AdobeStock_226543052

Politica per la Sicurezza delle Informazioni

Premessa Generale

iSimply è una realtà imprenditoriale moderna, nata per supporta­re le aziende e le P.A. nei pro­cessi di innovazione, opera in 2 ambiti: la Formazione, con un’offerta caratterizzata da un ele­vato livello di flessibilità per essere in linea con le esigenze specifiche dei clienti; e la Digitalizzazione della P.A., con competenze specifiche nell’area dell’ICT, dei Tributi e della Protezione dei dati personali. iSimply, accompagna le organizzazioni nell’adozione delle migliori pratiche e dei nuovi modelli organizzativi determinati dalla trasformazione digitale.

L’organizzazione di iSimply è di tipo centralizzato e l’erogazione dei servizi avviene da un centro operativo localizzato ad Ivrea (Città Metropolitana di Torino) mentre l’infrastruttura tecnologica per l’erogazione dei servizi ai propri clienti in modalità ASP e SaaS è dislocata a Torino presso il Data Center di IT.Gate S.p.A.. I due siti sono collegati con modalità che garantiscono elevanti standard di sicurezza. Altri servizi quali quelli di formazione on line sono erogati utilizzando le piattaforme online rese disponibili da partner qualificati quali Skillsoft e Teleskill Italia S.r.l., i servizi per il supporto alla gestione degli adempimenti previsti dal nuovo Regolamento Europeo GDPR 679/2016 sulla protezione dei dati personali sono erogati attraverso la piattaforma online di Privacylab Srl di Reggio Emilia che segue il disciplinare tecnico RUE 16/679 ed è certificata ISO/IEC 27001:2013.

AdobeStock_194132345
AdobeStock_186982307
AdobeStock_231665216

Dichiarazione sulla Politica Aziendale per la Sicurezza delle Informazioni

Essere competitivi significa puntare a differenziare le caratteristiche dei propri servizi attraverso una costante ricerca volta al miglioramento dei processi aziendali dai punti di vista della qualità, delle prestazioni aziendali e della sicurezza delle informazioni.

iSimply ritiene che la sicurezza delle informazioni rappresenti un fattore critico di successo sia per quanto riguarda i processi di progettazione e sviluppo di soluzioni che per quanto riguarda erogazione dei servizi. Per iSimply la Gestione della Sicurezza delle Informazioni ha come obiettivo primario la protezione dei dati e delle informazioni al fine di tutelare il patrimonio rappresentato dalle conoscenze aziendali, quello dei propri clienti e di tutelare le persone fisiche di cui si trattano i dati personali. Per le caratteristiche dei servizi che iSimply offre ai propri clienti e per il valore che rappresentano le informazioni nel proprio business la Politica della Sicurezza delle Informazioni rappresenta un indirizzo strategico fondamentale e prioritario e definisce, organizza la riservatezza, l’integrità informatica e gestisce tutti gli aspetti ad essa collegati, da quelli tecnici a quelli di management e di business, incluse la confidenzialità e disponibilità dei dati.

La politica per la sicurezza delle informazioni per iSimply è costituita da un insieme di attività che comprendono: l’identificazione delle aree critiche, la gestione dei rischi, dei sistemi e della rete, delle vulnerabilità e degli incidenti, il controllo degli accessi, la gestione della privacy e della compliance, la valutazione dei danni e tutti gli altri aspetti che possono impattare sulla gestione della sicurezza delle informazioni. Per perseguire questo obiettivo iSimply, attraverso un approccio by design, pone grande attenzione alla progettazione, alla gestione e alla manutenzione della propria struttura tecnologica, fisica, logica ed organizzativa. iSimply impegna quindi la propria organizzazione e specificatamente le proprie persone a sviluppare e manutenere un Sistema di Gestione della Sicurezza delle Informazioni nell’ambito delle attività svolte e dei servizi erogati al fine di garantire la disponibilità, l’integrità e la riservatezza dei dati, oltre che delle informazioni e degli accessi.

