Vitaever

Menu
RICHIEDI DEMO
ACCEDI
Menu

Sicurezza

  1. Premessa generale

Nethical s.r.l.  è una realtà imprenditoriale che si occupa di “Progettazione e realizzazione di servizi informatici e applicazioni software”. Sono comprese le attività di assistenza, sviluppo e manutenzione di sistemi informatici proprietari, il disaster recovery a supporto dei servizi oggetto del campo d’applicazione e la connettività delle reti nella sua complessità. Aree principali di interesse e di attività:

  1. servizi informatici – Infrastruttura SaaS (software as a service): soluzioni cloud o ibride, macchine virtuali, sistemi di managed backup, security e file sharing;
  2. sviluppo web & mobile, Applicazioni Mobile – progettazione e sviluppo di app per Android ed iOS, utilizzando la metodologia Agile e progettazione di UX e UI. 

L’organizzazione di Nethical è di tipo centralizzato e l’erogazione dei servizi avviene da un centro operativo, anche sede legale, localizzato a Bologna in via Paolo Fabbri 1/ 4.

Con riferimento al campo di applicazione le attività di progettazione e realizzazione di servizi informatici e applicazioni software sono state verificate secondo le linee guida ISO/IEC 27017:2015 e iso/iec 27018:2019.

  1. Impegno della Direzione e obiettivi 

L’obiettivo primario che la direzione si pone è la protezione dei dati e delle informazioni al fine di tutelare il know how aziendale, i dati e le informazioni dei clienti e di tutelare le persone fisiche di cui si trattano i dati personali.

Per le caratteristiche dei servizi che Nethical offre ai propri Clienti privati e Pubbliche Amministrazioni e per il valore che rappresentano le informazioni nel proprio business, la Politica della Sicurezza delle Informazioni rappresenta un indirizzo strategico fondamentale e prioritario.

Il Sistema di Gestione per la Sicurezza delle Informazioni è fondato sul rispetto di:

  1. riservatezza: assicurare che l’informazione sia accessibile solamente ai soggetti debitamente autorizzati nell’ambito dei processi gestiti;
  2. integrità: salvaguardare contenuti e consistenza dell’informazione da modifiche non autorizzate;
  3. disponibilità: assicurare che gli utenti autorizzati abbiano accesso alle informazioni e agli elementi architetturali associati, quando ne fanno richiesta;
  4. controllo: assicurare che la gestione dei dati avvenga sempre attraverso processi e strumenti sicuri e testati;
  5. privacy: garantire la protezione e il controllo dei dati personali e del loro trattamento.

Tutte le persone che lavorano e/o collaborano con Nethical (compresi Fornitori, Clienti e Partner) sono impegnate a rispettare questi principi.

Nethical ha definito attraverso il SGSI i seguenti obiettivi:

  • avere una visione complessiva e centrale della sicurezza aziendale, che spazia oltre il perimetro della sicurezza IT includendo anche persone e processi;
  • dimostrare la sua abilità nel fornire prodotti e servizi conformi ai requisiti dei clienti, ai requisiti degli standard di riferimento, delle leggi e dei regolamenti applicabili; 
  • incrementare la soddisfazione dei clienti attraverso l’efficace applicazione del SGSI e dei processi di miglioramento continuo e assicurando il rispetto dei requisiti stabiliti dalle normative cogenti e dai regolamenti applicabili. 

 

  1. Il sistema di gestione della sicurezza delle informazioni

Nethical applica i principi della Privacy by Design e Privacy by Default nella progettazione, gestione e manutenzione della propria struttura tecnologica, fisica, logica e organizzativa. Nethical ritiene che la sicurezza delle informazioni rappresenti un fattore dirimente di successo sia per quanto riguarda i processi di progettazione e sviluppo di soluzioni tecnologiche che per quanto riguarda l’erogazione dei servizi. 

La politica per la sicurezza delle informazioni di Nethical è costituita da un insieme di attività che comprendono: l’identificazione delle aree critiche; la gestione dei rischi, dei sistemi e della rete, delle vulnerabilità e degli incidenti; il controllo degli accessi; la gestione della privacy e della compliance; la valutazione dei danni e tutti gli altri aspetti che possono impattare sulla gestione della sicurezza delle informazioni.

