Contatti

Privacy

Certificazioni

Curriculum

 

Numera

Scarica la brochure dell'azienda.

Download
  • a7
  • a6

1. POLITICA PER LA SICUREZZA DELLE INFORMAZIONI

1.1 PREMESSA 

Le informazioni costituiscono beni aziendali che, in modo analogo agli altri beni, hanno un valore per l’organizzazione e di conseguenza devono essere protetti in modo adeguato. La sicurezza delle informazioni ha il compito di proteggere le informazioni da un ampio numero di minacce in modo da assicurare la continuità del business aziendale, minimizzare i danni e massimizzare il ritorno degli investimenti e delle opportunità commerciali.

Per la tipologia di attività che Numera svolge essa rappresenta uno degli elementi di qualificazione sul proprio mercato, in particolare lo rappresenta per quanto riguarda il rispetto dello standard di protezione PCI / DSS.

Secondo la definizione dello standard ISO 27001 , la sicurezza delle informazioni è caratterizzata dalla salvaguardia della riservatezza, integrità e disponibilità delle informazioni gestite. 

Proteggere la sicurezza di un sistema significa: 

• Ridurre ad un valore accettabile la probabilità che vengano violati i parametri di sicurezza informatica; 

• Individuare tempestivamente quando ed in quale parte del sistema questo accade; 

• Limitare i danni e ripristinare i requisiti violati nel minor tempo possibile. 

1.2 PRINCIPI

I principi che Numera sceglie di seguire ed applicare nel perseguire la sicurezza delle informazioni sono:

a) Le misure di sicurezza devono essere conformi ai requisiti di business aziendali, nonché alle normative vigenti nonché agli obblighi contrattuali;

b) La sicurezza è un processo che riguarda tutti, la consapevolezza individuale unita ad un utilizzo responsabile delle risorse svolge un ruolo fondamentale nel conseguimento degli obiettivi di sicurezza prefissati;

c) Le misure di sicurezza individuate devono essere bilanciate nel rapporto tra i relativi costi ed i rischi;

d) Le misure di sicurezza devono essere semplici da comprendere, al fine di favorirne l'applicazione;

e) È necessario che nelle attività di sviluppo la sicurezza sia pianificata e integrata dalle fasi iniziali;

f) Le autorizzazioni all’accesso alle informazioni devono essere basate sul principio del "need-to-know" correlato al business aziendale;

g) La sicurezza deve essere continuamente monitorata.

1.3 OBIETTIVI 

Numera progetta ed eroga prevalentemente servizi di pagamento evoluti rivolti alla clientela delle Banche e di Gestione Documentale Elettronica. La Sicurezza delle Informazioni, intesa come Riservatezza, Integrità e Disponibilità (Continuità del Servizio) è un fattore critico di successo su cui l’azienda pone la massima attenzione, sia per la caratteristiche stesse dei servizi, caratterizzati da un alto contenuto di rischio, che per il posizionamento nel mercato scelto dall’organizzazione. 

Con lo scopo di contenere tali rischi a livelli accettabili e di risultare competitivi nei costi, gli obiettivi aziendali per la sicurezza delle informazioni sono:

• Raggiungere e mantenere la conformità con le normative di legge e gli standard e regolamenti di settore;

• Sviluppare un sistema di sicurezza aziendale allineato a best-practice e standard internazionali, volto ad adottare in particolare lo standard ISO-27001;

• Verificare il continuo allineamento strategico degli obiettivi di sicurezza con il business aziendale;

• Diffondere in azienda una cultura della sicurezza delle informazioni, considerata necessaria per la tipologia di servizi offerti dall’azienda e dei dati trattati;

• Consolidare l’immagine aziendale relativa alla sicurezza delle informazioni;

• Mantenere una aggiornata e puntuale descrizione dell’ambiente di gestione delle informazioni afferenti alle carte di credito (Cardholder Data Environment – CDE);

• Sviluppare e gestire una rete sicura;

• Proteggere i dati dei titolari di carta;

• Gestire le vulnerabilità;

• Implementare e applicare rigide misure di controllo dell'accesso;

• Monitorare e testare regolarmente le reti di trasmissione.

 

1.4 RIFERIMENTI AGLI ASPETTI COGENTI E AI REGOLAMENTI

L’organizzazione ha recepito e adottato le policy per l’identificazione ed applicazione delle normative esterne delle conformità a normative esterne (leggi e regolamenti, cogenti e volontari) previste dal servizio Compliance della capogruppo. Il processo è descritto nel documento.

Eventuali vincoli contrattuali relativi alla sicurezza sono gestiti all’interno dei processi che regolano l’erogazione dei servizi.

1.5 CRITERI PER L’ACCETTAZIONE DEL RISCHIO E LIVELLI DI RISCHIO

L’organizzazione ha adottato una metodologia di analisi e gestione del rischio della sicurezza delle informazioni ed ha definito i criteri per la valutazione e l’accettazione del rischio. Secondo questa metodologia ogni anno viene svolta una attività di Risk Assessment sia per quanto riguarda la compliance al DLgs 196/2003 sia per valutare i rischi del Cardholder Data Environment (CDE).

1.6 REVISIONE DELLE POLITICHE DI SICUREZZA

La Direzione provvede a rivedere o confermare le politiche di sicurezza dell’Azienda almeno una volta all’anno o nel caso di variazioni significative del Business o dell’infrastruttura, sulla base delle indicazioni che possono arrivare dal RAT.

1.7 DIFFUSIONE DELLA CULTURA E DELLE POLITICHE DI SICUREZZA

La Direzione si impegna per diffondere e mantenere viva la consapevolezza, la cultura e le politiche di sicurezza aziendale a tutto il personale interno ed esterno attraverso diversi canali di comunicazione interna (newsletter, giornate di formazione, distribuzione periodica dei regolamenti).

La Direzione emette e distribuisce, a tutto il personale, il Regolamento Informatico che determina le regole ed i comportamenti che vanno seguiti in Numera e la politica per adempiere a leggi e regolamenti.

La comunicazione delle politiche di sicurezza aziendali viene estesa ai propri partner e fornitori e clienti all’atto della stipula o rinnovo periodico del contratto.

1.8 IMPEGNO DELLA DIREZIONE

La Direzione Numera condivide i Principi e gli Obiettivi per la Sicurezza delle Informazioni sopra descritti e supporta pienamente un programma per la sua attuazione e mantenimento. 

La Direzione approva ed emette il presente documento di Politica di Sicurezza Aziendale, che costituisce il documento programmatico per la Sicurezza delle Informazioni, da cui ricavare le specifiche Policy e Linee Guida aziendali.