Impegno per la sicurezza delle informazioni

Il nostro impegno per la sicurezza delle informazioni

In Salesupply, ci impegniamo a salvaguardare i tuoi dati e a garantire una solida sicurezza delle informazioni e la conformità alla privacy. Questa guida interattiva delinea il nostro approccio e le misure che abbiamo implementato per proteggere le informazioni a noi affidate. Esplora i nostri pilastri di sicurezza qui sotto.

Il nostro quadro per la sicurezza

Questa sezione illustra le politiche fondamentali, la governance e le certificazioni che costituiscono la spina dorsale del nostro Sistema di gestione della sicurezza delle informazioni (ISMS). Fai clic su ciascun argomento per saperne di più.

Politiche formali

Disponiamo di una politica di sicurezza delle informazioni chiaramente documentata, approvata dal nostro consiglio di amministrazione l’8 gennaio 2021. Questa politica è distribuita tramite un sistema online ed è obbligatoria per tutto il personale di Salesupply. Sarà rivista annualmente. I nostri accordi di trattamento dei dati (DPA) con clienti e sub-processori definiscono ulteriormente i nostri impegni in materia di protezione dei dati e privacy.

Gestione del rischio

La nostra politica di sicurezza delle informazioni stabilisce che i rischi identificati sono soggetti a una valutazione del rischio e che il piano di valutazione e trattamento del rischio è sviluppato in base alle linee guida ISO 27005.

Responsabilità dedicata

Il consiglio di amministrazione è responsabile della politica di sicurezza delle informazioni. L’Information Security Manager (CTO) è responsabile della manutenzione e del coordinamento del Sistema di gestione della sicurezza delle informazioni (ISMS).

Certificazioni

I nostri server sono ospitati in data center certificati ISO 27001, garantendo i più alti standard di sicurezza fisica e ambientale.

Protezione dei dati: misure organizzative

Le nostre persone e i nostri processi sono fondamentali per la nostra posizione di sicurezza. Qui illustriamo i controlli organizzativi che abbiamo in atto per proteggere i tuoi dati per tutto il loro ciclo di vita.

Controllo dei dipendenti e riservatezza

Vengono eseguiti controlli dei precedenti per i nuovi dipendenti, inclusa l’acquisizione di referenze professionali. Tutti i dipendenti firmano contratti di lavoro che includono clausole di riservatezza e un riconoscimento della politica di sicurezza delle informazioni. Tutto il personale è responsabile della protezione delle informazioni e della segnalazione degli incidenti di sicurezza. Con i nostri partner vengono utilizzati accordi di non divulgazione (NDA).

Diritto di audit

I nostri accordi di trattamento dei dati includono i diritti di audit per il Titolare (il nostro cliente) per verificare la conformità, con un preavviso ragionevole e senza costi aggiuntivi come da accordo.

Gestione degli asset e smaltimento sicuro

Tutti gli asset informativi sono registrati e hanno proprietari assegnati. Lo smaltimento sicuro dei supporti viene eseguito secondo le procedure documentate per prevenire la fuga di dati da asset dismessi.

Gestione degli incidenti

La nostra politica di sicurezza delle informazioni descrive in dettaglio la gestione degli incidenti, inclusi i canali di segnalazione, l’indagine e la comunicazione alle parti interessate. I nostri accordi di trattamento dei dati richiedono a Salesupply di notificare il Titolare senza indebito ritardo dopo essere venuto a conoscenza di una violazione dei dati personali.

Due diligence sui fornitori

I nostri accordi di trattamento dei dati sottolineano il requisito per Salesupply di garantire che i sub-processori rispettino le normative sulla protezione dei dati e di informare il titolare sui cambiamenti previsti relativi ai sub-processori. La politica di sicurezza delle informazioni afferma che “i fornitori che elaborano gli asset informativi di Salesupply o dei suoi clienti devono rispettare i requisiti di questa politica”.

Continuità aziendale

Un piano di continuità aziendale (BCP) è in atto per ridurre al minimo l’interruzione dei servizi in caso di eventi imprevisti, garantendo la resilienza e la disponibilità dei nostri servizi.

Misure di sicurezza tecniche robuste

Utilizziamo un approccio tecnico a più livelli per proteggere i nostri sistemi e i tuoi dati dalle minacce. Di seguito sono riportati i principali controlli tecnici che abbiamo implementato.

Sicurezza degli endpoint

La crittografia completa del disco (BitLocker) è implementata su tutti i laptop utilizzando un minimo di AES-256. Tutti i supporti rimovibili sono disabilitati. L’uso di dispositivi mobili privati per scopi aziendali non è consentito. Gli utenti regolari non hanno diritti di amministratore locale sui propri computer.

Sicurezza fisica

Gli uffici di Salesupply dispongono di sistemi di sicurezza, sistemi di allarme, videosorveglianza e controllo degli accessi tramite tessere. I nostri data center certificati ISO 27001 dispongono di controlli di accesso fisico, sorveglianza e allarmi.

Sicurezza della rete

I firewall controllano il traffico di rete e bloccano l’accesso non autorizzato. Separazione degli ambienti di sviluppo, test e produzione. Le reti wireless sono protette con WPA2-Enterprise e il Network Access Control (NAC) viene utilizzato per verificare l’autorizzazione dei dispositivi e limitare l’accesso ai dispositivi autorizzati.

Protezione dal malware

La protezione avanzata dal malware (antivirus, anti-spyware) è installata su tutti i server e gli endpoint ed è tenuta costantemente aggiornata.

Comunicazioni sicure

Vengono utilizzate soluzioni di accesso remoto sicure (ad es. VPN) con autenticazione a più fattori (MFA) per l’accesso remoto alla rete aziendale. L’accesso alle interfacce di amministrazione e agli account privilegiati è limitato e monitorato. Vengono utilizzati metodi di trasferimento dati sicuri, tra cui connessioni crittografate (VPN, SSL/TLS) e SFTP, per lo scambio di dati con terze parti.

Rilevamento delle intrusioni

Vengono implementati sistemi di rilevamento e prevenzione delle intrusioni (IDS/IPS) per monitorare il traffico di rete per attività dannose e violazioni delle policy.

Indurimento del sistema

I sistemi sono configurati in conformità con le migliori pratiche del settore e le baseline di sicurezza (ad es. CIS Benchmarks, NIST) per ridurre la loro superficie di attacco.

Registrazione e monitoraggio

Vengono mantenuti i registri di sistema e i registri di audit per i sistemi e le applicazioni critiche per rilevare incidenti di sicurezza e attività insolite. La registrazione dei dati personali è ridotta al minimo e gestita in conformità con le politiche sulla privacy. I registri vengono rivisti regolarmente.

Backup e disponibilità dei dati

Vengono eseguiti backup regolari di dati e sistemi critici. L’integrità e la ripristinabilità dei backup vengono regolarmente testate. La ridondanza per i sistemi critici e i componenti dell’infrastruttura è implementata per garantire un’alta disponibilità.