Accetto Il nostro sito salva piccoli pezzi di informazioni (cookie) sul dispositivo, al fine di fornire contenuti migliori e per scopi statistici. È possibile disattivare l'utilizzo di cookies modificando le impostazioni del tuo browser. Continuando la navigazione si acconsente all'utilizzo dei cookie.
Essere competitivi implica concentrarsi su come distinguere le caratteristiche dei servizi tramite una continua ricerca per migliorare i processi aziendali in termini di qualità, performance e sicurezza delle informazioni.
Webcircles considera cruciale la sicurezza delle informazioni sia per lo sviluppo tecnologico che per la fornitura dei servizi. La Gestione della Sicurezza delle Informazioni per Webcircles mira principalmente a proteggere i dati e le informazioni per salvaguardare il patrimonio aziendale, dei clienti e la privacy dei soggetti coinvolti.
La Politica della Sicurezza delle Informazioni di Webcircles è un'indicazione strategica prioritaria che definisce e organizza la riservatezza, l'integrità e la disponibilità delle informazioni, gestendo tutti gli aspetti correlati, inclusi quelli tecnici, di gestione e aziendali.
Questa politica comprende attività come l'identificazione delle aree critiche, la gestione dei rischi, dei sistemi e della rete, la gestione delle vulnerabilità e degli incidenti, il controllo degli accessi, la gestione della privacy e della conformità, e la valutazione dei danni.
Webcircles si impegna a progettare, gestire e mantenere la propria infrastruttura tecnologica, fisica, logica e organizzativa con attenzione attraverso un approccio "by design". Inoltre, impegna la propria organizzazione e il personale a sviluppare e mantenere un Sistema di Gestione della Sicurezza delle Informazioni per garantire la disponibilità, l'integrità e la riservatezza dei dati, delle informazioni e degli accessi.
Tutte le persone coinvolte nell'attività di Webcircles si impegnano a seguire i seguenti principi:
La Direzione di Webcircles si impegna a responsabilizzare tutte le persone coinvolte nell'azienda affinché svolgano i propri compiti con la massima attenzione. In particolare, si impegna a:
Per attuare la sua politica di sicurezza delle informazioni, Webcircles ha sviluppato e si impegna a mantenere un sistema di gestione sicura delle informazioni conforme ai requisiti delle norme UNI CEI EN ISO/IEC 27001:2017, UNI CEI EN ISO/IEC 27017 e UNI CEI EN ISO/IEC 27018, così come alle leggi vigenti, come mezzo per gestire la sicurezza delle informazioni nell'ambito delle proprie attività.
Per quanto riguarda la gestione dei servizi offerti, Webcircles assicura:
La politica di sicurezza delle informazioni di Webcircles si applica a tutto il personale interno e alle terze parti che collaborano alla gestione delle informazioni, nonché a tutti i processi e le risorse coinvolte nella progettazione, realizzazione, avviamento ed erogazione continuativa dei servizi. Essa rappresenta l'impegno concreto dell'organizzazione nei confronti dei clienti e delle terze parti per garantire la sicurezza delle informazioni e dei mezzi fisici, logici e organizzativi utilizzati per il trattamento delle informazioni in tutte le attività.
In sintesi, la politica di sicurezza delle informazioni di Webcircles garantisce quanto segue:
La politica di sicurezza delle informazioni viene costantemente aggiornata e verificata tramite riesami semestrali per garantirne il miglioramento continuo ed è resa nota all'organizzazione, alle terze parti e ai clienti attraverso la sua pubblicazione sul sito.
Webcircles si impegna a proteggere le Informazioni Personali Identificabili (PII) in conformità alle leggi applicabili e agli obblighi contrattuali. Questa politica delinea il nostro approccio alla protezione delle PII negli ambienti cloud pubblici, basandosi sulle linee guida di implementazione fornite dalla UNI CEI EN ISO/IEC 27018:2020.
Webcircles riconosce l'importanza di rispettare la legislazione sulla protezione delle PII e i termini contrattuali concordati con i clienti (cloud service customers). Ci impegniamo a sostenere e raggiungere la conformità alle leggi rilevanti e agli obblighi contrattuali relativi alla protezione delle PII.
Gli accordi contrattuali tra Webcircles, i nostri subappaltatori e i clienti dei servizi cloud definiscono chiaramente le responsabilità per la protezione delle PII. Queste responsabilità sono allocate considerando il tipo di servizio cloud fornito, che sia Infrastruttura come Servizio (IaaS), Piattaforma come Servizio (PaaS) o Software come Servizio (SaaS). Ad esempio, la responsabilità per i controlli a livello di applicazione varia a seconda del tipo di servizio fornito.
