Politica Sicurezza Informazioni

Politiche per la Sicurezza delle Informazioni di Entaksi Solutions SpA

Entaksi pone la massima attenzione alla protezione dei dati dei propri clienti.
Quella che segue è la politica per la sicurezza delle informazioni, detta anche "Information Security Policy", un insieme di regole e procedure adottate dall’azienda per salvaguardare la tutela dei dati trattati.

L’obiettivo generale della Società è la corretta gestione di tutte le informazioni generate o trattate al fine di garantire la continuità gestionale e prevenire o minimizzare i possibili danni.
Al fine di raggiungere questo obiettivo Entaksi utilizza un Sistema Integrato di Gestione (SIG) che copre interamente le attività caratteristiche della Società, nel rispetto della sicurezza delle informazioni.

Il SIG comprende progettazione, produzione, commercializzazione, installazione e assistenza di applicativi software, erogazione di servizi informatici quali ad esempio la distribuzione in modalità SaaS (Software as a Service) degli applicativi.

Informazioni

Le politiche per la protezione e la sicurezza devono salvaguardare tre aspetti fondamentali relativi ai dati informatici:

  • Riservatezza: l’accesso ai dati deve essere limitato in base ai privilegi indicati per gli utenti definiti, in accordo con il loro livello di classificazione, e le informazioni devono essere protette da eventuali accessi non autorizzati.

  • Integrità: le informazioni devono essere complete e precise. Tutti i sistemi, gli asset e le reti devono funzionare correttamente, secondo specifiche che ne garantiscano la piena operatività.

  • Disponibilità: le informazioni devono essere disponibili all’accesso e poter essere distribuite a chi ne detiene i diritti in base al livello di classificazione.

Tutte le informazioni trattate da Entaksi nell’esercizio delle sue funzioni sono classificate in base al loro contenuto e gestite in base alla classificazione attribuita.
Le informazioni vengono protette, gestite e rese disponibili in base agli usi consentiti.
Entaksi si occupa di elaborare una periodica analisi dei rischi in grado di valutare il trattamento del rischio sugli asseti informativi, e adeguare il sistema in base al risultato ottenuto.

Ruoli e responsabilità

Tutto il personale di Entaksi interessato nella creazione o nella gestione delle informazioni si occupa della loro corretta classificazione e trattamento, e viene adeguatamente e costantemente istruito e formato al riguardo.

Sono presenti nell’azienda ruoli e responsabilità definite per assicurare il mantenimento e la corretta conduzione del Sistema Integrato di Gestione e il raggiungimento degli obiettivi di sicurezza.

I soggetti esterni che vengono a contatto con i dati gestiti da Entaksi sono definiti attraverso i contratti di servizio e obbligati alla sottoscrizione di un accordo di riservatezza.

Continuità operativa

La norma ISO/IEC 22301:2019 stabilisce i requisiti necessari per la corretta implementazione di un Sistema di Gestione della Continuità Operativa. Entaksi ha adottato questo standard internazionale per garantire la continuità dei propri servizi IT.

Entaksi mette in atto le misure tecniche e organizzative necessarie per garantire un livello di sicurezza adeguato al mantenimento della business continuity, e aggiorna periodicamente le proprie strategie e procedure in modo tale da garantirne la continuità e l’efficacia nel tempo.

Il monitoraggio continuo delle prestazioni e dei parametri selezionati per i sistemi costituisce un punto centrale dell’implementazione di questo sistema di gestione, e la Direzione si occupa di revisionare continuamente gli obiettivi per l’azienda attraverso una specifica Business Process Impact Analysis e un’analisi dei rischi periodica. Obiettivi quali la pianificazione delle risorse, la continua attenzione all’aderenza ai requisiti e la considerazione delle parti interessate sono ritenuti fondamentali per l’azienda.

Gestione degli incidenti

La corretta gestione degli incidenti informatici è considerato un requisito fondamentale per la sicurezza dei servizi IT.

La semplice risposta al danno non è sufficiente per garantire una protezione completa per le informazioni gestite, pertanto Entaksi ha deciso di adottare un approccio strutturato alla gestione degli incidenti, uniformando il proprio Sistema Integrato di Gestione alla norma ISO/IEC 27035:2016 per la gestione degli incidenti informatici.

Lo schema prevede un livello strategico di preparazione di un piano di gestione degli incidenti, per i quali viene predisposto un apposito gruppo di risposta (Incident Response Team) appositamente formato e preparato.

Nelle procedure viene posta particolare attenzione alla risposta e ai punti di contatto tra l’azienda e i clienti, per migliorare complessivamente no solo la fase di prevenzione ma anche quella di reazione, e in particolare non sottovalutare possibili danni derivanti soprattutto per dati personali (data breach), per i quali l’azienda si propone di operare nella massima trasparenza.

Protezione dei dati

Entaksi mantiene il proprio Sistema Integrato di Gestione in conformità al Regolamento Generale sulla Protezione dei Dati (General Data Protection Regulation) dell’Unione europea n. 2016/679.

Per ulteriori informazioni relative al trattamento dei dati è possibile consultare la Privacy Policy.

Conformità

La politica viene periodicamente revisionata e costantemente aggiornata in caso di accadimenti quali la presenza di nuove minacce, aggiornamenti tecnologici, risoluzioni a problemi noti, ed è inoltre conforme agli standard per i quali Entaksi ha ottenuto delle certificazioni, descritti nella pagina dedicata.

Per quanto riguarda in particolare la sicurezza delle informazioni il SIG è conforme ai controlli stabiliti dalla ISO 27001:2013 e dalle sue estensioni ISO/IEC 27017:2015 e ISO/IEC 27018:2019 e alle norme e ai regolamenti inerenti la protezione dei dati personali, tra i quali, in particolare, il Regolamento UE n. 2016/679.

Per ulteriori informazioni consulta la nostra pagina di domande e risposte.

Leggi la versione pubblica del nostro DPIA (Data protection Impact Assessment).

Aggiornata al 20/12/2024.