Tutti i dipendenti sono tenuti all’osservanza delle norme contenute nel presente regolamento, la cui applicazione è immediata.

Nei pressi dell’ufficio tecnico, nell’apposita bacheca verranno esposte tutte le comunicazioni riguardanti il personale nella sua totalità.

L’orario di lavoro stabilito dall’Azienda è il seguente:

• in sede: 08.30 – 12.30, 14.30 – 18.30
• in cantiere: 08.30 – 12.30, 14.30 – 18.30

L’orario di lavoro potrebbe subire variazioni concordate preventivamente con i dipendenti ed autorizzate dal datore di lavoro, a seconda dell’esigenza lavorativa in loco, e comunque sempre nel rispetto delle norme previste dal CCNL. All’orario previsto per l’inizio di ogni turno di lavoro il prestatore dovrà trovarsi al suo posto per iniziare. Al ritardatario, e fino a un massimo di 5 minuti, il conteggio delle ore sarà effettuato a partire da un quarto d’ora successivo all’inizio dell’orario di lavoro che avrebbe dovuto osservare.

Trascorsi i cinque minuti, è in facoltà dell’Azienda riammettere al lavoro il ritardatario, che potrà essere in ogni modo oggetto di contestazione di infrazione e conseguente provvedimento disciplinare così come regolamentato dal C.C.N.L. in vigore. Alla fine di ogni mese i ritardi arrotondati come sopra saranno detratti dagli eventuali straordinari spettanti o, in assenza di questi ultimi, detratti con una trattenuta dallo stipendio alla voce “Ritardo”.

Per quanto riguarda invece il lavoro part-time, l’orario sarà quello concordato al momento dell’assunzione, e/o successive modifiche concordate fra il dipendente ed il datore di lavoro.

Durante l’orario di lavoro il dipendente non può abbandonare il proprio posto di lavoro senza regolare autorizzazione scritta del diretto superiore.

La richiesta di permesso per assentarsi dal lavoro deve essere comunicata con almeno 48 ore di anticipo e deve essere autorizzata per iscritto dal proprio superiore.

L’assenza verrà considerata ingiustificata, nei casi in cui non venga rispettata la suddetta prassi, fatti salvi i casi di forza maggiore e, quindi, di assoluta impossibilità all’adempimento.

Il periodo in cui si può godere delle ferie, verrà stabilito dal datore di lavoro in accordo, e secondo il desiderio del lavoratore, tenendo in considerazione le esigenze dettate dall’attività dell’azienda. Generalmente il periodo di ferie fruibile in n. 02 settimane consecutive è il mese di agosto, mentre per il restante periodo dell’anno le assenze per ferie dovranno essere saltuarie e preventivamente concordate secondo le esigenze lavorative dell’azienda.

Le assenze devono essere giustificate entro il giorno successivo a quello dell’assenza stessa, salvo il caso di valido impedimento. L’assenza, ancorché giustificata o autorizzata, non consente la decorrenza della retribuzione.

In caso di malattia il lavoratore deve avvertire l’Azienda entro il primo giorno di assenza ed inviare alla medesima, entro due giorni dall’inizio dell’assenza, il certificato medico attestante la malattia. In mancanza di ciascuna delle suddette comunicazioni, salvo il caso di giustificato impedimento, l’assenza verrà considerata ingiustificata.

L’Azienda ha la facoltà di far controllare la malattia del lavoratore nel rispetto dell’art. 5 della Legge 20/05/1970, n. 300.

I rapporti tra i lavoratori, a tutti i livelli di responsabilità nell’organizzazione aziendale, saranno improntati a reciproca correttezza ed educazione.

I dipendenti dovranno:

• conoscere e rispettare le norme che regolamentano il rapporto di lavoro con l’azienda;
• conoscere e rispettare le norme che regolamentano le attività dell’azienda nel proprio ambito di responsabilità;
• cooperare in modo personale ed attivo con tutti gli altri dipendenti, con il pubblico, i collaboratori, con altre aree, uffici e reparti,
• adottare sempre un comportamento conforme ai principi di lealtà e buona fede nei confronti dell’azienda, dei superiori, dei colleghi, nonché nel rispetto di terzi con cui s’intrattengono rapporti professionali, evitando comportamenti che possano compromettere l’immagine della società;
• eseguire con la massima diligenza il compito loro affidato, assumendone la personale responsabilità ad attenersi alle direttive dell’azienda fissate con ordini di servizio anche verbali o con particolari disposizioni;
• osservare l’orario di lavoro stabilito e adempiere alle formalità prescritte dall’azienda per il controllo delle presenze, nonché essere puntuali e precisi nella compilazione dei rapporti di lavoro ed altri documenti richiesti per il caso;
• avere la massima cura di tutti gli apparecchi, oggetti, attrezzature, veicoli, locali, dotazioni personali di proprietà dell’azienda, che sono nella loro custodia e di cui hanno la responsabilità per eventuale risarcimento danni. La valutazione dell’eventuale danno verrà effettuata obbiettivamente e l’ammontare dello stesso verrà preventivamente contestato al lavoratore. L’ammontare delle perdite e dei danni di cui sopra verrà trattenuto ratealmente sulla retribuzione con quote non superiori al 10 percento della retribuzione stessa. In caso di risoluzione del rapporto di lavoro, la trattenuta verrà effettuata sull’ammontare di quanto spettante al lavoratore, fatte salve le disposizioni ed i limiti di Legge.
• evitare tutte le situazioni in cui si possa manifestare un conflitto d’interessi con l’azienda. Qualora si venga a conoscenza di situazioni che possano costituire o determinare un conflitto d’interessi darne comunicazione tempestiva al titolare;
• evitare lo svolgimento di attività lavorative presso aziende concorrenti e/o dello stesso settore, salvo diverso accordo con il datore di lavoro;
• segnalare al titolare eventuali comportamenti scorretti che possano arrecare danno a persone e/o all’immagine dell’azienda.
• uniformarsi all’ordinamento gerarchico dell’azienda attinenti al servizio;
• fornire ai propri superiori informazioni veritiere, necessarie, complete e puntuali in merito all’andamento delle attività della propria area di competenza;
• non attendere ad attività lavorative, anche a titolo gratuito, durante il periodo di malattia o infortunio.

Il lavoratore deve conservare assoluta segretezza sugli interessi dell’azienda; nello specifico è fatto espresso divieto di:

• utilizzare il nome e la reputazione della Società a scopi privati;
• diffondere a terzi o usare a fini privati, o comunque impropri, informazioni e notizie riguardanti l’azienda

e/o il metodo di produzione della stessa;

• trarre profitto, con danno al datore, da quanto forma oggetto delle sue mansioni.

