Politica di sicurezza informatica

1. Introduzione

Il presente documento stabilisce le misure che tutti i dipendenti di SocialPilot Technologies Inc. e l'Azienda nel suo complesso devono adottare per proteggere i sistemi informatici, i dispositivi, le infrastrutture, l'ambiente informatico e tutte le altre apparecchiature pertinenti dell'Azienda (collettivamente, “Sistemi IT”) da danni e minacce interne, esterne, intenzionali o accidentali.

2. Introduzione Principi chiave

  • 2.1 Tutti i sistemi informatici devono essere protetti da accessi non autorizzati.
  • 2.2 Tutti i sistemi informatici devono essere utilizzati solo in conformità con le politiche aziendali pertinenti.
  • 2.3 Tutti i dati memorizzati sui sistemi IT devono essere gestiti in modo sicuro in conformità a tutte le parti pertinenti del GDPR e a tutte le altre leggi che regolano la protezione dei dati, sia in vigore ora che in futuro.
  • 2.4 Tutti i dipendenti della Società e tutti i terzi autorizzati a utilizzare i Sistemi IT, compresi, ma non solo, appaltatori e subappaltatori (collettivamente, “Utenti”), devono assicurarsi di essere a conoscenza di questa Politica e devono aderirvi e rispettarla in ogni momento.
  • 2.5 Tutti i sistemi informatici devono essere protetti da accessi non autorizzati. Tutti i responsabili di linea devono garantire che tutti gli utenti sotto il loro controllo e la loro direzione aderiscano e si conformino a questa politica in ogni momento, come richiesto dal paragrafo 2.4.
  • 2.6 Tutti i sistemi IT devono essere installati, mantenuti, revisionati, riparati e aggiornati da Jimit Bagadiya (il “Dipartimento IT”) o da terzi che il Dipartimento IT può di volta in volta autorizzare.
  • 2.7 La responsabilità per la sicurezza e l'integrità di tutti i sistemi IT e dei dati in essi memorizzati (compresi, ma non solo, la sicurezza, l'integrità e la riservatezza di tali dati) è del Dipartimento IT, a meno che non sia espressamente indicato diversamente.
  • 2.8 Tutte le violazioni della sicurezza relative ai sistemi informatici o ai dati in essi memorizzati devono essere segnalate e successivamente indagate dal reparto informatico.
  • 2.9 Tutti gli utenti devono segnalare immediatamente al reparto IT qualsiasi problema di sicurezza relativo ai sistemi informatici o ai dati in essi memorizzati.

