EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B

C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a

R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3

1

POLICY DI SICUREZZA INFORMATICA

Approvato dal C.d.A. in data 9 Maggio 2018

EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B

C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a

R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3

2

Sommario Premessa ................................................................................................................ 3

Art 1 - Information Security .................................................................................. 4

Art 2 - Scopo ed ambito della sicurezza ................................................................ 4

Art 3 - Sistema per la gestione della sicurezza informatica .................................. 5

Art 4 - Misure di prevenzione ................................................................................. 7

Art 5 - Modalità di accesso ed utilizzo ................................................................... 8

Art 6 – Protezione dei dati e delle informazioni .................................................... 9

Art 7 - Sicurezza e fornitori esterni di servizi ...................................................... 10

Art 8 - Conformità (compliance) .......................................................................... 11

Art 9 - Tracciamento e monitoraggio ................................................................... 11

Art 10 - Comunicazione del Regolamento di Information Security .................... 12

EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B

C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a

R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3

3

Premessa

La protezione del patrimonio di dati e informazioni rappresenta un'esigenza di grande

rilevanza a livello operativo; la Policy di Sicurezza Informatica definisce i principi su cui

si basa la sicurezza logica e costituisce la guida per ottenerne la riservatezza, l'integrità e la

disponibilità.

La Policy:

si ispira ai requisiti di sicurezza indicati negli standard internazionali di riferimento, ad

oggi ISO/IEC_27001;

è conforme ai principi ed alle linee guida in materia di sicurezza informatica definiti nella

Circolare Banca d'Italia n. 285 del 17 dicembre 2013 e nei successivi aggiornamenti (di

seguito Circolare 285), nonché nelle ulteriori disposizioni impartite dagli organismi di

vigilanza e controllo.

Si definisce:

dato - una conoscenza elementare; può essere conservato e manipolato da un

computer ("elaborato");

informazione - un insieme di dati "elaborati", che hanno un senso compiuto per gli

utilizzatori;

archivio - un insieme di dati registrati su un supporto di memorizzazione, generalmente

fisico ("file" in inglese);

procedura applicativa - l'insieme di strumenti (programmi software, archivi, modalità

operative, etc.) che permettono di gestire in modo informatico i dati e le informazioni di

un determinato settore o area aziendale;

utente responsabile - la figura identificata per ciascun sistema o applicazione e che

assume responsabilità specifiche in vari ambiti dei processi IT (a titolo esemplificativo:

gestione dei cambiamenti delle applicazioni, valutazione del rischio informatico, gestione

dei dati).

EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B

C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a

R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3

4

Art 1 - Information Security

Le informazioni e le risorse informatiche costituiscono un patrimonio aziendale rilevante la

cui sicurezza deve rappresentare un'attenzione costante per il personale a tutti i livelli.

Art 2 - Scopo ed ambito della sicurezza

La Policy di Sicurezza Informatica consiste in un insieme di principi di prevenzione e

protezione, di carattere tecnico, operativo e organizzativo, atto a ridurre a livelli accettabili i

rischi di eventi che possono compromettere:

- riservatezza,

- integrità,

- disponibilità,

delle informazioni, delle risorse informatiche a supporto dei processi e dei servizi di

business aziendali (c.d. "incidenti informatici").

La Policy indirizza pertanto il raggiungimento dei seguenti obiettivi di sicurezza:

- proteggere i dati e le informazioni contro i rischi di:

indebita divulgazione (riservatezza),

modifica non autorizzata, intenzionale o accidentale (integrità),

impedimenti all'accesso quando necessario (disponibilità);

secondo il principio della proporzionalità, in base alle risultanze dell'analisi dei rischi

connessi all'utilizzo delle risorse informatiche, e in linea con la propensione al rischio

informatico definito;

- garantire, ove necessario, la verificabilità e l'accountability degli eventi legati al

trattamento delle informazioni;

- contribuire alla conformità dei sistemi informativi alle norme e regolamenti interni ed

EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B

C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a

R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3

5

esterni applicabili.