La risoluzione del rapporto di lavoro, indipendentemente dalla causa, non giustifica la rivelazione di informazioni riservate o l’esternazione di considerazioni che possano arrecare danno all’immagine ed agli interessi dell’azienda né l’abuso, in forma di concorrenza sleale, delle notizie attinte durante il servizio.

Le infrazioni a tali disposizioni daranno luogo a provvedimenti disciplinari che potranno giungere fino al licenziamento. L’azienda peraltro non può esigere che il lavoratore convenga a restrizioni della sua attività successiva alla risoluzione del rapporto di lavoro che eccedano i limiti di cui sopra e comunque previsti dall’art. 2125 del Codice Civile.

Il lavoratore non potrà prestare la propria opera per altri, salvo il caso di sospensione dal lavoro senza diritto alla retribuzione.

Durante il lavoro è vietato il consumo di bevande e cibi senza la debita autorizzazione; è vietato altresì consumare pasti/cibi alla scrivania. Così pure è proibito introdurre in azienda qualsiasi oggetto d’uso non strettamente giustificato.

I dipendenti assenti per ferie, malattia, infortunio, permessi, provvedimenti disciplinari ecc. NON POSSONO ACCEDERE AI LUOGHI DI LAVORO.

È vietato l’utilizzo di mezzi e beni dell’azienda per scopi personali salvo specifica autorizzazione del titolare.

È severamente proibito eseguire lavori per uso proprio o per conto terzi, anche dopo il normale orario di lavoro, senza la debita autorizzazione dei superiori.

La Direzione ha il diritto di controllare, in qualsiasi momento il lavoro effettuato da ciascun dipendente.

È obbligatorio il rispetto dei criteri d’igiene e sicurezza secondo quanto previsto dalle vigenti disposizioni di Legge (Decreto Legislativo n. 81/2008). Ogni lavoratore deve prendersi cura della propria salute e sicurezza e di quella delle altre persone presenti sul luogo di lavoro, su cui ricadono gli effetti delle sue azioni o omissioni, conformemente alla sua formazione, alle istruzioni ed ai mezzi forniti dal datore di lavoro.

I lavoratori dovranno in particolare:

• contribuire insieme al datore di lavoro, ai dirigenti e ai preposti, all’adempimento degli obblighi previsti a tutela della salute e sicurezza sui luoghi di lavoro;
• osservare le disposizioni e le istruzioni impartite dal datore di lavoro, dai dirigenti, dai preposti, ai fini della protezione collettiva ed individuale;
• osservare tutte le norme di sicurezza e salute dei lavoratori secondo quanto stabilito dal D.L. 81/2008, come da fascicolo informativo aziendale allegato, parte integrante del presente regolamento;
• mantenere una corretta postura durante l’attività lavorativa:

1. i) mantenere la testa, il collo, le spalle, la colonna vertebrale e i fianchi allineati; ii) non piegare in avanti la schiena; iii) tenere i piedi ben piantati a terra; iv) evitare di accavallare le gambe; v) mantenere i polsi e gli avambracci poggiati sulla scrivania; vi) tenere lo schermo del computer di fronte e a circa 50-70 cm dagli occhi; vii) mantenere l'asse visivo leggermente inclinato verso il basso;

• utilizzare correttamente le attrezzature di lavoro, eventuali sostanze e preparati pericolosi, i mezzi di trasporto e, nonché i dispositivi di sicurezza;
• utilizzare in modo appropriato i dispositivi di protezione messi a loro disposizione;
• segnalare immediatamente al datore di lavoro, al dirigente o al preposto le deficienze dei mezzi e dei dispositivi di cui alle lettere c) e d), nonché qualsiasi eventuale condizione di pericolo di cui vengano conoscenza, adoperandosi direttamente, in caso d’urgenza, nell’ambito delle proprie competenze e possibilità e fatto salvo l’obbligo di cui alla lettera f) per eliminare o ridurre situazioni di pericolo grave e incombente dandone notizia al datore di lavoro, al dirigente o al preposto;
• non rimuovere o modificare senza autorizzazione i dispositivi di sicurezza, di segnalazione, di controllo;
• non compiere di propria iniziativa operazioni o manovre che non sono di loro competenza ovvero che possono compromettere la sicurezza propria o di altri lavoratori;
• partecipare ai programmi di formazione e di addestramento organizzati dal datore di lavoro;
• sottoporsi ai controlli sanitari previsti dal Decreto 81/2008, o comunque disposti dal medico competente;
• esporre la tessera di riconoscimento, contenente le generalità del lavoratore e l’indicazione del datore di lavoro, consegnata al momento dell’assunzione

Ogni lavoratore può essere sottoposto, all’uscita dai locali aziendali, a controllo personale da parte del responsabile, sempre nei limiti delle vigenti disposizioni di Legge (art. 6 Legge n. 300/1970). È in ogni caso tenuto a mostrare, se richiesto, il contenuto dei pacchi o recipienti che introducesse nei locali aziendali o asportasse dagli stessi.

I superiori diretti, secondo l’organizzazione aziendale, sono autorizzati ad intervenire presso i singoli dipendenti ed hanno diritto di esigere il massimo rispetto.

Nessun estraneo può entrare nei locali aziendali all’insaputa della Direzione; le decisioni di quest’ultima sono in ogni caso esecutive ed inappellabili.

Salvo casi urgenti ed improrogabili, non potranno essere passate ai dipendenti telefonate personali dall’esterno. Per le telefonate personali verso l’esterno, in caso di necessità, è concesso l’uso del telefono aziendale, previo permesso del datore di lavoro.

È assolutamente vietato portare il telefono cellulare privato sul posto di lavoro. L’uso del cellulare durante il viaggio sarà consentito per necessità aziendale e solo con auricolare, oppure si accosta e si risponde.

È ASSOLUTAMENTE VIETATO FUMARE durante l’orario di lavoro e nei locali di lavoro.

L’inosservanza delle presenti norme comporta l’applicazione di provvedimenti disciplinari.

Le risorse, hardware e software, in dotazione al personale aziendale quali personal computer, notebook, tablet, Smartphone, chiavette UMTS, stampanti, scanner, applicazioni gestionali e di business, software di base, strumenti di sviluppo, programmi di utilità, ecc. (d’ora in avanti “dispositivi informatici”) costituiscono un valore strategico per l’Azienda e come tali devono essere adeguatamente protette.

     Al fine di ridurre al minimo i rischi di indisponibilità, accesso non autorizzato, distruzione o perdita, anche accidentale, di informazioni l’Azienda ha definito:

• linee di comportamento atte ad impedire il presentarsi di problemi e/o minacce alla sicurezza nel trattamento dei dati;
• regole per l’accesso, l’utilizzo e la protezione delle proprie risorse informative da parte del personale aziendale.

