Documento Programmatico Sulla Sicurezza

giunta regionale – 8^ legislatura
ALLEGATOA alla Dgr n. 1003 del 23 marzo 2010 pag. 1/41
DOCUMENTO PROGRAMMATICO
SULLA SICUREZZA
dati personali sensibili e giudiziari
trattati con strumenti elettronici (server)
siti presso il CED di Regione del Veneto - Giunta Regionale.
(ART. 34 - REGOLA 19 DELL’ALLEGATO B

DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
D.LGS. 196/2003)
Anno 2010
INDICE D.P.S.
Premessa............................................................................................................................................................ 3
Elenco dei trattamenti di dati personali (regola 19.1)........................................................................................ 4
Definizione.................................................................................................................................................... 4
Contenuti....................................................................................................................................................... 4
Distribuzione dei compiti e delle responsabilità (regola 19.2) .......................................................................... 5
Definizione.................................................................................................................................................... 5
Contenuti....................................................................................................................................................... 5
Definizioni dei “Ruoli di Legge" e abbinamento con i "Ruoli Aziendali" ............................................... 5
Struttura Organizzativa per l’ambito privacy e sicurezza......................................................................... 6
Analisi dei rischi che incombono sui dati (regola 19.3) .................................................................................... 9
Definizione.................................................................................................................................................... 9
Contenuti....................................................................................................................................................... 9
Tabella 1). Analisi generale dei rischi per i server. .................................................................................. 9
Misure in essere e da adottare (regola 19.4).................................................................................................... 11
Definizione.................................................................................................................................................. 11
Contenuti..................................................................................................................................................... 11
Sicurezza Fisica (Locali CED) ............................................................................................................... 11
Sicurezza Server ( CED)......................................................................................................................... 12
Sicurezza Network (rete) ........................................................................................................................ 13
Regole comportamentali ......................................................................................................................... 17
Tabella 2). Le misure di sicurezza adottate o da adottare....................................................................... 18
Criteri e modalità di ripristino della disponibilità dei dati (regola 19.5) ......................................................... 21
Definizione.................................................................................................................................................. 21
Contenuti..................................................................................................................................................... 21
Politica di backup.................................................................................................................................... 21
Pianificazione degli interventi formativi previsti (regola 19.6)....................................................................... 22
Definizione.................................................................................................................................................. 22
Contenuti..................................................................................................................................................... 22
Trattamenti affidati all’esterno (regola 19.7) .................................................................................................. 23
Definizione.................................................................................................................................................. 23
Contenuti..................................................................................................................................................... 23
Cifratura dei dati o separazione dei dati identificativi (regola 19.8) ............................................................... 24
Definizione.................................................................................................................................................. 24
Contenuti..................................................................................................................................................... 24
Tabella T1-2010: “Gestione Sistema Informativo Regionale Veneto” (GESIRV) ......................................... 25
Tabella T2-2010: “Applicazioni in hosting/housing”...................................................................................... 37
Regione del Veneto / Giunta Regionale – Documento Programmatico sulla Sicurezza – 2010
Premessa
I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze
acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in
modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di
distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non
consentito o non conforme alle finalità della raccolta (Art.31, D.Lgs. 196/2003).
Ai sensi dell’art.34 del D.Lgs. 196/2003, per il trattamento di dati personali effettuato con strumenti
elettronici è adottata, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B) del D.Lgs.
196/2003, la “misura minima” costituita dal presente Documento Programmatico sulla Sicurezza (D.P.S.) –
anno 2010.
Il Titolare del Trattamento – Giunta Regionale provvede con il presente documento, all’elaborazione del
D.P.S. per i dati sensibili e giudiziari presenti sui Server regionali, siti presso il CED di Regione del Veneto –
Giunta Regionale, ai sensi della regola 19 dell’Allegato B) del D.Lgs. 196/2003.
Il CED di Regione del Veneto – Giunta Regionale è situato presso la Direzione Sistema Informatico,
Complesso VEGA, Palazzo Lybra, Via Pacinotti n. 4, 30175 - Venezia Marghera.
Di fatto l'oggetto di tale documento abbraccia anche trattamenti di dati personali diversi da quelli sensibili e
giudiziari, comunque ospitati in sistemi di elaborazione (server), ponendosi l'obiettivo di individuare i criteri
e le procedure per garantire un più elevato livello di protezione fisica e logica non limitato ai dati sensibili e
giudiziari, ma esteso ad un'area operativa più vasta.
Per quanto concerne eventuali trattamenti di dati sensibili e/o giudiziari, memorizzati su stazioni di lavoro o
server dislocati presso le diverse strutture regionali, afferenti all’area Giunta Regionale, e non ospitati presso
i server regionali del CED, i Responsabili del Trattamento (Segretari Regionali, Dirigenti di struttura e
Responsabili delle segreterie degli organi politici) sono incaricati di redigere un apposito “D.P.S.
integrativo”.
* * *
Il Servizio di gestione, manutenzione, supporto e sviluppo di applicazioni presenti sui Server regionali, siti
presso il CED di Regione del Veneto – Giunta Regionale, è stato affidato, a conclusione di gara d’appalto
DIR1/2008 indetta dalla Direzione Sistema Informatico, per il periodo 01.01.2010-31.12.2016, alle imprese
in RTI:
- Engineering Ingegneria Informatica S.p.A. (Impresa Mandataria),
- IBM Italia S.p.A. (mandante),
- Elsag Datamat S.p.A. (mandante).
Tale raggruppamento di imprese subentra e sostituisce a tutti gli effetti le imprese incaricate del medesimo
servizio negli anni precedenti ed indicate nei Documenti Programmatici sulla Sicurezza anteriori a quello
dell’anno in corso.
* * *
Elenco dei trattamenti di dati personali (regola 19.1)
Definizione
19.1. l’elenco dei trattamenti di dati personali sensibili e giudiziari;
Contenuti.
Ai fini del presente D.P.S., per "trattamento di dati” si intende, qualunque operazione o complesso di
operazioni, effettuati con l'ausilio di strumenti elettronici, concernenti: la raccolta, la registrazione,
l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione,
il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la
distruzione di dati (art.4 del D.Lgs. 196/2003).
Intendendo per:
a) "dati sensibili": i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a
rivelare lo stato di salute e la vita sessuale;
b) “dati giudiziari”: i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1,
lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario
giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi
pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura
penale.
Per ciascun trattamento sono riportate le informazioni essenziali relative alla natura dei trattamenti, alla
categoria dei dati, alla struttura regionale responsabile della gestione del trattamento, alle strutture che
concorrono al trattamento, al modello di comunicazione (collegamento in rete).
Gli elenchi dei trattamenti, contenuti nelle tabelle T1-2010 “Gestione Sistema Informativo Regionale
Veneto” (GESIRV) e T2-2010 “Applicazioni in hosting/housing” riportate in fondo al presente documento,
sono il risultato dell’ultima attività di assessment condotta nei primi mesi del 2010.
La tabella T2-2010 “Applicazioni in hosting/housing”, si riferisce ad applicazioni per le quali il CED

garantisce la disponibilità dei server ospitanti, essendo la gestione a carico delle strutture di riferimento
indicate nella specifica colonna.
* * *
Distribuzione dei compiti e delle responsabilità (regola 19.2)
Definizione
19.2. la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei
dati;
Contenuti
La regola 19.2 dell’Allegato B) del D.Lgs.196/2003 prevede che l'elaborazione del Documento
Programmatico sulla Sicurezza avvenga sulla base della distribuzione dei compiti e delle responsabilità
nell'ambito delle strutture preposte al trattamento dei dati personali.
L’Amministrazione Regionale per poter sovrintendere con maggiore efficacia alle attività di coordinamento
e controllo degli adempimenti in materia di Privacy e Sicurezza, ha inteso dotarsi di un'organizzazione più
articolata rispetto ai ruoli previsti dalla normativa.
Definizioni dei “Ruoli di Legge" e abbinamento con i "Ruoli Aziendali"
Di seguito si indicano i ruoli e le competenze assegnate all'interno della Regione del Veneto – Giunta
Regionale, per ognuna delle figure previste dalla vigente normativa:
Titolare: persona fisica o giuridica o altro organismo cui competono le decisioni in ordine alle finalità e
modalità del trattamento dei dati personali, compreso il profilo della sicurezza.
In attuazione della Circolare Regionale n.5 del 8 maggio 1997, approvata con DGR n. 1620 del 1997, la
Giunta Regionale è stata individuata Titolare dei trattamenti effettuati dalle strutture facenti capo alla stessa
Giunta.
Responsabile del trattamento: persona fisica o giuridica preposta dal titolare al trattamento dei dati personali.
I Responsabili dei Trattamenti sono stati identificati con i Responsabili delle Strutture così come di seguito
definiti e con i soggetti pubblici e/o privati esterni all’Amministrazione Regionale (Responsabili esterni), che
svolgono trattamenti in nome e per conto della stessa.
I compiti affidati al Responsabile del Trattamento sono specificati analiticamente per iscritto nel documento
denominato: “Compiti del Responsabile del Trattamento”, diffuso in ambito regionale in occasione
dell’ultima designazione dei Responsabili del trattamento. Tale designazione è avvenuta con D.G.R. n. 540
del 11.03.2008, a seguito della DGR n. 4566 del 28 dicembre 2007 << Organizzazione amministrativa delle
strutture afferenti alla Giunta regionale. Conferma dei criteri per il conferimento delle strutture e proroga
degli incarichi di Dirigente Regionale. Legge regionale 10 gennaio 1997 n. 1>> e della DGR n. 4567 del 28
dicembre 2007 << Legge regionale 10 gennaio 1997 n. 1, artt. 21 e 22. Affidamento incarichi di Dirigente
Regionale>>, che hanno parzialmente rivisto l’assetto organizzativo dell’Amministrazione.
Incaricato: persona fisica identificata tramite apposita nomina del Responsabile del trattamento che esegue le
operazioni di trattamento.
La nomina degli incaricati del trattamento rientra tra le competenze dei predetti Responsabili del trattamento.
Tutto il personale della Regione del Veneto che tratta dati personali, in funzione delle mansioni attribuite,
deve essere nominato Incaricato del trattamento, con un aggiornamento periodico dell’ambito del trattamento
medesimo.
Addetti alla custodia delle parole chiave: persone incaricata della custodia delle parole chiave o di accedere
alle informazioni ad esse relative. Compito da assegnare a personale da individuare all'interno di ciascuna
struttura in funzione della posizione e dei requisiti di affidabilità posseduti.
La nomina dei custodi delle password rientra tra le competenze dei Responsabili del trattamento.
Amministratori di sistema: soggetti cui è conferito il compito di sovrintendere alle risorse del sistema
operativo e/o di gestione dei data base e di consentirne l’utilizzazione.
Sono individuati nei Dirigenti Regionali in capo ai quali è configurabile la gestione e la responsabilità di un
sistema informatico ovvero nei soggetti esterni incaricati della gestione del sistema informatico.
Per quanto riguarda il “Servizio di gestione, manutenzione, supporto e sviluppo delle applicazioni costituenti
il sistema informativo della Regione del Veneto-Centro Sviluppo Servizi Territoriali mediante servizi di call
center ed help desk” (GESIRV), gara DIR1/2008, si è proceduto - con DDR n. 113 del 28.09.2009 del
Dirigente della Direzione Sistema Informatico - alla designazione di Responsabile esterno del trattamento
delle imprese in RTI:
Tale RTI ha ricevuto dal Dirigente della Direzione Sistema Informatico una nota contenente istruzioni e
criteri circa gli Amministratori di Sistema (provvedimento del Garante Privacy del 27.11.2008, modificato in
data 25.06.09, G.U. n. 149 del 30.06.2009). Ha quindi trasmesso all’Amministrazione regionale i Curricula
Vitae degli Amministratori di Sistema (AdS) proposti e, con il benestare dell’Amministrazione Regionale
sugli stessi, ha designato formalmente i soggetti predetti quali AdS, inserendo nell’atto di nomina l’ambito di
gestione del sistema informatico di propria competenza.
L’elenco degli Amministratori di Sistema, se necessario, verrà aggiornato con la stessa procedura ed è
conservato presso la segreteria della Direzione Sistema Informatico, insieme al Curriculum di ogni singolo
amministratore ed alle lettere di designazione.
Per quanto concerne l’eventuale parte residua delle apparecchiature, non rientranti nel servizio di gestione
del C.S.S.T (GESIRV), sopracitato (es: apparecchiatura acquistata e gestita del tutto autonomamente dalle
strutture regionali), la responsabilità delle funzioni di “amministratore di sistema” è ricoperta dal
Responsabile del trattamento della struttura cui fanno capo le suddette apparecchiature.
Struttura Organizzativa per l’ambito privacy e sicurezza.
Di seguito sono definite le funzioni specifiche espletate in ambito “Privacy & Security” dalle Strutture
Regionali ed è schematizzato l’assetto organizzativo di cui si è dotata l’Amministrazione Regionale:
RUOLI E PROFILI ORGANIZZATIVI
TITOLARE DEL TRATTAMENTO

REGIONE VENETO/GIUNTA REGIONALE
SEGRETERIA GENERALE DELLA

PROGRAMMAZIONE
UFFICIO SICUREZZA UFFICIO COMITATO PER

INFORMATICA PRIVACY LA SICUREZZA
INFORMATICA E
TELEMATICA
REFERENTI DI
STRUTTURA
RESPONSABILI DEL
TRATTAMENTO
RESPONSABILI DIRIGENTI E
ESTERNI SEGRETARI REGIONALI
AMMNISTRATORE INCARICATI INCARICATI INCARICATI DEL

DI SISTEMA MANUTENZIONE ESTERNI TRATTAMENTO
DIPENDENTI REGIONALI
Segreteria Generale della Programmazione: svolge attività di coordinamento generale e formulazione delle
direttive necessarie ai fini dell'attuazione del D.Lgs. 196/2003 all'interno dell'Amministrazione, come già
disposto con circolare regionale n.8/2000 approvata con D.G.R. 917/2000.
Segreterie Regionali: sovrintendono all'attività svolta in materia di privacy nella rispettiva area di
competenza, come da indicazioni dettate con circolare regionale n.8/2000 approvata con D.G.R. 917/2000.
Comitato per la Sicurezza Informatica e Telematica:

Istituito con Decreto del Segretario Generale della Programmazione n.2663 del 19.12.2000, a tale organismo
spetta il compito di definire gli obiettivi generali di sicurezza della Regione del Veneto, in modo allineato e
congruente con la missione dell’Amministrazione.
Il suo assetto organizzativo è stato ridefinito con DGR n.584 del 5 marzo 2004.
Tale DGR ha approvato il documento “Linee Guida di Sicurezza Informatica”, che al punto 5) prevede
un'adeguata Struttura Organizzativa di gestione della sicurezza nella Regione Veneto.
La piena funzionalità di tale organizzazione, già operativa, costituisce una condizione indispensabile per
l'attuazione di un processo strutturato ed efficace di definizione, creazione, diffusione, applicazione e
controllo delle Procedure di Sicurezza.
Per un’analisi dettagliata di tale struttura organizzativa, il cui modello è rappresentato schematicamente nella
figura successiva, si rinvia alla suddetta DGR.584 del 5 marzo 2004.
Struttura Organizzativa di gestione della sicurezza nella Regione Veneto.
Ufficio Sicurezza Informatica (Responsabile della Sicurezza): fornisce consulenza e attività tecnico-operativa
per l'esecuzione delle politiche di sicurezza collaborando attivamente con il Comitato per la Sicurezza
Informatica e Telematica.
Ufficio Privacy: le attività svolte si possono riassumere in due macro-aree:
1. Coordinamento adempimenti regionali in materia di privacy e predisposizione di direttive per

standardizzare i processi delle strutture regionali per il corretto trattamento e la sicurezza dei dati.
2. Pareri e consulenze alle strutture regionali su questioni relative a: privacy, diritto di accesso,
riservatezza e diffusione dei dati personali. Organizzazione di incontri su questioni di privacy; cura
dei rapporti con l’Autorità Garante per la Protezione dei Dati Personali; partecipazione ai tavoli di
lavoro interregionali in materia della privacy.
Collabora con l’Ufficio Sicurezza Informatica nelle attività di esecuzione delle politiche di sicurezza.
Referenti Privacy di struttura: nominati dai Responsabili del trattamento, collaborano con questi e si
relazionano con l'Ufficio Privacy.
* * *
Analisi dei rischi che incombono sui dati (regola 19.3)
Definizione
19.3. l’analisi dei rischi che incombono sui dati;
Contenuti
Sono stati individuati i principali eventi potenzialmente dannosi (minacce) che gravano sui Server per la
sicurezza dei dati con valutazione della gravità rispetto ai rischi relativi alla disponibilità, confidenzialità ed
integrità.
Evento: contiene l’elenco delle minacce che comportano rischi per la sicurezza dei dati personali sensibili e
giudiziari.
Gravità dell’evento (alta, media, bassa): valutazione della gravità delle conseguenze (legate alla perdita di
disponibilità, confidenzialità e integrità), anche in relazione alla probabilità stimata dell’evento.
Tabella 1). Analisi generale dei rischi per i server.

Rischio e relativa gravità stimata
Evento Dannoso Confidenzialità Integrità Disponibilità
Bassa Media Alta Bassa Media Alta Bassa Media Alta
Sottrazione di credenziali di
autenticazione X X X
carenza di consapevolezza,
disattenzione o incuria X X X
Comportamenti
degli operatori
comportamenti sleali o fraudolenti
X X X
errore materiale
X X X
Utilizzo a rotazione della postazione
di lavoro non regolamentato
X X X
Eventi relativi azione di virus informatici o di codici
agli strumenti malefici X X X
spamming o altre tecniche di

sabotaggio X X X
malfunzionamento, indisponibilità o
degrado degli strumenti X X X
accessi esterni non autorizzati

X X X
intercettazione di informazioni in
rete X X X
accessi non autorizzati a

locali/reparti ad accesso ristretto X X X
asportazione e furto di strumenti

contenenti dati X X X
Eventi relativi
al contesto eventi distruttivi, naturali o artificiali,
dolosi, accidentali
o dovuti ad incuria
X X X
Guasto ai sistemi complementari

(impianto elettrico, climatizzazione,
...)
X X X
Errori umani nella gestione della

sicurezza fisica X X X
* * *
Misure in essere e da adottare (regola 19.4)
Definizione
19.4. le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree
e dei locali, rilevanti ai fini della loro custodia e accessibilità;
Contenuti
In questa sezione sono riportate, in forma sintetica, le misure in essere e da adottare a contrasto dei rischi
individuati dall’analisi dei rischi effettuata sul contesto attuale (“AS IS”). Durante il Progetto di
Convergenza1 verrà eseguita un’ulteriore analisi dei rischi sul nuovo perimetro che si verrà a creare (“TO
BE”).
Per misura ai sensi della regola 19.4 si intende lo specifico intervento tecnico od organizzativo, posto in
essere per prevenire, contrastare e/o ridurre gli effetti relativi ad una specifica minaccia, comprese le attività
di verifica e controllo nel tempo, essenziali per assicurarne l’efficacia.
Si sottolinea che i trattamenti sono effettuati con server ospitati in aree garantite da livelli di protezione
adeguati al grado di sicurezza richiesto dal trattamento.
Il CED di Regione del Veneto – Giunta Regionale è situato presso la Direzione Sistema Informatico, con
sede in Venezia Marghera, Complesso VEGA, Palazzo Lybra, Via Pacinotti n. 4.
Sicurezza Fisica (Locali CED)
Alimentazione elettrica: I “rack”che ospitano i server hanno il doppio collegamento alle linee preferenziali
dell’impianto di alimentazione elettrica e sono dotati di UPS (uninterruptible power supply) e di un gruppo
di continuità alimentato con combustibile.
I quadri elettrici, dotati di chiusura a chiave, sono accessibili solo dal personale autorizzato.
Impianto di condizionamento: i locali dei CED contenenti i sistemi di elaborazione sono dotati di impianti di
condizionamento in grado di mantenere la temperatura e l’umidità ambientale entro i parametri ottimali di
funzionamento delle apparecchiature.
Tali impianti sono soggetti a regolare manutenzione e sottoposti a verifiche periodiche.
Controllo accessi “fisici”: l’accesso fisico ai locali è consentito alle sole persone appositamente autorizzate
ed in possesso del badge magnetico abilitato all’apertura delle porte dei locali CED.
I server di importanza critica sono ospitati in armadi (cabinet), muniti di chiusura a chiave e dotati di
alimentazione e collegamenti in rete.
Un sistema di videosorveglianza, con telecamere a circuito chiuso, il cui Responsabile è il Dirigente
regionale della Direzione Demanio Patrimonio e Sedi, garantisce la registrazione dei movimenti delle
persone negli spazi comuni del CED.
1
Nell’ambito del nuovo “Servizio di gestione, manutenzione, supporto e sviluppo delle applicazioni costituenti il
sistema informativo della Regione del Veneto-Centro Sviluppo Servizi Territoriali mediante servizi di call center ed
help desk” (GESIRV), gara DIR1/2008, è previsto un periodo di passaggio dal “AS IS” al “TO BE” nel quale si darà
esecuzione al processo di “Convergenza” della situazione attuale (contesto tecnologico architetturale in essere) dei
servizi così come prodotti dal modello “AS IS” in quella necessaria e propedeutica alla determinazione del modello
“TO BE”.
La Direzione Sistema Informatico ha avviato un processo di razionalizzazione dei sistemi di allarme e di

controllo, a mezzo di appositi sensori collegati alle porte esterne, che consentono al personale di Vigilanza di
rilevare tempestivamente anomalie e aperture delle porte “allarmate”. Sono stati installati e messi in
funzione, inoltre, dei video-citofoni all’ingresso dei piani secondo e terzo, collegati con la postazione del
personale di Vigilanza situata al piano primo.
All’interno della Direzione Sistema Informatico è stato attivato, altresì, un sistema di allarme/rilevatore di
presenze volumetrico in funzione durante le ore notturne e nei giorni non lavorativi, al fine di rilevare accessi
non autorizzati ai locali ed al CED della Direzione medesima, contribuendo così ad elevare la sicurezza
fisica dei locali della medesima Direzione.
Sistema antincendio e antintrusione: i locali CED sono dotati di rilevatori di fumo e sensori antintrusione. Gli
estintori sono dislocati all’interno e nelle vicinanze dei locali CED.
Tali sistemi sono soggetti a verifiche e test periodici.
Cablaggio e montaggio: i cavi di collegamento alla rete sono organizzati in armadi, dotati di chiusura a
chiave ed appositamente etichettati. I collegamenti fisici effettuati solo dal personale autorizzato, sono
riportati e siglati in un registro appositamente predisposto a livello di armadio e contenuto all’interno
dell’armadio medesimo.
Sicurezza Server ( CED)
I Server ospitati presso il CED della Regione Veneto/Giunta Regionale sono classificati secondo due
macrocategorie: piattaforma Microsoft Windows (prevalente) e piattaforma “X”-nix. (Unix e Linux).
I server della piattaforma “Windows”, per la quasi totalità, operano con sistema operativo Microsoft 2003 e,
per una minima parte, con sistema operativo Windows 2000.
Le funzionalità dei server su piattaforma Windows sono: domain controller (primario e secondario), web
server, application server, file server e DB server.
La piattaforma “X”-nix è costituita da elaboratori con sistema operativo UNIX e da elaboratori con sistema
operativo Linux, con funzionalità di web server, application server, file server e DB server.
Affidabilità/Ridondanza: la configurazione hardware dei server è basata su architettura Cluster, con

ridondanza degli elementi critici (alimentatori, interfacce di rete, hard disk, etc), che garantisce un’elevata
affidabilità.
Hard Disk RAID: in caso di guasto sugli hard disk, l’affidabilità è assicurata dall’adozione di dischi multipli
in configurazione RAID (Redundant Array of Inexpensive Disks) in configurazione RAID 0, RAID 1 e
RAID 5.
Condivisione dei dischi logici: i server sono configurati in modo da condividere i dischi logici solo per la
parte strettamente necessaria.
Monitoraggio: i server sono dotati di opportuni sensori software (agent), basati su protocollo SNMP (Simple
Network Management Protocol), che comunicando con un gestore centralizzato (Master), basato sulla suite
di prodotti Openview, consentono il costante monitoraggio da parte degli incaricati della manutenzione degli
eventuali guasti, anomalie, allarmi nonché il mantenimento dei prefissati livelli di servizio.
E’ stata installata, inoltre, una versione della suite di prodotti Openview che consente, tra le altre funzioni, un
miglior monitoraggio dei livelli servizio raggiunti.
Durante il Progetto di Convergenza2 la suite di prodotti Openview verrà sostituita/integrata
progressivamente con la suite di prodotti “Tivoli” come da Offerta Tecnica (gara DIR 1/2008).
2
Cfr. nota 1.
Aggiornamento del software installato: il personale addetto provvede all’aggiornamento periodico del
software di sistema dei server mediante l’installazione di: nuove release, service pack, patch, suggerite dal
produttore, nonché le hotfix di sicurezza per eliminare le vulnerabilità individuate e/o note.
Controllo dei servizi accessibili da remoto: sui server sono attivi i servizi di rete strettamente necessari. Il
personale addetto provvede alla regolare verifica dei servizi accessibili via rete (servizi in ascolto su porte
prestabilite), procedendo alla disabilitazione dei servizi non strettamente necessari.
Manutenzione dei server: la manutenzione viene effettuata dagli addetti in possesso dei soli privilegi di
amministratore, per la parte di competenza.
Attivazione dei Log: sui server sono abilitati i Log per la registrazione degli eventi potenzialmente critici
sotto il profilo della sicurezza, quali ad esempio: fallimenti in fase di log-in, cambio dei privilegi, accesso ai
file di sistema, etc…
Con riferimento al provvedimento del Garante Privacy “Misure e accorgimenti prescritti ai titolari dei
trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di
amministratore di sistema - 27 novembre 2008” (modificato in data 25.06.09), l’RTI, designato Responsabile
esterno del trattamento (v. sopra, regola 19.2, Amministratori di Sistema), implementa dei meccanismi di
“access log” in conformità ai requisiti previsti dal Garante Privacy nel citato provvedimento.
Analisi centralizzata dei Log: i Log prodotti dai dispositivi VPN Contrator, IDS e Firewall sono analizzati su
un sistema centralizzato basato sul prodotto Netforensics.
Sicurezza Network (rete)
La protezione della rete aziendale della Regione Veneto si basa sulle seguenti principali componenti:
Sistema di firewalling;
Segregazione delle reti (Virtual Local Area Network VLAN);
Proxy;
Reti demilitarizzate (DMZ);
Sistema di rilevazione intrusioni;
VPN (Virtual Private Network);
Sistema antivirus;
Sistema di Identity ed Access Management;
Controllo accessi;
Postazioni di lavoro.
Sistema di firewalling
E’ lo strumento principale per la protezione perimetrale della rete.

La sua principale funzione è di filtrare il traffico di rete consentendo o inibendo il passaggio di determinati
protocolli in base alla provenienza e/o destinazione.
Il sistema di firewalling realizzato consente di suddividere logicamente la rete in tre macroaree secondo lo
schema di seguito riportato:
Il sistema di firewalling è basato su hardware in alta affidabilità (ridondato in configurazione fail-over).

