Oggetto del sistema di gestione per la sicurezza delle informazioni:
Sviluppo e manutenzione di soluzioni SAAS. Erogazione di software come servizi e relativo servizio di assistenza.
La presente politica descrive gli elementi del sistema di gestione della sicurezza delleinformazioni in conformità alla Norma UNI CEI EN ISO/IEC 27001:2017.
KARON S.r.l. è una società che eroga servizi legati all’Information technology ed inparticolare mette a disposizione dei propri clienti Applicativi software come servizi, pertanto in modalità SAAS.
Data la natura delle proprie attività e vista la Normativa vigente per quanto concerne l’erogazione di tali Servizi, in particolare per quanto riguarda le Pubbliche Amministrazioni, KARON S.r.l. considera la sicurezza delle informazioni un fattore irrinunciabile per la protezione del patrimonio informativo dei propri clienti e un fattore di valenza strategica facilmente trasformabile in vantaggio competitivo. Inoltre, pone particolare attenzione ai temi riguardanti la sicurezza durante l’erogazione del servizio, che deve essere ritenuto un bene primario dell’azienda. Il SGSI si applica a tutte le attività di analisi, progettazione, messa in esercizio ed esercizio stesso dei servizi erogati e dei dati ad esso collegato, nonché ai servizi di assistenza al cliente. In particolare, alla tutela dell’accesso ai sistemi sia fisici che logici
Consapevole del fatto che l’erogazione dei servizi per soggetti esterni può comportare l’affidamento di dati e informazioni critiche l’unità organizzativa che si occupa della progettazione ed erogazione di tali servizi opera secondo normative di sicurezza internazionalmente riconosciute
Per questi motivi si intendono adottare le misure, sia tecniche che organizzative, necessarie a garantire al meglio l’integrità, la riservatezza e la disponibilità del patrimonio informativo affidato a KARON S.r.l. dai propri Clienti.
Su tale linea KARON S.r.l. ha deciso di porre in essere un Sistema di Gestione per la Sicurezza delle Informazioni definito secondo regole e criteri previsti dalle “best practice” e dagli standard internazionali di riferimento in conformità anche alle indicazioni della norma internazionale ISO/IEC 27001:2013 e in particolare del suo recepimento a livello nazionale con la UNI CEI EN ISO/IEC 27001:2017.
L'obiettivo del Sistema di Gestione per la Sicurezza delle Informazioni di KARON S.r.l. è di garantire un adeguato livello di sicurezza dei dati e delle informazioni nell'ambito della progettazione, sviluppo ed erogazione del servizio e dei servizi aziendali ad esso correlati, attraverso l'identificazione, la valutazione ed il trattamento dei rischi ai quali i servizi stessi sono soggetti.
Il Sistema di Gestione per la Sicurezza delle Informazioni di KARON S.r.l. definisce un insieme di misure organizzative, tecniche e procedurali a garanzia del soddisfacimento dei sottoelencati requisiti di sicurezza di base:
Inoltre, con la presente politica, KARON S.r.l. intende formalizzare i seguenti obiettivi nell'ambito della sicurezza delle informazioni:
La presente politica si applica indistintamente a tutti gli organi dell’Azienda coinvolti nell’erogazione dei servizi.
La politica della sicurezza delle informazioni adottata da KARON S.r.l. deve costituire un approccio sistematico alla sicurezza delle informazioni per tutti i componenti dell'organizzazione che - a qualsiasi titolo - possono intervenire su qualsiasi informazione presente all'interno dell’Azienda, nell’ambito dei servizi erogati.
L’erogazione del Servizio SAAS è basata sull’infrastruttura fornita da un Internet Data Center gestito da un Fornitore esterno. La Politica Aziendale della sicurezza di KARON S.r.l. prevede che tale Fornitore abbia a sua volta una certificazione ISO/IEC 27001:2013 nell’ambito del servizio di data center fornito.
KARON S.r.l. si avvale inoltre di Certification Authority riconosciute per quanto riguarda soluzioni di crittografia utilizzate per accedere ai dati tramite interfaccia web based.
KARON S.r.l. verifica periodicamente l’efficacia e l’efficienza del Sistema di Governo per la Sicurezza delle Informazioni, garantendo l’adeguato supporto per l’adozione delle necessarie migliorie al fine di consentire l’attivazione di un processo continuo, che deve tenere sotto controllo il variare delle condizioni al contorno o degli obiettivi di business aziendali al fine di garantire il suo corretto adeguamento.
La Politica Aziendale della Sicurezza qui descritta è soggetta a riesame periodico, almeno annuale o a seguito di cambiamenti significativi nel campo di applicabilità del Sistema di Gestione della Sicurezza delle Informazioni in essere.