L’utilizzo improprio della postazione di lavoro e/o l’introduzione di software diverso da quello fornito ed installato dal personale autorizzato dall’Azienda, potrebbe compromettere il corretto funzionamento dei beni informatici e arrecare danni quali accessi abusivi, virus informatici, trattamento illecito, sia alle apparecchiature in dotazione che alla rete aziendale. Per postazione di lavoro si intende il complesso unitario di Personal Computer (di seguito, PC), notebook, accessori, periferiche e ogni altro devices concesso, dalla Società in utilizzo all’Utente. L’assegnatario di tali beni e strumenti informatici aziendali, pertanto, ha il compito di farne un uso compatibile con i principi di diligenza sanciti nel codice civile.

Gli utenti hanno diritto ad accedere alle risorse informatiche aziendali per le quali sono stati espressamente autorizzati e ad utilizzarle esclusivamente per gli scopi inerenti alle mansioni da svolgere.

Pertanto, ogni soggetto è tenuto a:

• adottare, nell'ambito delle proprie attività, tutte le misure di sicurezza atte a prevenire la possibilità di accessi non autorizzati, furti, frodi, danneggiamenti, distruzioni o altri abusi nei confronti delle risorse informatiche
• attuare le suddette prescrizioni, anche attraverso l’adozione delle modalità d’utilizzo riportate nel presente documento, ed a segnalare eventuali violazioni alle medesime o situazioni che possano presentare dubbi relativamente alla sicurezza delle informazioni trattate.

I dispositivi informatici (vedi par. 3) affidati al dipendente sono strumenti di lavoro ed ogni utilizzo non inerente all’attività lavorativa può generare disservizi e costi di manutenzione; pertanto, gli utenti devono essere consapevoli delle loro specifiche responsabilità nella custodia e nel corretto utilizzo della propria stazione di lavoro. In particolare, si ricorda che ai sensi della vigente normativa in tema di tutela dei dati personali (Reg. UE 2016/679) gli incaricati (“autorizzati”) del trattamento sono tenuti all’applicazione delle istruzioni impartite dal titolare.

I beni e le risorse informatiche, i servizi ICT e le reti informative costituiscono beni aziendali rientranti nel patrimonio sociale e sono da considerarsi di esclusiva proprietà della Società.

Il loro utilizzo, pertanto, è consentito solo per finalità di adempimento delle mansioni lavorative affidate ad ogni Utente in base al rapporto in essere (ovvero per scopi professionali afferenti all’attività svolta per l’a Società), e comunque per l’esclusivo perseguimento degli obiettivi aziendali.

A tal fine si precisa sin d’ora che qualsivoglia dato e/o informazione trattato per mezzo dei beni e delle risorse informatiche di proprietà della Società, sarà dallo stesso considerato come avente natura aziendale e non riservata.

5.1 RESPONSABILITA' DELL'UTENTE
Ogni Utente è personalmente responsabile dell’utilizzo dei beni e delle risorse informatiche affidatigli dalla Società nonché dei relativi dati trattati per finalità aziendali.

A tal fine ogni Utente, nel rispetto dei principi di diligenza sottesi al rapporto instaurato con la Società, è tenuto a tutelare (per quanto di propria competenza) il patrimonio aziendale da utilizzi impropri e non autorizzati, danni o abusi anche derivanti da negligenza, imprudenza o imperizia. L’obiettivo è quello di preservare l’integrità e la riservatezza dei beni, delle informazioni e delle risorse aziendali.

Ogni Utente, pertanto, è tenuto, in relazioni al proprio ruolo e alle mansioni in concreto svolte, ad operare a tutela della sicurezza informatica aziendale, riportando al proprio responsabile e senza ritardo eventuali rischi di cui è a conoscenza ovvero violazioni del presente disciplinare interno.

Sono vietati comportamenti che possano creare un danno, anche di immagine, all’ Ente.

    Al fine di disciplinare un corretto utilizzo di tali beni, la Società ha adottato le regole tecniche, che di seguito si riportano:

• ogni PC, notebook (accessori e periferiche incluse), e altri devices, sia esso acquistato, noleggiato, o affidato in locazione, rimane di esclusiva proprietà della Società, ed è concesso all’Utente per lo svolgimento delle proprie mansioni lavorative e comunque per finalità strettamente attinenti all’attività svolta;
• l’utente non deve modificare le caratteristiche impostate sul proprio PC. È vietato installare software, sia esso freeware o di pubblico dominio, dispositivi quali modem e/o router esterni, chiavette per la navigazione Internet non previste nella configurazione standard del personal computer assegnato.
• è dovere di ogni Utente usare i computer e gli altri dispositivi a lui affidati responsabilmente e professionalmente;
• le postazioni di lavoro non devono essere lasciate incustodite con le sessioni utenti attive;
• quando un Utente si allontana dalla propria postazione di lavoro, deve bloccare tastiera e schermo con un programma salvaschermo (screensaver) protetto da password o effettuare il log-out dalla sessione;
• l’Utente deve segnalare con la massima tempestività all’amministratore del sistema ovvero al proprio Responsabile di riferimento eventuali guasti tecnici, problematiche tecniche o il cattivo funzionamento delle apparecchiature;
• è fatto divieto di cedere in uso, anche temporaneo, le attrezzature e i beni informatici aziendali a soggetti terzi; non è possibile conservare sul proprio Personal Computer i dati inerenti alla propria attività lavorativa ma utilizzare le cartelle di rete messa a disposizione, siano esse ad accesso condiviso (share di gruppo) od esclusivo (share ad accesso riservato del singolo utente);
• non è possibile condividere sul proprio computer cartelle con altri utenti, in modo tale da evitare accessi non regolamentati e non controllati alla propria postazione;
• non è consentito inserire una password di accensione (a livello di bios);
• non è consentito collegare alla rete aziendale (wired o wireless) qualunque tipo di dispositivo personale (notebook, tablet, iPad, ecc.);
• la Società si riserva la facoltà di rimuovere qualsiasi elemento hardware la cui installazione non sia stata appositamente e preventivamente prevista o autorizzata.

5.2 DISPOSITIVI MOBILI E PRINCIPI GENERALI PER I VIAGGI/TRASFERTE
Questa voce sui viaggi e i dispositivi mobili si riferisce a tutti i dispositivi che possono essere utilizzati al di fuori dell’infrastruttura della Società, quali: Laptop, Telefoni cellulari, smartphone, tablet.