Tutte le persone che lavorano e/o collaborano con iSimply sono impegnate a rispettare i seguenti principi:

  1. Riservatezza: per assicurare che l’informazione sia accessibile solamente ai soggetti e/o ai processi debitamente autorizzati e che le informazioni non siano rese disponibili o divulgate a persone o entità non autorizzate;
  2. Integrità: per salvaguardare la consistenza dell’informazione da modifiche non autorizzate e garantire che l’informazione non subisca modifiche o cancellazioni a seguito di errori o di azioni volontarie, ma anche a seguito di malfunzionamenti o danni dei sistemi tecnologici;
  3. Disponibilità: per assicurare che gli utenti autorizzati abbiano accesso alle informazioni e agli elementi architetturali associati quando ne fanno richiesta e salvaguardia quindi il patrimonio informativo nella garanzia di accesso, usabilità e confidenzialità dei dati, riducendo i rischi connessi all’accesso alle informazioni (intrusioni, furto di dati, ecc.);
  4. Controllo: per assicurare che la gestione dei dati avvenga sempre attraverso processi e strumenti sicuri e testati;
  5. Autenticità: per garantire una provenienza affidabile dell’informazione.
  6. Privacy: per garantire la protezione ed il controllo dei dati personali.
AdobeStock_150448872
AdobeStock_169166163

La Direzione è fortemente impegnata a una grande responsabilizzazione di tutte le persone che lavorano per e con iSimply nel garantire la rigorosità del proprio operato per adempiere, con la massima attenzione, ai compiti assegnati. In particolare, questo obiettivo è perseguito attraverso l’impegno a garantire:

  • il rispetto delle leggi e normative vigenti;
  • l’efficienza operativa e affidabilità dei processi di sviluppo prodotti e servizi correlati;
  • le condizioni di salute e sicurezza sui luoghi di lavoro per il personale e terzi;
  • la continuità e l’efficienza dei processi organizzativi e operativi al fine di prevenire e ridurre al minimo l’impatto degli incidenti volontari o casuali sulla sicurezza dei dati/informazioni gestite;
  • la protezione dei mezzi resi disponibili, ed il loro corretto utilizzo;
  • la riservatezza, la correttezza e la disponibilità dei dati/informazioni gestiti da iSimply e la salvaguardia della proprietà intellettuale;
  • l’adozione di misure di prevenzione di anomalie di processo/prodotto/servizio.

Il sistema di Gestione della Sicurezza della Informazioni | SGSI

Per dare attuazione alla propria politica della sicurezza delle informazioni, iSimply, ha sviluppato e si impegna a mantenere un sistema di gestione sicura delle informazioni conforme ai requisiti specificati della Norma ISO/IEC 27001:2013 e delle leggi cogenti come mezzo per gestire la sicurezza delle informazioni nell’ambito della propria attività.

Nell’ambito della gestione dei servizi offerti, iSimply, assicura:

  • l’osservanza dei livelli di sicurezza stabiliti attraverso l’implementazione SGSI (sistema di gestione della sicurezza delle informazioni)
  • il rispetto delle normative vigenti e degli standard internazionali di sicurezza per la propria infrastruttura tecnologica e organizzativa
  • fornisce la garanzia di selezionare partner affidabili dal punto di vista della gestione in sicurezza delle informazioni e della protezione dei dati personali;

La politica per la sicurezza delle informazioni di iSimply si applica a tutto il personale interno e quello delle terze parti che collaborano alla gestione delle informazioni ed a tutti i processi e risorse coinvolte nella progettazione, realizzazione, avviamento ed erogazione continuativa nell’ambito dei servizi.

La politica della sicurezza di iSimply rappresenta in concreto l’impegno dell’organizzazione nei confronti di clienti e delle terze parti a garantire la sicurezza delle informazioni, degli strumenti fisici, logici e organizzativi atti al trattamento delle informazioni in tutte le attività.

AdobeStock_202162526
AdobeStock_186885581
AdobeStock_164613403

In sintesi, la politica della sicurezza delle informazioni di iSimply garantisce che:

  1. l’organizzazione ha piena conoscenza delle informazioni gestite e valuta la loro criticità, al fine di agevolare l’implementazione di adeguati livelli di protezione.
  2. l’accesso alle informazioni avvenga in modo sicuro e adatto a prevenire i trattamenti non autorizzati o realizzati senza i diritti necessari.
  3. l’organizzazione e le terze parti collaborino al trattamento delle informazioni adottando procedure volte al rispetto di adeguati livelli di sicurezza.
  4. l’organizzazione e le terze parti che collaborano al trattamento delle informazioni, siano adeguatamente formate e abbiano piena consapevolezza delle problematiche relative alla sicurezza.
  5. le anomalie e gli incidenti aventi ripercussioni sul sistema informativo, sui servizi e sui livelli di sicurezza aziendale siano tempestivamente riconosciuti e correttamente gestiti attraverso efficienti sistemi di prevenzione, comunicazione e reazione al fine di minimizzare l’impatto sul business.
  6. l’accesso alla sede ed ai singoli locali aziendali avvenga esclusivamente da personale autorizzato, a garanzia della sicurezza delle aree e degli asset presenti.
  7. la conformità con i requisiti di legge ed il rispetto degli impegni di sicurezza stabiliti nei contratti con le terze parti.
  8. la rilevazione di eventi anomali, incidenti e vulnerabilità dei sistemi informativi al fine di rispettare la sicurezza e la disponibilità dei servizi e delle informazioni.
  9. la business continuity aziendale e il disater recovery, attraverso l’applicazione di procedure di sicurezza stabilite.
  10. i trattamenti dei dati personali, sia nei casi in cui iSimply operi in qualità di Titolare che nei casi in cui operi per conto terzi in qualità di Responsabile del Trattamento, avvenga nel rispetto del Regolamento Europeo sulla Protezione dei Dati Personali GDPR 679/2016.

La politica della sicurezza delle informazioni viene costantemente aggiornata e verificata, attraverso un riesame semestrale, per assicurare il suo continuo miglioramento ed è condivisa con l’organizzazione, le terze parti ed i clienti, attraverso la sua pubblicazione sul sito.

Dichiarazione di impegno

iSimply si impegna a garantire:

  • la riservatezza delle informazioni attraverso la definizione puntuale delle responsabilità interne per la gestione dei servizi e delle informazioni ad essi connesse; il controllo degli accessi fisici e logici agli archivi elettronici e cartacei esclusivamente da parte di personale autorizzato e competente;
  • l’integrità delle informazioni attraverso il controllo degli accessi fisici e logici agli archivi elettronici esclusivamente da parte di personale autorizzato e competente e la gestione dei back-up dei dati e delle configurazioni dei sistemi informativi;
  • la disponibilità delle informazioni attraverso l’identificazione dei ruoli e delle funzioni, i diritti di accesso alle informazioni e agli assets aziendali per la gestione dei servizi al Cliente;
  • che dipendenti, fornitori, partner, appaltatori e ogni altra terza parte coinvolta con il trattamento di informazioni che rientrano nel campo di applicazione del Sistema di Gestione della Sicurezza delle Informazioni, accettino gli obblighi e le responsabilità di propria pertinenza, al fine di proteggere le informazioni, i beni e le risorse di iSimply;
  • che ogni accesso, di tipo fisico o informatico, sia autorizzato, controllato e monitorato sulla base dei seguenti criteri: (a) l’accesso è autorizzato al personale abilitato solo per le informazioni necessarie (principio della conoscenza minima o necessità di sapere); (b) l’accesso è autorizzato al personale abilitato solo per le informazioni relative alle attività specifiche (funzione di lavoro-correlati); (c) l’accesso alla struttura e ai locali è autorizzato al personale abilitato. L’accesso ai locali di iSimply è autorizzato, controllato e monitorato in linea con la politica aziendale.
  • che ogni dipendente, fornitore, imprenditore e terza parte sia consapevole del proprio ruolo e dell’impatto delle proprie azioni sulla sicurezza delle informazioni.
  • che ogni risorsa sia adeguatamente formata e addestrata sulle politiche e sulle procedure relative alla gestione della sicurezza delle informazioni.
  • che i trattamenti delle informazioni, delle attività, delle risorse e delle soluzioni inerenti la protezione delle informazioni di iSimply o gestiti dalla stessa per conto dei propri clienti sono conformi alle leggi e ai regolamenti applicabili di natura cogente, contrattuale e volontaria.
  • che ogni attività e risorsa di iSimply o affidata da questa a terze parti, nonché ogni informazione pertinente l’ambito del SGSI, è protetta contro i problemi legati alla riservatezza, l’integrità e la disponibilità, in proporzione al loro valore e nel rispetto delle leggi vigenti.
  • che tutto il personale iSimply sia responsabilizzato all’obbligo di: (a) garantire il rispetto delle norme, leggi e regolamenti vigenti, di natura cogente, contrattuale e volontaria rese applicabili negli ambiti del SGSI;

