Contattaci
Contattaci

Politica di Sicurezza delle Informazioni e Qualità

1. Definizioni

  • Riservatezza – caratteristica delle informazioni per cui le stesse sono disponibili solo a persone o sistemi autorizzati.
  • Integrità – caratteristica delle informazioni per cui le stesse possono essere modificate in modo consentito solo da persone o sistemi autorizzati.
  • Disponibilità – caratteristica delle informazioni per cui alle stesse possono avere accesso quando necessario solo le persone autorizzate.
  • Sicurezza delle Informazioni – mantenimento della riservatezza, integrità e disponibilità delle informazioni.
  • Sistema di Gestione della Sicurezza delle Informazioni (SGSI) – parte dei processi generali di gestione che si occupa della pianificazione, dell’implementazione, del mantenimento, del riesame e del miglioramento della sicurezza delle informazioni.
  • RSGSI – la persona fisica responsabile dell’adozione e dell’efficace attuazione del SGSI;
  • RSGI – la persona fisica responsabile dell’adozione e dell’efficace attuazione del SGI che riguarda sia la sicurezza delle informazioni che la qualità.
  • Chief Information Security Officer (CISO) – la persona fisica preposta alla gestione della strategia e dell’implementazione della cybersecurity di un’organizzazione per proteggere i sistemi, i servizi e le risorse digitali.
  • Gruppo di Risposta (IRT) – Il gruppo di persone fisiche preposte dall’Alta Direzione alla gestione degli incidenti di sicurezza delle informazioni.

2. Ambito di applicazione

La direzione di IPKOM S.r.l ha definito, ha divulgato e si impegna a mantenere attiva a tutti i livelli della propria organizzazione la presente Politica di Sicurezza delle Informazioni e della Qualità (SGI).

Questa Politica viene applicata all’intero Sistema di Gestione della Sicurezza delle Informazioni (SGSI), come definito nel documento del campo di applicazione del SGSI e al sistema di Gestione della Qualità (SGQ).

Questo documento definisce l’ambito di applicazione del Sistema di Gestione della Sicurezza delle Informazioni (SGSI) e della Qualità (SGQ) implementati da IPKOM.

SGSI ed SGQ si applicano a quanto segue:

  • Reparti/Funzioni: Amministrazione/contabilità, Acquisti, Commerciale, Marketing, Assistenza tecnica, Attivazioni/istallazioni, Risorse umane.
  • Sedi: Sede legale e operativa via Malpasso 42 cap 52037 Sansepolcro AR; sede tecnica Milano Via Caldera,21
  • Asset: Dati clienti, Dati finanziari, Proprietà intellettuale, Dati dipendenti, Infrastrutture informatiche, programmi e codici sorgenti.
  • Sistemi e Applicazioni: Sistema CRM, Sistema ERP, Sistema di posta elettronica, server dei clienti, servizi in cloud offerti ai clienti (centralini ed altro). Sistemi di autenticazione.
  • Processi: Sistema di erogazione dei servizi in cloud ai clienti, Marketing, Vendita, attivazione e fornitura, manutenzione ed assistenza, fatturazione e contabilizzazione.

2.1. Osservanza ed attuazione

La presente politica si applica indistintamente a tutti gli organi e i livelli dell’Azienda, i destinatari di questo documento sono tutti dipendenti di IPKOM S.r.l. nonché le parti esterne pertinenti.

L’osservanza e l’attuazione delle politiche sono responsabilità di:

  1. tutto il personale che, a qualsiasi titolo, collabora con l’azienda ed è in qualche modo coinvolto con il trattamento di dati ed informazioni che rientrano nel campo di applicazione del Sistema di Gestione. Tutto il personale è altresì responsabile della segnalazione di tutte le anomalie e violazioni di cui dovesse venire a conoscenza.
  2. I. tutti i soggetti esterni che intrattengono rapporti e collaborano con l’azienda devono garantire il rispetto dei requisiti contenuti nella presente politica.

