Sono definiti e nominati con atto specifico i ruoli interni ed esterni all'azienda relativi al trattamento dei dati? (Responsabile del trattamento, soggetti autorizzati ecc.)
L'Azienda ha nominato un dpo?
Viene fornita agli interessati la possibilità di verificare e/o modificare i consensi che lo stesso ha fornito o negato.
L’azienda ha effettuato corsi al personale specifici sul trattamento dei dati personali?
Il personale ha a disposizione policy e informazioni specifiche relative al trattamento dei dati personali?
Confermo che i dati inseriti corrispondono al vero. Confermo di aver preso visione dell'informativa dedicata sul trattamento dei dati e dichiaro di essere consapevole che i dati forniti verranno trattati dalla Intelligo Srl in qualità di DPO del titolare del trattamento per cui ho è stata effettuata la verifica del fornitore.
    Cart
    × Chatta con noi!