Quando il dispositivo non si trova più nell’infrastruttura della Società, esso è esposto a minacce aggiuntive che l’utente deve prendere in considerazione (furto, smarrimento), indipendentemente da dove è utilizzato il dispositivo (stazioni, aeroporti, hotel, ecc.).

I dispositivi mobili forniti dalla Società e le loro connessioni devono essere protetti in quanto contengono comunicano una grande quantità di dati riservati e privati.

La Società può fornire e richiedere l'implementazione di soluzioni di sicurezza relative ai dispositivi mobili e il rispetto delle regole d’uso associate alle funzioni di sicurezza, quali:

• autenticazione obbligatoria per sbloccare il dispositivo;
• codifica dei flussi scambiati e dei dati memorizzati;
• protezione da codici malevoli;
• blocco automatico in caso di inattività;
• configurazione dei servizi di posta elettronica;
• impostazioni di sicurezza;
• controlli sull’integrità del sistema;
• elenco delle applicazioni mobili approvate dalla Società;

Gli Utenti devono attenersi ai seguenti principi quando lavorano al di fuori degli edifici della Società:

• Prestare attenzione quando si parla di argomenti professionali in pubblico tramite cellulare.
• Non lasciare mai incustodite attrezzature professionali su treno, aereo o in un ristorante.
• L'utente è tenuto a utilizzare i mezzi di protezione disponibili (cavo antifurto, cassetto o armadietto chiuso a chiave, ecc.) per proteggere i dispositivi mobili.
• Segnalare immediatamente eventuali perdite o furti di attrezzature professionali all’ufficio informatico e al proprio responsabile.
• Disattivare le connessioni wireless (Wi-Fi, Bluetooth, NFC, ecc.) quando non le si utilizza. Tali funzioni rappresentano infatti dei potenziali punti di accesso per utenti malintenzionati che intendano controllare i dispositivi mobili da remoto.
• Utilizzare le misure e le soluzioni di sicurezza fornite dalla Società.

5.3 RISERVATEZZA DELLE PERSONE FISICHE E TUTELA IN CASO DI CONTROVERSIA
La Società rispetta e si impegna a rispettare la riservatezza di ciascuno dei suoi utenti e a non consultare eventuali loro dati personali che dovessero essere presenti nei dispositivi aziendali.

Gli amministratori/consulenti/assistenti informatici intervengono regolarmente sui vari sistemi per garantirne la manutenzione e possono quindi accedere a tutte le informazioni. Inoltre, hanno la possibilità di controllare l’utilizzo dei diversi strumenti da parte degli utenti.

L’accesso alla postazione di lavoro dell'utente (durante una presa di controllo a distanza) non può essere effettuato senza il previo consenso dell'utente della sessione aperta; ne va quindi richiesta l'accettazione tramite un messaggio di avviso. 

5.4 ACCOUNT ED ACCESSO ALLE RISORSE INFORMATICHE
Gli accessi alla rete aziendale, alla posta elettronica, al sistema di archiviazione dell’e-mail ed in generale a tutte le applicazioni aziendali sono regolati da uno o più set di credenziali individuali (“Account utente”, composti da una username ed una password), le quali dovranno essere custodite dal personale aziendale con la massima diligenza e non divulgate.

Un account Utente consente l’autenticazione dell’utilizzatore e di conseguenza ne disciplina l’accesso alle risorse informatiche aziendali, per singola postazione lavorativa.

Gli account utenti vengono creati dagli amministratori di sistema e sono personali, ovvero associati univocamente alla persona assegnataria.

L’accesso al proprio account avviene tramite l’utilizzo delle “credenziali di autenticazione” (es. “Username” e “Password”), comunicate all’Utente dall’amministratore di sistema, che le genera, attraverso modalità che ne garantiscano la segretezza.

Le credenziali di autenticazioni costituiscono dati aziendali da mantenere strettamente riservati e non è consentito comunicarne gli estremi a terzi (seppur soggetti in posizione apicale).

Se l’Utente ha il sospetto che le proprie credenziali di autenticazione siano state identificate da qualcuno, o il sospetto di un utilizzo non autorizzato del proprio account e delle risorse a questo associate, lo stesso è tenuto a modificare immediatamente la password e/o a segnalare la violazione all’amministratore del sistema nonché al Referente privacy di riferimento;

Ogni Utente è responsabile dell’utilizzo del proprio account Utente.

A fronte di problemi di accesso alle postazioni di lavoro riconducibili ad un errato inserimento della password, sia esso dovuto ad incuria nella digitazione o dimenticanza della stessa, che causano un blocco dell’account, si rimanda al paragrafo 6 ove viene specificata la corretta procedura da utilizzare dagli utenti per la richiesta di assistenza IT al personale autorizzato dall’Azienda.

5.5 UTILIZZO DEL SOFTWARE
Non è consentito l’uso di programmi diversi da quelli distribuiti ed installati ufficialmente dalle strutture preposte, così come non è consentito installare autonomamente programmi. Eventuali richieste di installazione devono essere inoltrate all’IT/ADS (Amministratore di Sistema), che vaglierà la fattibilità e nel caso provvederà ad installare quanto richiesto (si rimanda al paragrafo 5 per un maggior dettaglio inerente alle modalità di richiesta).

L’inosservanza di questa disposizione, oltre al rischio di danneggiamenti del sistema per incompatibilità con il software esistente, può esporre l’Azienda a gravi responsabilità civili e penali in caso di violazione della normativa a tutela dei diritti d’autore sul software (D. Lgs. 518/92 sulla tutela giuridica del software e L. 248/2000 nuove norme di tutela del diritto d’autore) che impone la presenza nel sistema di software regolarmente licenziato o comunque libero e quindi non protetto dal diritto d’autore.

A tal proposito, l’Azienda effettua periodici controlli sui dispositivi informatici volti a rilevare l’eventuale presenza di software non autorizzato. Tale attività non prevede in nessun caso il monitoraggio, neppure preterintenzionale, delle attività del lavoratore o del contenuto di dati personali nel PC.

5.6 UTILIZZO DI DISPOSITIVI ESTERNI
Laddove si rendano necessari per fini lavorativi dispositivi quali chiavi USB, hard disk esterni, supporti ottici, schede di memoria SD/xD/CF… ecc. devono essere autorizzati, richiesti e acquistati secondo le procedure aziendali in essere.

5.7 PREVENZIONE DEI VIRUS INFORMATICI
Ogni personal computer affidato agli utenti è dotato di un software antivirus centralizzato ad aggiornamento automatico al fine di prevenire l’introduzione di virus informatici che possano compromettere l’integrità del software e delle stazioni di lavoro.

