Introduzione

Essere competitivi implica concentrarsi su come distinguere le caratteristiche dei servizi tramite una continua ricerca per migliorare i processi aziendali in termini di qualità, performance e sicurezza delle informazioni.

Webcircles considera cruciale la sicurezza delle informazioni sia per lo sviluppo tecnologico che per la fornitura dei servizi. La Gestione della Sicurezza delle Informazioni per Webcircles mira principalmente a proteggere i dati e le informazioni per salvaguardare il patrimonio aziendale, dei clienti e la privacy dei soggetti coinvolti.

La Politica della Sicurezza delle Informazioni di Webcircles è un'indicazione strategica prioritaria che definisce e organizza la riservatezza, l'integrità e la disponibilità delle informazioni, gestendo tutti gli aspetti correlati, inclusi quelli tecnici, di gestione e aziendali.

Questa politica comprende attività come l'identificazione delle aree critiche, la gestione dei rischi, dei sistemi e della rete, la gestione delle vulnerabilità e degli incidenti, il controllo degli accessi, la gestione della privacy e della conformità, e la valutazione dei danni.

Webcircles si impegna a progettare, gestire e mantenere la propria infrastruttura tecnologica, fisica, logica e organizzativa con attenzione attraverso un approccio "by design". Inoltre, impegna la propria organizzazione e il personale a sviluppare e mantenere un Sistema di Gestione della Sicurezza delle Informazioni per garantire la disponibilità, l'integrità e la riservatezza dei dati, delle informazioni e degli accessi.

Tutte le persone coinvolte nell'attività di Webcircles si impegnano a seguire i seguenti principi:

1. Riservatezza: Garantire che solo soggetti e/o processi autorizzati possano accedere alle informazioni, evitando divulgazioni non autorizzate.
2. Integrità: Preservare l'integrità delle informazioni da modifiche non autorizzate e garantire che non subiscano alterazioni involontarie o danni ai sistemi tecnologici.
3. Disponibilità: Assicurare che gli utenti autorizzati possano accedere alle informazioni quando necessario, proteggendo la disponibilità, l'usabilità e la confidenzialità dei dati e riducendo i rischi legati all'accesso non autorizzato.
4. Controllo: Gestire i dati attraverso processi e strumenti sicuri e affidabili.
5. Autenticità: Garantire l'affidabilità dell'origine delle informazioni.
6. Privacy: Proteggere e controllare i dati personali.

La Direzione di Webcircles si impegna a responsabilizzare tutte le persone coinvolte nell'azienda affinché svolgano i propri compiti con la massima attenzione. In particolare, si impegna a:

• Rispettare le leggi e le normative vigenti.
• Garantire l'efficienza e l'affidabilità dei processi di sviluppo, dei prodotti e dei servizi correlati.
• Assicurare condizioni di salute e sicurezza sul luogo di lavoro per il personale e per terzi.
• Mantenere la continuità e l'efficienza dei processi organizzativi e operativi per prevenire e ridurre al minimo gli incidenti sulla sicurezza dei dati e delle informazioni.
• Proteggere e utilizzare correttamente i mezzi forniti.
• Preservare la riservatezza, l'integrità e la disponibilità dei dati e delle informazioni gestite da Webcircles e proteggere la proprietà intellettuale.
• Adottare misure preventive per evitare anomalie nei processi, nei prodotti e nei servizi.

Il Sistema di Gestione della Sicurezza delle Informazioni

Per attuare la sua politica di sicurezza delle informazioni, Webcircles ha sviluppato e si impegna a mantenere un sistema di gestione sicura delle informazioni conforme ai requisiti delle norme UNI CEI EN ISO/IEC 27001:2017, UNI CEI EN ISO/IEC 27017 e UNI CEI EN ISO/IEC 27018, così come alle leggi vigenti, come mezzo per gestire la sicurezza delle informazioni nell'ambito delle proprie attività.

Per quanto riguarda la gestione dei servizi offerti, Webcircles assicura:

• L'osservanza dei livelli di sicurezza stabiliti attraverso l'implementazione del Sistema di Gestione della Sicurezza delle Informazioni (SGSI).
• Il rispetto delle normative e degli standard internazionali di sicurezza per la propria infrastruttura tecnologica e organizzativa.
• La selezione di partner affidabili dal punto di vista della gestione della sicurezza delle informazioni e della protezione dei dati personali.

La politica di sicurezza delle informazioni di Webcircles si applica a tutto il personale interno e alle terze parti che collaborano alla gestione delle informazioni, nonché a tutti i processi e le risorse coinvolte nella progettazione, realizzazione, avviamento ed erogazione continuativa dei servizi. Essa rappresenta l'impegno concreto dell'organizzazione nei confronti dei clienti e delle terze parti per garantire la sicurezza delle informazioni e dei mezzi fisici, logici e organizzativi utilizzati per il trattamento delle informazioni in tutte le attività.