Chiunque, dipendenti, consulenti e/o collaboratori esterni dell’Azienda, in modo intenzionale o riconducibile a negligenza, disattenda le regole di sicurezza stabilite e in tal modo provochi un danno all’azienda, potrà essere perseguito nelle opportune sedi e nel pieno rispetto dei vincoli di legge e contrattuali.

3. Documenti di riferimento

  • La Norma ISO/IEC 27001
  • Il campo di Applicazione del SGSI e SGQ
  • La Valutazione del Rischio e la Metodologia per il Trattamento del Rischio
  • La Dichiarazione di Applicabilità
  • L’Elenco degli Obblighi Legali, Normativi e Contrattuali
  • PR 6.1 Policy per Data Breach
  • La Norma ISO 9001:2015 – Sistemi di Gestione per la Qualità

4. Gestione della Sicurezza

4.1. Principi generali

L’azienda consente la comunicazione e la diffusione delle informazioni verso l’esterno solo per il corretto svolgimento delle attività aziendali che devono avvenire nel rispetto delle regole e delle norme cogenti.

Il patrimonio informativo da tutelare è costituito dall’insieme delle informazioni gestite attraverso i servizi forniti e localizzati in tutte le sedi dell’azienda in relazione al quale è necessario assicurare:

  • confidenzialità;
  • integrità;
  • disponibilità.

I principi generali della gestione della sicurezza delle informazioni implicano la considerazione di vari aspetti tra i quali, a titolo esemplificativo e non esaustivo:

  1. Deve esistere un catalogo costantemente aggiornato degli asset aziendali rilevanti ai fini della gestione delle informazioni e per ciascuno deve essere individuato un responsabile.
  2. Le informazioni devono essere classificate in base al loro livello di criticità, in modo da essere gestite con livelli di riservatezza e integrità coerenti ed appropriati.
  3. Ogni accesso ai sistemi deve essere sottoposto a una procedura di identificazione e autenticazione.
  4. Le autorizzazioni di accesso alle informazioni devono essere differenziate in base al ruolo e agli incarichi ricoperti dai singoli individui, in modo che ogni utente possa accedere alle sole informazioni di cui necessita, e devono essere periodicamente sottoposte a revisione.
  5. Devono essere definite delle procedure per l’utilizzo sicuro dei beni aziendali e delle informazioni e dei loro sistemi di gestione.
  6. Deve essere incoraggiata la piena consapevolezza delle problematiche relative alla sicurezza delle informazioni in tutto il personale (dipendenti e collaboratori) a partire dal momento della selezione e per tutta la durata del rapporto di lavoro.
  7. Tutti devono notificare qualsiasi problema relativo alla sicurezza. Ogni incidente deve essere gestito come indicato nelle procedure.
  8. È necessario prevenire l’accesso non autorizzato alle sedi e ai singoli locali aziendali dove sono gestite le informazioni e deve essere garantita la sicurezza delle apparecchiature.
  9. Deve essere assicurata la conformità con i requisiti legali e con i principi legati alla sicurezza delle informazioni nei contratti con le terze parti.
  10. Deve essere predisposto un piano di continuità che permetta all’azienda di affrontare efficacemente un evento imprevisto, garantendo il ripristino dei servizi critici in tempi e con modalità che limitino le conseguenze negative sulla missione aziendale.
  11. Gli aspetti di sicurezza devono essere inclusi in tutte le fasi di progettazione, sviluppo, esercizio, manutenzione, assistenza e dismissione dei sistemi e dei servizi informatici.
  12. Devono essere garantiti il rispetto delle disposizioni di legge, di statuti, regolamenti o obblighi contrattuali e di ogni requisito inerente la sicurezza delle informazioni, riducendo al minimo il rischio di sanzioni legali o amministrative, di perdite rilevanti o danni alla reputazione.