L’utente deve sempre tenere conto del fatto che il programma antivirus non fornisce una protezione assoluta ed in particolare tra due aggiornamenti consecutivi esiste una finestra temporale di rischio entro la quale si possono introdurre virus non ancora noti dal programma stesso.

Pertanto, sarà cura dell’utente rispettare le seguenti linee guida:

• Mantenere la configurazione del sistema operativo in modo da permettere la visualizzazione dell'estensione dei file. Tale accorgimento rende più difficile il mascheramento da parte di file potenzialmente pericolosi (programmi EXE e script di vario tipo) che impiegano estensioni doppie (es. "leggimi.txt.vbs" oppure logo.jpg.exe");
• è fatto divieto disabilitare o disattivare i servizi relativi al software dell’Anti-Virus;
• segnalare immediatamente all’IT (it@bazzacco.net) le stazioni che si rivelino, o vengano indicate, come infette, oppure qualsiasi sospetta presenza di virus che pregiudichi o abbia pregiudicato il sistema, interrompendo qualsiasi attività.
• Porre la massima attenzione nel ricevere, per necessità di svolgimento della propria attività lavorativa, contenuti dalla rete Internet (es. documenti di testo, tabelle, ecc.) cercando di valutare l’attendibilità dal sito a cui si è collegati (ad es. valutando all’interno dell’URL la presenza di estensioni a dominio di dubbia liceità e/o utilizzo dell’indirizzo IP al posto del nome di dominio).
• Nell’utilizzo della posta elettronica:
• evitare di aprire allegati che contengono un'estensione doppia o con estensione JS, VBS, SHS, PIF, EXE, COM o BAT;
• se si ricevono e-mail non richieste o con contenuti pubblicitari, evitare di seguire i collegamenti a indirizzi Web eventualmente presenti nel testo delle e-mail;
• nel caso si riceva un messaggio di e-mail da una persona conosciuta, ma con un contenuto insolito, effettuare un controllo con il mittente prima di aprire l'eventuale allegato; infatti, alcuni virus sono in grado di trasmettere messaggi con allegati che sembrano spediti da mittenti conosciuti;
• evitare di cliccare su icone dall’apparenza innocua che ricordano applicazioni associate ad immagini o musica, mostrate dagli allegati di posta elettronica in quanto possono nascondere “worm”.

5.8 CARTELLE DI RETE CONDIVISE
Le cartelle di rete sono aree di condivisione di informazioni strettamente professionali e non possono in alcun modo essere utilizzate per scopi diversi. Pertanto, qualunque file personale o che non sia legato all’attività lavorativa non può essere dislocato, nemmeno per brevi periodi, in queste unità.

All’interno di tali cartelle devono essere identificate dei folder, chiaramente riconducibili all’utente, che devono essere da lui utilizzate come repository del backup dei dati eventualmente conservati nella postazione di lavoro assegnata o come locazione per la conservazione dei documenti trattati nel proprio lavoro.

Particolare attenzione deve essere prestata alla duplicazione dei dati sulle unità di rete. È assolutamente da evitare un’archiviazione ridondante.

5.9 UTILIZZO DELLE STAMPANTI DI RETE
È cura dell’utente effettuare la stampa dei dati solo se questa è strettamente necessaria e di ritirarla prontamente dai vassoi delle stampanti comuni, in quanto è buona regola non dimenticare documenti nelle stampanti, fotocopiatrici o fax.

In caso di stampa di documento nelle stampanti poste in aree comuni il titolare della stampa dovrà:

• recarsi immediatamente presso la postazione oggetto della richiesta di stampa;
• attendere il completamento dell’operazione di stampa e ritirare tutti i fogli generati;
• distruggere immediatamente i fogli stampati erroneamente;
• segnalare immediatamente all’IT (it@bazzacco.net), segnalando eventuali blocchi o anomalie riscontrate in fase di stampa, laddove questi manifestino una particolare gravità.

Analogamente per la trasmissione/ricezione via fax l’utente dovrà attendere il rapporto di trasmissione stampato dall’apparecchio fax.

5.10 UTILIZZO DI INTERNET
Il libero accesso alla rete Internet espone l’Azienda ed i Dipendenti a rischi di natura patrimoniale, oltre alle responsabilità penali conseguenti alla violazione di specifiche disposizioni di legge (legge 22 aprile 1941 n. 633 sul diritto d’autore e normativa sulla privacy Reg. UE 2016/679, fra tutte), creando evidenti problemi alla sicurezza. Pertanto, si precisa quanto segue:
5.10.1 Principi generali
Il personal computer costituisce uno strumento di lavoro aziendale, necessario allo svolgimento della propria attività lavorativa. È quindi da ritenersi PROIBITA la navigazione in Internet attraverso il personal computer in dotazione per motivi diversi da quelli strettamente concernenti lo svolgimento dell’attività lavorativa stessa.
È inoltre fatto divieto all’utente, lo scarico e l’installazione di software prelevato da siti Internet o da altre fonti, così come ogni forma di registrazione a siti i cui contenuti non siano legati all’attività lavorativa.
Inoltre, è vietata, salvo specifica ed esplicita autorizzazione della direzione aziendale:

• la partecipazione a forum non professionali;
• l’utilizzo di chat (esclusi gli strumenti espressamente autorizzati);
• l’utilizzo di bacheche elettroniche;
• le registrazioni in guest books anche utilizzando pseudonimi (o nicknames);
• l’utilizzo di social networks.

5.11 POSTA ELETTRONICA
La casella di posta elettronica è uno strumento di lavoro.

La Società ha attivato caselle di posta elettronica funzionali e non nominative, a cui hanno, quindi, accesso più persone. Ciò significa che la casella di posta elettronica è condivisa dagli utenti appartenenti alla medesima funzione.

Laddove, invece, la casella di posta elettronica dovesse essere nominativa, la persona assegnataria di tale casella di posta elettronica sarà direttamente responsabile del corretto utilizzo e funzionamento, e deve mantenerla in ordine.

Si evidenziano le seguenti regole comportamentali:

• la posta elettronica non va utilizzata ai fini personali, ma unicamente a fini lavorativi, nel rispetto di quanto previsto dalle prescrizioni in materia di privacy.