In sintesi, la politica di sicurezza delle informazioni di Webcircles garantisce quanto segue:

1. Conoscenza e valutazione delle informazioni gestite per implementare livelli di protezione adeguati.
2. Accesso sicuro alle informazioni per prevenire trattamenti non autorizzati.
3. Collaborazione con terze parti nel trattamento delle informazioni, rispettando adeguati standard di sicurezza.
4. Formazione e consapevolezza del personale e delle terze parti riguardo alle problematiche di sicurezza.
5. Riconoscimento e gestione tempestiva di anomalie e incidenti per minimizzare l'impatto sul business.
6. Accesso autorizzato ai locali aziendali per garantire la sicurezza delle aree e degli asset.
7. Conformità legale e rispetto degli impegni di sicurezza nei contratti con terze parti.
8. Rilevazione di eventi anomali, incidenti e vulnerabilità dei sistemi informativi per garantire sicurezza e disponibilità dei servizi e delle informazioni.
9. Continuità operativa aziendale e Disaster Recovery tramite procedure di sicurezza stabilite.
10. Trattamento dei dati personali conforme al Regolamento (UE) 2016/679, sia come Titolare che come Responsabile del Trattamento.

La politica di sicurezza delle informazioni viene costantemente aggiornata e verificata tramite riesami semestrali per garantirne il miglioramento continuo ed è resa nota all'organizzazione, alle terze parti e ai clienti attraverso la sua pubblicazione sul sito.

Politica di Protezione delle Informazioni Personali (PII)

Webcircles si impegna a proteggere le Informazioni Personali Identificabili (PII) in conformità alle leggi applicabili e agli obblighi contrattuali. Questa politica delinea il nostro approccio alla protezione delle PII negli ambienti cloud pubblici, basandosi sulle linee guida di implementazione fornite dalla UNI CEI EN ISO/IEC 27018:2020.

Supporto alla Conformità

Webcircles riconosce l'importanza di rispettare la legislazione sulla protezione delle PII e i termini contrattuali concordati con i clienti (cloud service customers). Ci impegniamo a sostenere e raggiungere la conformità alle leggi rilevanti e agli obblighi contrattuali relativi alla protezione delle PII.

Allocazione delle Responsabilità

Gli accordi contrattuali tra Webcircles, i nostri subappaltatori e i clienti dei servizi cloud definiscono chiaramente le responsabilità per la protezione delle PII. Queste responsabilità sono allocate considerando il tipo di servizio cloud fornito, che sia Infrastruttura come Servizio (IaaS), Piattaforma come Servizio (PaaS) o Software come Servizio (SaaS). Ad esempio, la responsabilità per i controlli a livello di applicazione varia a seconda del tipo di servizio fornito.

Gestione della Conformità

Nei giurisdizioni dove la legislazione sulla protezione delle PII si applica direttamente ai fornitori di servizi cloud, Webcircles garantisce la conformità a tali leggi. In altre giurisdizioni, dove la legislazione sulla protezione delle PII si applica solo ai titolari delle PII, supportiamo e gestiamo la conformità per conto dei nostri clienti.

Obblighi Contrattuali

Il contratto tra Webcircles e i nostri clienti del servizio cloud include disposizioni per la gestione della conformità. Ciò include meccanismi per la conformità sottoposta ad audit indipendente, accettabile per il cliente del servizio cloud. La conformità è garantita attraverso l'attuazione dei controlli delineati in questa politica e nella ISO/IEC 27002.

Implementazione dei Controlli

Webcircles implementa i controlli delineati in UNI CEI EN ISO/IEC 27018:2020 e ISO/IEC 27002 per proteggere le PII negli ambienti cloud pubblici. Questi controlli coprono aspetti come la crittografia dei dati, i controlli di accesso, la conservazione dei dati e la risposta agli incidenti.

Miglioramento Continuo

Webcircles si impegna a migliorare continuamente le proprie misure di protezione delle PII negli ambienti cloud pubblici, riesaminando e aggiorniamo regolarmente le proprie politiche e procedure per allinearle ai requisiti legali e contrattuali in evoluzione, alle migliori pratiche del settore e ai progressi tecnologici.

Formazione e Consapevolezza

Forniamo programmi di formazione e sensibilizzazione ai nostri dipendenti e subappaltatori per garantire che comprendano i loro ruoli e le loro responsabilità nella protezione delle PII. Ciò include la formazione sulle procedure di gestione dei dati, i protocolli di sicurezza e i requisiti di conformità.

Segnalazione e Responsabilità

Webcircles stabilisce meccanismi per segnalare incidenti e violazioni legate alle PII. Ci assumiamo la responsabilità di investigare prontamente gli incidenti, mitigare i rischi e adottare le appropriate azioni correttive per prevenirne il ripetersi.