4.2. Obiettivi

4.2.1 Obiettivi di sicurezza

Gli obiettivi di seguito indicati sono in linea con gli obiettivi aziendali, la strategia e i piani aziendali dell’organizzazione.

Obiettivo principale della presente Politica è garantire la tutela e la protezione da tutte le minacce, interne o esterne, intenzionali o accidentali, delle informazioni trattate nell’ambito delle proprie attività in accordo con le indicazioni fornite dallo standard ISO/IEC 27001:2022 e dalle linee guida contenute nello standard ISO/IEC 27002 nelle loro ultime versioni.

Gli ulteriori obiettivi generali per il sistema di gestione della sicurezza delle informazioni sono i seguenti:

  1. identificare una metodologia di valutazione del rischio adeguata al Sistema di Gestione della Qualità e della Sicurezza delle Informazioni, ai requisiti di business individuati, a quelli cogenti e normativi;
  2. preservare, attraverso un’adeguata analisi dei rischi e delle opportunità, il valore del patrimonio informativo all’interno del campo di applicazione del Sistema di Gestione della Qualità e della Sicurezza delle Informazioni, al fine di comprendere le vulnerabilità e le possibili minacce che possano esporlo a rischio;
  3. gestire il rischio ad un livello accettabile e allinearlo al più generale contesto di gestione del rischio strategico dell’organizzazione;
  4. definire e rendere effettive le linee operative per una architettura di sicurezza intesa come l’insieme di regole, funzioni, strumenti, oggetti e controlli, coerentemente disegnati e resi funzionanti, che garantiscano in ogni struttura organizzativa, ambiente informatico, singolo elaboratore, il rispetto degli standard definiti dall’azienda;
  5. promuovere una cultura della sicurezza informatica all’interno dell’organizzazione e creare una migliore immagine di mercato e ridurre i danni causati dai potenziali incidenti;
  6. dimostrare ai clienti la propria capacità di fornire con regolarità prodotti/servizi sicuri, massimizzando gli obiettivi di business;
  7. controllare e migliorare continuamente il sistema di gestione della sicurezza delle informazioni.

Gli obiettivi per i singoli controlli di sicurezza o gruppi di controlli sono proposti da Alta Direzione e CISO e approvati da CISO / RSGSI nella Dichiarazione di Applicabilità.

CISO è responsabile della definizione dei metodi per misurare il raggiungimento degli obiettivi, le misurazioni verranno eseguite almeno una volta all’anno. RSGSI analizzerà e valuterà i risultati della misurazione e li segnalerà a Alta Direzione come input materiali per il riesame della Direzione.

RSGSI è responsabile di registrare i dati sui metodi di misurazione, periodicità ed i risultati nel Rapporto di Misurazione nonché del riesame degli obiettivi generali del SGSI e della definizione di nuovi obiettivi.

4.2.2 Obiettivi di qualità

L’azienda, in costante crescita, considera la Certificazione di Qualità quale strumento necessario per dimostrare sul mercato l’attenzione alle esigenze del cliente, mirando in particolare al conseguimento di un elevato grado di qualità dei servizi erogati.

Per migliorare la propria conduzione per la Qualità, l’Organizzazione ha ritenuto fondamentale adeguare il proprio Sistema di Gestione per la Qualità alla Norma UNI EN ISO 9001:2015.

Obiettivi per la qualità:

  1. Aumentare la soddisfazione del Cliente mediante il rispetto delle specifiche dichiarate e dei requisiti impliciti del cliente;
  2. Mantenere un’elevata qualità del servizio di assistenza attraverso un’efficace pianificazione e l’impiego di personale altamente competente;
  3. Fidelizzare i clienti acquisiti differenziando i servizi erogabili;
  4. Effettuare un’accurata selezione dei fornitori per garantire al cliente un servizio più affidabile e ridurre i disservizi;
  5. Ampliare il mercato di riferimento implementando ulteriori servizi erogabili e potenziando l’azione commerciale;
  6. Mantenere un rapporto di costante collaborazione con i partner in ricerca e sviluppo per individuare i miglioramenti apportabili ai prodotti/servizi erogati, a partire dall’esame di tutte le segnalazioni provenienti dai clienti.