I firewall sono monitorati e configurati solo dal personale addetto. Il traffico di rete è filtrato in base alle
regole (Access Control List) secondo la politica che prescrive che quanto non esplicitamente permesso è
negato.
Sulla rete Intranet, inoltre, è attivo un ulteriore livello di firewalling in modalità “transparent”, in grado di
filtrare il traffico tra gli host attestati sullo stesso segmento LAN consentendo il passaggio del solo traffico
autorizzato verso gli host che erogano servizi.
Il livello di firewalling sulla rete Intranet è potenziato anche con la modalità “routed”, che si affianca alla
modalità “transparent”.
La soluzione adottata aumenta la capacità di filtrare il traffico tra gli host, attestati sulla Intranet regionale,
consentendo il passaggio del solo traffico autorizzato. In particolare il firewall routed è stato posto a
protezione della VLAN che ospita il repository contenente i dati degli utenti regionali.
Segregazione delle Reti (Virtual Local Area Network VLAN)
Sfruttando le funzionalità degli apparati di rete (switch) sono state realizzate delle reti virtuali locali (VLAN)
che consentono di raggruppare e confinare il traffico dei dispositivi che fisicamente condividono lo stesso
mezzo trasmissivo, virtualmente come se fossero appartenenti a reti distinte e separate.
In particolare nella rete Intranet sono state realizzate più reti VLAN tra le quali una destinata al solo
monitoraggio dei server ed una destinata a conglobare le postazioni di lavoro (PDL) dell’utenza.
Proxy
L’accesso delle PDL alla rete INTERNET non avviene direttamente, ma attraverso un server Proxy basato su
Microsoft ISA e solo ad autenticazione avvenuta.
L’introduzione della componente proxy oltre a semplificare la gestione ed aumentare il controllo dell’utenza,
in quanto censita nel directory server della rete Intranet (basato attualmente su Microsoft Active Directory),
eleva il grado di protezione delle PDL nei confronti del “malware” legato al traffico HTTP.
Le reti DMZ
La realizzazione di reti DMZ (DeMilitarized Zone) è un mezzo mediante il quale si realizza la separazione
logica, organizzativa e fisica della rete Regionale. I servizi offerti e pubblicamente accessibili sono ospitati
su server collegati a reti logicamente e fisicamente separati dalla rete interna (Intranet).
Sono state realizzate più reti DMZ sulle quali sono fisicamente ospitati host che necessitano livelli di
protezione differenziati in funzione dei servizi da essi erogati, attuando in tal modo una segregazione della
rete.
Oltre alla segregazione della rete Intranet raggiunta mediante l’implementazione delle VLAN, è stata
ottenuta un’ulteriore forma di segregazione della rete attraverso la realizzazione delle reti DMZ che si pone
l’obiettivo di contenere gli effetti di un eventuale incidente di sicurezza ad un’area (sottorete) il più possibile
limitata, evitando il diffondersi degli effetti su servizi e/o sistemi critici.
Lo schema di riferimento è il seguente:
Per i servizi accessibili dalla rete Internet la soluzione architetturale adottata prevede l’aggregazione di
server con funzioni analoghe (Web Server, Application Server e Data Base Server) in sottoreti omogenee dal
punto di vista della sicurezza secondo lo schema di seguito riportato
La soluzione architetturale implementata, consente un controllo accurato del traffico che attraversa i
dispositivi di rete che eseguono funzioni di firewalling, quali ad esempio router (packet filtering), proxy e
firewall.
In caso di incidente di sicurezza intervenendo opportunamente sulle regole che governano il traffico (Access
Control List) caricate a bordo dei dispositivi sopra citati, si può contrastare il coinvolgimento dell’intera
infrastruttura di rete isolando per il tempo necessario le aree che richiedono interventi di bonifica.
Sistema di rilevazione intrusioni (IDS)

Ulteriore strumento, attualmente attivo, è il sistema IDS (Intrusion Detection System) che permette di
intercettare azioni pericolose, generalmente non rilevabili dal sistema di firewalling, da parte di potenziali
intrusi.
La soluzione adottata consiste nell’installazione in opportuni punti della rete di sensori (sonde di rilevazione)
che inviano i dati necessari ad un server centrale, il quale effettua l’analisi delle situazioni anomale. Lo
schema adottato è il seguente:
EXTRANET INTERNET
NIDS
HIDS HIDS
NIDS NIDS INTERNET

EXTRANET
DMZ
NIDS HIDS HIDS
INTRANET
HIDS
Server
di
Gestione
Le sonde impiegate sono di due tipi:

NISD (Network Intrusion Detection System) che hanno il compito di individuare le azioni sospette verso
alcune reti o porzioni di rete (Internet, Extranet, Reti Demilitarizzate ed Intranet);
HIDS (Host Intrusion Detection System) che hanno il compito di monitorare costantemente l’attività di
server che ospitano servizi critici (Web Server, Mail Server, Data Base Server, etc) individuando gli eventi
anomali.
Le reti VPN (Virtual Private Network)
Una rete VPN è un mezzo per trasportare il traffico in modo sicuro su una rete insicura.
Le reti VPN sono utilizzate per garantire i requisiti di riservatezza ed integrità dei dati nel trasporto,
realizzando un tunnel virtuale protetto tra mittente e destinatario, mediante tecniche di cifratura dei dati.
L’impiego prevalente dei collegamenti VPN riguarda l’accesso alla rete aziendale della Regione Veneto da
parte di fornitori di servizi esterni, da utenti interni a cui è concesso l’accesso al sistema informativo quando
non sono collegati direttamente alla rete Intranet (utenti mobili e telelavoratori).
Le VPN sono realizzate a livello di network (layer 3) utilizzando il protocollo IPSEC.
I dispositivi della rete regionale che consentono la realizzazione dei collegamenti VPN (end point) sono
apparati ridondati in configurazione di alta affidabilità, ubicati sulla Extranet regionale, configurati e
monitorati esclusivamente da personale addetto.
Inoltre i dispositivi di rete deputati alla realizzazione dei tunnel VPN/IPSEC sono configurati in modo da
consentire il bilanciamento del traffico dell’utenza tra i vari nodi garantendo così livelli di servizi e di
disponibilità adeguati.
Sistema antivirus
La rete regionale è dotata di un sistema antivirus che protegge preventivamente la rete Intranet dagli effetti di
un contagio da virus.
La soluzione adottata, nell’ottica dell’alta disponibilità ed affidabilità richiesta (con particolare riferimento al
servizio di posta elettronica), si basa sulla suite di prodotti “Symantec”, con soluzione in alta affidabilità
anche sul sito di “Disaster Recovery”.
Tale suite prevede anche la componente “antispamming” che preserva le caselle di posta regionale dalla
ricezione di messaggi di posta non sollecitati (spamming).
Sono state adottate soluzioni idonee a consentire che le postazioni di lavoro della rete Intranet, dotate del
software antivirus, siano aggiornate all’ultima versione disponibile della lista dei virus riconosciuti.
Sistema di Identity e Access Management

E’ attivo un sistema di “Identity and Access Management” (IAM) basato su un servizio di Directory Service
(LDAP) che raccoglie la globalità delle utenze regionali.
Su tale servizio di directory poggiano le funzioni di “profilatura” e di “autenticazione” delle varie
applicazioni.
Il sistema di Identity consente di gestire in maniera integrata il processo di provisioning delle utenze
(creazione, modifica, sospensione e rimozione), nonché la funzione di autenticazione ed Autorizzazione e di
Web Single Sign On dell’utenza.
Controllo accessi “logici”

Il sistema di identificazione e autenticazione usato prevalentemente si basa sull’uso delle password.
L’accesso ai server e dispositivi critici è consentito attraverso l’utilizzo di protocolli sicuri quali SSL, SSH
(protocollo per l’Amministrazione dei server da parte degli Amministratori di Sistema) e HTTPS, ovvero
tramite la realizzazione di tunnel VPN/IPSEC.
Il sistema di autenticazione è centralizzato e svolge anche le funzioni di autorizzazione nonché di accounting
per gli utenti della rete.
Per gli utenti esterni il sistema di autenticazione si avvale di una architettura che fa uso dei protocolli
TACACS+ e RADIUS ed è integrato con il sistema di autenticazione e autorizzazione degli utenti interni
basato sulla soluzione Microsoft Active Directory.
Per gli utenti già autenticati a livello di rete, esiste un secondo livello di autorizzazione gestito a livello
applicativo basato sulla profilatura delle risorse e dei diritti di accesso ai dati (lettura, modifica/scrittura,
cancellazione).
Sicurezza postazioni di lavoro

Fermo restando che il presente documento si riferisce prevalentemente alla sicurezza dei CED, il processo
della sicurezza informatica non può prescindere da un corretto uso delle postazioni di lavoro.
Apposite politiche di sicurezza, riguardanti l’utilizzo delle postazioni di lavoro, sono state diramate al
personale ed implementate con l’obiettivo di ridurre i rischi relativi alle minacce di sicurezza, preservando la
confidenzialità, l’integrità dei dati e la continuità dei servizi erogati dal servizio informatico regionale, anche
con l’adozione di configurazioni standard.
L’enforcement delle politiche emanate è stato effettuato mediante l’applicazione di “global policy” a tutti gli
utenti censiti in Active Directory (vedi paragrafo successivo).
Regole comportamentali
ActiveDirectory e Norme Comportamentali per gli Utenti: la DGR n.584 del 5 marzo 2004 ha previsto
l’estensione del sistema centralizzato di gestione degli accessi (ActiveDirectory) alla totalità degli
Utenti/Dipendenti regionali. La DGR, di cui sopra, ha stabilito che tutti gli Utenti/Dipendenti regionali
devono essere censiti all’interno del sistema centralizzato di gestione degli accessi (ActiveDirectory), al fine
dell’utilizzo delle applicazioni e dei servizi interni dell’Amministrazione Regionale.
La DGR n. 584/2004 ha disposto l’applicazione da parte di tutti gli Utenti di quanto previsto nel documento
“Sicurezza Informatica - Norme Comportamentali per gli Utenti”, approvato con la medesima DGR.
La Giunta Regionale, inoltre, in applicazione di quanto prescritto dal Garante per la protezione dei dati
personali con provvedimento di data 01.03.2007 ("Lavoro: linee guida del Garante per Posta Elettronica e
Internet") riguardante l'onere da parte dei datori di lavoro di specificare le modalità di utilizzo della posta
elettronica e della rete internet da parte dei lavoratori, ha approvato con DGR n. 863 del 31.03.2009, un
Disciplinare concernente l'utilizzo da parte dei propri dipendenti della posta elettronica, della rete internet e,
in aggiunta a quanto previsto dal citato provvedimento del Garante, anche dei telefoni e fax. L'ambito di
applicazione del citato documento è esteso, oltre ai dipendenti, anche ai dirigenti, a qualsiasi titolo inseriti
nell'organizzazione regionale, senza distinzione di ruolo e/o livello, nonché ai collaboratori
dell'Amministrazione, a prescindere dal rapporto contrattuale intrattenuto con la stessa.
L'Amministrazione Regionale, in base a quanto prescritto dal citato art. 4 dello statuto dei lavoratori, ha
elaborato il suddetto Disciplinare, definendo un testo condiviso sia con le organizzazioni sindacali del
Comparto che della Dirigenza.
Attraverso l’adozione delle norme comportamentali di cui sopra, la Regione del Veneto intende perseguire i
seguenti obiettivi:
- responsabilizzare gli utenti sulla necessità di utilizzare in modo "sicuro" le risorse informatiche
dell’Amministrazione Regionale;
- minimizzare i rischi relativi alla sicurezza informatica;
- preservare la confidenzialità/integrità dei dati e la continuità dei servizi erogati;
- garantire la conformità dell’accesso/utilizzo della rete regionale rispetto alle leggi e normative
vigenti.
Tabella 2). Le misure di sicurezza adottate o da adottare
Minaccia Contrastata: è indicata la minaccia individuata nell’analisi dei rischi che motiva l’adozione della
misura prevista.
Misure già in essere: contiene l’elenco delle contromisura già adottate.
Misure da adottare e/o rinforzare: indica tra le misure proposte per contrastare le minacce, quelle che si
prevede di adeguare o intensificare in un piano di implementazione della sicurezza.
Si ricorda che le misure in oggetto riguardano i server con cui si effettuano trattamenti di dati sensibili e
giudiziari, che sono situati nel CED presso la Direzione Sistema Informatico.
Minaccia Contrastata Misure Misure adottate Misure da adottare

e/o rafforzare
Sottrazione di credenziali di a) Sistema di autenticazione; a); b); c); d); e); a); c); d); e); f); g).
autenticazione b) autenticazione su più livelli; f); g).
c) procedure blocco /sospensione
credenziali;
d) controllo accessi simultanei;
e) logging attività
f) istruzioni operative al
personale incaricato;
g) formazione.
Carenza di consapevolezza, h) istruzioni operative al a); b). a); b).
disattenzione o incuria personale incaricato;
i) formazione
Comportamenti sleali o a) Politica di reclutamento ed a); b); c); d); e); a); b); d); e); g); h).
fraudolenti assegnazione compiti al g); h).
personale incaricato dei
trattamenti;
b) sistema di autenticazione;
c) autenticazione su più livelli;
d) procedure blocco /
sospensione credenziali;
e) logging attività
f) controllo accessi simultanei;
g) istruzioni operative al
h) formazione
Errore materiale a) istruzioni operative al a); b); c). a); b), c).
b) formazione;
c) politiche di backup e
recovery;
Utilizzo a rotazione della a) politica di utilizzo delle a); b); c). a); b); c).
postazione di lavoro non postazioni di lavoro;
regolamentato b) istruzioni operative al
c) formazione;
Azione di virus informatici o di a) Sistema antivirus e di a); b); c); d); e). a); e).
codici malefici rilevazione codice malevolo;
b) politica di utilizzo supporti
informatici amovibili;
c) politica di installazione
software autorizzato;
d) politica di aggiornamento del
software;
e) help desk.
Tecniche di sabotaggio a) Sistema di firewalling; a); b); c); d); e). a); b); c); d); e); f);
b) sistema di rilevazione g).
intrusioni (IDS);
c) sistema antivirus e di
rilevazione codice malevolo;
d) logging attività;
e) segregazione rete;
f) attivazione percorsi
alternativi;
g) Incident Response Team
(IRT).
Malfunzionamento, a) Dispositivi in alta affidabilità; a); b); c); d). c); d).
indisponibilità o degrado degli b) politica di controlli periodici
strumenti preventivi;
c) istruzioni operative al
d) formazione.
Accessi esterni non autorizzati a) Sistema di autenticazione; a); b); c); d); e); d); f); g); h); i).
b) autenticazione su più livelli; f); g); h); i).
c) politica di utilizzo password;
d) controllo accessi simultanei;
e) procedure blocco /
sospensione credenziali;
f) profilazione diritti di accesso;
g) logging attività;
h) istruzioni operative al
i) formazione.
Intercettazione di informazioni in a) Impiegare protocolli sicuri a); b); c). c).
rete (SSL, SSH, HTTPS);
b) realizzare tunnel sicuri
(VPN/IPSEC);
c) cifratura dei dati.
Accessi non autorizzati a a) politica di accesso alle aree a); b); c). a); c).
locali/reparti ad accesso ristretto riservate;
b) controllo accessi fisici
mediante badge magnetico o
smart card;
c) installazione sistema
videosorveglianza.
asportazione e sottrazione di a) controllo accessi fisici a); b); c); b); c).
strumenti contenenti dati mediante badge magnetico o
smart card;
b) installazione sistema
videosorveglianza;
c) politica di backup e recovery.
Guasto ai sistemi complementari a) Impianto di alimentazione con a); b); c); d).
(impianto elettrico) linee preferenziali;
b) sistema UPS;
c) politica di controlli periodici
preventivi;
d) interventi eseguiti da
personale autorizzato.
Errori umani nella gestione della a) Politica di reclutamento ed c); d). a); b); c).
sicurezza fisica assegnazione compiti al
personale incaricato dei
trattamenti;
b) istruzioni operative al
c) formazione;
d) politica di backup e recovery.
* * *
Criteri e modalità di ripristino della disponibilità dei dati (regola 19.5)
Definizione
19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a
distruzione o danneggiamento di cui al successivo punto 23;
(23. Sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento
degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non
superiori a sette giorni. )
Contenuti
In questa sezione sono descritti i criteri e le procedure adottati per il salvataggio dei dati e per il loro
ripristino in caso di danneggiamento o di inaffidabilità della base dati.
Politica di backup
La politica di salvataggio adottata dalla Regione Veneto consiste nell’effettuare le seguenti tipologie di
backup:
1. backup integrale (full backup): salvataggio di tutti i dati, file di sistema e software presenti sul
sistema;
2. backup incrementale (incremental backup): salvataggio di tutti i file che sono stati modificati dopo
l’ultimo backup;
I supporti contenenti una copia di questi file di backup sono conservati in locali adeguatamente protetti
presso un sito diverso dal CED dove vengono effettuati i backup.
Le politiche di backup applicate al cluster ed al server, sono le seguenti:

• backup integrale settimanale dei DataBase;
• export giornaliero su file sequenziale dei DataBase ospitati nei sistemi di cui sopra.
I supporti del backup sono custoditi in un armadio metallico chiuso a chiave presso il CED della Direzione
Sistema Informatico e quotidianamente vengono depositati in un locale, esterno al CED, protetto da porta
blindata.
Le operazioni di salvataggio sono effettuate da personale, addetto ed identificato, (v. sopra, regola 19.2,
Amministratori di Sistema) previa nomina individuale per effettuare i BackUp, secondo la schedulazione
prestabilita.
E’ stato attivato, inoltre, un sistema di Business Continuity, adeguato alle esigenze dell’Amministrazione
regionale.
La “location” per il sistema di Disaster Recovery è stata individuata presso il CED dell’Università degli
Studi di Padova, in quanto dotata dei collegamenti-dati e delle infrastrutture idonee alla realizzazione del
sistema medesimo.
A seguito di adeguata valutazione, è stato definito un primo elenco di applicazioni, ritenute “mission
critical”, che saranno progressivamente oggetto del servizio di Disaster Recovery.
* * *
Pianificazione degli interventi formativi previsti (regola 19.6)
Definizione
19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che
incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla
protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne
derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare.
La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti
di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati
personali.
Nota
Le attività descritte e pianificate in questa sezione si rivolgono a tutto il personale regionale che riveste il ruolo di
incaricato del trattamento e non solo al personale tecnico che svolge le proprie mansioni all’interno del CED.
Contenuti
In apposite pagine-web del sito Intranet Regionale sono state pubblicate le circolari emanate e la
documentazione prodotta dalle strutture compenti in materia di Privacy e Sicurezza informatica dando
comunicazione, visibilità ed assistenza al personale dell’Amministrazione sulle iniziative intraprese con
particolare riferimento alle linee guida in tema di sicurezza informatica ed alle Norme Comportamentali per
gli Utenti”, approvate con DGR n.584 del 05/03/2004.
Le azioni formative, a favore del personale regionale, sono di competenza della Direzione Risorse Umane.
Con D.G.R 1898 del 29.06.2009 è stata contemplata la realizzazione di un intervento formativo in materia di
riservatezza dei dati personali.
Con Decreto n. 130 del 15/03/2010 a firma del Dirigente della Direzione Risorse Umane, è stato approvato il
Piano formativo per l’anno 2010 contenente la programmazione delle attività formative.
Nel programma annuale è stato inserito, nella sezione “formazione obbligatoria”, un intervento formativo in
materia di Privacy (D.lgs. 196/2003).
Il corso verrà sviluppato in collaborazione con la Direzione Sistema Informatico sia per quanto riguarda il
programma di dettaglio che per quanto concerne la piattaforma e-learning da utilizzare per la
somministrazione dei contenuti ai partecipanti.
L’intervento formativo si svolgerà secondo le seguenti direttrici:
− Obiettivi: questo corso è stato progettato allo scopo di trasferire agli incaricati del trattamento dei dati
personali l'informazione e la formazione stabilita dalla normativa vigente in materia di sicurezza dei dati
personali. Il percorso formativo sarà rivolto agli incaricati del trattamento dati personali, per renderli
edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili
della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle
responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare.
− Destinatari: personale a tempo indeterminato/determinato e neo assunti.
− Modalità di fruizione: e-learning.
* * *
Trattamenti affidati all’esterno (regola 19.7)
Definizione
19.7. la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso
di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare;
Contenuti
La Circolare num. 8 del 24/03/2000 del Presidente della Giunta della Regione Veneto.
La circ. 8/2000 stabilisce che la funzione di Responsabile del trattamento non può essere delegata tranne che
- parzialmente – quando l'affidamento all'esterno di un determinato servizio comporta come prestazione
principale o accessoria un trattamento di dati (es. stampa, imbustamento e invio dei cedolini degli stipendi,
servizio di stampa, confezionamento e spedizione di una pubblicazione).
In questa ipotesi il Responsabile regionale del trattamento provvede a designare uno o più Responsabili
“esterni” per le operazioni affidate al soggetto esterno.
I relativi contratti di affidamento dei servizi che consistono in trattamento di dati personali stabiliscono le
modalità di gestione del trattamento e le misure di sicurezza da adottare e recano la formale designazione a
Responsabile della ditta erogatrice del servizio.
E’ compito dei Responsabili del trattamento vigilare e controllare che il responsabile esterno rispetti le
clausole contrattuali afferenti gli adempimenti previsti dalla normativa in tema di privacy e sicurezza
informatica
Le attività di gestione e manutenzione dei sistemi informatici dell’Amministrazione regionale, per il

C.S.S.T., sono state delegate all’esterno con la gara DIR1/2008, aggiudicata dalla Direzione Sistema
Informatico.
Come indicato precedentemente a proposito della figura di “Amministratore di sistema” (v. sopra, regola
19.2), per il “Servizio di gestione, manutenzione, supporto e sviluppo delle applicazioni costituenti il sistema
informativo della Regione del Veneto-Centro Sviluppo Servizi Territoriali mediante servizi di call center ed
help desk” (GESIRV), gara DIR1/2008, si è proceduto - con DDR n. 113 del 28.09.2009 del Dirigente della
Direzione Sistema Informatico - alla designazione di Responsabile esterno del trattamento delle imprese in
RTI:
Il personale regionale ed il personale delle aziende esterne indicate, effettuano periodici incontri nel corso
dei quali sono evidenziate eventuali criticità riscontrate nella gestione dei sistemi informatici.
* * *
Cifratura dei dati o separazione dei dati identificativi (regola 19.8)
Definizione
19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto n. 24,
l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali
dell’interessato.
(24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a
rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalità
di cui all’articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei
medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati
relativi all’identità genetica sono trattati esclusivamente all’interno di locali protetti accessibili ai soli
incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati
all’esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o
dispositivi equipollenti; il trasferimento dei dati in formato elettronico è cifrato. )
Contenuti.
La cifratura o la separazione fra dati identificativi e dati personali, nonché i criteri e le modalità con le quali
viene assicurata la sicurezza di tali trattamenti sono a carico dei responsabili del trattamento dei dati per i
quali sono necessarie tali misure di protezione.
La Direzione Sistema Informatico, presso cui ha sede il CED, fornisce supporto tecnico e consulenza (previa
eventuale richiesta) e non entra nel merito dei contenuti delle banche dati ospitate - in hosting/housing - sui
server del CED medesimo.
* * *
Tabella T1-2010: “Gestione Sistema Informativo Regionale Veneto” (GESIRV)

Modello di Natura dei dati
comunicazione trattati Strutture
Codice
Nome trattamento / applicazione Descrizione sintetica del trattamento di
procedura
Client riferimento
WEB Sensibili Giudiziari
Server
Gestione e profilatura utenti delle applicazioni
client/server. Le nuove applicazioni utilizzano altri
sistemi di autenticazione e profilatura (CAS, IAM,
010 Gestione Accessi X X D.S.I.
Profile Manager), ma Gestione Accessi è ancora
utilizzato per l'accesso ad applicazioni "storiche".
Gradualmente sostituita da Profile Manager (012)
Menu di autenticazione e accesso alle applicazioni
client/server. propone all'utente elenco degli applicativi
a cui e' abilitato sulla base delle informazioni di
profilazione (010).
011 Menu SIRV X X D.S.I.
Come per Gestione Accessi (010), viene utilizzato per
l’accesso ad applicazioni “storiche” in quanto le nuove
applicazioni utilizzano sistemi più moderni (CAS,
IAM).
Profilazione degli utenti, definizione di ruoli

012 Profile Manager X applicativi. Trasversale a tutte le applicazioni web strutture regionali
regionali.
Gestisce le domande di contributo per le imprese

artigiane presentate in base alla L.R. 48/93. Lavora in
020 Contributi Imprese Artigiane X Dir. Artigianato
collaborazione con l'anagrafe delle imprese artigiane
(750).
Applicazione per la gestione, il monitoraggio, la

030 ProCom - Programmi Comunitari X Dir. Programmi Comunitari
rendicontazione dei progetti comunitari.
Adeguamento PROCOM (030) in base alla

031 Procom 2007 X Dir. Programmi Comunitari
programmazione comunitaria 2007-2013
040 Prosedit - Gestione X Gestione delle pubblicazioni regionali Segr. Cultura
041 Prosedit - Consultazione Web X Pubblicazione in Internet dei dati gestiti dalla 040 Segr. Cultura
Applicazione che consente la gestione dell'archivio

generale. Comprende componente web di
050 ARCO - Archivio Organizzato X Direzione Affari Generali
interrogazione. Si interfaccia al titolario di
classificazione.
Applicazione utilizzata per l'inserimento off-line dei

051 Personal ARCO X dati d'archivio ed il successivo caricamento in ArCO Direzione Affari Generali
(050) mediante la backup ArCO (053).
ARCOWEB - Archivio
054 X ARCOWEB - Archivio Organizzato WEB Dir. Affari Generali
Organizzato WEB
Dir. Produzioni
Gestione pratiche di richiesta di carburante agevolato Agroalimentari /
Uma - Ufficio Motorizzazione prima del trasferimento di competenze ad AVEPA; tutte le Dir. Del Settore
060 X
agricola dopo il passaggio è utilizzata per la sola consultazione Primario, Avepa,
storica delle pratiche precedentemente inserite. professionisti, Province,
imprese agricole,
Dir. Produzioni
Gestione pratiche di richiesta di carburante agevolato Agroalimentari /
Uma - Ufficio Motorizzazione prima del trasferimento di competenze ad AVEPA; tutte le Dir. Del Settore
060W X
agricola dopo il passaggio è utilizzata per la sola consultazione Primario, Avepa,
storica delle pratiche precedentemente inserite. professionisti, Province,
imprese agricole,
Dir. Piani e Programmi
Gestione di contributi, di mutui e di prestiti per
Settore Primario / tutte le
071 IRA Web X l'agricoltura di Regione Veneto, compreso il PSR
dir. del settore primario,
2000/2007.
AVEPA
Applicativo di gestione dell'istruttoria delle pratiche del D.S.I. /

072 Istruttoria PSR 2007-2013 X
PSR (Piano di Sviluppo Rurale) 2007-2013 AVEPA, Settore Primario
D.S.I. /
Applicazione per la gestione della presentazione delle
AVEPA, Settore Primario,
073 Presentazione PSR 2007-2013 X domande del PSR (Piano di Sviluppo Rurale) 2007-
Singole Imprese,
2013
Organizzazioni di categoria
Gestione atti della Giunta Regionale: inserimento ordini

100 Gestione Atti - Seg. di Giunta - X X Segr. di Giunta
del giorno e deliberazioni.
Visualizza i dati relativi a O.d.G. le DGR, compreso il Segr. Giunta - dir. Attivita'
Consultazione Atti - Seg. di
105 X X testo (scansionato). Istituzionali /
Giunta - con Atti Delibere
Accesso su autorizzazione della Segreteria di Giunta. direzioni regionali
Consultazione Atti Web

Segr. Di Giunta - Attività
106 Consultazione Atti Web X X X (dati personali possono essere contenuti negli atti)
Istituzionali
Gestione Atti - Archiviazione Ottica Delibere

Gestione Atti - Archiviazione
107 X X X (dati personali possono essere contenuti negli atti) Segr. Di Giunta
Ottica Delibere
Gestione dei rimborsi per pratiche automobilistiche fino Direzione Ragioneria e

120 Bollo Auto 2000 (Ragioneria) X X
al 1999. Tributi
Gestione contributi per l'edilizia abitativa previsti dalla

Legge 118/85.
Contributi Edilizia Abitativa L.
130 X Viene utilizzata solo per aggiornare le posizioni relative Dir. Edilizia Abitativa
118/85
ai vecchi contributi (mutui, ecc.), non per inserire nuovi
contributi che invece vanno nella 132.
Gestione integrata delle informazioni e procedure

Cont Edilizia Abitativa 2001- amministrative relative ai programmi regionali per
132 X Dir. Edilizia Abitativa
2003 - SIRV132 l'edilizia residenziale. Collegata alla 133 (anagrafe
beneficiari).
Anagrafiche unica dei beneficiari dei contributi per

l'edilizia abitativa. Risponde alla necessita' di
133 Anagrafe Unica Beneficiari X controllare lo stato dei contributi erogati a favore dei Dir. Edilizia Abitativa
beneficiari finali (acquirenti/assegnatari o locatari).
Collegata a 132.
Gestione dei decreti dirigenziali ad uso di tutte le

direzioni regionali. Segr. Giunta - dir. Attivita'
142 Gestione Decreti X X X Sarà sostituita dalla 780 (Decreti WEB). Istituzionali /
(dati personali possono essere contenuti negli atti) direzioni regionali
Gestione decreti delle direzioni della Segreteria Segreteria Generale della