Assicurazione di Terze Parti

Nel coinvolgere fornitori di terze parti o subappaltatori, Webcircles garantisce che essi aderiscano a standard di protezione delle PII simili e rispettino gli obblighi contrattuali pertinenti. La conformità di terze parti è valutata e monitorata regolarmente per mantenere l'integrità delle nostre pratiche di protezione delle PII.

Politiche per la sicurezza delle informazioni in cloud

Webcircles è un'azienda di consulenza informatica che opera anche come Cloud Service Provider (CSP), offrendo una serie di servizi in modalità SaaS (Software as a Service). Tra i servizi offerti da Webcircles rientrano, a titolo esemplificativo, lo sviluppo di piattaforme software, architetture cloud e sistemi ERP. Inoltre, Webcircles si avvale di altri CSP per l'infrastruttura cloud (IaaS) alla base dei propri servizi SaaS, assumendo quindi il ruolo di Cloud Service Customer (CSC).

La presente Politica per la Sicurezza delle Informazioni in Cloud (PSC) è conforme alla norma UNI EN ISO/IEC 27001:2017, con estensione UNI CEI EN ISO/IEC 27017:2021 e UNI CEI EN ISO/IEC 27018:2020 e definisce le linee guida che Webcircles adotta per la protezione delle informazioni in entrambi i ruoli di CSP e CSC. La PSC rappresenta un elemento fondamentale per la gestione della sicurezza delle informazioni in un contesto cloud, in cui la condivisione di risorse e la virtualizzazione introducono nuovi rischi e sfide.

Webcircles come CSP

1. Requisiti di sicurezza di base:

Webcircles implementa i requisiti di sicurezza di base per la progettazione e l'implementazione dei servizi cloud, in conformità alle best practice e agli standard di settore. A tal fine, Webcircles si avvale di una serie di controlli di sicurezza tecnici, organizzativi e procedurali, tra cui:

• Controlli di accesso: per limitare l'accesso alle informazioni ai soli utenti autorizzati.
• Controlli di crittografia: per proteggere la riservatezza dei dati durante la trasmissione e l'archiviazione.
• Controlli di backup e disaster recovery: per garantire la disponibilità delle informazioni in caso di incidente informatico.
• Controlli di sicurezza dei sistemi informatici: per proteggere i sistemi informatici da intrusioni, malware e altre minacce.
• Controlli di formazione e consapevolezza: per educare i dipendenti sui rischi per la sicurezza informatica e sulle loro responsabilità.

2. Rischi derivanti dal personale interno:

Webcircles adotta rigorosi controlli per la selezione, l'assunzione e la formazione del personale, al fine di minimizzare i rischi derivanti da condotte interne inappropriate. Le attività di selezione includono colloqui approfonditi, verifiche dei precedenti e test di sicurezza. La formazione del personale è periodica e copre diverse tematiche, tra cui la sicurezza informatica, la protezione dei dati personali e l'etica professionale. Tutti i dipendenti sottoscrivono inoltre accordi di riservatezza con Webcircles che rimangono effettivi anche dopo eventuali cessazioni o modifiche di responsabilità, al fine di contenere il rischio di divulgazione non autorizzata dei dati.

3. Multi-tenancy e isolamento:

Webcircles gestisce l'infrastruttura cloud in modalità multi-tenant, garantendo l'isolamento dei dati e delle applicazioni di ciascun cliente. A tal fine, Webcircles utilizza tecnologie di virtualizzazione e containerizzazione avanzate, nonché configurazioni di rete specifiche per segregare i dati dei diversi clienti.

4. Accesso agli asset del cliente:

L'accesso agli asset del cliente da parte del personale di Webcircles è consentito solo su base di necessità, previa autenticazione rigorosa e registrazione dettagliata. Tutti gli accessi sono soggetti a monitoraggio e audit periodici.

5. Controllo degli accessi:

Webcircles applica rigorosi controlli di accesso, basati su autenticazione forte e ruoli granulari, per limitare l'accesso alle informazioni ai soli utenti autorizzati. L'autenticazione forte prevede l'utilizzo di più fattori di autenticazione, come password, token e biometria. I ruoli granulari definiscono le specifiche azioni che ciascun utente può eseguire all'interno del servizio cloud.

6. Comunicazioni ai clienti:

Webcircles informa i clienti in modo tempestivo e trasparente di eventuali cambiamenti ai servizi cloud o alla PSC. Le comunicazioni ai clienti possono avvenire tramite email, newsletter, avvisi all'interno del servizio cloud o altri canali ritenuti opportuni.

