Ao clicar em "Aceitar", você concorda com o armazenamento de cookies no seu dispositivo para melhorar a navegação no site, analisar o uso do site e apoiar nossos esforços de marketing. Consulte nossa Política de Privacidade para mais informações.

PreferênciasRecusarAceitar
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Preferências

POL Politica di sicurezza delle informazioni

Cronologia delle versioni

Versione: 1.0
Data: 02/09/2025
Autore: Davide Sgro
Approvato da: Gianluca Maruzzella

Indice

- Campo di applicazione
- Riferimenti normativi
- Termini e definizioni
- Ruoli e responsabilità
- Obiettivi di sicurezza delle informazioni
- Principi fondamentali di sicurezza delle informazioni
- Governance e revisione della politica
- Uso accettabile delle informazioni e delle risorse associate
- Sicurezza del luogo di lavoro e degli asset
- Segnalazione di eventi di sicurezza delle informazioni
- Archiviazione e aggiornamenti
- Documenti di riferimento

Campo di applicazione

Questa politica stabilisce il quadro per la sicurezza delle informazioni in Indigo.ai. Definisce i principi e gli obiettivi fondamentali per la gestione e la protezione dei beni informativi dell'azienda. Questo documento si applica a tutto il personale, inclusi dipendenti e collaboratori, nonché a tutte le informazioni, i sistemi e le risorse possedute, gestite o utilizzate da Indigo.ai, in conformità con i requisiti dello standard ISO/IEC 27001.

Riferimenti normativi

- ISO/IEC 27001
- Regolamento Generale sulla Protezione dei Dati (UE) 2016/679 (GDPR)

Termini e definizioni

- Disponibilità: La proprietà di essere accessibile e utilizzabile su richiesta da un'entità autorizzata.
- Riservatezza: La proprietà per cui le informazioni non vengono rese disponibili o divulgate a individui, entità o processi non autorizzati.
- Sistema di Gestione della Sicurezza delle Informazioni (SGSI): Un insieme di politiche e procedure per la gestione sistematica dei dati sensibili di un'organizzazione.
- L'obiettivo di un SGSI è minimizzare il rischio e garantire la continuità operativa limitando proattivamente l'impatto di una violazione della sicurezza.
- Integrità: La proprietà di accuratezza e completezza.
- Rischio: L'effetto dell'incertezza sugli obiettivi.

Ruoli, responsabilità e autorità

- Direzione Generale: Responsabile di dimostrare leadership e impegno verso il SGSI, fornendo le risorse necessarie, definendo gli obiettivi di sicurezza e approvando questa politica.
- CPO (Responsabile SGSI): Responsabile dello sviluppo, del mantenimento e della revisione di questa politica, del monitoraggio dei progressi verso gli obiettivi di sicurezza delle informazioni e della supervisione della gestione degli incidenti di sicurezza delle informazioni.

Obiettivi di sicurezza delle informazioni

Indigo.ai si impegna a stabilire, implementare e migliorare continuamente un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) in conformità con i requisiti della ISO/IEC 27001. La Direzione Generale definirà e approverà gli obiettivi di sicurezza delle informazioni, assicurando che siano allineati con la direzione strategica dell'azienda. Il CPO (Responsabile SGSI) sarà responsabile del monitoraggio dei progressi verso questi obiettivi.

Gli obiettivi primari della sicurezza delle informazioni in Indigo.ai sono:
- Proteggere i beni informativi: Garantire la riservatezza, l'integrità e la disponibilità di tutte le informazioni aziendali, dei clienti e del personale.
- Soddisfare gli obblighi di conformità: Rispettare tutti i requisiti legali, statutari, normativi e contrattuali applicabili relativi alla sicurezza delle informazioni.
- Gestire i rischi: Implementare e mantenere un processo sistematico di gestione dei rischi per identificare, valutare e trattare i rischi di sicurezza delle informazioni, come dettagliato nella "PRO Procedura di gestione dei rischi".
- Promuovere una cultura della sicurezza: Promuovere la consapevolezza della sicurezza e la responsabilità condivisa tra tutto il personale per rendere la sicurezza parte integrante della cultura aziendale.
- Garantire la resilienza aziendale: Mantenere la continuità operativa e la capacità di riprendersi dalle interruzioni attraverso una pianificazione e una risposta efficaci, come regolato dalla "PRO Procedura di continuità operativa e ripristino di emergenza".
- Ottenere e mantenere la certificazione: Ottenere e mantenere la certificazione rispetto a standard riconosciuti a livello internazionale come ISO/IEC 27001 per dimostrare l'impegno verso le migliori pratiche di sicurezza.

