Politica sulla sicurezza delle informazioni
(cfr. cap. 5.2 – ISO 27001:2017)
DOC002 – Ver. 4.0
del 06-07-2022
Autore: RSGSI
Approvato da: Direzione
Tipo Documento: Pubblico
La sicurezza e la salvaguardia del patrimonio informativo costituiscono condizione imprescindibile per il raggiungimento degli obiettivi di business di Netpolaris S.r.l..
I requisiti per la sicurezza delle informazioni sono coerenti con gli obiettivi dell’Organizzazione e il Sistema di Gestione della Sicurezza delle Informazioni (SGSI) rappresenta lo strumento che consente la condivisione delle informazioni, lo svolgimento di operazioni corrette e la riduzione dei rischi connessi alle informazioni a livelli accettabili.
In considerazione di ciò, lo svolgimento delle attività aziendali deve sempre avvenire garantendo adeguati livelli di disponibilità, integrità e riservatezza delle informazioni attraverso l’adozione di un formale “Sistema di Gestione della Sicurezza delle Informazioni” (SGSI) in linea con i requisiti attesi dagli stakeholder di Netpolaris S.r.l. e nel rispetto delle normative vigenti.
In particolare il Sistema di Gestione della Sicurezza delle Informazioni è applicato alla:
"Gestione della sicurezza dei dati inerenti la progettazione, sviluppo, manutenzione ed assistenza di
software in ambito digital health erogato on premise o in modalità cloud SaaS"
Gli obiettivi generali del SGSI perseguiti con l’impegno del responsabile, sono:
- dimostrare ai clienti la propria capacità di fornire con regolarità prodotti/servizi sicuri, massimizzando gli obiettivi di business;
- minimizzare il rischio di perdita e/o indisponibilità dei dati dei clienti, pianificando e gestendo le attività a garanzia della continuità di servizio;
- svolgere una continua ed adeguata analisi dei rischi che esamini costantemente le vulnerabilità e le minacce associate alle attività a cui si applica il sistema;
- rispettare le leggi e le disposizioni vigenti, i requisiti contrattuali, le norme e le procedure aziendali;
- promuovere la collaborazione, comprensione e consapevolezza del SGSI da parte dei fornitori strategici;
- conformarsi ai principi e ai controlli stabiliti dalla ISO/IEC 27001:2017 o altre norme/regolamenti che disciplinano le attività di business in cui opera l’azienda, tra i quali, in particolare le regolamentazioni inerenti la Privacy e la sicurezza dei dati personali.
In particolare, per l’implementazione ed erogazione dei servizi in cloud, ai sensi della ISO 27017 Netpolaris si impegna ad adottare requisiti di sicurezza che prendano in considerazione i rischi derivanti dal personale interno, la gestione sicura della multi-tenancy (condivisione dell'infrastruttura), l’accesso agli asset in cloud da parte del personale dei service provider, il controllo degli accessi (in particolare degli amministratori), le comunicazioni agli stakeholders in occasione di cambiamenti dell’infrastruttura, la sicurezza dei sistemi di virtualizzazione, la protezione e l’accesso dei dati in ambiente cloud, la gestione del ciclo di vita degli account cloud, la comunicazione dei data breach e linee guida per la condivisione delle informazioni a supporto delle attività di investigazione e forensi, nonché la costante sicurezza sull’ubicazione fisica dei dati nei server in cloud.
Inoltre, l’azienda Netpolaris è costantemente impegnata nella protezione dei dati personali degli interessati che gestisce, con particolare riferimento a quelli dei propri clienti. Rispetto a questi ultimi l’azienda, ai sensi della ISO 27018 e in accordo con la legislazione privacy vigente (GDPR), agisce come “Data Processor” ovvero come Responsabile del Trattamento, dichiarando questo status e i relativi obblighi che ne discendono nei contratti con i clienti. Tali obblighi sono riportati anche nelle nomine a responsabile dei fornitori utilizzati da Netpolaris S.r.l. per svolgere il trattamento.
Tutto il personale, nell’ambito delle relative responsabilità, è coinvolto nella segnalazione al Responsabile del Sistema di Gestione della Sicurezza delle Informazioni (RSGSI) di eventuali incidenti riscontrati e di qualsiasi debolezza identificata nel SGSI.
Tutta l’organizzazione è impegnata a supportare l’implementazione, la messa in opera e il riesame periodico ed il miglioramento continuo del SGSI.
Il vertice aziendale si impegna a perseguire, con i mezzi e le risorse adeguate, gli obiettivi di questa politica.