La posta elettronica non va utilizzata come strumento di archiviazione dati, che viene assicurata attraverso altri canali, quali ad es. lo spazio messo a disposizione nelle unità di rete;

• la lista dei destinatari della corrispondenza elettronica deve essere strettamente limitata alle persone che hanno effettiva necessità di essere messe a conoscenza del contenuto del messaggio stesso:
• il destinatario di una comunicazione A: (per competenza) è colui al quale deve giungere in quanto ci si aspetta che faccia e/o decida qualcosa;
• il destinatario di una comunicazione CC: (per conoscenza) è colui il quale deve essere semplicemente conoscere la comunicazione senza fare e/o decidere alcunché;
• il comando “rispondi a tutti” deve essere utilizzato solo nel caso tutti i destinatari (compresi i destinatari “per conoscenza”) abbiano effettiva necessità di essere informati della risposta;
• la comunicazione di lavoro inquadrata all’interno di un’organizzazione deve rispondere a requisiti di efficienza e di pertinenza, ed in termini generali deve pertanto essere inviata solamente alla persona titolata a gestire l’informazione. Non effettuare pertanto escalation verso i responsabili della persona destinataria se non in caso di mancata risposta in tempi ragionevoli, meglio se indicati nel contenuto del messaggio originale;
• è vietato l’utilizzo della posta aziendale per la partecipazione a dibattiti, forum o mailing-list salvo diversa ed esplicita autorizzazione o necessità legate alle attività lavorativa opportunamente giustificate
• sono da evitare messaggi estranei al rapporto di lavoro o alle relazioni tra colleghi;
• è obbligatorio controllare i file allegati ai messaggi di posta elettronica prima del loro utilizzo (non eseguire il download di file eseguibili o documenti da siti Web o Ftp non conosciuti).

Nella configurazione standard, gli utenti aziendali assegnatari della casella di posta elettronica accedono al server Exchange con credenziali a loro assegnate al momento della creazione dell’account.

Infine, sempre con riferimento al sistema di posta elettronica, si rileva che i metadati (log di sistema, informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica...) verranno conservati per un tempo non superiore a 21 gg, così come indicato dal Garante Privacy; tale trattamento sarà finalizzato unicamente ad assicurare il corretto funzionamento delle infrastrutture del sistema della posta elettronica.
5.11.1 Funzionalità di sistema che consentano di inviare automaticamente messaggi di risposta in modo automatico
È possibile abilitare la funzionalità di risposta automatica. In tale messaggio, ogni lavoratore, può indicare le informazioni per contattare un altro collega (ad esempio nome, e-mail e/o telefono) in caso di necessità o di urgenza.

In caso di assenza programmata e prolungata del lavoratore (superiore ai 3 giorni lavorativi), e nell’impossibilità di consultare la posta da remoto, il titolare della casella di posta elettronica deve provvedere ad impostare, mediante opportuna configurazione tramite Exchange, il messaggio di “fuori sede” nel quale specifica:

• la durata del periodo di assenza;
• gli eventuali contatti e-mail alternativi.

Nella comunicazione dell’assenza, propria o di colleghi di lavoro, è vietato specificare la motivazione dell’assenza, (es. per malattia, maternità ecc.), in quanto si tratterebbe di trattamento di dati personali non autorizzato dal titolare. L’Azienda mette a disposizione testi standard da utilizzare per tali necessità.
5.11.2 Firma nelle e-mail aziendali
L’utente deve provvedere ad adeguare la propria firma nelle mail aziendali in modo uniforme allo standard aziendale. Non sono ammesse altre varianti di firma, salvo deroga autorizzata della Direzione aziendale o traduzione del testo stesso in altra lingua:

(nome e cognome)
(funzione)
Bazzacco s.r.l. -
Tel. +39 …………. (+ n. diretto) - Fax +39 ………..
Indirizzo skype
www.bazzacco.net
facebook e instagram

I dati personali sono trattati in conformità a quanto previsto dal Reg. UE 2016/679 per finalità di carattere contrattuale, commerciale ed invio di informazioni. Le informazioni contenute in questo messaggio di posta elettronica e nei file allegati sono da considerarsi strettamente riservate. Precisiamo che eventuali vostre risposte e contenuti/allegati annessi al presente messaggio potranno essere visualizzati non direttamente dal destinatario ma dai soggetti assegnatari della medesima casella di posta elettronica oltre che dai fiduciari preposti che potranno agire per suo conto in caso di assenza.

Per maggiori dettagli sul trattamento dei dati personali vi invitiamo a consultare la privacy policy presente sul sito web www.bazzacco.net.

5.11.3 Accesso ai dispositivi ed alle mailbox aziendali
L’accesso ai dispositivi aziendali e l’apertura di messaggi di posta, in caso di assenza improvvisa o prolungata e per improrogabili necessità legate all'attività lavorativa, è subordinata all’intervento da parte di un altro soggetto (fiduciario) che opererà con il dispositivo e/o verificherà il contenuto dei messaggi e inoltrerà al titolare del trattamento o ad altro dipendente aziendale, quelli ritenuti rilevanti per lo svolgimento dell'attività lavorativa. Il fiduciario potrà essere scelto dall’interessato liberamente tra i propri colleghi. In mancanza di individuazione, tale fiduciario coinciderà il responsabile gerarchico o con la persona autorizzata dalla Direzione aziendale. Il fiduciario sarà nominato dal lavoratore interessato. A questi il lavoratore interessato comunicherà le proprie credenziali di accesso in merito alle quali il fiduciario è tenuto alla massima riservatezza.

Ciascun dipendente avrà la facoltà di nominare uno o più fiduciari, che saranno autorizzati, previa breve comunicazione al responsabile gerarchico, ad accedere al PC ed alla relativa casella di posta elettronica del collega in caso di sua assenza. L’accesso a tali dispositivi utilizzando le credenziali custodite in busta chiusa, verrà effettuato soltanto nei casi in cui non sarà possibile, a fronte dell’assenza del lavoratore interessato, eseguire l’accesso per mezzo del fiduciario.

In tale ipotesi, il custode aprirà la busta chiusa contenente le credenziali di accesso del lavoratore assente e le consegnerà al soggetto che necessita di accedere alle informazioni aziendali contenute all’interno dei dispositivi del predetto lavoratore assente.

Al rientro in azienda il lavoratore interessato verrà informato dell’avvenuto accesso ai suoi dispositivi aziendali e verrà altresì invitato a modificare la password e a consegnarla in busta chiusa al custode ed al fiduciario da questi nominato.

5.11.4 Gestione della mailbox aziendale nominativa in caso di cessazione del rapporto di lavoro
In caso di cessazione del rapporto di lavoro, l’Azienda provvederà all’inserimento di un avvertimento ai destinatari nel quale verrà dichiarata la fine della collaborazione del dipendente con l’azienda. Il disclaimer sarà attivo per un periodo di tempo definito dalla Direzione aziendale in base alla mansione del lavoratore, ed in ogni caso non superiore a 30 giorni. Durante tale periodo, al fine di gestire le nuove richieste, le e-mail in arrivo potranno essere inoltrate al fiduciario (vedi punto precedente). Trascorso il termine, la casella di posta elettronica del dipendente cessato verrà disabilitata.