3. Responsabilità del reparto IT

  • 3.1 Il responsabile IT, Jimit Bagadiya, è responsabile di quanto segue:
    • a) garantire che tutti i sistemi informatici siano valutati e ritenuti idonei a soddisfare i requisiti di sicurezza della Società;
    • b) garantire che gli standard di sicurezza informatica all'interno della Società siano efficacemente implementati e regolarmente rivisti, attraverso verifiche periodiche e valutazioni del rischio, con relazioni periodiche all'alta direzione interna della Società sulle condizioni della sicurezza informatica della Società e sulla conformità alla presente Politica;
    • c) garantire una gestione organizzativa e un personale dedicato responsabile dello sviluppo, dell'attuazione e del mantenimento di questa Politica;
    • d) effettuare valutazioni della vulnerabilità e gestione delle patch utilizzando tecnologie di protezione dalle minacce e procedure di monitoraggio programmate volte a identificare, valutare, mitigare e proteggere dalle minacce alla sicurezza identificate, dai virus e da altri codici maligni; e
    • e) garantire che tutti gli Utenti siano informati dei requisiti della presente Politica e di tutte le leggi, i regolamenti e le altre norme pertinenti in vigore ora o in futuro, tra cui, a titolo esemplificativo, il GDPR e il Computer Misuse Act 1990.
  • 3.2 Il Dipartimento IT è responsabile di quanto segue:
    • a) assistere tutti gli Utenti nella comprensione e nell'osservanza della presente Politica;
    • b) fornire a tutti gli utenti un supporto e una formazione adeguati in materia di sicurezza informatica e di utilizzo dei sistemi informatici;
    • c) garantire che a tutti gli utenti siano concessi livelli di accesso ai sistemi informatici adeguati a ciascun utente, tenendo conto del ruolo lavorativo, delle responsabilità e di eventuali requisiti speciali di sicurezza;
    • d) ricevere e gestire tutte le segnalazioni relative a questioni di sicurezza informatica e intraprendere le azioni appropriate in risposta;
    • e) intraprendere azioni proattive, ove possibile, per stabilire e implementare procedure di sicurezza informatica e sensibilizzare gli utenti;
    • f) assistere il Responsabile IT nel monitoraggio di tutta la sicurezza informatica all'interno dell'Azienda e nell'adozione di tutte le azioni necessarie per l'attuazione della presente Politica e di qualsiasi modifica apportata alla stessa in futuro;
    • g) garantire che vengano eseguiti backup regolari di tutti i dati memorizzati all'interno dei Sistemi IT a intervalli non inferiori a 24 ore e che tali backup siano conservati in un luogo adeguato al di fuori dei locali della Società; e
    • h) garantire la conformità a tutti gli standard di sicurezza informatica previsti dalla norma ISO 27001, nella misura in cui tali standard non sono coperti dagli obblighi di cui alla clausola 3.2 a) - g).

4. Responsabilità degli utenti

  • 4.1 Tutti gli utenti devono attenersi a tutte le parti pertinenti di questa Politica quando utilizzano i sistemi informatici.
  • 4.2 Tutti gli Utenti devono utilizzare i Sistemi IT solo nei limiti della legge indiana e non devono utilizzare i Sistemi IT per scopi o attività che possano contravvenire a qualsiasi legge indiana in vigore ora o in futuro.
  • 4.3 Gli utenti devono informare immediatamente il reparto IT di qualsiasi problema di sicurezza relativo ai sistemi IT.
  • 4.4 Tutti gli utenti sono tenuti a rispettare tutte le parti pertinenti della presente Politica quando utilizzano i sistemi informatici. Gli utenti devono informare immediatamente il reparto IT di qualsiasi altro problema tecnico (inclusi, ma non solo, guasti hardware ed errori software) che possa verificarsi sui sistemi IT.
  • 4.5 Tutte le violazioni intenzionali o per negligenza della presente Politica da parte degli Utenti saranno gestite in modo appropriato secondo le procedure disciplinari della Società.

5. Misure di sicurezza del software

  • 5.1 Tutto il software in uso sui Sistemi IT (compresi, ma non solo, i sistemi operativi e le singole applicazioni software) sarà mantenuto aggiornato e tutti gli aggiornamenti, le patch, le correzioni e le altre release intermedie del software saranno applicate a esclusiva discrezione del Dipartimento IT. Questa disposizione non si estende all'aggiornamento del software a nuove ‘major release’ (ad esempio, dalla versione 1.0 alla versione 2.0), ma solo agli aggiornamenti all'interno di una particolare major release (ad esempio, dalla versione 1.0 alla versione 1.0.1, ecc.). A meno che un aggiornamento del software non sia disponibile gratuitamente, sarà classificato come una major release e quindi rientra nell'ambito dell'approvvigionamento di nuovo software e non rientra nell'ambito di questa disposizione.
  • 5.2 Nel caso in cui venga identificata una falla di sicurezza in un software, questa verrà risolta immediatamente oppure il software potrà essere ritirato dai Sistemi Informativi fino a quando la falla di sicurezza non sarà effettivamente risolta.
  • 5.3 Nessun utente può installare software proprio, sia che venga fornito su supporti fisici (ad es. DVD-Rom) sia che venga scaricato, senza l'approvazione del Responsabile IT. Qualsiasi software di proprietà degli Utenti deve essere approvato dal Responsabile IT e può essere installato solo se non comporta rischi per la sicurezza dei Sistemi IT e se non viola i contratti di licenza a cui il software è soggetto.
  • 5.4 Tutti i software saranno installati sui sistemi informatici dal reparto IT, a meno che un singolo utente non riceva un'autorizzazione scritta in tal senso dal responsabile IT. Tale autorizzazione scritta deve indicare chiaramente quale software può essere installato e su quali computer o dispositivi può essere installato.

