ALLEGATO D

DATA BREACH RESPONSE PLAN

Piano di Gestione delle Violazioni dei Dati Personali

Versione 1.0

Applicabile a:

AnthericaMail
Infrastrutture correlate
Sistemi di elaborazione dati gestiti da Antherica S.r.l.

1. SCOPO

Il presente Piano definisce il processo di identificazione, gestione, contenimento, valutazione e notifica delle Violazioni dei Dati Personali ("Data Breach") ai sensi degli articoli 33 e 34 del Regolamento (UE) 2016/679 (GDPR).

Gli obiettivi del Piano sono:

ridurre l'impatto degli incidenti;
proteggere i dati personali;
garantire la continuità operativa;
rispettare gli obblighi normativi;
supportare i Clienti/Titolari del trattamento.

2. DEFINIZIONE DI DATA BREACH

Per Data Breach si intende qualsiasi evento che comporti accidentalmente o illecitamente:

distruzione di dati personali;
perdita di dati personali;
alterazione di dati personali;
divulgazione non autorizzata;
accesso non autorizzato;
indisponibilità significativa dei dati.

3. AMBITO DI APPLICAZIONE

Il presente Piano si applica a:

infrastruttura cloud;
piattaforma AnthericaMail;
database;
backup;
sistemi SMTP;
sistemi di autenticazione;
sistemi di monitoraggio;
workstation autorizzate alla gestione dei servizi.

4. RUOLI E RESPONSABILITÀ

4.1 Incident Coordinator

Responsabile del coordinamento operativo dell'incidente.

Compiti:

apertura incidente;
classificazione;
coordinamento attività;
supervisione chiusura.

4.2 Team Tecnico

Compiti:

analisi tecnica;
contenimento;
recupero servizi;
raccolta evidenze.

4.3 Responsabile Privacy

Compiti:

valutazione impatto privacy;
supporto alla notifica;
rapporti con il Cliente;
documentazione GDPR.

4.4 Direzione Aziendale

Compiti:

approvazione comunicazioni critiche;
supervisione incidenti gravi;
allocazione risorse.

5. CLASSIFICAZIONE INCIDENTI

Livello 1 – Basso

Caratteristiche:

nessuna compromissione dati;
impatto trascurabile;
nessuna esposizione esterna.

Esempi:

errore temporaneo applicativo;
malfunzionamento non impattante.

Livello 2 – Medio

Caratteristiche:

possibile accesso non autorizzato limitato;
impatto contenuto;
dati limitati coinvolti.

Esempi:

account compromesso;
errore di configurazione circoscritto.

Livello 3 – Alto

Caratteristiche:

esposizione significativa di dati;
impatto su più clienti;
rischio elevato per gli interessati.

Esempi:

accesso abusivo al database;
compromissione di sistemi produttivi.

Livello 4 – Critico

Caratteristiche:

violazione estesa;
compromissione massiva;
rischio elevato per diritti e libertà degli interessati.

Esempi:

ransomware;
esfiltrazione di database;
compromissione infrastrutturale estesa.

6. PROCESSO DI GESTIONE INCIDENTI

Fase 1 – Identificazione

Fase 2 – Contenimento

Fase 3 – Analisi

Fase 4 – Mitigazione

Fase 5 – Ripristino

Fase 6 – Notifica

Fase 7 – Chiusura

Fase 8 – Miglioramento

7. IDENTIFICAZIONE

Gli incidenti possono essere rilevati tramite:

monitoraggio sistemi;
log;
segnalazioni clienti;
segnalazioni dipendenti;
alert infrastrutturali;
controlli di sicurezza.

Ogni sospetto incidente deve essere registrato immediatamente.

8. CONTENIMENTO

Obiettivi:

limitare la propagazione;
preservare le evidenze;
proteggere i dati.

Azioni possibili:

blocco account;
isolamento sistemi;
modifica credenziali;
sospensione servizi.

9. ANALISI

Per ogni incidente vengono raccolte:

data e ora;
sistemi coinvolti;
origine;
vettore d'attacco;
categorie di dati coinvolte;
numero stimato di interessati.

10. VALUTAZIONE DEL RISCHIO

L'analisi considera:

tipologia dati coinvolti;
volume dati coinvolti;
facilità di identificazione degli interessati;
possibili conseguenze;
probabilità di abuso.

11. CRITERI DI NOTIFICA AL CLIENTE

Il Cliente viene informato senza ingiustificato ritardo quando l'incidente:

coinvolge dati personali;
può comportare rischio per gli interessati;
può influenzare la disponibilità dei servizi.

12. CONTENUTO DELLA NOTIFICA

La comunicazione include:

descrizione dell'incidente;
data rilevazione;
categorie dati coinvolte;
impatto stimato;
misure adottate;
azioni raccomandate.

13. TEMPISTICHE INTERNE

Incidenti Critici

Presa in carico:
entro 1 ora

Incidenti Alti

Presa in carico:
entro 4 ore

Incidenti Medi

Presa in carico:
entro 1 giorno lavorativo

Incidenti Bassi

Secondo normali procedure operative.

14. REGISTRO INCIDENTI

Antherica mantiene un registro contenente:

identificativo incidente;
data apertura;
classificazione;
descrizione;
impatto;
azioni correttive;
data chiusura.

15. EVIDENZE FORENSI

Quando appropriato:

vengono conservati i log;
vengono preservate le evidenze;
vengono documentate le attività svolte.

16. RIPRISTINO

Il ripristino può includere:

recupero da backup;
ripristino servizi;
sostituzione credenziali;
reinstallazione componenti compromessi.

17. COMUNICAZIONE CON IL CLIENTE

Le comunicazioni vengono effettuate tramite:

email;
ticketing;
canali concordati contrattualmente.

Contatti privacy:

privacy@antherica.it

dpo@antherica.it

18. ANALISI POST-INCIDENTE

Per incidenti significativi viene effettuata una revisione finalizzata a:

individuare la causa radice;
valutare l'efficacia delle contromisure;
migliorare i processi.

19. AZIONI CORRETTIVE

Le azioni correttive possono comprendere:

aggiornamenti software;
modifiche infrastrutturali;
nuove procedure;
formazione aggiuntiva.

20. TEST E REVISIONE DEL PIANO

Il presente Piano viene riesaminato periodicamente e aggiornato in caso di:

modifiche infrastrutturali;
modifiche normative;
incidenti significativi;
evoluzione delle minacce.

APPENDICE A

TEMPLATE NOTIFICA INCIDENTE AL CLIENTE

Oggetto:
Comunicazione di incidente di sicurezza – [ID INCIDENTE]

Data rilevazione:
[DATA]

Descrizione:
[DESCRIZIONE]

Dati coinvolti:
[CATEGORIE DATI]

Impatto stimato:
[IMPATTO]

Azioni intraprese:
[AZIONI]

Contatto Antherica:
privacy@antherica.it

dpo@antherica.it

APPENDICE B

MATRICE DI ESCALATION

Livello 1
→ Team Tecnico

Livello 2
→ Team Tecnico + Responsabile Privacy

Livello 3
→ Team Tecnico + Privacy + Direzione

Livello 4
→ Team Tecnico + Privacy + Direzione + Gestione Straordinaria

Fine del Documento.