Principi fondamentali di sicurezza delle informazioni

L'approccio di Indigo.ai alla sicurezza delle informazioni si fonda sui seguenti principi fondamentali:
- Responsabilità condivisa: Ogni dipendente e collaboratore ha la responsabilità personale di proteggere i beni informativi che gestisce e di conformarsi a questa politica e a tutte le procedure di sicurezza correlate.
- Impegno della Direzione Generale: La Direzione Generale dimostrerà leadership e impegno verso il SGSI fornendo le risorse necessarie, definendo gli obiettivi di sicurezza e promuovendo una cultura di miglioramento continuo.
- Approccio basato sul rischio: Le decisioni relative alla sicurezza delle informazioni e la selezione dei controlli si baseranno sui risultati di un processo formale di valutazione dei rischi, garantendo che le misure protettive siano proporzionate ai rischi identificati.
- Principio del minimo privilegio: L'accesso a informazioni, sistemi e risorse sarà concesso in base ai requisiti specifici del ruolo di un individuo. I diritti di accesso sono gestiti e periodicamente rivisti come definito nella "PRO Procedura di gestione e controllo degli accessi logici".
- Sicurezza by Design e by Default: I requisiti di sicurezza saranno integrati in tutte le fasi del ciclo di vita dello sviluppo per prodotti e servizi, dalla progettazione all'implementazione, come richiesto dalla "PRO Procedura di sviluppo sicuro".
- Miglioramento continuo: Il SGSI sarà soggetto a monitoraggio, revisione e miglioramento regolari per adattarsi alle minacce emergenti, ai cambiamenti aziendali e alle opportunità di miglioramento.

Governance e revisione della politica

Questa politica e l'intero insieme di politiche specifiche per argomento costituiscono la
base del SGSI.
- Approvazione: Questa politica e qualsiasi modifica significativa successiva saranno formalmente approvate dalla Direzione Generale.
- Proprietà e mantenimento: Il CPO (Responsabile SGSI) è il proprietario designato di questa politica ed è responsabile del suo sviluppo, revisione e mantenimento, assicurando che rimanga pertinente ed efficace.
- Pubblicazione e comunicazione: Tutte le politiche di sicurezza delle informazioni saranno pubblicate e rese accessibili a tutto il personale tramite le piattaforme interne designate dall'azienda, come Notion. Le politiche pertinenti possono essere comunicate a parti interessate esterne, se richiesto.
- Riconoscimento: Tutto il personale è tenuto a leggere, comprendere e riconoscere il proprio impegno a conformarsi alle politiche di sicurezza delle informazioni come parte del proprio onboarding e in occasione di aggiornamenti significativi.
- Revisione: Questa politica sarà rivista dal CPO (Responsabile SGSI) almeno annualmente o quando si verificano cambiamenti significativi all'interno dell'organizzazione, dei suoi obblighi legali o contrattuali, o del panorama delle minacce.
La revisione farà parte del processo formale descritto nella "PRO Processo di revisione della direzione".

Uso accettabile delle informazioni e delle risorse associate

Tutto il personale deve utilizzare le informazioni e le risorse associate di Indigo.ai, inclusi hardware, software e reti, in modo responsabile, etico e professionale.

