Politica della Sicurezza Arcadoc – AEFFEGROUP
Lo scopo della presente politica è descrivere i principi generali di sicurezza delle informazioni definiti da AEFFEGROUP al fine di sviluppare un efficiente e sicuro Sistema di Gestione della Sicurezza delle Informazioni ai sensi della ISO 27001.
Per AEFFEGROUP la sicurezza delle informazioni ha come obiettivo primario la protezione dei dati e delle informazioni, della struttura tecnologica, fisica, logica ed organizzativa, responsabile della loro gestione. Questo significa ottenere e mantenere un sistema di gestione sicura delle informazioni, attraverso il rispetto delle seguenti proprietà:
1. Riservatezza: assicurare che l’informazione sia accessibile solamente a coloro debitamente autorizzati ai processi;
2. Integrità: salvaguardare la consistenza dell’informazione da modifiche non autorizzate;
3. Disponibilità: assicurare che gli utenti autorizzati abbiano accesso alle informazioni e agli elementi architetturali associati quando ne fanno richiesta;
4. Controllo: assicurare che la gestione dei dati avvenga sempre attraverso processi e strumenti sicuri e testati;
Nell’ambito della gestione dei servizi offerti da AEFFEGROUP, attraverso la propria infrastruttura tecnologica, assicura:
· la garanzia di aver incaricato un partner affidabile al trattamento del proprio patrimonio informativo;
· un’elevata immagine aziendale;
· la completa osservanza dei Livelli di Servizio stabiliti con i clienti;
· la soddisfazione del cliente;
· il rispetto delle normative vigenti e degli standard internazionali di sicurezza
Per questo motivo AEFFEGROUP ha sviluppato un sistema di gestione sicura delle informazioni seguendo i requisiti specificati della Norma ISO 27001:2022 e delle leggi cogenti come mezzo per gestire la sicurezza delle informazioni nell’ambito della propria attività.
La politica per la sicurezza delle informazioni di AEFFEGROUP si applica a tutto il personale interno ed alle terze parti (es: fornitori di servizi, manutenzioni, supporto…) che collaborano alla gestione delle informazioni ed a tutti i processi e risorse coinvolte nella progettazione, realizzazione, avviamento ed erogazione continuativa nell’ambito dei servizi.
AEFFEGROUP definisce, e con cadenza annuale rivalida, il contesto in cui opera, gli attori coinvolti, le opportunità e i possibili rischi impattanti sul proprio Sistema di Gestione per la Sicurezza delle Informazioni.
La politica della sicurezza di AEFFEGROUP rappresenta l’impegno dell’organizzazione nei confronti di clienti e terze parti a garantire la sicurezza delle informazioni, degli strumenti fisici, logici e organizzativi atti al trattamento delle informazioni in tutte le attività.
La politica della sicurezza delle informazioni di AEFFEGROUP si ispira ai seguenti principi:
a) garantire il controllo degli accessi (si veda allegato “Politica di controllo degli accessi”);
b) stabilire la classificazione (e il trattamento) delle informazioni (si veda la classificazione adottata in quattro stadi);
c) garantire la sicurezza fisica e ambientale del proprio luogo di lavoro;
d) adottare temi destinati all’utente finale, quali ad esempio:
1) uso accettabile degli asset;
2) best practices riguardanti scrivania e schermo puliti;
3) adeguato trasferimento delle informazioni;
4) uso regolamentato dei dispositivi mobili e telelavoro;
5) limitazioni all’installazione e all’utilizzo di software;
e) stabilire ed effettuare backup ad intervalli regolari;
f) stabilire procedure per il trasferimento di informazioni in modo protetto;
g) prevedere protezioni dai malware;
h) individuare, monitorare e gestire le vulnerabilità tecniche riscontrate;
i) prevedere, se necessario, controlli crittografici;
j) garantire la sicurezza delle comunicazioni;
k) rispettare le normative vigenti in ambito privacy e protezione dei dati personali;
l) regolamentare i rapporti con i fornitori in ottica ISO27001
La presente politica si applica al seguente campo di applicazione in riferimento alle attività svolte da AEFFEGROUP:
PROGETTAZIONE, SVILUPPO, MANUTENZIONE E ASSISTENZA SOFTWARE, CONSULENZA E SERVIZI INFORMATICI, EROGAZIONE DI SERVIZI SAAS CON L’APPLICAZIONE DEI CONTROLLI PREVISTI DALLE LINEE GUIDA ISO/IEC 27017:2015 E ISO/IEC 27018:2019 IN ARCHITETTURA PUBLIC CLOUD
Per quanto riguarda l’erogazione dei servizi SaaS si applicano i seguenti principi, in riferimento alle linee guida ISO 27017 e ISO 27018:
– le informazioni archiviate nell’ambiente di cloud computing sono soggette all’accesso e alla gestione controllata da parte del fornitore di servizi cloud;
– sono regolamentate le risorse che possono essere gestite nell’ambiente di cloud computing;
– i processi possono essere eseguiti su un servizio cloud virtualizzato multi-tenant;
– gli utenti del servizio cloud sono informati del contesto in cui utilizzano il servizio cloud e delle norme che lo regolamentano;
– sono definiti gli amministratori del servizio cloud del cliente cloud service che hanno accesso privilegiato;
– sono definite nelle condizioni contrattuali le posizioni geografiche del fornitore di servizi cloud e i Paesi in cui il fornitore di servizi cloud può archiviare i dati dei clienti del servizio cloud
La presente politica deve essere riesaminata ad intervalli pianificati o nel caso in cui si siano verificati cambiamenti significativi, al fine di garantirne sempre l’idoneità, l’adeguatezza e l’efficacia
La Direzione è responsabile del sistema di gestione sicura delle informazioni, in coerenza con l’evoluzione del contesto aziendale e di mercato, valutando eventuali azioni da intraprendere a fronte di eventi come:
· evoluzioni significative del business;
· nuove minacce rispetto a quelle considerate nell’attività di analisi del rischio;
· significativi incidenti di sicurezza;
· evoluzione del contesto normativo o legislativo in materia di trattamento sicuro delle informazioni.
