Politica sicurezza
delle Informazioni
Il campo di applicazione del sistema della gestione integrato per la sicurezza delle informazioni della ALL YOU Srl è rappresentato dalle attività di “Sviluppo Software, Hosting & Cloud, Assistenza sistemistica, Comunicazione & Marketing”. Questa politica stabilisce i principi e gli obiettivi che regolano la protezione delle informazioni, assicurando la confidenzialità, integrità e disponibilità dei dati trattati e rispettando la norme ISO 27001:2022.
In particolare, il sistema di gestione sicurezza delle informazioni è applicato nell’ambito delle attività operative svolte presso gli uffici siti in Via Campostino di Mezzana 3, 59100 Prato e presso le strutture esterne dove sono archiviati i dati.
La presente Politica rappresenta l’impegno dell’organizzazione nei confronti di clienti e terze parti a garantire la sicurezza delle informazioni, degli strumenti fisici, logici e organizzativi atti al trattamento delle informazioni in tutte le attività aziendali. La direzione ha identificato come parti interessate alle attività svolte oggetto del sistema di gestione sicurezza delle informazioni la proprietà e i soci, i propri dipendenti e collaboratori, i fornitori e partner tecnologici, i clienti pubblici e privati, gli utenti finali dei servizi, le autorità di regolamentazione, e la comunità locale.
Gli obiettivi principali della politica per la sicurezza delle informazioni sono:
- Garantire la protezione delle informazioni aziendali, dei clienti e di terzi contro accessi non autorizzati, alterazioni o perdite.
- Assicurare che i servizi forniti siano erogati in modo sicuro e affidabile.
- Conformarsi ai requisiti normativi e legislativi, nonché alla norma ISO 27001:2022
- Promuovere la consapevolezza della sicurezza delle informazioni all’interno dell’azienda e tra i partner.
Questa politica copre tutti gli asset informativi dell'azienda, inclusi:
- Dati personali e sensibili dei clienti, dipendenti e partner.
- Sistemi e infrastrutture informatiche utilizzate per fornire servizi (accesso a Internet, VoIP, assistenza IT).
- Tutti i dispositivi aziendali, software e piattaforme cloud utilizzate per gestire informazioni.
Si applica a tutti i dipendenti e collaboratori, nonché a fornitori e partner che hanno accesso alle informazioni trattate.
Pertanto, l’organizzazione si impegna affinché lo sviluppo delle proprie attività sia tale da garantire i requisiti di riservatezza, integrità, disponibilità, controllo, delle informazioni sensibili di cui viene in possesso per l’espletamento delle proprie attività.
A tale scopo individua nella creazione e nello sviluppo di un Sistema di Gestione sicurezza delle informazioni, il mezzo più adeguato per garantire l’efficienza ed efficacia dei suoi servizi.
I requisiti essenziali, alla base del suo Sistema di Gestione sono i seguenti:
- Nella gestione del Sistema è impegnata in modo diretto, continuo e permanente la Direzione dell’azienda, che assicura la disponibilità delle risorse necessarie per la corretta applicazione e stimola la partecipazione attiva di tutti i dipendenti affinché contribuiscano all’efficacia e miglioramento continuo del sistema di gestione integrato;
- L’impegno a rilevare gli eventi anomali, incidenti e vulnerabilità dei sistemi informativi al fine di rispettare la sicurezza e la disponibilità dei servizi e delle informazioni;
- Garantire la conformità con i requisiti di legge ed il rispetto degli impegni di sicurezza stabiliti nei contratti con le terze parti;
- L’impegno ad assicurare nel tempo in relazione alle informazioni trattate, il mantenimento dei requisiti di Riservatezza, Integrità e Disponibilitàdelle informazioni custodite;
- L’impegno al soddisfacimento dei requisiti espliciti ed impliciti dei committenti e delle parti interessate ed al miglioramento continuo.
Per garantire la sicurezza delle informazioni nei servizi cloud:
- L’azienda utilizza provider cloud conformi ai requisiti ISO 27001 per la gestione sicura delle informazioni.
- Sono adottate misure per prevenire accessi non autorizzati, come la crittografia dei dati.
- I fornitori cloud devono fornire garanzie e trasparenza riguardo alle loro pratiche di sicurezza.
L’azienda controlla regolarmente l’efficacia delle misure di sicurezza implementate dai fornitori cloud.
Al fine di garantire la protezione dei dati personali:
- Consenso esplicito: I dati personali devono essere trattati solo con il consenso esplicito dei titolari.
- Gestione degli incidenti di sicurezza: In caso di violazioni dei dati personali, verranno attivati immediatamente i piani di risposta agli incidenti, notificando le autorità competenti e i soggetti interessati nei tempi previsti dalla legge
- DPO: è stato nominato un Data Protecton Officer che esegue audit con cadenza regolare per verificare il mantenimento dei requisiti richiesti dal GDPR.
Per attuare tale programma sono stati individuati una serie di indici e indicatori in grado di monitorare tutti i processi principali aziendali.
L’individuazione dei processi, la determinazione degli obiettivi, la pianificazione del raggiungimento degli stessi e la relativa verifica avvengono in sede di riesame del Sistema di Gestione Sicurezza delle Informazioni.
Il Sistema di Gestione sicurezza delle informazioni di ALL YOU Srl è conforme ai requisiti della norma di riferimento ISO 27001:2022 e rappresenta una guida operativa per la gestione della sicurezza delle informazioni in azienda
La Direzione aziendale si impegna alla diffusione e alla conoscenza della Presente Politica a tutti i livelli del personale coinvolto e a renderla disponibile alle parti interessate.
