La sicurezza e la salvaguardia del patrimonio informativo costituiscono condizione imprescindibile per il raggiungimento degli obiettivi di business di SolidData S.r.l. I requisiti per la sicurezza delle informazioni sono coerenti con gli obiettivi aziendali e il Sistema di Gestione della Sicurezza delle Informazioni (SGSI) rappresenta lo strumento che consente la condivisione delle informazioni, lo svolgimento di operazioni corrette e la riduzione dei rischi connessi alle informazioni a livelli accettabili.
In considerazione
1. Riservatezza: proprietà per cui l’informazione non è resa disponibile o rivelata a individui, entità o processi non autorizzati;
2.Integrità: proprietà relativa alla salvaguardia dell’accuratezza e della completezza delle informazioni e dei beni ad esse collegati;
3.Disponibilità: proprietà di essere accessibile e utilizzabile su richiesta di un’entità autorizzata;
delle informazioni attraverso l’adozione di un formale “Sistema di Gestione della Sicurezza delle Informazioni” (SGSI) in linea con i requisiti attesi dagli stakeholder di SolidData S.r.l. e nel rispetto delle normative vigenti.
In particolare, il Sistema di Gestione della Sicurezza delle Informazioni è applicato a:
«Erogazione di servizi informatici in cloud (IaaS, Paas, Saas) all’interno del proprio datacenter ed Hybrid Cloud System rivolto a ICT providers e software house»
Gli obiettivi generali del SGSI perseguiti con l’impegno della direzione, sono:
In particolare, per l’implementazione ed erogazione dei servizi in cloud, ai sensi della ISO 27017, la direzione si impegna ad adottare requisiti di sicurezza che prendano in considerazione i rischi derivanti dal personale interno, la gestione sicura del multi-tenancy (condivisione dell’infrastruttura), l’accesso agli asset in cloud dei clienti da parte del personale del service provider, il controllo degli accessi (in particolare degli amministratori), le comunicazioni ai clienti in occasione di cambiamenti dell’infrastruttura, la sicurezza dei sistemi di virtualizzazione, la protezione e l’accesso dei dati dei clienti in ambiente cloud, la gestione del ciclo di vita degli account cloud dei clienti, la comunicazione dei data breach e linee guida per la condivisione delle informazioni a supporto delle attività di investigazione e forensi nonché la costante sicurezza sull’ubicazione fisica dei dati nei server in cloud.
Inoltre, l’azienda è costantemente impegnata nella protezione dei dati personali degli interessati che gestisce, con particolare riferimento a quelli dei propri clienti. Rispetto a questi ultimi l’azienda, ai sensi della ISO 27018 e in accordo con la legislazione privacy vigente (GDPR), agisce come “Data Processor” ovvero come Responsabile del Trattamento, dichiarando questo status e i relativi obblighi che ne discendono nei contratti con i clienti. Tali obblighi sono riportati anche nelle nomine a responsabile dei fornitori utilizzati per svolgere il trattamento.
Tutto il personale, nell’ambito delle relative responsabilità, è coinvolto nella segnalazione al Responsabile del Sistema di Gestione della Sicurezza delle Informazioni (RSGSI) di eventuali eventi negativi o incidenti riscontrati e di qualsiasi debolezza identificata nel SGSI.
Tutta l’organizzazione, a partire dai vertici, è impegnata a supportare l’implementazione, la messa in opera e il riesame periodico per il miglioramento continuo del SGSI.
Il vertice aziendale si impegna a perseguire, con i mezzi e le risorse adeguate, gli obiettivi di questa politica.
Revisione e data di aggiornamento: V.1.0 del 25-06-2024.