Sicurezza
Politica per la Sicurezza delle Informazioni di Zucchetti Spa
La sicurezza e la salvaguardia del patrimonio informativo costituiscono condizione imprescindibile per il raggiungimento degli obiettivi di business di Zucchetti SpA.
In considerazione di ciò lo svolgimento delle attività aziendali deve sempre avvenire garantendo adeguati livelli di disponibilità, integrità e riservatezza delle informazioni attraverso l’adozione di un formale
“Sistema di Gestione della Sicurezza delle Informazioni” (SGSI) in linea con i requisiti attesi dalle parti interessate di Zucchetti e nel rispetto delle normative vigenti.
In particolare il sistema è applicato:
- nella conservazione digitale di documenti informatici, in modo tale da garantire la conservazione nel lungo periodo;
- all’area datacenter, in modo tale da garantire buone pratiche nella gestione dei sistemi e infrastrutture necessari al trattamento dei dati di business dei clienti, eventualmente soggetti a norme cogenti;
- nell’erogazione di servizi fiduciari (marcatura temporale, certificati per chiavi di sottoscrizione) con funzione di Autorità di Certificazione;
- alle soluzioni HR per la gestione del personale, e cioè la progettazione, sviluppo e manutenzione di prodotti software, i relativi servizi di post-vendita per professionisti e aziende e infine la realizzazione, erogazione e gestione del servizio SaaS/PaaS per dette soluzioni.
- alle soluzioni contabili e fiscali, e cioè la progettazione, sviluppo e manutenzione di prodotti software, i relativi servizi di post-vendita per studi commercialisti ed associazioni di categoria e infine la realizzazione, erogazione e gestione del servizio SaaS/PaaS per dette soluzioni.
Gli obiettivi generali del SGSI perseguiti con l’impegno del responsabile designato, sono:
- dimostrare al mercato la propria capacità di fornire con regolarità prodotti/servizi sicuri, massimizzando gli obiettivi di business;
- minimizzare il rischio di perdita e indisponibilità dei dati dei clienti, pianificando e gestendo le attività a garanzia della continuità di servizio, e mettere in campo ogni azione volta a scongiurare corruzione, diffusione inappropriata di detti dati;
- svolgere di conseguenza una adeguata analisi dei rischi, determinando il valore delle risorse informative coinvolte e valutando il rischio conseguente, attraverso l’esame delle vulnerabilità e delle minacce associate;
- rispettare le leggi e le disposizioni vigenti, i requisiti contrattuali, le norme e le procedure aziendali;
- promuovere la collaborazione, comprensione e consapevolezza del SGSI da parte dei fornitori strategici;
- conformarsi ai principi e ai controlli stabiliti dalla ISO/IEC 27001 o altre norme/regolamenti che disciplinano le attività di business in cui opera l’azienda;
- perseguire il miglioramento continuo.
A ciò si aggiungono gli obiettivi specifici del Sistema di Conservazione:
- soddisfare con un trattamento adeguato delle informazioni (in relazione al loro valore, alle prescrizioni legali, alla sensibilità e criticità) le esigenze della comunità designata;
- monitorare e controllare la sicurezza dei sistemi informativi a supporto del Sistema di Conservazione, minimizzando il rischio residuo, assicurando la continuità del business e il soddisfacimento dei requisiti relativi alla privacy e alla protezione dei dati personali;
- seguire e attuare le indicazioni date nel Manuale della Conservazione;
- prevedere e, se il caso, attuare, piani di successione, piani di emergenza, di affidamento a terzi, in caso di cessazione del servizio.
il cui raggiungimento è dato in carico al Responsabile del Servizio di Conservazione designato. Nel perseguire detti obiettivi il Responsabile del Servizio di Conservazione ha facoltà e delega a redigere una o più Politiche di Sicurezza relative a temi specifici riguardanti il Sistema di Conservazione, impegnandosi a garantirne la coerenza con la presente Politica.
Al fine di promuovere e favorire l’implementazione degli obiettivi di politica, viene costituito un gruppo di lavoro interfunzionale che opera per la gestione delle attività necessarie a garantire la sicurezza delle informazioni.
Le finalità del gruppo di lavoro sono la promozione della sicurezza, l’individuazione e la definizione degli obiettivi, l’impegno e la disponibilità delle risorse necessarie alle azioni di tutela, la formazione del personale e la revisione periodica o in occasioni significative del sistema.
Tutto il personale, nell’ambito delle relative responsabilità, è coinvolto nella segnalazione di eventuali incidenti riscontrati e di qualsiasi debolezza identificata nel SGSI.
Tutta l’organizzazione è impegnata a supportare l’implementazione, la messa in opera e il riesame periodico del SGSI.
Il vertice aziendale si impegna a perseguire, con i mezzi e le risorse adeguate, gli obiettivi di questa politica.