5.12 TELELAVORO
Su richiesta, se giustificata da comprovati motivi che comportino l’assenza dal posto di lavoro, è possibile attivare la modalità di telelavoro mediante collegamento alla rete dell’azienda assicurato tramite VPN.

Il dispositivo/personal computer utilizzato per il collegamento VPN è da considerarsi dispositivo collegato alla rete aziendale; pertanto, valgono tutti gli accorgimenti e prescrizioni per l’utente previste dal paragrafo 4 del presente paragrafo, sia durante la sessione di collegamento in VPN sia durante l’utilizzo del dispositivo/pc in locale.

È compito e responsabilità dell’utente assicurarsi che il sistema operativo del dispositivo utilizzato per il collegamento VPN sia aggiornato e che sia protetto da antivirus aggiornato.

Le credenziali fornite all’utente per il collegamento VPN sono personali e all’utente è proibito cederle o permettere ad altre persone il collegamento VPN alla rete aziendale.

Nell’attività di telelavoro è proibito trasferire/copiare file dalla rete aziendale al dispositivo locale sia in download che in upload.

A fini di controllo della regolarità dei collegamenti VPN alla rete aziendale e di efficienza nell’utilizzo della banda internet, l’orario di inizio, di fine e la durata dei collegamenti VPN di ogni utente potrà essere oggetto di monitoraggio e registrazione. I dati, limitatamente agli accessi alla rete aziendale, verranno conservati per 6 mesi.

Per ottenere l’autorizzazione ad accedere all’infrastruttura informatica dell’Azienda mediante un collegamento diretto e sicuro (VPN), gli utenti VPN sono tenuti, laddove non lo avessero già fatto, a prendere visione e ad accettare, sottoscrivendolo, il presente Regolamento aziendale.

Eventuali deroghe al sistema di connessione remota sopra descritto possono essere autorizzate dalla Direzione aziendale previa valutazione delle singole richieste da parte degli utenti.

I social media sono siti web che consentono alle persone registrate di esprimersi, partecipare a discussioni e pubblicare contenuti.

Oltre ai social media noti come Facebook, Twitter, LinkedIn, Telegram, il termine “social media” include anche blog, forum, siti web con sistemi di commento, ecc..

Questo fenomeno genera notevoli cambiamenti nell’ambito e nella platea dei contenuti pubblicati di cui gli utenti devono tenere conto, sia in ambito lavorativo, che nel loro utilizzo personale, conformemente a leggi e regolamenti aziendali.

Solo i dipendenti autorizzati possono parlare per conto della Società sui social media.

Tuttavia, sono autorizzati a parlare della propria attività a proprio nome ed è loro responsabilità garantire la riservatezza delle informazioni sensibili della Società in conformità con la politica in materia di riservatezza e di non pubblicarle. Alcune informazioni potrebbero essere riservate: la loro pubblicazione su un social network potrebbero danneggiare la Società.

Tutte le persone che menzionano il lavoro che svolgono presso la Società devono rispettare il proprio pubblico ed evitare commenti diffamatori, offensivi o calunniosi. Inoltre, devono essere consapevoli del fatto che sono personalmente e legalmente responsabili del contenuto che pubblicano sui social media.

Per quanto concerne le richieste di assistenza IT siano esse relative a qualsiasi problematica inerente alle postazioni di lavoro, ai dispositivi in genere (stampanti, scanner ecc.) e/o alle applicazioni aziendali e/o generici dubbi su quale comportamento adottare, la procedura prevede l’inoltro di una e-mail all’IT, all’indirizzo it@bazzacco.net, oppure l’apertura della richiesta a mezzo telefono.

Per richieste di assistenza relative a sblocco account o reset della password possono essere richieste solo dal titolare delle credenziali. 

L’intervento risolutivo potrà essere eseguito direttamente sul PC dell’utente oppure attraverso collegamento remoto, il cui utilizzo è monitorato da apposito registro delle connessioni effettuate.

Gli apparecchi di proprietà personale dell’Utente quali computer portatili, telefoni cellulari, agende palmari, hard disk esterni, penne USB, lettori musicali o di altro tipo, fotocamere digitali, ecc. non potranno essere collegati ai computer o alle reti informatiche aziendali, salvo preventiva autorizzazione scritta della Società.

Inoltre, la Società non consente l’utilizzo di tali dispositivi personali durante l’orario di lavoro, salvo specifica autorizzazione della Direzione.

La Società, in linea con quanto prescritto dall’ordinamento giuridico italiano (art. 4, Statuto dei Lavoratori), esclude la configurabilità di forme di controllo aziendali aventi direttamente ad oggetto l’attività lavorativa dell’Utente.

Pertanto, i controlli posti in essere saranno sempre tali da evitare ingiustificate interferenze con i diritti e le libertà fondamentali dei lavoratori e non saranno costanti, prolungati e indiscriminati.

Controlli periodici e/o occasionali per ragioni legittime, specifiche e non generiche, verranno effettuati esclusivamente da soggetti autorizzati dalla Direzione aziendale.

Tali ragioni legittime possono essere:

• Verifica del corretto utilizzo degli strumenti di lavoro (es. pc aziendali);
• ordinaria amministrazione e manutenzione dei sistemi informatici;
• rilevazione di eventuali violazioni delle norme sull’utilizzo della rete internet;
• proteggere informazioni e file, in particolare quelli contenenti dati personali sensibili;
• evitare la perpetrazione di comportamenti illeciti e/o abusi informatici;
• blocco del PC, infezione da virus non rilevato dal sistema di sicurezza;
• guasto di elementi hardware che rendono impossibile la prosecuzione dall’attività lavorativa;
• instabilità o blocco di sistemi software o della Linea Internet.

Graduazione dei controlli

La Società, nel riservarsi il diritto di procedere ai controlli sul corretto utilizzo da parte degli utenti dei beni e dei servizi informatici aziendali (artt. 2086, 2087 e 2104 c.c.), agirà in base al principio della “gradualità”.

Secondo questo principio:

• i controlli saranno effettuati inizialmente solo su dati aggregati riferiti all’intera struttura aziendale ovvero a singole aree lavorative.
• Nel caso in cui si dovessero riscontrare violazioni del presente disciplinare interno, indizi di commissione di gravi abusi o illeciti o attività contrarie ai doveri di fedeltà e diligenza, verrà diffuso un avviso generalizzato, o circoscritto all’area o struttura lavorativa interessata, relativo all’uso anomalo degli strumenti informatici aziendali, con conseguente invito ad attenersi scrupolosamente alle istruzioni ivi impartite.
• In caso siano rilevate ulteriori violazioni, si potrà procedere con verifiche più specifiche e puntuali, anche su base individuale.