(b) proteggere la riservatezza, l’integrità e la disponibilità delle informazioni gestite da iSimply, la proprietà intellettuale e il patrimonio di iSimply o da questa affidati a terze parti; (c) aver cura dei beni materiali, i sistemi e le risorse di iSimply; (d) salvaguardare e gestire in modo appropriato ogni informazione e dato afferenti le attività di propria competenza; (e) contattare la Direzione, il Responsabile della Sicurezza delle informazioni e/o altre autorità competenti in caso di effettive o sospette violazioni della sicurezza; (f) segnalare qualsiasi necessità di modifiche alle procedure relative alla gestione della sicurezza delle informazioni. | Compatibilmente con le autorità assegnate nella gestione della sicurezza ciascuno deve: (g) garantire la conformità con la politica di sicurezza, requisiti, standard e/o procedure definiti; (h) individuare e definire i diritti di accesso agli assets per le loro specifiche attività e responsabilità; (i) richiedere alle terze parti di essere formalmente in linea con gli accordi di riservatezza; (l) operare in conformità ai livelli di rischio che sono stati definiti per il proprio ambito di pertinenza. | Il personale cui sono assegnate responsabilità specifiche nella gestione della sicurezza delle informazioni ha altresì il dovere di: (m) implementare la sicurezza sulla base delle politiche di sicurezza della iSimply; (n) garantire e monitorare il rispetto delle politiche di sicurezza delle informazioni, requisiti, norme e procedure definiti da iSimply nell’ambito del SGSI; (o) monitorare gli assets aziendali, al fine di garantire il rispetto del livello di controllo previsto per l’asset da proteggere ed il rispetto delle leggi e regolamenti applicabili; (p) rendere effettive l’insieme di regole, funzioni, strumenti, oggetti e controlli, resi coerenti e funzionali agli scopi dell’organizzazione e coerenti con gli ambiti del SGSI, che garantiscano che nella struttura, organizzazione, ambiente informatico, singolo elaboratore, sia costantemente osservato il rispetto dei requisiti del SGSI; (q) garantire che il personale di iSimply e i terzi siano formati e informati circa la politica, i requisiti, standard e/o procedure per la gestione della sicurezza delle informazioni, nonché resi consapevoli delle conseguenze in caso di mancato rispetto della politica e requisiti stabiliti in tali ambiti; (r) sostenere l’adozione di misure adeguate a garantire il controllo sugli aspetti che hanno impatto sulla sicurezza delle informazioni; (s) contenere il livello di rischio negli ambiti di pertinenza; (t) mantenere attive le misure da adottarsi in caso di incidenti derivanti dal verificarsi di condizioni anomale e di emergenza, garantire l’adozione dei piani di continuità in conformità ai requisiti definiti dal SGSI. | Inoltre, i soggetti terzi che gestiscono in modo diretto o indiretto gli assets sensibili di iSimply e dei Clienti, sono obbligati, nello svolgimento di processi/attività, a: (u) formalizzare il proprio impegno alla riservatezza e non divulgazione delle informazioni tratte negli ambiti di competenza; (v) proteggere le risorse e le informazioni fisiche e intellettuali a cui possono accedere nella effettuazione delle attività assegnate; (z) garantire la piena osservanza ai requisiti del SGSI nei comportamenti e nell’operatività.

In conclusione, iSimply si impegna a:

  • adottare un sistema di gestione sicuro delle informazioni conforme ai requisiti specificati della Norma ISO/IEC 27001:2013;
  • mantenere costantemente monitorato il grado di conformità del sistema alle norme e leggi applicabili di natura cogente e volontaria, e gli obblighi contrattuali pertinenti l’ambito di applicazione del SGSI;
  • garantire mezzi e risorse idonee al suo mantenimento e miglioramento continuo, in particolare per quanto attiene la mitigazione/riduzione dei livelli di rischio sulla sicurezza delle informazioni e l’adozione di misure idonee a prevenire – ovvero gestire adeguatamente – situazioni anomale e di emergenza;
  • rendere consapevoli tutte le persone che dell’organizzazione degli obblighi e delle responsabilità di ciascuno nella gestione della sicurezza delle informazioni e delle conseguenze in caso di eventi, dolosi e colposi, relativi all’utilizzazione non autorizzata, modifica o distruzione di informazioni critiche.