4.3. Requisiti di sicurezza

Questa politica e l’intero SGSI devono essere conformi ai requisiti legali e normativi rilevanti per l’organizzazione nel campo della sicurezza delle informazioni, nonché agli obblighi contrattuali.

Un elenco dettagliato di tutti i requisiti contrattuali e legali è riportato in MD 2 Norme applicabili e Accordi contrattuali, adempimenti normativi.

4.4. Controlli di sicurezza

Il processo di selezione dei controlli (protezioni) è definito nella Metodologia per la Valutazione del Rischio e per il Trattamento del Rischio.

I controlli selezionati e il loro stato di implementazione sono elencati nella Dichiarazione di Applicabilità.

4.5. Gestione dei rischi

La mancanza di adeguati livelli di sicurezza può comportare il danneggiamento dell’immagine aziendale, la mancata soddisfazione del cliente, il rischio di incorrere in sanzioni legate alla violazione delle normative vigenti nonché danni di natura economica e finanziaria.

Un adeguato livello di sicurezza è altresì basilare per la condivisione delle informazioni.
L’azienda identifica tutte le esigenze di sicurezza tramite l’analisi dei rischi, il che consente di acquisire consapevolezza sul livello di esposizione a minacce del proprio sistema informativo e di valutare le potenziali conseguenze e i danni che possono derivare dalla mancata applicazione di misure di sicurezza al sistema informativo e quale sia la realistica probabilità di attuazione delle minacce identificate.

I risultati di questa valutazione determinano le azioni necessarie per gestire i rischi individuati e le misure di sicurezza più idonee.

4.6. Contatti con le autorità

IPKOM identifica e mantiene relazioni con le autorità competenti (Forze dell’ordine, enti regolatori specifici del settore, agenzie per la protezione dei dati). Verranno stabiliti canali di comunicazione per la segnalazione di incidenti di sicurezza, la ricezione di avvisi ed aggiornamenti e la garanzia della conformità alle normative.

4.7. Contatti con gruppi di interesse speciale

IPKOM incoraggia la partecipazione a gruppi di interesse speciale e ad associazioni professionali pertinenti. I dipendenti sono tenuti a condividere le informazioni ottenute da questi gruppi per migliorare la consapevolezza dell’organizzazione in materia di sicurezza.

4.8. Threat Intelligence

IPKOM raccoglie e analizza le informazioni provenienti da fonti affidabili (ad esempio, avvisi governativi, avvisi dei fornitori, feed affidabili di threat intelligence).

La threat intelligence sarà utilizzata per informare le valutazioni dei rischi, i controlli di sicurezza e le procedure di risposta agli incidenti.

5. Ruoli e responsabilità

Il Responsabile del Sistema di Gestione (RSGSI), nell’ambito del Sistema di Gestione e attraverso norme e procedure appropriate, deve, almeno:

  1. provvedere al coordinamento operativo del SGSI e della stesura dei rapporti sulle prestazioni del SGSI;
  2. assicurare che tutti i dipendenti di IPKOM, oltre alle parti interessate pertinenti, abbiano familiarità con questa Politica.
  3. organizzare la formazione e promuovere la consapevolezza del personale per tutto ciò che concerne la sicurezza delle informazioni.
  4. verificare periodicamente l’efficacia e l’efficienza del Sistema di Gestione.