6.Misure di sicurezza hardware

  • 6.1 Ove possibile, i sistemi informatici saranno collocati in locali che possono essere chiusi a chiave quando non sono in uso o, in casi appropriati, in ogni momento, sia che siano in uso o meno (con gli utenti autorizzati che possono accedervi per mezzo di una chiave, una smart card, un codice porta o simili). Laddove l'accesso a tali luoghi è limitato, gli Utenti non devono consentire l'accesso a persone non autorizzate per nessun motivo.
  • 6.2 Tutti i sistemi IT non destinati al normale utilizzo da parte degli utenti (compresi, a titolo esemplificativo, server, apparecchiature di rete e infrastrutture di rete) e qualsiasi altra area in cui possono essere conservati dati personali (ad esempio, strutture di data center o sale server) devono essere progettati per (i) proteggere le informazioni e le risorse fisiche da accessi fisici non autorizzati, (ii) gestire, monitorare e registrare gli spostamenti delle persone all'interno e all'esterno delle strutture in questione e (iii) proteggere da rischi ambientali quali calore, incendio e danni causati dall'acqua.
  • 6.3 Nessun utente potrà accedere a sistemi informatici non destinati al normale utilizzo da parte degli utenti (compresi i dispositivi di cui sopra) senza l'espressa autorizzazione del Responsabile IT. In circostanze normali, ogni volta che un Utente individua un problema con tali sistemi informatici, tale problema deve essere segnalato al Dipartimento IT. In nessun caso l'Utente deve tentare di risolvere tali problemi senza l'espressa autorizzazione (e, nella maggior parte dei casi, le istruzioni e/o la supervisione) del Responsabile IT.
  • 6.4 Tutti i dispositivi non mobili (compresi, ma non solo, i computer desktop, le postazioni di lavoro e i monitor) devono, laddove possibile e pratico, essere fisicamente fissati in posizione con un meccanismo di blocco adeguato. Se il design dell'hardware lo consente, le custodie dei computer devono essere chiuse a chiave per evitare la manomissione o il furto dei componenti interni.
  • 6.5 Tutti i dispositivi mobili (compresi, ma non solo, laptop, netbook, tablet, PDA e telefoni cellulari) forniti dalla Società devono sempre essere trasportati in modo sicuro e maneggiati con cura. Nel caso in cui tali dispositivi mobili debbano essere lasciati incustoditi, devono essere collocati in una custodia con serratura o in un altro contenitore adeguato. Gli utenti devono fare tutto il possibile per evitare che tali dispositivi mobili vengano lasciati incustoditi in luoghi diversi dalle loro abitazioni private o dalle sedi della Società. Se tali dispositivi mobili devono essere lasciati in un veicolo, devono essere conservati fuori dalla vista.
  • 6.6 Il Dipartimento IT deve mantenere un registro completo degli asset di tutti i sistemi IT. Tutti i sistemi IT devono essere etichettati e i dati corrispondenti devono essere conservati nel registro degli asset.