L'ambito di applicazione della Policy riguarda:

le risorse: le informazioni, il software, l'hardware e gli ambienti fisici (limitatamente ai

requisiti di protezione) in cui le risorse sono ubicate,

i processi informatici: l'intero ciclo di produzione (esercizio dei sistemi) e l'intero ciclo

di sviluppo e di acquisizione del software e dell'hardware,

gli utenti dei sistemi informativi: i servizi centralizzati di Direzione, il personale, le

reti commerciali, i clienti, i fornitori e gli interlocutori esterni che interagiscono con i

sistemi informatici (limitatamente alla parte di interazione).

Art 3 - Sistema per la gestione della sicurezza informatica

Il sistema per la gestione della sicurezza informatica comprende l'insieme:

delle norme,

dei processi e delle procedure,

delle tecnologie,

atte a prevenire, contrastare ed eventualmente reagire alle minacce portate agli asset

aziendali (sia tangibili come i beni, sia intangibili come le informazioni) lungo il loro ciclo di

vita, e mantenere il livello di sicurezza in linea con la propensione al rischio informatico

definito.

Il sistema per la gestione della sicurezza informatica è strutturato in:

EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B

C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a

R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3

6

Policy di Sicurezza Informatica: fornisce i principi cui attenersi per il governo della

Information Security. E' costituita dal presente documento;

organizzazione dei processi: è costituita principalmente da:

o governo ed amministrazione della sicurezza logica,

o governo ed amministrazione della sicurezza fisica,

o presidio dei malfunzionamenti e della business continuity.

Sono inoltre adottati modelli organizzativi per la gestione ed il controllo delle

normative inerenti alla sicurezza di informazioni e risorse informatiche;

analisi e valutazione dei rischi: sono adottati metodologia e strumenti per l'analisi

della sicurezza dei sistemi informativi rispetto ai rischi potenziali insiti nel trattamento

delle informazioni (c.d. "risk assessment") e per ricercare eventuali vulnerabilità della

sicurezza dei sistemi informatici utilizzati (c.d. "vulnerability assessment");

misure implementative della sicurezza: sono costituite principalmente da:

o Sicurezza Fisica: insieme di congegni, apparecchiature e procedure operative per

la sicurezza delle risorse informatiche e dei locali ove queste sono ubicate;

o Sicurezza Logica: insieme delle procedure, sistemi software, tecnologie ed

apparati per garantire riservatezza, integrità e disponibilità dei dati;

o Business Continuity: insieme delle soluzioni organizzative e tecnologiche per la

continuità del business aziendale;

misurazioni e controlli di sicurezza: sono adottati con l'obiettivo di verificare:

o la coerenza tra le misure implementative della sicurezza con i regolamenti interni

e le procedure operative;

o l'efficacia delle misure implementative della sicurezza;

EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B

C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a

R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3

7

attività di comunicazione, formazione e sensibilizzazione in materia di

sicurezza: sono svolte secondo le linee di indirizzo definite nella Policy in relazione alle

diverse classi di utenti interessati, al fine di sviluppare e mantenere la cultura della

sicurezza a tutti i livelli.

Art 4 - Misure di prevenzione

L'information security attribuisce importanza alla prevenzione degli incidenti informatici

attraverso:

- l'emanazione di manuali operativi contenenti principi e regole comportamentali

finalizzati a ridurre il rischio che l'utilizzo di dati, informazioni, strumenti, sistemi e lo

sviluppo delle applicazioni informatiche non siano conformi con gli obiettivi di sicurezza

definiti; lo sviluppo sicuro delle applicazioni aziendali è inoltre indirizzato mediante

metodologie specifiche. A tali principi, regole e metodologie è soggetto tutto il personale

interno e quello esterno all'azienda che utilizza le tecnologie informatiche;

- la sensibilizzazione e la formazione del personale interno su tematiche di information

security e su policy e normative di interesse specifico,

- l'adozione delle migliori soluzioni per ridurre al minimo livello accettato i rischi di

incidenti informatici e l'uso fraudolento o non autorizzato dei sistemi,

- la revisione periodica delle modalità di implementazione del sistema di sicurezza (attività

così detta di "assessment"),

- la valutazione degli aspetti relativi alla sicurezza in tutti i processi di management

Technology (System Management, Application, Change, Procurement, ecc.),

- l’analisi periodica del livello di sicurezza dei sistemi informativi rispetto ai rischi potenziali

insiti nel trattamento delle informazioni (attività così detta di ”risk assessment").

EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B

C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a

R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3

8

Art 5 - Modalità di accesso ed utilizzo

L'accesso logico ai sistemi informativi, ed alle risorse che lo compongono, è consentito

previa procedura di identificazione dell'utente, che ne verifica i requisiti di accesso, ed

alla successiva procedura di autenticazione, che ne conferma l'identità.

Il livello minimo di identificazione e autenticazione è costituito dalla combinazione di un

codice personale univoco (USERid) assegnato dall’organismo aziendale competente e da

una password, scelta dall’utente stesso nel rispetto delle norme stabilite.

La modalità di autenticazione può essere superiore al livello minimo descritto, qualora le

criticità delle risorse a cui accedere, o delle funzioni da utilizzare, lo richiedano.

L’utilizzo delle risorse dei sistemi informativi è inoltre sottoposto ad una procedura di

autorizzazione dei permessi di accesso e delle relative abilitazioni di ciascun utente, a sua

volta collegata ad un profilo, ovvero a caratteristiche di tipo:

aziendale (utente interno o esterno, utente di Direzione, etc.),

professionale (ruolo, responsabilità, etc.),

seguendo la logica del “minimo privilegio” (minimo livello di autorizzazione necessario

per svolgere le attività richieste).

Le abilitazioni assegnate a ciascun utente sono sottoposte periodicamente a revisione.

Modalità di utilizzo delle risorse dei sistemi informativi:

ciascun utente dei sistemi è responsabile dell’utilizzo delle risorse informatiche e delle

informazioni, che deve avvenire in coerenza con gli scopi aziendali e nel rispetto della

normativa in vigore, che è tenuto a conoscere per tutti gli aspetti di suo interesse,

l’utente non deve apportare alcuna modifica alle risorse informatiche che riceve in

dotazione,

EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B

C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a

R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3

9

l’accesso ad internet, a servizi di internet ed alla casella postale aziendale deve essere

limitato esclusivamente a finalità inerenti l’attività lavorativa, nel rispetto della

riservatezza e dell’integrità dei dati e dei poteri di delega.

Art 6 – Protezione dei dati e delle informazioni

Il fornitore è responsabile della scelta e dell’adozione delle opportune misure di protezione

o mitigazione, determinate attraverso l’attività di analisi del rischio.

I dati e le informazioni generati, utilizzati o circolanti in azienda durante l’attività corrente,

sono definiti riservati, non devono essere divulgati e devono essere adeguatamente

protetti, anche nel tempo, in relazione alla fonte, al supporto di memorizzazione ed alla

tecnologia disponibile.

L’accesso al dato e all’informazione è consentito solo al personale autorizzato.

Ciascun utente deve assicurare la riservatezza delle informazioni dovunque esse risiedano,

adottando adeguate misure di sicurezza.

I dati necessari allo sviluppo e test di Sistemi Informatici sono resi compatibili con la

normativa vigente; in particolare non devono essere riconducibili alle informazioni

personali.

Tutte le basi dati afferenti i sistemi di produzione devono essere soggette a specifici

processi di salvataggio e ripristino con cadenza e periodo di conservazione adeguati alla

criticità di dati memorizzati, in coerenza di necessità individuate dall’utente responsabile e

dai piani di Business Continuity e Disaster Recovery.

EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B

C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a

R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3

10

Art 7 - Sicurezza e fornitori esterni di servizi

I servizi ed i prodotti dei fornitori devono rispettare le architetture e le normative di

sicurezza definite; gli uffici che acquisiscono tali servizi e prodotti hanno la responsabilità di

verificarne la rispondenza.

Il personale dei fornitori deve sottostare alle normative di sicurezza in vigore; il fornitore è

responsabile dell'effettiva applicazione delle norme di sicurezza informatica da parte del

personale che a lui riferisce.