Il CISO (Chief Information Security Officer) deve almeno:

  1. definire, mantenere e comunicare la visione, la strategia, le politiche e le procedure per la sicurezza delle informazioni e la cybersecurity.
  2. gestire l’implementazione della presente politica in tutta l’organizzazione.
    VII. assicurare lo scambio di informazioni con autorità esterne e organismi professionali del settore.
  3. condurre l’analisi dei rischi con le opportune metodologie e adottare tutte le misure per la gestione del rischio;
  4. verificare le violazioni alla sicurezza e adottare le contromisure necessarie e controllare l’esposizione dell’azienda alle principali minacce e rischi;

IL DPO si impegna a sorvegliare l’osservanza del GDPR, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

L’amministratore di sistema

Le figure professionali finalizzate alla gestione e alla manutenzione del Sistema Informatico o di sue componenti cui si aggiungono anche quelle di amministratore di basi dati, amministratore di reti e di apparati di sicurezza e amministratore di sistemi software complessi, in accordo al Provvedimento del Garante Privacy del 27 Novembre 2008.

La gestione del processo di nomina e gestione degli AdS è regolata dalle procedure aziendali in materia che disciplinano l’abilitazione delle utenze con privilegi di AdS, la loro modifica e disabilitazione, e il monitoraggio e controllo delle suddette utenze.

In accordo con tali procedure e a quanto previsto dall’atto di nomina, l’AdS è responsabile di:

Installare e configurare le risorse hardware e software;

Pianificare e verificare la corretta esecuzione dei backup;

Gestire gli account utente e fare da punto di riferimento per gli utenti di cui è supervisore;

Identificare e risolvere problemi/guasti di primo livello;

Diagnosticare problemi di più elevata complessità e richiedere l’intervento degli specialisti in grado di risolverli;

Identificare le esigenze nella versione vigente e tutti i successivi aggiornamenti;

Applicare le patch e gli aggiornamenti necessari sui sistemi;

Operare nel rispetto dell’atto di nomina e delle istruzioni ricevute.

Gli Utenti

Utente delle Applicazioni/Dati: è colui che utilizza i programmi e i dati elaborati dai sistemi.

La sua responsabilità consiste nell’utilizzare correttamente le applicazioni/dati secondo le prescrizioni dettate dall’utente responsabile nei limiti dell’autorizzazione e conformemente ai profili/privilegi ad esso assegnati (lettura, scrittura e non cancellazione, modifica, etc.), rispettando l’obbligo di riservatezza sui dati e sulle informazioni previsto nell’atto di designazione degli incaricati.

L’Alta Direzione deve almeno

  • garantire che il SGSI sia implementato e mantenuto conforme a questa politica e di garantire che tutte le risorse necessarie siano disponibili
  • assicurare che le responsabilità e le autorità siano definite e rese note nell’ambito dell’organizzazione definendo: a) competenze e responsabilità; b) caratteristiche e requisiti minimi (grado di istruzione, addestramento, abilità, esperienza, ecc.).
  • riesaminare il SGSI almeno una volta all’anno o ogni volta che si verifichi un cambiamento significativo, e preparare il rapporto riassuntivo della riunione. Lo scopo del riesame della direzione è stabilire l’idoneità, l’adeguatezza e l’efficacia del SGSI.

La protezione dell’integrità, della disponibilità e della riservatezza delle attività è responsabilità del titolare di ogni risorsa

Tutti gli incidenti o i punti deboli della sicurezza devono essere segnalati a CISO che definirà quali informazioni relative alla sicurezza delle informazioni saranno comunicate a quale parte interessata (sia interna che esterna), da chi e quando

7. Impegno della direzione

 

La direzione sostiene attivamente la sicurezza delle informazioni in azienda tramite un chiaro indirizzo, un impegno evidente, degli incarichi espliciti e il riconoscimento delle responsabilità relative alla sicurezza delle informazioni.