143 Gestione Decreti SPG X X
Generale della Programmazione (SGP) Programmazione
Applicazione web utilizzata dai Comuni per censire gli

impiani sportivi presenti sul proprio territorio. Pubblica
MapGeis Web - Gestione
150 X l'elenco degli impianti sul sito regionale. U.C. Sport / Comuni
Impianti Sportivi
Congloba sia la parte gestionale che quella di
pubblicazione internet.
Gestione delle concessioni regionali (farmacie,

ambulatori medici, licenze per la raccolta dei tartufi,
Gestione Tributi - Tasse Conces Direzione Ragioneria e
160 X ecc.) e dei relativi tributi: anagrafiche, concessioni,
Regionali Tributi
pratiche, bollettini, riscossioni, gestione degli
accertamenti.
Gestione dichiarazioni e pagamenti relativi alle

Direzione Ragioneria e
161 Tributo Speciale X discariche ed ai rifiuti in genere. Condivide l'anagrafica
Tributi
con la 162. Stesso schema db della 162.
Acronimo di "Addizionale Regionale Imposta

Sostitutiva GAs Metano". Gestione tributi relativi alla Direzione Ragioneria e
162 Tributi AriSgam X
produzione e distribuzione del gas metano. Condivide Tributi
l'anagrafica con la 161. Stesso schema db della 161.
Gestisce i verbali (sanzioni) relativi alle licenze di

Direzione Ragioneria e
169 Tributi - Contenziosi X caccia e pesca e i procedimenti di contenzioso
Tributi
relativamente alle applicazioni 160, 161, 162.
Applicazione per la gestione del registro persone

REGISTRO PERSONE
170 X giuridiche e del processo amministrativo a supporto Dir. Enti Locali
GIURIDICHE
dello stesso
Utilizzata per gestire i dati relativi alle assegnazioni dei

200 TELEFONIA X D.S.I.
telefoni cellulari.
Gestione del lavoro straodinario svolto dal personale

230 Lavoro Straordinario X D.R.U.
regionale
Gestione dell'iter amministrativo per il rilascio delle

Segr. Ambiente e
251 ALICE - UGC X concessioni idrauliche e derivazioni da parte dei Geni
Territorio / Geni Civili
Civili.
Gestione raccomandate e posta nominativa in arrivo,

260 Corrispondenza in Arrivo X Dir. Affari Generali
integrata con protocollo
Corrispondenza in Arrivo - Versione della procedura 260, deputata alla

263 X Dir. Affari Generali
Archivio Storico memorizzazione e consultazione dello storico
Consente la gestione di anagrafiche personalizzate e la

280 Indirizzario X X direzioni regionali
stampa di etichette
Gestione dei ricorsi. Collegata alla 292 (Avvocatura

290 Gestione Affari Legali X X Avvocatura Regionale
Web)
Gestione dei pareri, verbali, allegati relaitivi alla

291 Gestione Affari Legislativi X Direzione Affari Legislativi
predisposizione delle leggi regionali
Visualizza via web i dati relaivi ai procedimenti legali

gestiti mediante la 290. Utilizzabile dal personale
292 Avvocatura Web X X Avvocatura Regionale
incaricato per accedere alle informazioni quando fuori
sede (per es. in udienza).
Banca dati codifiche regionali, ISTAT, ABI.

300 Banca Dati Codifiche Regionali X Repliche su tutti i DB Server. Dati gestiti con accesso D.S.I.
diretto alle tabelle o tramite applicativo C/S.
Monitoraggio messaggi di interoperabilità fra banche

310 Monit_Interop X D.S.I. / utenti del SISP
dati aziende agricole Avepa e Regione
Inventario unico di tutti i componenti in esercizio
presso il CED della D.S.I., siano essi applicativi
340 APPINVENTORY X mantenuti, pacchetti sw, moduli di sistema, D.S.I.
applicazioni/portali in hosting/housing, banche dati.
Utilizzato per l'assegnazione dei codici applicativi.
Anagrafe unica dei soggetti che operano nel settore
agricolo veneto, completa dei dati strutturali delle
U.C. Sistema Informativo
aziende che si rapportano con l'amministrazione
Settore Primario e controllo
360 Anagrafe Ditte Settore Primario X X regionale per la presentazione di istanze di richiesta di
/ tutte le dir. del settore
contributo o per comunicazioni periodiche previste
primario, AVEPA,
dalla normativa. Sincronizzata con l'anagrafe di Avepa
mediante colloquio con PDD.
Applicazione web per la richiesta di iscrizione
all'Anagrafe del Settore Primario (360) e per la
presentazione online delle domande compresa la Segr. Settore primario /
362 Modulo unico web X contestuale richiesta di variazione anagrafica. CAA, professionisti,
Collegata con 360-AnagrafeWeb per attingere i dati imprese agricole
anagrafici e con 060-UMA, 071-IRAWEB per
trasmettere i dati della domanda ai fini dell'istruttoria.
Gestione degli impianti a fune. Utilizzata solo per

390 Impianti Fissi X Dir. Mobilità
gestire i dati storici.
Adeguamento alla LR 11/03/2009 che disciplina

391 Gestione LR 11-2009 X l'attività di trasporto viaggiatori, mediante noleggio di Dir. Mobilità
autobus con conducente
Si compone di due moduli: 1) modulo gestionale per
STAG STATISTICHE l'inserimento dei dati statistici relativi a coltivazioni,
465 X Settore primario e Dir. Sist.
AGRARIE - WEB superfici e allevamenti zootecnici; 2) produzione della
Statistico Reg.
reportistica mediante strumento di business intelligence
Sistema contabile regionale (Bilancio e ragioneria) fino Dir. Bilancio e Dir.

500 Finanziario 2000 X
al 2001 (dati in lire) Ragioneria
Allineamento Versioni Gestione degli aggiornamenti alle applicazioni dell'area

501 X Dir. Ragioneria e tributi
Finanziario 2000 finanziaria
Gestione della contabilità regionale fino al 2001 (dati in
lire): bilancio, impegni, liquidazioni, pagamenti, invio
502 Finanziario 2000 - EURO X Dir. Ragioneria e tributi
al Tesoriere degli ordinativi informatici firmati
digitalmente
Collegata a Finanziario2000, gestisce i mutui contratti

503 MUTUI X Dir. Risorse Finanziarie
dalla Regione Veneto per finanziare le proprie attività.
Replicazione di Finanziario2000 (502), costantemente

allineata a quest’ultima, ad uso dell'ente esterno Polo
Dir. Ragioneria e tributi /
504 Finanziario 2000 - Poli Museali X Museale Veneziano.
POLO MUSEALE
Non utilizza la firma digitale per la gestione degli
ordinativi informatici
Gestione dell'iter di predisposizione del bilancio
preventivo. Si compone di diversi moduli:
- modulo per la configurazione delle schede di
budget (client/server),
506 BUDGETWEB X X Dir. Bilancio
- modulo di gestione delle proposte di budget da
parte delle Direzioni regionali (web),
- modulo contrattazione (web+business intelligence)
per la revisione delle proposte e la loro definizione.
Nuova applicazione per la gestione delle aperture di
GEAC - Gestione aperture Dir. Ragioneria e tributi /
507 X credito da parte dei funzionari delegati, integrata con
credito funzionari delegati
F2k. Sostituisce la 330
Portale di business intelligence dell'area finanziaria.
Comprende data warehouse, reportistica, analisi ad uso Direzione Bilancio /
509 Bibico X
delle Direzioni Bilancio, Ragioneria, Risorse Finanziare direzioni regionali
e viste semplificate ad uso delle altre direzioni
514 F2k Scuola Polizia Locale X F2k Scuola Regionale Sicurezza e Polizia Locale Scuola RV sicurezza
Procedura che gestisce le funzioni di controllo,
ammissibilità, determinazione dei contributi e
582 Buoni Scuola X estrazioni delle informazioni relativamente alle Dir. Istruzione
domande del contributo regionale “Buono-Scuola”, per
conto della Regione del Veneto - Direzione Istruzione.
Applicazione web per la presentazione della domanda

584 Richiesta Buoni Scuola X X di contributo buono scuola e la gestione dell’istruttoria Dir. Istruzione
in carico alle scuole. Sostituirà prossimamente la 582.
Gestisce le informazioni riguardanti sia i collaudatori,

secondo quanto previsto dalle leggi regionali, sia le
600 Collaudatori Regionali X Dir. Lavori Pubblici
opere che a lavori ultimati dovranno essere collaudate
da un iscritto e disponibile nell'elenco.
610 Personale S.I. Economico X X X Gestione pensioni e liquidazioni D.R.U.
620 Personale S.I. Fascicolo X X X Gestione del fascicolo dei dipendenti D.R.U.
Gestione dei pareri e interpellanze su atti di Giunta e Segr. di Giunta - Dir.

650 Gestione Atti Ispettivi X
Consiglio Attività Istituzionali
Gestione delle tabelle geneali a supporto delle 610 e

680 Personale S.I. Generale X D.R.U.
620: contratti, livelli, tabelle di descrizione, leggi, ecc.
Si compone 3 moduli:
- modulo client/server per la gestione del parco
macchine da parte delle strutture competenti Dir Affari Gelerali /
710 Parco automezzi X X
- modulo client/server per l'autorimessa regionale; direzioni regionali
- modulo web per la prenotazione delle auto da parte di
tutte le strutture.
VRU - Valutazione Risorse Applicazione web per la valutazione dei dirigenti e del
730 X D.R.U.
Umane personale regionale.
Gestisce l'anagrafe delle imprese artigiane che viene

750 Anagrafe Imprese Artigiane X Dir. Artigianato
utilizzata dalla procedura 020 di gestione dei contributi.
Gestisce l'iter, dalla domanda al rilascio, delle

autorizzazioni per l'utilizzo dei prodotti fitosanitari in
agricoltura. Si compone di due moduli:
1) modulo web per la presentazione online della
domanda di rilascio autorizzazione per l'utilizzo di
760 Patentini Fitosanitari X Settore Primario /
prodotti fitosanitari;
Ispettorati per L'agricoltura
2) modulo c/s per la gestione dell'iter autorizzatorio
(verifica documentale, controllo di eventuale
partecipazione al corso, esito esame, stampa e rilascio
Patentino Fitosanitario).
Applicazione per la gestione e l’interfacciamento con
777 RFID Manager X Dir. Affari Generali
dispositivi RFID
Consente la visualizzazione online agli esterni dello
stato di avanzamento delle pratiche di competenza, con
Segr. Settore primario /
notifiche via email/SMS agli utenti.
790 Modulo trasparenza X CAA, professionisti,
Riceve i dati sullo stato delle pratiche e sulla fase
imprese agricole
istruttoria da 060-UMA e da 071-IRAWEB e invia
email/SMS al cambiamento di stato.
Gestione del registro di protocollo unico.
800 Protocollo Web Unificato X Integrato con ARcO (050) per la fascicolazione ed il Dir. Affari Generali
titolario
Storico Protocollo.
801 Storico Protocollo X Fusione Archivii singole Strutture - In lettura - Accesso direzioni regionali
da Apl. 800
Anagrafe Edilizia Scolastica - Portale della Banca dati
810 Informa EDA Veneto X Dir. Lavori Pubblici
dell'Educazione degli Adulti (informaedaveneto.it)
Anagrafica degli operatori turistici regionali: deve
supportare tutte le operazioni finalizzate alla gestione di Direzione Turismo /
830 RTV-Web X un’anagrafica degli esercizi alberghieri ed Province, Enti Locali,
extralberghieri in modo da ottenere un'immagine Agenzie, Albergatori
dettagliata e fedele del comparto ricettivo veneto.
Permette l’acquisizione, il controllo e l’analisi dei dati
della movimentazione turistica sulla base dei modelli Direzione Turismo /
831 MT Web X C/59 che i gestori degli esercizi alberghieri ed extra- Province, Enti Locali,
alberghieri sono tenuti a compilare per la propria Agenzie, Albergatori
struttura.
Consente, all'utente registrato di compilare, inoltrare e
gestire via web le richieste di ispezione per i vegetali e i
prodotti vegetali, potenzialmente portatori di organismi
nocivi, che necessitano del certificato fitosanitario (per
860 Certificati Fitosanitari Web X l'export) o del nulla osta all'importazione (nella U.P. Servizi Fitosanitari
Comunità Europea). L'applicativo calcola l'entità della
tariffa fitosanitaria, così prevista dalla direttiva
2002/89/CE del Consiglio del 28/11/2002 (direttiva
recepita con il D.L. 19/08/2005, n. 214).
Gestione domande e iter di rimborso delle spese di
trasporto pubblico per il tragitto casa-scuola. Consente
870 Buoni trasporto X Dir. Istruzione / scuole
il caricamento massivo delle domande e l'istruttoria da
parte della dir. istruzione (C/S).
Applicazione web per la presentazione della domanda
di contributo per il trasporto scolastico e la gestione
874 Richiesta Buoni Trasporto X X Dir. Istruzione
dell’istruttoria in carico alle scuole. Sostituirà
prossimamente la 870
Front Office integrato con il portale regionale per la
pubblicazione del BUR, con strumenti di ricerca e
notifica.
Back Office per la composizione del bollettino: invio
degli atti per la pubblicazione da parte di strutture ed
enti.
L'applicativo e' accessibile sia attraverso il sito Segr. Giunta /
880 BURV Service X
www.regione.veneto.it, sia tramite il suo indirizzo Dir. Attivita' Istituzionali
diretto.
Copre tutto il processo: stesura atto, impaginazione
BUR, produzione di un unico pdf del bollettino e invio
alla tipografia. In corso d'analisi un modulo SMS (invio
notifiche tramite SMS) e inserzionisti (gestione
processo contabile).
Elenco collaboratori esterni e incarichi di consulenza,
Elenco Consulenti e Legge 244/07, Art.3 commi 18 e 54. Segreteria Generale della
882 X
Collaboratori L'applicativo è accessibile anche dal sito Programmazione
www.regione.veneto.it
Applicazione integrata con portale istituzionale

regionale (www.regione.veneto.it) che consente la Dir. Comunicazione e
884 Bandi, avvisi, concorsi X
pubblicazione in internet dei bandi e avvisi di gara, Informazione - U.C.I.
concorsi pubblici.

regionale (www.regione.veneto.it) che consente la Dir. Comunicazione e
885 Modulistica Internet X
pubblicazione della modulistica, prodotta da direzioni Informazione - U.C.I.
diverse, per cittadini e imprese.