Per perseguire questo obiettivo, Nethical, attraverso un approccio by design, pone grande attenzione alla progettazione, alla gestione e alla manutenzione della propria struttura tecnologica, fisica, logica e organizzativa. 

La Direzione è fortemente impegnata ad una grande responsabilizzazione di tutte le persone che lavorano per e con Nethical nel garantire la rigorosità del proprio operato per adempiere, con la massima attenzione, ai compiti assegnati. In particolare, questo obiettivo è perseguito attraverso l’impegno a garantire: 

  • il rispetto delle leggi e normative vigenti;
  • l’efficienza operativa e affidabilità dei processi di sviluppo di prodotti e servizi correlati;
  • le condizioni di salute e sicurezza sui luoghi di lavoro per il personale e terzi;
  • la continuità e l’efficienza dei processi organizzativi e operativi al fine di prevenire e ridurre al minimo l’impatto degli incidenti volontari o casuali sulla sicurezza dei dati/informazioni gestite;
  • la protezione degli strumenti resi disponibili e il loro corretto utilizzo; 
  • la riservatezza, la correttezza e la disponibilità dei dati/informazioni gestiti da Nethical e la salvaguardia della proprietà intellettuale;
  • l’adozione di misure di prevenzione di anomalie di processo/prodotto/servizio.  

Per dare attuazione alla propria politica della sicurezza delle informazioni, Nethical ha sviluppato e si impegna a mantenere un sistema di gestione sicura delle informazioni conforme ai requisiti specificati, delle norme UNI CEI EN ISO/IEC 27001:2017 UNI CEI EN ISO/IEC 27017 e UNI CEI EN ISO/IEC 27018 e delle leggi cogenti come mezzo per gestire la sicurezza delle informazioni nell’ambito della propria attività.

Nell’ambito della gestione dei servizi offerti, Nethical assicura: 

  1. l’osservanza dei livelli di sicurezza stabiliti attraverso l’implementazione SGSI (sistema di gestione della sicurezza delle informazioni); 
  2. il rispetto delle normative vigenti e degli standard internazionali di sicurezza per la propria infrastruttura tecnologica e organizzativa; 
  3. la selezione di partner affidabili dal punto di vista della gestione in sicurezza delle informazioni e della protezione dei dati personali.

A chi si applica la Policy? La politica per la sicurezza delle informazioni di Nethical si applica a tutto il personale interno,  a quello delle terze parti che collaborano alla gestione delle informazioni e a tutti i processi e alle risorse coinvolte nella progettazione, realizzazione, avviamento ed erogazione continuativa nell’ambito dei servizi.

L’impegno di Nethical e degli stakeholders. La politica della sicurezza di Nethical rappresenta in concreto l’impegno dell’organizzazione nei confronti di Clienti e delle terze parti a garantire la sicurezza delle informazioni, degli strumenti fisici, logistici e organizzativi atti al trattamento delle informazioni in tutte le attività.

  1. Politica di sicurezza delle informazioni per il cloud computing

La presente Politica di Sicurezza delle Informazioni (PSI) ha lo scopo di stabilire le linee guida e le misure di sicurezza necessarie per proteggere le informazioni gestite nei servizi di cloud computing. 

Ambito di Applicazione

Questa politica si applica a tutti i dati, applicazioni e infrastrutture gestiti nel cloud, inclusi ma non limitati a:

  • dati sensibili e personali;
  • applicazioni aziendali;
  • infrastruttura IT;
  • servizi di rete e comunicazione.

Ruoli e Responsabilità

Responsabile della Sicurezza delle Informazioni (RSI): designato per garantire l’implementazione e il monitoraggio della PSI.

Utenti Finali: tutti gli utenti che accedono ai servizi cloud sono responsabili della protezione delle informazioni e devono seguire le procedure di sicurezza stabilite.

Fornitori di Servizi Cloud: Devono garantire che siano in atto misure di sicurezza adeguate e che vengano rispettati gli accordi di livello di servizio (SLA).

