Allegato TOM (Technical and Organizational Measures)

Ultimo aggiornamento: 30 aprile 2026.

1. Misure organizzative

• policy accessi e segregazione ruoli;
• autorizzazione per principio del minimo privilegio;
• gestione onboarding/offboarding utenti interni;
• formazione periodica sicurezza/privacy.

2. Misure tecniche

• cifratura dati in transito (TLS);
• protezione credenziali (hash password, segreti in env sicure);
• inoltro email transazionali (SMTP su TLS) per account, sicurezza e notifiche ticket assistenza;
• logging sicurezza e audit trail;
• backup periodici con test di ripristino;
• patch management su sistemi e dipendenze.

3. Gestione incidenti

• rilevazione e classificazione incident;
• escalation interna con ruoli definiti;
• comunicazioni a clienti in caso di impatto;
• post-mortem e remediation.

4. Continuità operativa

• monitoraggio uptime;
• procedure disaster recovery;
• obiettivi RTO/RPO definiti nello SLA.

5. Riesame

Le TOM sono riesaminate almeno annualmente o dopo incidenti rilevanti/cambiamenti infrastrutturali.