Dir. Comunicazione e
886 Comunicati stampa X regionale (www.regione.veneto.it) che consente la
Informazione - U.C.I.
pubblicazione in internet dei comunicati stampa.

regionale (www.regione.veneto.it) che consente la Segr. Giunta /
887 Ordini del Giorno X
pubblicazione in internet degli O.d.G. dopo la seduta di Dir. Attività Istituzionali
Giunta.
Applicazione per l'inventariazione e gestione dei beni
regionali mobili e immobili.
Inventario Beni Mobili ed Localizzazione/composizione di beni mobili e immobili
888 X Dir. Affari Generali
Immobili (sedi, palazzi, arredi, ecc.), inventario, calcolo
ammortamenti. Tecnologia: Java/Oracle9. Evoluto
verso il GIS. In evoluzione verso l'impiego di RFID.
900 MyP - Base X MyPortal - Infrastruttura di Base D.S.I. / U.C. E-Gov
Rilascio licenze d'accesso per
> X gestione accessi a banca dati "Sole 24 ore" D.S.I. - eGov
"Sole 24 ore"
Rilascio licenze d'accesso per gestione accessi a banche dati delle Camere di
> X D.S.I. - eGov
"Telemaco" Commercio (Italia)
PEC - Posta Elettronica gestione, rilascio e attivazione casella posta elettronica
> X D.S.I. - eGov
Certificata certificata - EE.LL. obiett. 2
> Smart Card X autorizzazione richieste smart card - EE.LL. obiett. 2 D.S.I. - eGov
> Censimento 2005 - RESEAU X Réseau della Società dell'Informazione EE.LL. del Veneto
Rilevazione pro Notificazione al Rilevazione trattamenti ex art.37 D.Lgs. 196/2003 per
> X D.S.I.
Garante Privacy 2004 Notificazione 2004
Sistema Informativo di Governo: contiene banche dati
Dir. Statistica /
A01 SiGOVE X statistiche ufficiali ed un sistema di business
direzioni regionali
intelligence per l'analisi degli stessi.
Applicazione web mediante la quale i concessionari
Dir. Ragioneria e tributi /
automobilistici possono richiedere l'esenzione dal
A03 Concessionari Web X concessionari
pagamento del bollo auto. Si integra con la X03 (Bollo
automobilistici
Auto Sogei).
Portale web utilizzato da comuni, enti, imprese, D.S.I. /

A04 SUAPED - Sportello Unico X professionisti per la presentazione online di domande e Comuni, Professionisti, Enti
per la gestione dei procedimenti di attivita' produttive. Pubblici, Imprese, Cittadini
Area forum del portale istituzionale regionale

A06 Forum X gestori dei Forum
(www.regione.veneto.it)
Modulo di accesso e autenticazione degli utenti alle D.S.I. /
A08 Cas (control access service) X
applicazioni, collegato a Profile Manager direzioni regionali
Applicazione utilizzata dagli URP.
Dir. Comunicazione e
A09 DocWay X Contiene glossario con informazioni utili per il
informazione / U.R.P.
cittadino.
Gestione portineria Vega: visitatori, entrate e uscite, D.S.I. + Dir. Affari
A23 Badge Accessi VEGA X
assegnazione badge di accesso ai locali. Generali
A25 Mailing list X Mailing List Dir. Comunicazione

Vengono messi a disposizione gli strumenti per la
creazione di questionari dinamici con cui monitorare i
servizi resi dalle biblioteche ai loro utenti.
Progetto misurazione e L'applicativo consente, al gestore regionale, di creare le
A26 X Dir. Beni Culturali
valutazione singole domande con cui comporre questionari tematici
a cui risponderanno le biblioteche coinvolte.
Le risposte vengono caricate in un data warehouse per
essere elaborate con Business Object.
Applicazione web, mediante la quale organizzazioni,

studi professionali già conosciuti dall'amministrazione,
Segr. Settore Primario /
possono chiedere di profilare ulteriori collaboratori e di
A29 Gusi Miss X CAA, professionisti,
comunicare ulteriori deleghe per la presentazione di
imprese agricole
istanze. E' integrata con l'Anagrafe del Settore Primario
(360).
Applicazione web, mediante la quale organizzazioni,

studi professionali e aziende agricole, si rivolgono per
la prima volta all'amministrazione, chiedendo di essere Segr. Settore Primario /
A30 Gusi Riss X censite e contestualmente di profilare propri CAA, professionisti,
collaboratori e di comunicare deleghe per la imprese agricole
presentazione di istanze. E' integrata con l'Anagrafe del
Settore Primario (360).
A33 - Servizio ASP per gli EE.LL. - L' applicativo
gestisce il rilascio di autorizzazioni e licenze
commerciali da parte dell'Autorità comunale.
E' prevista la gestione dei piani di sviluppo ed Comuni della Regione del
A33 APIWeb X X adeguamento, il monitoraggio della rete distributiva di Veneto aderenti al progetto
vendita e di somministrazione, della situazione dei WP6.
mercati al minuto, la produzione della modulistica
necessaria e la rilevazione del quadro delle attività e di
chi le svolge.
Arc GIS (Cartografico)
A35 Arc GIS (Cartografico) X Dir. Cartografico
Visibilità internet (geologia.regione.veneto.it)
Applicazione di business intelligence che comprende il
caricamento dei dati relativi alle dichiarazioni dei
redditi delle persone fisiche, dei bilanci delle società e
degli enti pubblici pervenuti da SOGEI e
A37 SAPER-fiscaldata X X Dir. Risorse Finanziarie
l’alimentazione di due archivi separati:
1) anagrafe contribuenti,
2) redditi dichiarati. Analisi dei dati mediante strumenti
di business intelligence e reportistica.
Lo scopo principale del progetto “Monitoraggio Polizia
Locale” è essenzialmente quello di monitorare
costantemente le organizzazioni di polizia locale,
accorpando le informazioni riguardo ai vari corpi e
U.P. Sicurezza Urbana e
A38 Monitoraggio Polizia Locale X distretti di polizia locale tramite un unico sistema
Polizia Locale
informativo. Questo permetterà una gestione dei dati
finalizzata sia all’analisi statistica sia al controllo e alla
visione d’insieme di tutte le risorse riguardanti la
polizia locale presenti sul territorio regionale.
Applicazione web che consente di gestire le attività
relative al “Monitoraggio fisico” dei corsi di
formazione.
Tramite le funzionalità specifiche è possibile creare dei Dir. Formazione / Enti di
A39 Monitoraggio Formazione Web X X X questionari dinamici le cui domande possono essere formazione, Segr. Primario,
rivolte sia all'ente erogatore del corso che all'allievo Segr. Cultura
iscritto. I dati raccolti vengono elaborati con strumenti
di business intelligence.
Interagisce con i sistemi gestionali di diverse strutture.
Gestisce il monitoraggio e lo stato di avanzamento
degli interventi e dei relativi progetti: dall'istruzione del
Dir. Progetto Venezia -
Ve.Ra. Legge Speciale per documento programmatico, con i relativi atti
A41 X Servizio Legge Speciale per
Venezia amministrativi, alla predisposizione dei dati di progetto
Venezia
e di gestione dei flussi finanziari, alla verifica del
rispetto degli obiettivi ambientali.
Gestione delle richieste di trasloco all'interno delle

strutture regionali, programmazione attività, gestione
A42 Gestione Traslocchi X costi, ordini, fatture. Modulo C/S per gestione interna Dir. Affari Generali
della Dir. Affari Generali, modulo web per richiesta da
parte delle direzioni regionali.
Si compone di 2 moduli:
1) gestionale di piccole biblioteche interne alle strutture Dir. Beni culturali, D.S.I. /
Gestione Biblioteche di Struttura
A43 X regionali; Dir. Affari Legislativi; Dir.
BiblioWEB
2) gestione abbonamenti alle riviste da parte della Dir. Riforme istituzionali.
Cultura.
Si compone di due moduli: 1) gestione ufficio stampa

(richieste dei servizi, agenda, programmazione attività Ufficio Stampa / segreterie
A44 Gestione Segreterie della Giunta X
2) attività di segreteria degli assessorati (rubrica, assessorati
telefonate, appuntamenti, ecc.).
Direzione Informazione e
A45 Questionario X Questionario URP
Comunicazione
Nuovo portale turistico regionale www.veneto.to.
Rappresenta in Internet la vetrina ufficiale per la
A47 Portale Turistico Regionale X Direzione Turismo
promozione turistica e la valorizzazione del territorio
del Veneto.
Servizio di Newsletter invocabile attraverso il portale
A48 News Letter "Caccia" X U.P. Caccia e Pesca
internet regionale dedicato al settore Caccia

A49 News Letter "Pesca" X U.P. Caccia e Pesca
internet regionale dedicato al settore Pesca
A50A Stipendi X X X Payroll per gli stipendi. D.R.U. / direzioni regionali
A50B Rilevazione Presenze X X X TIME per la rilevazione delle presenze. D.R.U. / direzioni regionali
A50C Giuridico X X X CEZANNE per la parte giuridica. D.R.U. / direzioni regionali
Front end per dipendente per la visualizzazione degli Dir. Ris. Umane /
A50D Self-Service X X
orari, dei cedolini e delle spettanze. dipendenti
A50E Adempimenti X X Modulo per la denuncia Uniemens. Dir. Ris. Umane
Sistema di reporting di Busines Intelligence

A50F Reporting System X X utilizzato come strumento di supporto nei moduli Dir. Ris. Umane
Presenze, Giuridico, Stipendi.
SendURP (Gest. Richieste via E-Mail)

SendProgCom Direzione Informazione e
A54 X
(Gest. Richieste via E-Mail) Comunicazione
Non ha DataBase esterno all'Ambiente
SendProgCom (Gest. Richieste via E-Mail)

SendProgCom
A55 X Programmi Comunitari
(Gest. Richieste via E-Mail)
Non ha DataBase esterno all'Ambiente
NEWSLETTER VV (VILLE Istituto Regionale Ville

A57 X NEWSLETTER VV (VILLE VENETE)
VENETE) Venete
Gestisce la comunicazione di produzione e/o
utilizzazione agronomica degli effluenti zootecnici o
delle acque reflue prodotte dalle piccole aziende
Segr. Settore Primario /
agroalimentari, del piano di utilizzazione agronomica
A58 Monitoraggio Direttiva Nitrati X X CAA, professionisti,
ove richiesto, supporta l'iter istruttorio delle
Province, imprese agricole
comunicazioni da parte delle province. Si avvale dei
dati presenti nell'Anagrafe ditte del Settore Primario
(360).
Catalogo regionale dei beni culturali costituito da
schede che rispettano standard nazionali ICCD.
Dir. Beni Culturali /
A59 Catalogo Beni Culturali X Il software si compone di 2 applicazioni web:
Musei, Università
back-office x catalogatori,
front-office x fruizione informazioni.
Dir. Risorse Umane e
Portale a supporto delle attività del centro ECM
Formazione Servizio
(Educazione Continua in Medicina), accreditamento
Sociosanitario Regionale /
degli enti che fanno formazione in medicina,
ULSS, Aziende
A60 ECM RESIDENZIALE X registrazione e pubblicazione degli eventi formativi
Ospedaliere, Enti privati
residenziali organizzati da tali enti.
organizzatori di corsi in
Medicina, Medici, Altri
http://ecm.regione.veneto.it/
Professionisti della Salute
Gestisce l'analisi dei dati relativi al pagamento della

ANBO - bonifica anagrafe bollo tassa automobilistica ed il confronto con l'anagrafe dei
A64 X X Dir. Ragioneria e Tributi
auto contribuenti al fine di individuare i potenziali evasori.
Usa lo stesso db della A37

A65 NewsLetter "Biblioteche" X Dir. Beni Culturali
internet regionale dedicato al settore Biblioteche
Giornale telematico invocabile dal portale internet

regionale a servizio della struttura redazionale
A66 MondoAgricolo X Ufficio Stampa
regionale.
Inserito nel Portale Regionale.
QuiVenetoSport
A67 QuiVenetoSport X Ufficio Stampa
Inserito nel Portale Regionale
Interrogazioni da applicativo su banca dati imprese del Infocamere / Enti locali e
A68G PARIX GATE X Veneto rivolto a Enti locali e Direzione Sistema Direzione Sistema
Informatico. Informatico.
Visure imprese con almeno un'unità operativa nel Infocamere / Enti locali e
A68W Parix DB Piccole Imprese (WEB) X Veneto. Visibilità Internet Intranet rivolto a Enti locali Strutture regionali del
e Strutture regionali del Veneto. Veneto.

A75 NEWSQUIVENETOSPORT X Dir. Sport
internet regionale dedicato al settore Sport
A76 - Servizio ASP per EE.LL.

Gli applicativi gestiscono:Servizi di Anagrafe e Stato
Civile, Contabilità Finanziaria ed Economico
Patrimoniale, Tributi a Ruolo, Tributi ICI,Personale
Gestione Economica.Allo stato attuale è stato attivato
Enti Veneti (Comuni
A76 ASCOT WEB X (per 2 enti) il modulo Tributi e ICI.
aderenti)
Tributi e ICI Consente l’automazione dei servizi
comunali quali: TARSU - Tassa Asporto Rifiuti Solidi
Urbani, TOSAP - Tassa Occupazione Suolo ed Aree
Pubbliche, PUBBLICITÀ - Imposta Comunale sulla
Pubblicità e Diritto sul
A77 NEWSLETTER RV X Giunta Regionale
internet regionale
Applicazione per archiviazione e conservazione a
norma di documenti firmati digitalmente. Espone
Conservazione Documenti servizi web tramite DIRV (S32) che possono essere
A79 X D.S.I. / Dir. Affari Generali
Informatici invocati da applicativi gestionali per inviare
all'archiviazione ed eventualmente alla conservazione
(Infocamere) documenti informatici.
U.P. Attività Culturali e
Xdams Progetto "Mediateca Catalogazione, archiviazione e distribuzione materiale
A87 X Spettacolo/ Biblioteche del
2000" audiovisivo
Veneto
Giornale telematico invocabile dal portale internet

A88 VenetoGlobale X Ufficio Stampa
regionale a servizio della struttura redazionale regionale
Invio corrispondenza al servizio Poste Italiane.

Utilizza un modulo client di proprietà di Poste Italiane
A89 MIDDLEPOST X Dir. Affari generali
(GLOBALCOM) per l'invio diretto della
corrispondenza a Poste Italiane.

