Politiche di sicurezza per conformità GDPR

Il documento ha come scopo di descrivere i principi di sicurezza ed obblighi di riservatezza delle informazioni e dei dati personali definiti dal Titolare del trattamento, o del Responsabile che BRG Communication S.r.l garantisce ed assicura a tutti i soggetti coinvolti nell’ambito del trattamento dei dati, al fine di sviluppare sistema di gestione sicuro e dei processi per la sicurezza dei dati personali nel rispetto dei diritti e le libertà fondamentali delle persone, in ottemperanza al Regolamento Europeo 2016/679, meglio noto come GDPR.


Organizzazione della sicurezza delle informazioni


Organizzazione interna
I dipendenti, collaboratori e i soci si ispirano ad un principio generale di diligenza e correttezza nell'utilizzo delle risorse informatiche, telematiche e del patrimonio informativo di BRG COMMUNICATION S.R.L.
Ogni utilizzo del sistema informativo diverso da finalità strettamente professionali e lavorative è espressamente vietato.


Sicurezza delle risorse umane
BRG COMMUNICATION S.R.L si impegna a formare gli incaricati in merito ai rischi, alle procedure operative, alla prevenzione dei danni e, più in generale, alle problematiche relative alla sicurezza in materia di trattamento dei dati.

Il regolamento deve essere portato a conoscenza e distribuito a tutti i collaboratori e dipendenti che devono consegnare al responsabile del trattamento la ricevuta di presa visione. Utilizzo dell'elaboratore e della rete interna.
L'accesso all'elaboratore della propria postazione di lavoro, sia esso collegato in rete o "stand alone", è protetto da un sistema di autenticazione.

Le responsabilità della sicurezza delle informazioni sono prese in considerazione durante l’assunzione di dipendenti e collaboratori.

Vengono gestiti gli aspetti relativi alla sicurezza al momento dell’uscita di una persona dall'organizzazione, o nelle ipotesi di modifiche significative al ruolo ricoperto, come la restituzione delle informazioni e delle apparecchiature aziendali in possesso del soggetto uscente, l’aggiornamento dei permessi di accesso, nonché il rispetto dei perduranti obblighi relativi alle informazioni riservate ed ai diritti di proprietà intellettuale, ai termini contrattuali, ecc. ed anche ai doveri etici.


Gestione dei media
Le informazioni conservate sui media sono gestite, controllate, modificate ed utilizzate in modo tale da non comprometterne il loro contenuto.

Requisiti aziendali per il controllo degli accessi
I requisiti previsti dall'organizzazione per controllare l’accesso alle informazioni relative al patrimonio aziendale sono documentate in una Policy per il controllo degli accessi e delle relative procedure. L’accesso alla rete e le connessioni prevedono limitazioni.

L’allocazione dei diritti d’accesso da parte degli utenti sono controllate dalla registrazione iniziale dell’utente fino alla rimozione del profilo quando esso non sia più necessario, incluse speciali restrizioni per i diritti di accesso privilegiato e la gestione delle password (definita come “informazione di autenticazione segreta”); peraltro, si dovrebbe procedere regolarmente alla revisione e all'aggiornamento dei diritti di accesso.

Responsabilità degli utenti
Gli utenti sono essere consapevoli delle loro responsabilità attraverso il mantenimento di un effettivo controllo degli accessi, attraverso password complesse che puntualmente vengono modificate.

Crittografia
I dati presenti nella rete locale sono anonimizzati e non reali, le basi dati reali dei clienti risiedono solo su Cloud Microsoft Azure con opportune policy di cifratura.


Backup
Sono previste policy di backup direttamente in ambiente cloud https://azure.microsoft.com.


Autenticazione e monitoraggio
Le attività, e gli eventi relativi alla sicurezza delle informazioni da parte degli utenti del sistema e degli amministratori/operatori avvengono previo inserimento delle credenziali di autenticazione e adeguatamente protette attraverso le policy Microsoft Office 365 o Google Suite Aziendali.

Controllo di software operativi
L’installazione di software sui sistemi operativi è controllata da un responsabile interno

Sicurezza delle informazioni nei rapporti coi fornitori
Sono previste policy, procedure, sistemi di consapevolezza volti a proteggere le informazioni dell’organizzazione che siano accessibili ai soggetti esterni operanti nell’area IT e ad altri fornitori esterni per l’intera catena di fornitura, concordata nei contratti o negli accordi.

L’erogazione dei servizi resi dal fornitore è  monitorata e rivista/verificata in relazione al contratto/accordo. Le modifiche al servizio sono essere controllate.


Aspetti della sicurezza delle informazioni relativi alla continuità aziendale
La continuità della sicurezza delle informazioni è garantita dalle policy contrattuali con il fornitore cloud https://docs.microsoft.com/it-it/azure/security/ al quale affidiamo tutte le informazioni di cui siamo responsabili del trattamento.

Conformità ai requisiti legali e contrattuali
L’organizzazione deve identificare e documentare i suoi obblighi alle autorità esterne e ad altre terze parti in relazione alla sicurezza delle informazioni, compresa la proprietà intellettuale, la documentazione contabile, le informazioni relative alla privacy/comunque idonee a consentire l’identificazione personale e la crittografia.


Revisione della sicurezza delle informazioni
I progetti dell’organizzazione relativamente alla sicurezza delle informazioni dovrebbero essere revisionati (verificati tramite audit) con modalità tali da garantire l’indipendenza della valutazione e rendicontate alla Direzione. I manager dovrebbero inoltre revisionare periodicamente la conformità dei dipendenti e dei sistemi alle policy di sicurezza, alle procedure, ecc., e promuovere azioni correttive ove necessario.


Certificazioni Microsoft Azure

Microsoft è leader di settore nella definizione di requisiti chiari per sicurezza e privacy e per il rispetto coerente di tali requisiti. Azure soddisfa un'ampia gamma di standard di conformità internazionali e specifici del settore, come GDPR (General Data Protection Regulation), ISO 27001, HIPAA, FedRAMP, SOC 1 e SOC 2, nonché standard specifici di singoli paesi come l'australiano IRAP, G-Cloud del Regno Unito e MTCS di Singapore. Controlli rigorosi di terzi, come quelli eseguiti dal British Standards Institute, verificano la conformità di Azure con le rigide normative di sicurezza definite da questi standard.



Per maggiori informazioni relative alla sicurezza dell’ambiente cloud

https://docs.microsoft.com/it-it/azure/security