Nei giurisdizioni dove la legislazione sulla protezione delle PII si applica direttamente ai fornitori di servizi cloud, Webcircles garantisce la conformità a tali leggi. In altre giurisdizioni, dove la legislazione sulla protezione delle PII si applica solo ai titolari delle PII, supportiamo e gestiamo la conformità per conto dei nostri clienti.
Il contratto tra Webcircles e i nostri clienti del servizio cloud include disposizioni per la gestione della conformità. Ciò include meccanismi per la conformità sottoposta ad audit indipendente, accettabile per il cliente del servizio cloud. La conformità è garantita attraverso l'attuazione dei controlli delineati in questa politica e nella ISO/IEC 27002.
Webcircles implementa i controlli delineati in UNI CEI EN ISO/IEC 27018:2020 e ISO/IEC 27002 per proteggere le PII negli ambienti cloud pubblici. Questi controlli coprono aspetti come la crittografia dei dati, i controlli di accesso, la conservazione dei dati e la risposta agli incidenti.
Webcircles si impegna a migliorare continuamente le proprie misure di protezione delle PII negli ambienti cloud pubblici, riesaminando e aggiorniamo regolarmente le proprie politiche e procedure per allinearle ai requisiti legali e contrattuali in evoluzione, alle migliori pratiche del settore e ai progressi tecnologici.
Forniamo programmi di formazione e sensibilizzazione ai nostri dipendenti e subappaltatori per garantire che comprendano i loro ruoli e le loro responsabilità nella protezione delle PII. Ciò include la formazione sulle procedure di gestione dei dati, i protocolli di sicurezza e i requisiti di conformità.
Webcircles stabilisce meccanismi per segnalare incidenti e violazioni legate alle PII. Ci assumiamo la responsabilità di investigare prontamente gli incidenti, mitigare i rischi e adottare le appropriate azioni correttive per prevenirne il ripetersi.
Nel coinvolgere fornitori di terze parti o subappaltatori, Webcircles garantisce che essi aderiscano a standard di protezione delle PII simili e rispettino gli obblighi contrattuali pertinenti. La conformità di terze parti è valutata e monitorata regolarmente per mantenere l'integrità delle nostre pratiche di protezione delle PII.
Webcircles è un'azienda di consulenza informatica che opera anche come Cloud Service Provider (CSP), offrendo una serie di servizi in modalità SaaS (Software as a Service). Tra i servizi offerti da Webcircles rientrano, a titolo esemplificativo, lo sviluppo di piattaforme software, architetture cloud e sistemi ERP. Inoltre, Webcircles si avvale di altri CSP per l'infrastruttura cloud (IaaS) alla base dei propri servizi SaaS, assumendo quindi il ruolo di Cloud Service Customer (CSC).
La presente Politica per la Sicurezza delle Informazioni in Cloud (PSC) è conforme alla norma UNI EN ISO/IEC 27001:2017, con estensione UNI CEI EN ISO/IEC 27017:2021 e UNI CEI EN ISO/IEC 27018:2020 e definisce le linee guida che Webcircles adotta per la protezione delle informazioni in entrambi i ruoli di CSP e CSC. La PSC rappresenta un elemento fondamentale per la gestione della sicurezza delle informazioni in un contesto cloud, in cui la condivisione di risorse e la virtualizzazione introducono nuovi rischi e sfide.
Webcircles implementa i requisiti di sicurezza di base per la progettazione e l'implementazione dei servizi cloud, in conformità alle best practice e agli standard di settore. A tal fine, Webcircles si avvale di una serie di controlli di sicurezza tecnici, organizzativi e procedurali, tra cui:
Webcircles adotta rigorosi controlli per la selezione, l'assunzione e la formazione del personale, al fine di minimizzare i rischi derivanti da condotte interne inappropriate. Le attività di selezione includono colloqui approfonditi, verifiche dei precedenti e test di sicurezza. La formazione del personale è periodica e copre diverse tematiche, tra cui la sicurezza informatica, la protezione dei dati personali e l'etica professionale. Tutti i dipendenti sottoscrivono inoltre accordi di riservatezza con Webcircles che rimangono effettivi anche dopo eventuali cessazioni o modifiche di responsabilità, al fine di contenere il rischio di divulgazione non autorizzata dei dati.