A90 Newsletter "cultura" X Dir. Beni Culturali
internet regionale dedicato al settore Cultura
Nuovo Portale Dedicato Ai Parchi Del Veneto: gestisce

pagine descrittive dedicate ai singoli parchi ed aree
Ass. / EE.LL. / Dir.
A91 Parchi del Veneto X protette del Veneto, newsletter, news ed eventi.
Pianificazione Terr. Parchi
http://www.parchiveneto.it
Dir. Riforme Istituzionali e

A92 Gestione Pareri X Gestione Pareri
Processi di Delega
Sebina Open Library D.S.I. Vicenza /

A94 SBN X
(Servizio Bibliotecario Nazionale) Direzione Beni Culturali

A95 Newsletter "progcom" X internet regionale dedicato al settore Programmi Dir. Programmi Comunitari
Comunitari

Accreditamento dei progetti di formazione sul campo
Formazione Servizio
(FSC) nell'ambito dell'ECM.
Sociosanitario Regionale /
A97 ECM FSC X
ULSS, Aziende
Utilizza il sistema di autenticazione di ECM
Ospedaliere, Medici e Altri
Residenziale (A60)
Professionisti della Salute
Pacchetto DOCWAY personalizzato per la gestione
documentale del centro ECM, modulo "Fascicolo del
A98 ECM DOCWAY X Formazione Servizio
Professionista" per la produzione degli attestati dei
Sociosanitario Regionale
corsi frequentati.
U.P. Sist. Informativo

B01 Webgis Regionale X Applicazione GIS sito Internet regionale.
Territoriale e Cartografia
Gestione dei Tentativi di Conciliazione del Co.Re.Com
COMITATO REGIONALE
Veneto tra utenti e fornitori di servizi di comunicazione
B02 CO.RE.COM. X X COMUNICAZIONI (CO.
fissa e mobile a fronte di abusi o disservizi da parte di
RE. COM.)
organismi di telecomunicazioni.
Gestisce la presentazione delle domande di adesione e
Dir. Foreste ed Economia
B03 Certificazioni Forestali PEFC X variazione al registro delle Certificazioni Forestali
Montana
PEFC e ne gestisce l'iter amministrativo.
B04 NATANTI X Registro Natanti Dir. Mobilità
Servizi di firma digitale su infrastruttura "DORSALE"

(DIRV).
B06 FIRMAWEB X D.S.I.
Installato su infrastruttura di "DORSALE" (DIRV).

B07 NewsLetter Beni Culturali X Dir. Beni Culturali
internet regionale dedicato al settore Beni Culturali
Dir. Beni Culturali / Utenza

B08 SEBINA OPAC X SEBINA OPAC
Internet
B10 - Servizio ASP per EE.LL.
GPE Web è un sistema che consente l’accesso
all’archivio delle pratiche edilizie via internet.
E' indirizzato agli Enti che utilizzano GPE CS
(Client/Server) come gestionale per l’Ufficio Tecnico.
GPE WEB è in grado di interfacciarsi direttamente con
il database di produzione di GPE CS, quindi chiunque
B10 GPE Web X stia consultando una pratica edilizia attraverso questo Comuni ed Enti Veneti
strumento vedrà la situazione attuale aggiornata dei
dati.
Utilizza l'infrastruttura delle "Porte di Dominio",

personalizzata per GPE.
Costituito da un DB centrale, con accesso ai dati degli
Archivi presenti presso ciascun Ente.
U.C. Progetti Strategici e

B11 Integrazione Dati DICE X Raccolta e Integrazione Dati DICE
Politiche Comunitarie
Dir. Pianificazione
B14 NewsLetter PARCHI X NewsLetter Dir. Parchi
Territoriale e Parchi
Dir. Pianificazione
B15 Giornale PARCHI X Giornale Telematico Dir. Parchi
Territoriale e Parchi
Gestione del Registro Operatori Agrituristici del

B18 AGRITURISMO X Veneto. Sarà integrata con il Modello Unico (362) e Dir. Promoz. Integrata
con l'Anagrafe del Settore Primario
Gestisce la presentazione delle pratiche annuali di

adesione e di conferma al "Programma per il
B19 Equini X Miglioramento genetico della Razza Equina". E' Settore Primario
integrata con il Modello Unico (362) e con l'Anagrafe
del Settore Primario (360).
S.M.U.P.R. - Sistema Monitoraggio Unico Progetti

B20 SMUPR Monitoraggio Progetti X Segr. Gen.Programm.
Regionali
B22 GiornateDelloSpettacolo X Giornate dello Spettacolo - Raccolta Dati Dir. Cultura Segr. Reg. Cult.
Sistema informativo Direzione Urbanistica. È costituito

da vari moduli che consentono la gestione di: strumenti
urbanistici, pat – pati, beni ambientali (inclusa la
B23 UrbanisticaWeb X Dir. Urb.
produzione degli elenchi per le autorizzazioni
paesaggistiche) e altre pratiche amministrative (abusi,
liquidazioni extra, contenzioso, condoni, ...)
Direzione Agroambiente e
B24 Newsletter VenetoAgricoltura X Newsletter VenetoAgricoltura
Servizi per l’Agricoltura
U.P. Cooperzione
B26 Coop-Territoriale X Sito Iniziative di Cooperazione Territoriale
Transfrontaliera
Ufficio Stampa della Giunta
B28 GiornaleVenetiNelMondo X Giornale Telematico "Veneti nel Mondo"
Regionale
B31 Congedi e ParTime X X Gestione richieste di Aspettativa, Congedi e ParTime. Direzione Risorse Umane
Nuova Biblioteca Manoscritta - Inserimento e

B32 NBM X Segr. Reg. Cult.
consultazione del Catalogo dei Manoscritti
Dir. EE.LL. Persone
B33 NewsletterEntiLocali X NewsLetter Enti Locali
Giuridiche e Controllo Atti
OPERA: Gestione Documentale

B29 Gestione Documentale (DOGE) X X X Strutture Regionali
(dati personali possono essere contenuti negli atti)
Supporto ai rimborsi ai Consorzi di Bonifica.

B30 Consorzi Bonifica X Dir. Agroambiente
L'applicazione terminerà con il termine dei rimborsi.
B40 GenioCivileWEB X Gestione commissioni tecniche Genii Civili regionali Genii Civili
Applicativo per la realizzazione dei BusinessPlan a

B52 BusinessPlan X U.C. SISP
supporto delle domande PSR
Dir. Programmi Comunitari

Portale di e-democracy dedicato al Tavolo di
E02 Tavolo di partenariato X / Enti e Associazioni,
Partenariato sui Fondi Strutturali dell'Unione Europea.
Cittadini
Portale di e-democracy dedicato al forum della
competitività.
Dir. Programmazione / Enti
E03 Forum della Competitività X
Tutti i portali del gruppo e-democracy usano lo stesso e Associazioni, Cittadini
applicativo, cambiano solo contenuti e veste grafica
(tema e template).
Portale dedicato alla creazione di reti di esperti e
E04 Reseaux di Governo X opinion leader su temi di ampio interesse (società D.S.I. / Strutture Regionali
dell'informazione, agricoltura, sanità, ecc.).
Consente la produzione di questionari ad uso del
portale del Tavolo di Partenariato. Costituito da
Direzione Programmi
software Open Source "AskPeople".
E05 A-Part X Comunitari/ Enti e
Associazioni, Cittadini
http://partenariato.regione.veneto.it/questionario
Portale Procura Venezia

E06 Portale Procura Venezia X Procura Venezia
http://pv.regione.veneto.it
Veneto Education
E11 Veneto Education X D.S.I.
http://venetoeducation.regione.veneto.it
Community.
Utilizzato anche per Portale Gemellaggio Australia
E12 Community X D.S.I.
http://community.regione.veneto.it
Sito dedicato al progetto Trans Rural Network relativo Dir. Produzioni
E13 TransRuralNetwork X
al programma Interreg IV Italia-Austria Agroalimentari
InterOp CMS DB. Portale della comunità degli enti
E14 InterOp CMS DB X aderenti alla soluzione regionale di interoperabilità D.S.I.
SIRV-INTEROP.
AssInt
Associazione per lo sviluppo dell’Innovazione e delle
E15 AssInt X Nuove Tecnologie D.S.I.
http://assint.regione.veneto.it
Portale Veneto dedicato allo scambio ed al riuso del

software tra le Pubbliche Amministrazioni.
E16 Agorà del Riuso X D.S.I. / Enti Pubblicic
http://agora.regione.veneto.it/
E17 AlpencorsDB X Portale su formazione sviluppato su joomla UP Logistica

Portale di e-democracy dedicato al bilancio sociale
regionale.
Dir. Bilancio / Enti,
E21 E-LABORANDO X Associazioni, Scuole e
Tutti i portali del gruppo e-democracy usano lo stesso
Cittadini
(tema e template).
Portale di e-democracy dedicato al progetto europeo
O.W.I. - Open Windows for Integration.
Portale in lingua inglese.
Sede Rappresentanza
Tutti i portali del gruppo e-democracy usano lo stesso Bruxelles / Regione Puglia,
E24 OWI PROJECT X
applicativo, cambiano solo contenuti e veste grafica Repubblica di Serbia,
(tema e template). Albania, Bosnia-Erzegovina
http://adriaticvideo.regione.veneto.it/
http://owiproject.regione.veneto.it/
E25 ASSINT Community X ASSINT (community.assint.org) D.S.I.
Portale del Centro Regionale di Competenza (CRC)
del Veneto.

E26 Portale CRC X CRC Veneto
(tema e template).
http://crc.regione.veneto.it/
Portale del Programma Regionale 2008 a sostegno
dell'Imprenditoria Femmimile. Dir. Industria /
E27 Imprenditoria Femminile X
CPV, Utenza Internet

(tema e template).
http://imprenditoriafemminile.regione.veneto.it/
Portale OverNetwork - Interconnessione tra D.S.I. /
E28 OverNetwork X
Amministrazioni tramite Rete OverNetwork. Amministazioni Locali
Servizi E-Learning / E-Democracy / E-Governament -
vari portali internet
E30 E-Learning X D.S.I.
http://elearning.regione.veneto.it
Portale internet per la promozione della formazione
nell'ambito della rete delle regioni per l'elearning.
E32 AssInt E-Learning X D.S.I.
http://elearning.assint.org
Progetto per la conoscenza delle esperienze di
integrazione ed utilizzo delle ICT nell’ambito della
formazione professionale.
E32A Ritef-Elearning X Ritef si configura come network di Amministrazioni D.S.I.

Regionali e provinciali con la finalità di promuovere
azioni di cooperazione e coordinamento in materia di
gestione ed erogazione della formazione (in presenza e
a distanza).
Portale Comunità Montana dell'Alpago. Comunità montana

E41 Alpago X
dell'Alpago
http://alpago.regione.veneto.it
Portale del Comune di Arcade.

E42 Comune di Arcade X Comune di Arcade
http://arcade.regione.veneto.it
Portale del Comune di Crocetta del Montello

Comune di Crocetta del Comune di Crocetta del
E43 X
Montello Montello (TV)
http://www.comune.crocetta.tv.it
Portale del Comune di S. Biagio di Callalta.

Comune di San Biagio di Comune di San Biagio di
E44 X
Callalta Callalta (TV)
http://www.comune.sanbiagio.tv.it/
Portale ufficiale del progetto Ven.e-d (Veneto E-

Democracy).

E50 Ven.e-d ( Veneto eDemocracy ) X D.S.I.
(tema e template).
http://vened.regione.veneto.it/
Sito internet web 2.0 per promuovere gli eventi legati

all'innovazione: (wordpress)
E52 Veneto Expo X D.S.I. + Ut. Internet
http://venetoexpo.regione.veneto.it
PORTALE VILLE VENETE: è il portale di accesso per

la ricerca e l’approfondimento delle risorse culturali e
turistiche legate alle Ville Venete.
P02 Portale V.V. X Istituto Reg.le Ville Venete
Usato software di appoggio per gestione immagini:
celum Imagine
http://www.villevenete.net
S01 Portale RVE X Portale di Regione Veneto (www.regione.veneto.it) D.S.I.
Identity and Access Management.
IAM - Identity and Access Prodotto "SJS Identity Manager 6.0".

S12 X D.S.I.
Management
Utilizza il modulo: Gateway Active Directory - Identity
Management
Intranet su Sharepoint (nuova)
*(dati personali possono essere contenuti in avvisi
S20 Intranet su Sharepoint X X* X* e/o documenti caricati in aree intranet, da parte di D.S.I. + varie strutture
utenti a ciò abilitati, con le limitazioni da essi
stabilite nei confronti degli altri utenti intranet)
WP13 - REPOSITORY FIRMA DIGITALE E POSTA
CERTIFICATA.
WP13 REPOSITORY Gestione del ciclo di vita delle carte di firma.
S33 X D.S.I.
CRS,CNS,CIE
Utilizza servizi offerti dai moduli "Porta Applicativa" e
"Gestore Eventi".
X04 Stipendi X X X Gestione stipendi del personale regionale. D.R.U.
Tabella T2-2010: “Applicazioni in hosting/housing”

(Applicazioni per le quali il CED garantisce la disponibilità dei server ospitanti, essendo la gestione a carico delle strutture di
riferimento indicate nella specifica colonna)
Natura dei dati trattati

Strutture
Codice
Nome trattamento / applicazione Modello di ospitalità Descrizione sintetica del trattamento di
procedura
riferimento
Sensibili Giudiziari
Applicazione in
210 Dati Contabili Finanziari n.d. n.d. Dati Contabili Finanziari RVe - Direzione Bilancio
housing
Risorse Umane - Applicazione/Portale in

590 n.d. n.d. Risorse Umane - PersonaleInforma RVe - Dir. Risorse Umane
PersonaleInforma hosting/housing
Anagrafe Edilizia Scolastica -

820 Applicazione in hosting n.d. n.d. Anagrafe Edilizia Scolastica RVe - Dir. Lavori Pubblici
MIUR
Applicazione/Portale in
A21 Cicerone Banca Dati 2006 n.d. n.d. Banca Dati Cicerone 2006 RVe - Dir. Formazione
hosting/housing
Seeds (Sustainable and Effective

