Imagicle Legal Terms.
Security Policy
1. Premessa
Leader nel settore delle Unified Communications, Imagicle è un’azienda italiana con tre sedi sul territorio nazionale e tre sedi all’estero, Dubai, Miami e Ryadh. Sin dal 2010, l’azienda progetta e sviluppa applicazioni per aiutare le aziende a rendere le comunicazioni più veloci, più intelligenti e più semplici, nel Cloud, Hosted e On-Premise. In un’unica suite, Imagicle offre un set completo di applicazioni indispensabili per migliorare il servizio clienti, monitorare e analizzare il traffico telefonico, registrare le chiamate, virtualizzare il servizio fax, fornire servizi di rubriche avanzate e molto altro, progettate e sviluppate utilizzando le più avanzate metodologie Scrum-Agile.
Con l’utilizzo sempre crescente di nuove tecnologie, è necessario fornire garanzie non solo sulla qualità dei servizi erogati, ma anche sul trattamento delle informazioni che riguardano l’erogazione dei servizi, il personale interno, gli agenti, i partner, i clienti e i fornitori. Le informazioni costituiscono beni aziendali che, in modo analogo agli altri beni, hanno un valore per l’organizzazione e di conseguenza devono essere protetti in modo adeguato. La sicurezza ha il compito di proteggere le informazioni da un ampio numero di minacce in modo da assicurare la continuità del business aziendale, minimizzare i danni e massimizzare il ritorno degli investimenti e delle opportunità commerciali. Preservare la fiducia che i clienti hanno nei confronti di Imagicle richiede che ciascuno contribuisca al rispetto, alla tutela e alla sicurezza di tutti i dati e informazioni riservate.
2. Principi
Secondo la definizione dello standard ISO 27001, la sicurezza delle informazioni gestite è caratterizzata dalla salvaguardia della loro riservatezza, integrità e disponibilità.
Proteggere la sicurezza di un sistema significa:
- ridurre ad un valore accettabile la probabilità che vengano violati i parametri di sicurezza informatica;
- individuare tempestivamente quando e in quale parte del sistema questo accade;
- limitare i danni e ripristinare i requisiti violati nel minor tempo possibile.
Supportato da direttive di leadership, il programma di sicurezza di Imagicle coinvolge direttamente team dedicati all’implementazione dei controlli di sicurezza in tutte le aree aziendali, che assicurino un ciclo di vita dello sviluppo sicuro, dalla progettazione del prodotto al supporto operativo continuo. Il programma di sicurezza è applicato, monitorato, mantenuto, migliorato e documentato in coerenza con le finalità del business e facendo riferimento allo standard internazionale ISO/IEC 27001:2017, con l’obiettivo costante di ridurre i livelli di rischio.
3. Obiettivi
Il Sistema di Gestione per la Sicurezza Informazioni (ISMS), progettato da Imagicle, si basa su:
- gestione dei rischi per la sicurezza delle informazioni in sinergia con la gestione del rischio complessivo aziendale e nel rispetto del responsabile utilizzo delle risorse aziendali, realizzata attraverso l’applicazione di modelli condivisi, ripetibili e validi nel tempo, riferibili ai riconosciuti standard internazionali;
- individuazione dei ruoli organizzativi e delle responsabilità specificamente coinvolti nella gestione della sicurezza delle informazioni;
- sensibilizzazione del personale alla sicurezza delle informazioni, valorizzazione e formazione delle competenze di maggiore interesse per la sicurezza delle informazioni;
- monitoraggio continuo dell’efficacia ed efficienza del ISMS attraverso la definizione di un sistema di indicatori e la loro misurazione periodica;
- impegno della Direzione per fornire le risorse ritenute necessarie per l’attuazione delle politiche aziendali per la sicurezza, il perseguimento degli obiettivi di sicurezza, il mantenimento e miglioramento continuo del ISMS.
Le applicazioni Imagicle sono progettate pensando alla sicurezza, con una manutenzione periodica costante. Il ciclo di vita per lo sviluppo del prodotto include valutazioni e revisioni del progetto di sicurezza come prassi normale all’interno del processo di sviluppo. Per garantire la riservatezza delle informazioni, Imagicle gestisce le comunicazioni sia interne che esterne tramite algoritmi di cifratura e certificati adeguati. Strumenti e metodi aggiornati in termini di sicurezza IT e OT vengono applicati durante l’intero ciclo di vita del prodotto per ridurre i rischi e affrontare le vulnerabilità in proporzione alle necessità dell’azienda e in ottemperanza alle normative vigenti in materia. Il sistema di sicurezza aziendale è allineato a best-practice e standard internazionali, e orientato allo standard ISO-27001 che prevede l’implementazione e l’applicazione di rigide misure di controllo dell’accesso alle informazioni in base al principio “need-to-know” correlato al business aziendale, il monitoraggio e i test regolari del SGSI.
