Scopo e obiettivi

Con la politica della privacy la Proxima Lab Sas intende proteggere le informazioni e i dati gestiti nell’ambito delle proprie attività da tutte le minacce interne o esterne, intenzionali o accidentali, secondo le disposizioni previste dal Regolamento (UE) 27/04/2016, n. 679 e dal Decreto Legislativo n. 196 del 30/06/2003.

Campo di applicazione

La politica della privacy si applica a tutti gli organi e i livelli dell’azienda. La sua attuazione è obbligatoria per tutto il personale e deve essere inserita nella regolamentazione degli accordi con qualsiasi soggetto esterno coinvolto con il trattamento di informazioni che rientrano nel campo del SGP.

La Proxima Lab Sas consente la comunicazione e la diffusione delle informazioni verso l’esterno solo per il corretto svolgimento delle attività aziendali che avvengono nel rispetto delle regole e delle norme vigenti.

La nostra policy in tema di sicurezza delle informazioni

Il patrimonio informativo da tutelare è costituito dall’insieme delle informazioni trattate all’interno delle procedure aziendali, rispetto alle quali la Proxima Lab Sas assicura l’accesso solo a chi è autorizzato, l’integrità e la protezione.

La mancanza di adeguati livelli di sicurezza può infatti comportare il danneggiamento dell’immagine aziendale, la mancata soddisfazione del cliente, il rischio di incorrere in sanzioni legate alla violazione delle leggi vigenti nonché danni di natura economica e finanziaria.

La Proxima Lab Sas ha istituito e mantiene aggiornato un registro delle attività di trattamento.

L’azienda identifica, inoltre, tutte le esigenze di sicurezza tramite la valutazione di impatto sulla protezione dei dati che consente di acquisire consapevolezza sul livello di esposizione a minacce dei propri sistemi di gestione dei dati. La valutazione del rischio permette di valutare le potenziali conseguenze e i danni che possono derivare dalla mancata applicazione di misure di sicurezza al sistema informativo e quale sia la realistica probabilità di attuazione delle minacce identificate. I risultati di questa valutazione determinano le azioni necessarie per individuare le corrette e adeguate misure di sicurezza e i meccanismi per garantire la protezione dei dati personali.

I principi generali della gestione della sicurezza delle informazioni si basano su alcuni punti fondamentali.

  • Esiste un catalogo costantemente aggiornato degli asset aziendali rilevanti ai fini della gestione delle informazioni e per ciascuno è individuato un responsabile.
  • Le informazioni sono classificate in base al loro livello di criticità, in modo da essere gestite con livelli di riservatezza e integrità coerenti e appropriati.
  •  Per garantire la sicurezza delle informazioni, ogni accesso ai sistemi è sottoposto a una procedura d’identificazione e autenticazione. Le autorizzazioni di accesso alle informazioni sono differenziate in base al ruolo e agli incarichi ricoperti dai singoli individui, in modo che ogni utente possa accedere alle sole informazioni di cui necessita, e sono periodicamente sottoposte a revisione.
  • Sono definite delle procedure per l’utilizzo sicuro dei beni e delle informazioni aziendali.
  • È incoraggiata la piena consapevolezza da parte del personale delle problematiche relative alla sicurezza delle informazioni.
  • Per poter gestire in modo tempestivo gli incidenti, tutti devono notificare qualsiasi problema relativo alla sicurezza.
  • È necessario prevenire l’accesso non autorizzato ai locali e alle apparecchiature dove sono gestite le informazioni.
  • È assicurata la conformità con i requisiti legali e con i principi legati alla sicurezza delle informazioni nei contratti con le terze parti.
  • È predisposto un piano di continuità che permette all’azienda di affrontare efficacemente un evento imprevisto, garantendo il ripristino dei servizi critici in tempi e con modalità che limitino le conseguenze negative sulla missione aziendale.  Gli aspetti di sicurezza sono inclusi in tutte le fasi di progettazione, sviluppo, esercizio, manutenzione, assistenza e dismissione dei sistemi e dei servizi informatici.
  • Sono garantiti il rispetto delle disposizioni di legge, di statuti, regolamenti o obblighi contrattuali e di ogni requisito inerente la sicurezza delle informazioni, riducendo al minimo il rischio di sanzioni legali o amministrative, di perdite rilevanti o danni alla reputazione.