Verifica sui dati aggregati per area -> Avviso generalizzato a rispettare le istruzioni e compiti -> Controlli individuali

I dati ottenuti dai controlli effettuati saranno conservati esclusivamente per il tempo necessario al perseguimento delle finalità sopra individuate. La Società limiterà il proprio accesso alle informazioni indispensabili necessarie per assicurare il raggiungimento delle finalità appena indicate, in ogni caso, nel rispetto e con l’osservanza delle leggi vigenti, inclusi il GDPR e le disposizioni normative, regolamentari.

Sanzioni

Coloro che dovessero violare quanto disposto dal presente regolamento aziendale saranno soggetti alle azioni disciplinari ai sensi dell’art.7 della Legge 300/1970.

Nel caso di interventi per esigenze di manutenzione del sistema, sarà posta opportuna cura nella prevenzione di accessi illegittimi a dati personali presenti in cartelle o spazi di memoria.

I soggetti preposti al trattamento dei dati (in particolare, gli incaricati della manutenzione) svolgeranno solo operazioni strettamente necessarie al perseguimento delle relative finalità, senza realizzare attività di controllo a distanza, anche di propria iniziativa.

I soggetti che operano quali amministratori di sistema o figure analoghe, cui siano rimesse operazioni connesse al regolare funzionamento dei sistemi, sono edotti e consapevoli delle linee di condotta da tenere, attraverso un'adeguata attività formativa sui profili tecnico-gestionali e di sicurezza delle reti, sui principi di protezione dei dati personali e sul segreto nelle comunicazioni.

Fatto salvo che Bazzacco potrà impartire agli incaricati ex art. 29 del Reg. UE 2016/679 specifiche e/o ulteriori istruzioni sul trattamento di dati personali, qui sotto si riportano alcune indicazioni operative rivolte a tutti gli incaricati del trattamento dei dati.

• L’incaricato del trattamento dovrà aver accesso ai soli dati personali la cui conoscenza è strettamente necessaria per adempiere ai compiti a lui assegnati.
• L’incaricato dovrà controllare e custodire gli atti e i documenti contenti i dati personali per l’intero ciclo necessario allo svolgimento delle operazioni.
• All’incaricato compete la conservazione degli atti e dei documenti a lui affidati; l’incaricato stesso provvederà a restituirli al termine delle operazioni affidate.
• L’incaricato, in caso di trattamento di dati sensibili o di dati giudiziari dovrà controllare e custodire gli atti e i documenti a lui affidati, fino alla restituzione, in maniera che ad essi non accedano persone prive di autorizzazione, e restituirli al termine delle operazioni affidate.
• L’incaricato dovrà conservare e custodire i supporti non informatici contenenti la riproduzione di informazioni relative al trattamento dei dati sensibili o dati giudiziari osservando le misure sopradescritte.
• L’incaricato, nelle operazioni di trattamento, dovrà ridurre al minimo i rischi di distruzione e perdita.
• L’incaricato che effettua operazioni di trattamento mediante l’ausilio di strumenti elettronici o automatizzati dovrà utilizzare il codice identificativo e la parola chiave a lui forniti dal Titolare, attraverso l’IT/Ads, e custodirli con la dovuta riservatezza.
• L’incaricato dovrà modificare la parola chiave al primo utilizzo e alle scadenze previste, ricordando che la password dovrà essere composta da almeno 8 (otto) caratteri alfanumerici, maiuscoli, minuscoli e speciali ($, @, &, eccetera), oppure dai caratteri che la Società deciderà di indicare, e non dovrà contenere riferimenti agevolmente riconducibili all’incaricato
• L’incaricato dovrà modificare la parola chiave al primo utilizzo e alle scadenze previste, ogni qualvolta richiesto dal sistema, azione impostata in modo da obbligare l’utente a modificare la password almeno ogni tre mesi, oppure secondo le istruzioni fornite dall’IT.
• L’incaricato non dovrà lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento (seguendo le istruzioni operative impartite dall’IT o dagli incaricati alla manutenzione e gestione degli strumenti elettronici).
• Nel caso di utilizzo di supporti di memorizzazione contenenti dati sensibili o dati giudiziari, l’incaricato potrà riutilizzarli qualora le informazioni precedentemente contenute non siano tecnicamente in alcun modo recuperabili, altrimenti dovranno essere distrutti.

1.1 NORME A CUI ATTENERSI PER EVITARE RISCHI PROVOCATI DAI VIRUS INFORMATICI
1.1.1 Fattori di incremento del rischio e comportamenti da evitare
I seguenti comportamenti comportano un incremento dei livelli di rischio informatico:

• riutilizzo di supporti di archiviazione già adoperati in precedenza;
• uso di software gratuito (o shareware) prelevato da siti internet o in allegato a riviste o libri;
• uso di chiavi USB non autorizzate;
• collegamento in rete, nel quale il client avvia solo applicazioni residenti nel proprio disco rigido;
• collegamento in rete, nel quale il client avvia anche applicazioni residenti sul disco rigido del server;
• uso di modem per la posta elettronica e prelievo di file da BBS o da servizi commerciali in linea o da banche dati;
• ricezione di applicazioni e dati dall'esterno, Amministrazioni, fornitori, ecc.
• utilizzo dello stesso computer da parte di più persone;
• collegamento in Internet con download di file eseguibili o documenti di testo da siti WEB o da siti FTP;
• collegamento in Internet e attivazione degli applets di Java o altri contenuti attivi;
• file allegati di posta elettronica.

1.1.1 Norme basilari di comportamento
Si premette che per supporti esterni di archiviazione si intendono tutti i dispositivi rimovibili il cui utilizzo in azienda è autorizzato dal Titolare del trattamento:
Floppy Disk; Cd-Dvd, sia registrabili che riscrivibili; Chiavi USB; Hard-Disk esterni; schede di memoria Flash (es. SD, CompactFlash, MemoryStick, ecc.)

Al fine di evitare problemi correlati ad infezioni informatiche, dovranno essere rispettate almeno le seguenti prescrizioni:

• i supporti esterni di archiviazione, sia quando vengono forniti sia quando vengono ricevuti, devono essere sottoposti a scansione da parte del programma antivirus;
• è obbligatorio sottoporre a controllo tutti i supporti esterni di archiviazione di provenienza incerta prima di eseguire o caricare uno qualsiasi dei files in esso contenuti;
• limitare la trasmissione di files eseguibili e di sistema tra computer in rete;
• non utilizzare i server di rete come stazioni di lavoro;
• non aggiungere mai dati o files ai supporti esterni di archiviazione contenenti programmi originali.