Webcircles gestisce l'infrastruttura cloud in modalità multi-tenant, garantendo l'isolamento dei dati e delle applicazioni di ciascun cliente. A tal fine, Webcircles utilizza tecnologie di virtualizzazione e containerizzazione avanzate, nonché configurazioni di rete specifiche per segregare i dati dei diversi clienti.
L'accesso agli asset del cliente da parte del personale di Webcircles è consentito solo su base di necessità, previa autenticazione rigorosa e registrazione dettagliata. Tutti gli accessi sono soggetti a monitoraggio e audit periodici.
Webcircles applica rigorosi controlli di accesso, basati su autenticazione forte e ruoli granulari, per limitare l'accesso alle informazioni ai soli utenti autorizzati. L'autenticazione forte prevede l'utilizzo di più fattori di autenticazione, come password, token e biometria. I ruoli granulari definiscono le specifiche azioni che ciascun utente può eseguire all'interno del servizio cloud.
Webcircles informa i clienti in modo tempestivo e trasparente di eventuali cambiamenti ai servizi cloud o alla PSC. Le comunicazioni ai clienti possono avvenire tramite email, newsletter, avvisi all'interno del servizio cloud o altri canali ritenuti opportuni.
Webcircles implementa tecnologie di virtualizzazione affidabili e sicure per l'erogazione dei servizi cloud. Le tecnologie di virtualizzazione utilizzate da Webcircles sono sottoposte a rigorosi test di sicurezza da parte dei fornitori dei servizi IaaS e sono conformi agli standard di settore.
I dati dei clienti sono protetti da crittografia sia in transito che a riposo. L'accesso ai dati è controllato e limitato ai soli scopi necessari. Webcircles utilizza tecnologie di crittografia avanzate e algoritmi di hashing per proteggere la riservatezza dei dati dei clienti. L'accesso ai dati è consentito solo agli utenti autorizzati che necessitano di conoscerli per svolgere le proprie mansioni.
Webcircles gestisce il ciclo di vita degli account dei clienti in modo sicuro, dalla creazione alla dismissione. Le attività di gestione del ciclo di vita includono:
Webcircles si impegna a comunicare tempestivamente ai clienti qualsiasi data breach che coinvolga i loro dati. La comunicazione del data breach include:
Webcircles valuta i livelli di rischio per la sicurezza delle informazioni associati ai servizi cloud di terze parti e li confronta con i propri livelli di rischio accettabili. Tale valutazione viene effettuata mediante un'analisi approfondita dei controlli di sicurezza del CSP, delle sue politiche e procedure e della sua conformità agli standard di settore.
Webcircles si assicura che il CSP abbia accesso ai dati del cliente solo per le attività strettamente necessarie e che siano in atto adeguate misure di sicurezza per proteggere tali dati. A tal fine, Webcircles stipula un contratto con il CSP che specifica i termini e le condizioni per l'accesso ai dati del cliente. Il contratto include clausole relative alla riservatezza, alla sicurezza e alla protezione dei dati personali.
Webcircles richiede al CSP di comunicare in anticipo le attività di manutenzione e di garantirne l'impatto minimo sui servizi. Il CSP deve fornire a Webcircles informazioni dettagliate sulle attività di manutenzione, comprese le tempistiche, la durata e l'eventuale impatto sui servizi.
Webcircles si assicura che il CSP adotti adeguate misure di sicurezza per l'isolamento dei dati e delle applicazioni in un ambiente multi-tenant e virtualizzato. A tal fine, Webcircles richiede al CSP di fornire informazioni dettagliate sulle sue tecnologie di virtualizzazione e sulle sue misure di sicurezza per l'isolamento dei dati.
Webcircles definisce i ruoli e le responsabilità degli utenti del servizio cloud in base al contesto operativo. I ruoli degli utenti possono includere, ad esempio, amministratori, sviluppatori, utenti finali e altri. Le responsabilità di ciascun ruolo sono definite in modo chiaro e documentato.
Webcircles limita l'accesso privilegiato al servizio cloud e richiede controlli di sicurezza rigorosi per tali accessi. L'accesso privilegiato è concesso solo agli utenti che necessitano di tali diritti per svolgere le proprie mansioni. I controlli di sicurezza per gli accessi privilegiati includono l'autenticazione forte, la registrazione dettagliata e il monitoraggio periodico.
Webcircles si assicura che i dati del cliente siano archiviati in conformità alle normative applicabili e alle policy aziendali. In particolare, Webcircles verifica che il CSP sia in regola con il GDPR e con altre normative sulla protezione dei dati personali.
Data ultima revisione: 24/03/2024