- Scopo dell'uso: Le risorse aziendali devono essere utilizzate per scopi aziendali legittimi.
- Attività proibite: L'uso delle risorse aziendali per attività illegali, per accedere o distribuire contenuti inappropriati, per introdurre codice dannoso o per svolgere attività non autorizzate è severamente proibito.
- Gestione delle informazioni: Tutte le informazioni devono essere gestite in conformità con il loro livello di classificazione come definito nella "POL Politica di classificazione ed etichettatura delle informazioni".
- Regole dettagliate: Regole specifiche che regolano l'uso dei beni aziendali sono ulteriormente dettagliate nella "POL Politica di sicurezza operativa" e nel "Codice di condotta".

Sicurezza del luogo di lavoro e degli asset

Indigo.ai richiede a tutto il personale di proteggere le informazioni e gli asset sia negli ambienti di lavoro fisici che remoti.
- Schermo pulito: Tutti gli endpoint utente, inclusi laptop e workstation, devono essere configurati per bloccarsi automaticamente dopo un massimo di 5 minuti di inattività. Il personale deve bloccare manualmente gli schermi ogni volta che lascia la propria postazione di lavoro incustodita.
- Scrivania pulita: Le informazioni sensibili in formato fisico, come documenti cartacei e supporti di archiviazione rimovibili, devono essere conservate in armadi o cassetti chiusi a chiave quando non in uso, in particolare al di fuori dell'orario di lavoro.
- Sicurezza degli asset fuori sede: Il personale che lavora da remoto è responsabile della salvaguardia di tutte le attrezzature fornite dall'azienda contro perdita, furto, danneggiamento o accesso non autorizzato. Ciò è anche stipulato negli accordi individuali di lavoro da remoto.
- Connessioni remote sicure: Quando si lavora fuori sede, le connessioni a Internet devono essere stabilite tramite reti sicure e protette da password (ad esempio, WPA2 o più robuste). L'uso di Wi-Fi pubblici non protetti per accedere ai sistemi aziendali è vietato a meno che non sia attiva una VPN approvata dall'azienda.

Segnalazione di eventi di sicurezza delle informazioni

La segnalazione tempestiva degli eventi di sicurezza è fondamentale per proteggere le informazioni e i sistemi di Indigo.ai.
- Obbligo di segnalazione: Tutto il personale deve segnalare tempestivamente qualsiasi evento, incidente, debolezza o minaccia di sicurezza delle informazioni osservato o sospettato.
- Canali di segnalazione: Gli eventi devono essere segnalati attraverso i canali ufficiali definiti nella "PRO Procedura di gestione degli incidenti di sicurezza delle informazioni".
- Gestione degli incidenti: Il CPO (Responsabile SGSI) deve garantire che tutti gli eventi segnalati siano registrati nel "MOD Registro degli incidenti di sicurezza delle informazioni", valutati e gestiti in conformità con la "PRO Procedura di gestione degli incidenti di sicurezza delle informazioni".
- Cultura senza colpe: Indigo.ai incoraggia la segnalazione aperta e non intraprenderà azioni disciplinari contro alcun individuo per la segnalazione in buona fede di un evento o incidente di sicurezza, a meno che non sia il risultato di una violazione intenzionale delle politiche di sicurezza.

Archiviazione e aggiornamenti

Questo documento è mantenuto e archiviato su piattaforme interne aziendali designate.
Viene rivisto almeno annualmente, o più frequentemente se si verificano cambiamenti significativi, dal CPO (Responsabile SGSI) e approvato dalla Direzione Generale per garantirne la continua pertinenza ed efficacia.

Documenti di riferimento

- Codice di condotta
- PRO Procedura di gestione dei rischi
- PRO Procedura di continuità operativa e ripristino di emergenza
- PRO Procedura di gestione e controllo degli accessi logici
- PRO Procedura di sviluppo sicuro
- PRO Processo di revisione della direzione
- PRO Procedura di gestione degli incidenti di sicurezza delle informazioni
- POL Politica di classificazione ed etichettatura delle informazioni
- POL Politica di sicurezza operativa
- MOD Registro degli incidenti di sicurezza delle informazioni
- Accordi individuali di lavoro da remoto