Responsabilità di osservanza e attuazione

L’osservanza e l’attuazione della policy sono responsabilità di:

  • tutto il personale che, a qualsiasi titolo, collabora con l’azienda ed è in qualche modo coinvolto con il trattamento di dati e informazioni che rientrano nel campo di applicazione del SGP (il personale è responsabile della segnalazione di tutte le anomalie e violazioni di cui dovesse venire a conoscenza)
  • tutti i soggetti esterni che intrattengono rapporti e collaborano con l’azienda e che devono garantire il rispetto dei requisiti contenuti in questa politica.
  • il Responsabile del SGP che deve:
  • condurre l’analisi dei rischi con le opportune metodologie e adottare le misure per la gestione del rischio
  • stabilire le norme necessarie alla conduzione sicura delle attività aziendali
  • verificare le violazioni alla sicurezza e adottare le contromisure necessarie e controllare l’esposizione dell’azienda alle principali minacce e rischi
  • organizzare la formazione e promuovere la consapevolezza del personale per tutto ciò che concerne la qualità, la sicurezza e la sicurezza delle informazioni
  • verificare periodicamente l’efficacia e l’efficienza del SGP.

Il personale dell’azienda che, in modo intenzionale o riconducibile a negligenza, disattenda le regole di sicurezza stabilite e in tal modo provochi un danno, potrà essere perseguito nelle opportune sedi e nel pieno rispetto dei vincoli di legge e contrattuali.

Riesame

La direzione aziendale verifica almeno una volta all’anno l’efficacia e l’efficienza del SGP, in modo da assicurare un supporto adeguato all’introduzione di tutte le migliorie necessarie e da favorire l’attivazione di un processo di aggiornamento continuo.

Il responsabile del SGP ha il compito di verificare il riesame di questa politica. Il riesame deve verificare lo stato delle azioni correttive e l’aderenza alla politica privacy. Deve inoltre tenere conto di tutti i cambiamenti che possono influenzare l’approccio dell’azienda alla gestione della sicurezza delle informazioni, includendo i cambiamenti organizzativi, l’ambiente tecnico, la disponibilità di risorse, le condizioni legali, regolamentari o contrattuali e dei risultati dei precedenti riesami.

Il risultato del riesame include tutte le decisioni e le azioni relative al miglioramento dell’approccio aziendale alla gestione della sicurezza delle informazioni.

Impegno della direzione

La direzione sostiene attivamente le attività inerenti la gestione della privacy aziendale tramite un chiaro indirizzo, un impegno evidente, degli incarichi espliciti e il riconoscimento delle responsabilità relative alla sicurezza delle informazioni.

L’impegno della direzione si attua tramite una struttura i cui compiti sono:

  • garantire che siano identificati tutti gli obiettivi relativi alla sicurezza delle informazioni e che questi incontrino i requisiti aziendali
  • stabilire i ruoli aziendali e le responsabilità per lo sviluppo e il mantenimento del SGP
  • fornire risorse sufficienti alla pianificazione, implementazione, organizzazione, controllo, revisione, gestione e miglioramento continuo del SGP
  • controllare che il SGP sia integrato in tutti i processi aziendali e che procedure e controlli siano sviluppati efficacemente
  • approvare e sostenere tutte le iniziative volte al miglioramento della sicurezza delle informazioni
  • attivare programmi per la diffusione della consapevolezza e della cultura della sicurezza delle informazioni.

La Proxima Lab Sas riconosce la propria responsabilità e si impegna a proteggere i dati personali che gli utenti affidano all’azienda da perdita, uso improprio o accesso non autorizzato. Per la protezione dei dati personali degli utenti, l’azienda si avvale di una serie di tecnologie e procedure aziendali di protezione.

Scarica il file firmato digitalmente