L’impegno della direzione si attua tramite il supporto e la realizzazione di tutte le attività e le azioni necessarie a:

  • garantire che siano identificati tutti gli obiettivi relativi alla sicurezza delle informazioni e che questi incontrino i requisiti aziendali;
  • fornire risorse sufficienti alla pianificazione, implementazione, organizzazione, controllo, revisione, gestione e miglioramento continuo del SGSI;
  • controllare che il SGSI sia integrato in tutti i processi aziendali e che procedure e controlli siano sviluppati efficacemente;
  • approvare e sostenere tutte le iniziative volte al miglioramento della sicurezza delle informazioni;
  • attivare programmi per la diffusione della consapevolezza e della cultura della sicurezza delle informazioni.

La Direzione dell’Azienda si impegna inoltre a:

  • Garantire la disponibilità delle Risorse necessarie a perseguire gli Obiettivi di Qualità (risorse umane, economiche e infrastrutturali);
  • Monitorare e aumentare la Soddisfazione del Cliente e favorire la comunicazione con l’esterno;
  • Determinare e affrontare i rischi e le opportunità che possono influenzare la conformità dei prodotti, servizi e la soddisfazione del cliente;
  • Garantire un miglioramento continuo delle lavorazioni offerte tramite l’analisi e il recepimento di tutte le informazioni di ritorno dal mercato;
  • Emettere e aggiornare la Politica per la Qualità avendo cura di definire gli Obiettivi che ne assicurino l’attuazione sulla base delle indicazioni provenienti dall’esterno e delle esigenze interne dell’Azienda.

8. Riesame

La Direzione verificherà periodicamente e regolarmente o in concomitanza di cambiamenti significativi l’efficacia e l’efficienza del Sistema di Gestione Integrato, in modo da assicurare un supporto adeguato all’introduzione di tutte le migliorie necessarie e in modo da favorire l’attivazione di un processo continuo, con cui viene mantenuto il controllo e l’adeguamento della policy in risposta ai cambiamenti dell’ambiente aziendale, del business, delle condizioni legali.

Il RSGI ha la responsabilità del riesame della politica. Il riesame dovrà verificare lo stato delle azioni preventive e correttive e l’aderenza alla politica, tenere conto di tutti i cambiamenti che possono influenzare l’approccio dell’azienda alla gestione della sicurezza delle informazioni e alla gestione della qualità, includendo i cambiamenti organizzativi, l’ambiente tecnico, la disponibilità di risorse, le condizioni legali, regolamentari o contrattuali e dei risultati dei precedenti riesami.  Il risultato del riesame dovrà includere tutte le decisioni e le azioni relative al miglioramento dell’approccio aziendale alla gestione della sicurezza delle informazioni.

9. Validità e gestione del documento

Questo documento ha effetto dal 08/05/2024.  Il responsabile di questo documento è RSGI, il quale deve controllare e, se necessario, aggiornare il documento con frequenza almeno annuale.

Politica di Sicurezza delle Informazioni e Qualità Rev.04 del 08.05.2024

Manuale SGI Ed.01 Rev.00 del 15.04.2024

Hai qualche domanda?

Compila il form, risponderemo prima possibile alla tua richiesta.

Vuoi diventare Wholesaler?

Richiedi direttamente al referente commerciale iPkom le condizioni wholesale.

Home

Linee VoIP.

Centralino VoIP in cloud.

Software per gestione call center inbound.

Software in cloud per call center outbound.

Servizio di sicurezza informatica e cybersecurity.

FTTcab, FTTH, FTTO.

Sistema web per la messaggistica istantanea aziendale.

Software in cloud per invio avvisi di massa tramite chiamate automatiche.

Soluzione per la gestione delle pompe di calore.

Software in cloud per gestione degli appuntamenti.

Fibra, numeri VoIP, Centralino Cloud, Backup in Cloud e Cybersecurity.

Fornitore certificato MEPA per soluzioni VoIP per PA.

Sistema di gestione delle chiamate e delle attività operative.

Software personalizzabile per la gestione di contact center.

Servizio evoluto per la gestione di call center outbound.

Sviluppo di soluzioni ad hoc per ogni esigenza.

Contattaci per informazioni