Entrepreneuship's Development Scheme)- Ufficio VinE
A46 SEEDS - Portale Applicazione in hosting n.d. n.d. Portale Internet realizzato promosso dall'Ufficio (Veneto in Europa per lo
VINE (Veneto in Europa per lo sviluppo dei sviluppo dei Balcani)
Balcani) con fondi europei
CREV - SIVE: Sistema regionale centralizzato
web oriented pubblicato sul sito del CREV, che
CREV-SIVE Applicazione in consente la registrazione degli accasamenti negli
A80 n.d. n.d. Ist. Zooprofilattico, Esterni
Anagrafe Bovina hosting/housing allevamenti avicoli e la pubblicazione di
adeguata reportistica per i Servizi Veterinari
Territoriali
A81 CREV-GESVET n.d. n.d. CREV - GESVET Ist. Zooprofilattico, Esterni
hosting/housing
CREV - SIAN: Sistema regionale centralizzato

web oriented che consente la registrazione dati
Applicazione in relativi a insediamenti produttivi e ad attività di
A82 CREV-SIAN n.d. n.d. Ist. Zooprofilattico, Esterni
hosting/housing ispezione e vigilanza effettuata dal Servizio
Igiene Alimenti e Nutrizione delle AZ-ULSS del
Veneto.
CREV - CANI: Sistema regionale centralizzato
integrato per la gestione della distribuzione ed
Applicazione in
A83 CREV-CANI n.d. n.d. assegnazione dei microchip e per la Ist. Zooprofilattico, Esterni
hosting/housing
identificazione e registrazione delle
movimentazioni dei cani sul territorio regionale
A84 CREV-ASSO n.d. n.d. CREV - ASSO Ist. Zooprofilattico, Esterni
hosting/housing
CREV - MACELLATO: Sistema regionale

centralizzato web oriented, che consente la
Applicazione in
A85 CREV-MACELLATO n.d. n.d. registrazione dei dati relativi alle macellazioni Ist. Zooprofilattico, Esterni
hosting/housing
bovine e l’invio dei dati di competenza alla BDN
in modalità nodo leggero
CREV - LATTE: Progetto x informatizzazione

flusso dati relativo ad analisi svolte in regime di
Applicazione in autocontrollo sul latte conferito da aziende ai
A86 CREV-LATTE n.d. n.d. Ist. Zooprofilattico, Esterni
hosting/housing sensi del DPR 54/06 e successivi aggiornamenti,
x fornire a operatori del settore relazioni
complete e veloci
-- WEB Service Settore Primario n.d. n.d. Web Service. Ist. Zooprofilattico, Esterni
hosting/housing
-- Servizi (FatDip) n.d. n.d. Servizi. Ist. Zooprofilattico, Esterni
hosting/housing
-- AC WEB n.d. n.d. Web Service. Ist. Zooprofilattico, Esterni
hosting/housing
Portale in
-- Sito WEB n.d. n.d. Sito Web. Ist. Zooprofilattico, Esterni
hosting/housing
Applicazione per la gestione integrata della

contabilità generale, IVA, ciclo attivo, ciclo
A99 ARPAV-SIGIA Applicazione in hosting n.d. n.d. ARPAV
passivo, magazzino, logistica, cespiti ed albo
fornitori.
Portale Internet di Veneto Agricoltura

Portale in
E31 Veneto Agricoltura n.d. n.d. Veneto Agricoltura
hosting/housing
http://www.venetoagricoltura.org
Gestisce i corsi di aggiornamento per la Polizia Scuola Regionale Veneta per la

E33 Scuola di Polizia Portale in hosting n.d. n.d.
nel Veneto Sicurezza e la Polizia Locale
CO Comunicazioni obbligatorie sui rapporti di

--- Applicazione in hosting n.d. n.d. Veneto Lavoro
(Veneto Lavoro) lavoro.
Orientamento alla scuola e al lavoro per la

Borsino delle professioni Regione del Veneto
--- Portale in hosting n.d. n.d. Veneto Lavoro
(Veneto Lavoro)
http://borsino.borsalavoroveneto.it/
Porte di dominio per CO

--- Applicazione in hosting n.d. n.d. Porte di dominio per CO. Veneto Lavoro
(Veneto Lavoro)
Area riservata scuole del Veneto

ARIS Applicazione/Portale in
--- n.d. n.d. Veneto Lavoro
(Veneto Lavoro) hosting
http://www.venetolavoro.it/aris/
AROF
--- Applicazione in hosting n.d. n.d. Anagrafe regionale Obbligo Formativo Veneto Lavoro
(Veneto Lavoro)
SSO
--- Applicazione in hosting n.d. n.d. Singol Sign On Veneto Lavoro
(Veneto Lavoro)
La formazione per gli apprendisti in Veneto

AV Applicazione/Portale in
--- n.d. n.d. Veneto Lavoro
(Veneto Lavoro) hosting
http://www.apprendiveneto.it/apprendiveneto/
AOL
--- Applicazione in hosting n.d. n.d. Adempimenti On Line Veneto Lavoro
(Veneto Lavoro)
Pegaso
--- Applicazione in hosting n.d. n.d. Gestionale di Back Office. Veneto Lavoro
(Veneto Lavoro)
SILL
--- Applicazione in hosting n.d. n.d. Sistema Informativo lavoro locale Veneto Lavoro
(Veneto Lavoro)
Sistema Incontro Domanda Offerta

IDO
--- Portale in hosting n.d. n.d. Veneto Lavoro
(Veneto Lavoro)
https://ido.venetolavoro.it/cms/index.php
ESB Mule
--- Applicazione in hosting n.d. n.d. Mule ESB Veneto Lavoro
(Veneto Lavoro)
Commissario Allagamenti del

-- Web Gis Portale in hosting n.d. n.d. http://alluvione2007.regione.veneto.it/
Veneto
Ascot Web Applicazione in

-- n.d. n.d. Gestionale economico/ finanziario. ESU Venezia
hosting/housing
Comunità Montana dall’Astico al Portale in http://www.cmasticobrenta.vi.it/siteditor/index.p Comunità Montana dall’Astico

-- n.d. n.d.
Brenta hosting/housing hp?app=cmab al Brenta
-- Back Up - Veneto Sviluppo Applicazione in hosting n.d. n.d. Server per Backup dell’ente Veneto Sviluppo
WebGis per la consultazione della aree Natura

Applicazione/portale in 2000, degli habitat di specie e delle specie e per
B36 WebGis Natura 2000 n.d. n.d. UP Cartografico
Housing la compilazione del db della procedura di
valutazione di incidenza.
Applicazione/portale in
--- WebGis Agricoltura n.d. n.d. WebGis Agricoltura UP Cartografico
Housing
Applicazione/portale in
--- WebGis Cartografico n.d. n.d. WebGis Cartografico UP Cartografico
Housing
Secondo gli accordi tra Rve e Azienda

Ospedaliera di Padova l'accensione/spegnimento
sono gestiti dal personale del CED, mentre
Direzione Risorse Socio
CEDAP (Certificato Assistenza Applicazione in l’attività sistemistica e di manutenzione viene
CEDAP n.d. n.d. Sanitarie
al Parto) housing svolta dal personale dell’Azienda Ospedaliera.
Azienda Ospedaliera di Padova
I backup di questi server sono nella "libreria"
dell’Azienda Ospedaliera e non sulle quelle di
RVe.
Secondo gli accordi tra Rve e Azienda
Ospedaliera di Padova l'accensione/spegnimento
sono gestiti dal personale del CED, mentre
Applicazione in l’attività sistemistica e di manutenzione viene
MR Malattie Rare n.d. n.d. Sanitarie
housing svolta dal personale dell’Azienda Ospedaliera.
Azienda Ospedaliera di Padova
I backup di questi server sono nella "libreria"
dell’Azienda Ospedaliera e non sulle quelle di
RVe.

FLU Trasmissione flussi hosting/housing n.d. n.d. Trasmissione flussi
Sanitarie
archivio delle esenzioni Direzione Risorse Socio

ESE hosting/housing n.d. n.d. archivio delle esenzioni riconosciute agli assistiti
riconosciute agli assistiti Sanitarie
archivio delle informazioni

archivio delle informazioni relative alle Direzione Risorse Socio
APS relative alle prestazioni di pronto hosting/housing n.d. n.d.
prestazioni di pronto soccorso Sanitarie
soccorso
schede di dimissione ospedaliera Direzione Risorse Socio

SDO hosting/housing n.d. n.d. schede di dimissione ospedaliera e day hospital
e day hospital Sanitarie
Mobilità extraregionale attiva e Direzione Risorse Socio

MOB hosting/housing n.d. n.d. Mobilità extraregionale attiva e passiva
passiva Sanitarie
Schede di specialistica Direzione Risorse Socio

SPS hosting/housing n.d. n.d. Schede di specialistica ambulatoriale
ambulatoriale Sanitarie
Assistenza Residenziale e
Assistenza Residenziale e Semiresidenziale Direzione Risorse Socio
RSA Semiresidenziale hosting/housing n.d. n.d.
Extraospedaliera Sanitarie
Extraospedaliera

ADI Assistenza Domiciliare Integrata hosting/housing n.d. n.d. Assistenza Domiciliare Integrata
Sanitarie
Interruzioni volontarie di Direzione Risorse Socio

IVG hosting/housing n.d. n.d. Interruzioni volontarie di gravidanza
gravidanza Sanitarie

ABS Aborti spontanei hosting/housing n.d. n.d. Aborti spontanei
Sanitarie

SDM Schede di morte hosting/housing n.d. n.d. Schede di morte
Sanitarie
Sistema di monitoraggio per Direzione Risorse Socio

HIV hosting/housing n.d. n.d. Sistema di monitoraggio per l'infezione da HIV
l'infezione da HIV Sanitarie

INF Malattie Infettive -TBC hosting/housing n.d. n.d. Malattie Infettive -TBC
Sanitarie

PIC Invalidi civili hosting/housing n.d. n.d. Invalidi civili
Sanitarie
Ricette Ricette Direzione Risorse Socio

FRM hosting/housing n.d. n.d.
farmaceutiche farmaceutiche Sanitarie

FO Farmaci Oncologici hosting/housing n.d. n.d. Farmaci Oncologici
Sanitarie

PST Psichiatria territoriale hosting/housing n.d. n.d. Psichiatria territoriale
Sanitarie

DDF Distribuzione Diretta Farmaci hosting/housing n.d. n.d. Distribuzione Diretta Farmaci
Sanitarie

118 Emergenza sanitaria hosting/housing n.d. n.d. Emergenza sanitaria
Sanitarie
Donor Manager Centro Direzione Risorse Socio

CRT hosting/housing n.d. n.d. Donor Manager Centro Regionale Trapianti
Regionale Trapianti Sanitarie

SCR Screening Oncologico hosting/housing n.d. n.d. Screening Oncologico
Sanitarie
* * *

Documento Programmatico Sulla Sicurezza

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Documento Programmatico Sulla Sicurezza

Caricato da

Copyright:

Formati disponibili

giunta regionale – 8^ legislatura

ALLEGATOA alla Dgr n. 1003 del 23 marzo 2010 pag. 1/41

(ART. 34 - REGOLA 19 DELL’ALLEGATO B

Elenco dei trattamenti di dati personali (regola 19.1)

La tabella T2-2010 “Applicazioni in hosting/housing”, si riferisce ad applicazioni per le quali il CED

Distribuzione dei compiti e delle responsabilità (regola 19.2)

Definizioni dei “Ruoli di Legge" e abbinamento con i "Ruoli Aziendali"

Struttura Organizzativa per l’ambito privacy e sicurezza.

RUOLI E PROFILI ORGANIZZATIVI

TITOLARE DEL TRATTAMENTO

SEGRETERIA GENERALE DELLA

UFFICIO SICUREZZA UFFICIO COMITATO PER

AMMNISTRATORE INCARICATI INCARICATI INCARICATI DEL

Comitato per la Sicurezza Informatica e Telematica:

Struttura Organizzativa di gestione della sicurezza nella Regione Veneto.

Ufficio Privacy: le attività svolte si possono riassumere in due macro-aree:

1. Coordinamento adempimenti regionali in materia di privacy e predisposizione di direttive per

Analisi dei rischi che incombono sui dati (regola 19.3)

Tabella 1). Analisi generale dei rischi per i server.

spamming o altre tecniche di

accessi esterni non autorizzati

accessi non autorizzati a

asportazione e furto di strumenti

Guasto ai sistemi complementari

Errori umani nella gestione della

Misure in essere e da adottare (regola 19.4)

Sicurezza Fisica (Locali CED)

La Direzione Sistema Informatico ha avviato un processo di razionalizzazione dei sistemi di allarme e di

Sicurezza Server ( CED)

Affidabilità/Ridondanza: la configurazione hardware dei server è basata su architettura Cluster, con

Sicurezza Network (rete)

E’ lo strumento principale per la protezione perimetrale della rete.

Il sistema di firewalling è basato su hardware in alta affidabilità (ridondato in configurazione fail-over).

Segregazione delle Reti (Virtual Local Area Network VLAN)

Sistema di rilevazione intrusioni (IDS)

NIDS NIDS INTERNET

NIDS HIDS HIDS

Le sonde impiegate sono di due tipi:

Le reti VPN (Virtual Private Network)

Sistema di Identity e Access Management

Controllo accessi “logici”

Sicurezza postazioni di lavoro

Tabella 2). Le misure di sicurezza adottate o da adottare

Misure già in essere: contiene l’elenco delle contromisura già adottate.

Minaccia Contrastata Misure Misure adottate Misure da adottare

Criteri e modalità di ripristino della disponibilità dei dati (regola 19.5)

Le politiche di backup applicate al cluster ed al server, sono le seguenti:

Pianificazione degli interventi formativi previsti (regola 19.6)

Trattamenti affidati all’esterno (regola 19.7)

Le attività di gestione e manutenzione dei sistemi informatici dell’Amministrazione regionale, per il

Cifratura dei dati o separazione dei dati identificativi (regola 19.8)

Tabella T1-2010: “Gestione Sistema Informativo Regionale Veneto” (GESIRV)

Profilazione degli utenti, definizione di ruoli

Gestisce le domande di contributo per le imprese

Applicazione per la gestione, il monitoraggio, la

Adeguamento PROCOM (030) in base alla

040 Prosedit - Gestione X Gestione delle pubblicazioni regionali Segr. Cultura

Applicazione che consente la gestione dell'archivio

Applicazione utilizzata per l'inserimento off-line dei

Applicativo di gestione dell'istruttoria delle pratiche del D.S.I. /

Gestione atti della Giunta Regionale: inserimento ordini

Consultazione Atti Web

Gestione Atti - Archiviazione Ottica Delibere

Gestione dei rimborsi per pratiche automobilistiche fino Direzione Ragioneria e