4. Riferimenti agli aspetti normativi
Tutti i requisiti cogenti e contrattuali pertinenti sono identificati dall’organizzazione.La Procedura Aggiornamenti Normativi descrive le attività per assicurare che:
- gli aggiornamenti normativi relativi alla privacy (GDPR – Regolamento UE 2016/679), siano disponibili e noti alle varie funzioni aziendali interessate;
- siano effettuati i dovuti aggiornamenti alle procedure operative e ai sistemi informatici aziendali al fine di rispettare le normative vigenti (Compliance);
Il Coordinatore SGSI assicura il monitoraggio e l’approvazione dell’avvenuta applicazione in azienda degli aggiornamenti normativi.
5. Diffusione della cultura e delle politiche di sicurezza
La sicurezza è un processo capillare che riguarda tutta l’azienda: la consapevolezza individuale unita ad un utilizzo responsabile delle risorse svolge un ruolo fondamentale nel conseguimento degli obiettivi di sicurezza prefissati. Il personale Imagicle è costantemente responsabilizzato affinché diffonda in azienda una cultura della sicurezza delle informazioni, considerata necessaria per la tipologia di servizi offerti e dei dati trattati. L’impegno coinvolge dapprima i vertici aziendali, prevedendo la definizione di ruoli e responsabilità e mantenendo viva la consapevolezza, cultura e sicurezza in tutta l’organizzazione. Il personale Imagicle è coinvolto mediante la definizione di politiche e procedure complete e semplici da comprendere sulla sicurezza dei dati, grazie alla presenza di team dedicati impegnati nella sicurezza IT e dei prodotti.
I dipendenti e le terze parti coinvolte nei processi aziendali collaborano per quanto di propria competenza rispettando le regole e le procedure operative riportate nella documentazione del Sistema di Gestione della Sicurezza delle Informazioni (disponibili nella intranet aziendale) e applicando le migliori pratiche e comportamenti. Per questo motivo la comunicazione delle politiche di sicurezza aziendali viene estesa ai propri partner, fornitori e clienti all’atto della stipula o rinnovo periodico del contratto.
6. Impegno della leadership
La Direzione favorisce lo sviluppo della cultura aziendale verso l’applicazione delle regole e dei requisiti della sicurezza delle informazioni (a garanzia dell’azienda, dei clienti, dei terzi), la sensibilizzazione e il coinvolgimento di tutte le funzioni per il perseguimento degli obiettivi della sicurezza. Si impegna altresì a fornire le risorse ritenute necessarie per l’attuazione delle politiche aziendali per la sicurezza, il perseguimento dei relativi obiettivi e il mantenimento e miglioramento continuo del Sistema di Gestione della Sicurezza Informazioni, prevedendo il riesame di tali politiche almeno una volta l’anno o nel caso di variazioni significative di business o dell’infrastruttura. La Direzione si impegna a diffondere e mantenere viva la consapevolezza, la cultura e le politiche di sicurezza aziendale a tutto il personale interno ed esterno attraverso diversi canali di comunicazione interna.
7. Metodologia analisi e gestione dei rischi
La sicurezza è continuamente monitorata, perciò Imagicle ha adottato sia una metodologia di analisi e gestione del rischio della sicurezza delle informazioni sia un processo periodico (annuale o quando si realizza una modifica o un nuovo applicativo) di gestione dei rischi, al fine di mantenerli a un livello accettabile tramite la valutazione e il trattamento degli stessi. A tale scopo sono stati definiti:
- i criteri per la valutazione e l’accettazione del rischio e identificate in modo oggettivo e trasparente le potenziali minacce e vulnerabilità che possono scaturire dalla progettazione, implementazione e gestione dei sistemi e che potrebbero essere sfruttate per compromettere la sicurezza delle informazioni;
- i relativi danni, diretti e indiretti;
- le misure di protezione in atto, in modo da evidenziare le aree con maggiore criticità e prevedendo l’implementazione di contromisure adeguate.