Il personale esterno che accede agli stabili aziendali deve essere preventivamente

identificato e autorizzato.

In caso di esternalizzazione di funzioni dei fornitori, devono essere osservati i principi

generali ed i requisiti minimi indicati nella presente Policy.

I contratti con sub-fornitori, oltre a rispettare quanto previsto dal contratto di servizio e

dalle normative vigenti, devono prevedere almeno:

la definizione delle responsabilità per quanto attiene alla sicurezza,

la sottoscrizione di una clausola di Non Disclosure Agreement (NDA), con cui i fornitori

si impegnano a gestire in modo riservato e con piena responsabilità le informazioni

apprese,

i diritti di revisione dei termini contrattuali, di recesso o di risarcimento, per danno

derivante da operato non conforme o non diligente alle procedure di sicurezza,

la definizione delle responsabilità assunte ai sensi del Decreto Legislativo n. 196 del 30

giugno 2003 relativo al "Codice in materia di protezione dei dati personali" e del

Regolamento Ue 2016/679 (c.d. del GDPR).

EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B

C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a

R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3

11

Art 8 - Conformità (compliance)

Le politiche e le normative di sicurezza sono mantenute conformi con quanto stabilito dalle

leggi e dalle disposizioni, inerenti alla sicurezza di informazioni e risorse informatiche, in

vigore in Italia, in particolare:

il Decreto Legislativo n. 196 del 30 giugno 2003 relativo al "Codice in materia di

protezione dei dati personali",

il Decreto Legislativo n. 231 del 8 giugno 2001 relativo alla "Disciplina della

responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni

anche prive di personalità giuridica",

la legge sui diritti di autore e la proprietà del software (Legge n. 633/1941 e successive

modifiche ed integrazioni),

la legge n. 300/1970 ("Statuto dei Lavoratori"),

gli accordi nazionali ed aziendali tempo per tempo vigenti,

le disposizioni impartite dagli organismi di vigilanza e controllo (Banca d'Italia, Consob,

etc.),

Regolamento Ue 2016/679 (c.d. GDPR), relativo alla protezione delle persone fisiche

con riguardo al trattamento e alla libera circolazione dei dati personali.

Art 9 - Tracciamento e monitoraggio

Per assicurare il controllo degli eventi connessi all'utilizzo dei sistemi informativi e

garantirne il livello di sicurezza, vengono raccolte e conservate tracce e messaggi di

sistema ed altre evidenze relative all'utilizzo delle risorse informatiche. Il livello di

tracciamento (ad es. tipo e frequenza degli eventi da registrare, identificativi delle

operazioni svolte e dell'utente che le ha effettuate) e le relative politiche di conservazione

dei dati raccolti, devono essere adeguati alla criticità del dato, alle informazioni trattate ed

alle tecnologie disponibili.

EsseQuamVideri S.r.l. 0 0 1 8 5 R o m a , v i a S . M a r t i n o d e l l a B a t t a g l i a n ° 3 1 / B

C F , P I 0 6 5 1 8 1 8 1 0 0 0 – R . E . A . n . 9 7 3 3 4 9 , C C I A A d i R o m a

R i f e r i m e n t o : r i n o . b e l l o n i @ e q v . i t - m o b . 3 3 8 2 2 9 2 3 3 3

12

I dati raccolti vengono sottoposti ad una sistematica attività di monitoraggio per analizzare

e valutare le vulnerabilità di sicurezza ed eventuali situazioni anomale, al fine di mettere a

punto le opportune contromisure ed i conseguenti piani di intervento.

Tutti gli eventi riconducibili ad un incidente di sicurezza informatica vengono registrati,

gestiti e corretti secondo i processi stabiliti nella specifica normativa interna di gestione

degli incidenti IT.

Art 10 - Comunicazione del Regolamento di Information Security

La presente Policy è comunicata a tutto il personale e alle terze parti coinvolte nel

trattamento e nella gestione di informazioni e componenti dei sistemi informativi.