Misure di sicurezza – Controllo degli Accessi

  • Implementare controlli di accesso basati su ruoli per garantire che solo gli utenti autorizzati possano accedere a dati e applicazioni.
  • Utilizzare autenticazione a più fattori (MFA) per tutti gli accessi ai sistemi critici.

Misure di sicurezza – Crittografia

  • I dati sensibili devono essere crittografati sia in transito che a riposo.
  • Utilizzare protocolli di crittografia standardizzati e aggiornati.

Misure di sicurezza – Monitoraggio e Audit

  • Implementare sistemi di monitoraggio per rilevare accessi non autorizzati o attività sospette.
  • Eseguire audit regolari delle configurazioni di sicurezza e delle pratiche di accesso.

Misure di sicurezza – Backup e Recupero

  • Eseguire backup regolari dei dati e testare i piani di recupero in caso di emergenza.
  • Garantire che i dati di backup siano anch’essi protetti e crittografati.

Misure di sicurezza – Formazione e Sensibilizzazione

  • Fornire formazione regolare ai dipendenti e agli utenti finali sui rischi di sicurezza e sulle migliori pratiche.
  • Promuovere una cultura della sicurezza nelle pratiche quotidiane di lavoro.

Misure di sicurezza – Gestione delle Vulnerabilità

  • Eseguire scansioni di vulnerabilità regolari e implementare patch di sicurezza tempestive;
  • mantenere un inventario aggiornato degli asset e delle applicazioni nel cloud.

Conformità e Normative

Tutti i clienti e i fornitori devono rispettare le leggi e le normative applicabili in materia di protezione dei dati e sicurezza delle informazioni, inclusi, ma non limitati a:

  • Regolamento Generale sulla Protezione dei Dati (GDPR);
  • altre normative locali e internazionali pertinenti.
  1. Dichiarazione di impegno

In sintesi, la politica della sicurezza delle informazioni di Nethical garantisce:

  1. che l’organizzazione abbia piena conoscenza delle informazioni gestite e valuti di volta in volta la loro criticità, al fine di agevolare l’implementazione di adeguati livelli di protezione; 
  2. che l’accesso alle informazioni avvenga in modo sicuro e adatto a prevenire i trattamenti non autorizzati o realizzati senza i diritti necessari; 
  3. che l’organizzazione e le terze parti collaborino al trattamento delle informazioni adottando procedure volte al rispetto di adeguati livelli di sicurezza;
  4. che l’organizzazione e le terze parti che collaborano al trattamento delle informazioni siano adeguatamente formate e abbiano piena consapevolezza delle problematiche relative alla sicurezza;
  5. che le anomalie e gli incidenti aventi ripercussioni sul sistema informatico, sui servizi e sui livelli di sicurezza aziendale siano tempestivamente riconosciuti e correttamente gestiti attraverso efficienti sistemi di prevenzione, comunicazione e reazione al fine di minimizzare l’impatto sul business;
  6. che l’accesso alla sede ed ai singoli locali aziendali avvenga esclusivamente da parte di personale autorizzato, a garanzia della sicurezza delle aree e degli asset presenti;
  7. la conformità con i requisiti di legge e il rispetto degli impegni di sicurezza stabiliti nei contratti con le terze parti;
  8. che vengano correttamente effettuate la rilevazione di eventi anomali, incidenti e vulnerabilità dei sistemi informativi al fine di rispettare la sicurezza e la disponibilità dei servizi e delle informazioni;
  9. la business continuity aziendale e il disaster recovery, attraverso l’applicazione di procedure di sicurezza stabilite;
  10. che i trattamenti dei dati personali, sia nei casi in cui Nethical operi in qualità di Titolare che nei casi in cui operi per conto terzi in qualità di Responsabile del Trattamento, avvenga nel rispetto del Regolamento Europeo sulla Protezione dei Dati Personali GDPR 679/2016. 
  1. Revisione della Politica

La politica della sicurezza delle informazioni viene costantemente aggiornata e verificata, in fase di riesame annuale del SGSI e anche qualora si manifestino condizioni contingenti che determinano nuove opportunità, per assicurare il suo continuo miglioramento. Viene quindi condivisa con l’organizzazione, le terze parti, i clienti e attraverso la sua pubblicazione sul sito web.

 

Versione n.3 del 10/02/2025