7. Sicurezza nella virtualizzazione:

Webcircles implementa tecnologie di virtualizzazione affidabili e sicure per l'erogazione dei servizi cloud. Le tecnologie di virtualizzazione utilizzate da Webcircles sono sottoposte a rigorosi test di sicurezza da parte dei fornitori dei servizi IaaS e sono conformi agli standard di settore.

8. Protezione e accesso ai dati dei clienti:

I dati dei clienti sono protetti da crittografia sia in transito che a riposo. L'accesso ai dati è controllato e limitato ai soli scopi necessari. Webcircles utilizza tecnologie di crittografia avanzate e algoritmi di hashing per proteggere la riservatezza dei dati dei clienti. L'accesso ai dati è consentito solo agli utenti autorizzati che necessitano di conoscerli per svolgere le proprie mansioni.

9. Gestione del ciclo di vita degli account dei clienti:

Webcircles gestisce il ciclo di vita degli account dei clienti in modo sicuro, dalla creazione alla dismissione. Le attività di gestione del ciclo di vita includono:

• Creazione dell'account: verifica dell'identità del cliente e implementazione dei controlli di sicurezza appropriati.
• Attivazione del servizio: provisioning delle risorse e configurazione del servizio in base alle esigenze del cliente.
• Gestione del servizio: supporto tecnico, manutenzione e aggiornamenti del servizio.
• Dismissione del servizio: cancellazione dei dati del cliente e rimozione delle risorse assegnate.

10. Comunicazione dei data breach:

Webcircles si impegna a comunicare tempestivamente ai clienti qualsiasi data breach che coinvolga i loro dati. La comunicazione del data breach include:

• Tempestività: la comunicazione deve avvenire il prima possibile dopo la scoperta del data breach.
• Trasparenza: la comunicazione deve fornire informazioni chiare e complete sul data breach, inclusa la natura dell'incidente, i dati coinvolti e le misure di contenimento adottate.
• Cooperazione: Webcircles collabora con i clienti per mitigare gli effetti del data breach e per fornire loro il supporto necessario.

Webcircles come CSC

1. Livelli di rischio accettabili:

Webcircles valuta i livelli di rischio per la sicurezza delle informazioni associati ai servizi cloud di terze parti e li confronta con i propri livelli di rischio accettabili. Tale valutazione viene effettuata mediante un'analisi approfondita dei controlli di sicurezza del CSP, delle sue politiche e procedure e della sua conformità agli standard di settore.

2. Accesso ai dati da parte del CSP:

Webcircles si assicura che il CSP abbia accesso ai dati del cliente solo per le attività strettamente necessarie e che siano in atto adeguate misure di sicurezza per proteggere tali dati. A tal fine, Webcircles stipula un contratto con il CSP che specifica i termini e le condizioni per l'accesso ai dati del cliente. Il contratto include clausole relative alla riservatezza, alla sicurezza e alla protezione dei dati personali.

3. Manutenzione nell'ambiente cloud:

Webcircles richiede al CSP di comunicare in anticipo le attività di manutenzione e di garantirne l'impatto minimo sui servizi. Il CSP deve fornire a Webcircles informazioni dettagliate sulle attività di manutenzione, comprese le tempistiche, la durata e l'eventuale impatto sui servizi.

4. Multi-tenancy e virtualizzazione:

Webcircles si assicura che il CSP adotti adeguate misure di sicurezza per l'isolamento dei dati e delle applicazioni in un ambiente multi-tenant e virtualizzato. A tal fine, Webcircles richiede al CSP di fornire informazioni dettagliate sulle sue tecnologie di virtualizzazione e sulle sue misure di sicurezza per l'isolamento dei dati.

5. Tipologie di utenti:

Webcircles definisce i ruoli e le responsabilità degli utenti del servizio cloud in base al contesto operativo. I ruoli degli utenti possono includere, ad esempio, amministratori, sviluppatori, utenti finali e altri. Le responsabilità di ciascun ruolo sono definite in modo chiaro e documentato.

6. Accessi privilegiati:

Webcircles limita l'accesso privilegiato al servizio cloud e richiede controlli di sicurezza rigorosi per tali accessi. L'accesso privilegiato è concesso solo agli utenti che necessitano di tali diritti per svolgere le proprie mansioni. I controlli di sicurezza per gli accessi privilegiati includono l'autenticazione forte, la registrazione dettagliata e il monitoraggio periodico.

7. Ubicazione dei dati:

Webcircles si assicura che i dati del cliente siano archiviati in conformità alle normative applicabili e alle policy aziendali. In particolare, Webcircles verifica che il CSP sia in regola con il GDPR e con altre normative sulla protezione dei dati personali.

Data ultima revisione: 24/03/2024

Certificati

IT_Certificato_787-IT WEBCIRCLES 27001 E LINEE GUIDA.pdf

IT_Certificato_789-IT WEBCIRCLES 9001.pdf

AG_Certificato_2776 WEBCIRCLES 14001.pdf