7. Sicurezza dell'accesso

  • 7.1 Tutti i sistemi IT (e in particolare i dispositivi mobili, compresi, ma non solo, laptop, netbook, tablet, PDA e telefoni cellulari) devono essere protetti da una password sicura o da un'altra forma di sistema di accesso sicuro che il Dipartimento IT può ritenere appropriata. Tali forme alternative di accesso sicuro possono includere l'identificazione tramite impronte digitali e il riconoscimento facciale.
  • 7.2 Controlli di accesso logico progettati per gestire l'accesso elettronico ai dati e alle funzionalità del sistema IT in base ai livelli di autorità e alle funzioni lavorative (ad esempio, concessione dell'accesso in base alla necessità di sapere e al minimo privilegio, utilizzo di ID e password univoci per tutti gli utenti, revisione periodica e revoca/modifica tempestiva dell'accesso in caso di cessazione del rapporto di lavoro o di modifica delle funzioni lavorative).
  • 7.3 Tutte le password devono essere, laddove il software, il computer o il dispositivo lo permettano:
    • 7.3.1 essere di almeno 5 caratteri;
    • 7.3.2 essere diversa dalla password precedente;
    • 7.3.3 non siano ovvie o facilmente intuibili (ad esempio, compleanni o altre date memorabili, nomi memorabili, eventi o luoghi, ecc;);
    • 7.3.4 essere creati da singoli Utenti; e
    • 7.3.5 Le password di nuova emissione devono essere modificate dopo il primo utilizzo.
  • 7.4 Le password devono essere tenute segrete da ciascun Utente. In nessun caso un Utente deve condividere la propria password con chiunque, compresi il Responsabile IT e il personale IT. A nessun Utente verrà legittimamente chiesta la propria password da nessuno, in nessun momento, e ogni richiesta di questo tipo dovrà essere rifiutata. Se un Utente ha motivo di credere che un'altra persona abbia ottenuto la sua password, deve cambiarla immediatamente e segnalare la sospetta violazione della sicurezza al Dipartimento IT.
  • 7.5 Se un utente dimentica la propria password, deve segnalarlo al reparto IT. Il Dipartimento IT prenderà le misure necessarie per ripristinare l'accesso dell'Utente ai Sistemi Informativi, che possono includere l'emissione di una password temporanea che può essere interamente o parzialmente nota al membro del personale IT responsabile della risoluzione del problema. Una nuova password deve essere impostata dall'Utente immediatamente dopo il ripristino dell'accesso ai sistemi informatici.
  • 7.6 Tutti i sistemi IT con display e dispositivi di input dell'utente (ad es. mouse, tastiera, touchscreen, ecc.) devono essere protetti, ove possibile, da uno screensaver protetto da password che si attiva dopo 30 minuti di inattività. Questo periodo di tempo non può essere modificato dagli utenti e gli utenti non possono disattivare lo screensaver. L'attivazione dello screensaver non interromperà o disturberà le altre attività che si svolgono sul computer (ad esempio, l'elaborazione dei dati).
  • 7.7 Il reparto IT condurrà verifiche periodiche del sistema o la registrazione degli eventi e le relative procedure di monitoraggio per registrare in modo proattivo l'accesso e l'attività degli utenti sui sistemi IT a fini di revisione ordinaria.
  • 7.8 Gli utenti non possono utilizzare alcun software che possa consentire a terzi di accedere ai sistemi informatici senza l'esplicito consenso del Responsabile IT. Qualsiasi software di questo tipo deve essere ragionevolmente richiesto dall'Utente per lo svolgimento del proprio ruolo lavorativo e deve essere completamente ispezionato e autorizzato dal Responsabile IT.

8. Protezione dei dati

  • 8.1 Tutti i dati personali (come definiti nel Regolamento generale sulla protezione dei dati (“GDPR”)) raccolti, conservati ed elaborati dall'Azienda saranno raccolti, conservati ed elaborati rigorosamente in conformità al GDPR e alla Politica di protezione dei dati dell'Azienda.
  • 8.2 Il Dipartimento IT deve garantire l'esistenza di controlli sulla sicurezza dei dati che includono almeno, ma non solo, la segregazione logica dei dati, l'accesso e il monitoraggio limitati (ad esempio basati sui ruoli) e l'utilizzo di tecnologie di crittografia disponibili in commercio e standard industriali per i dati personali che sono:
    • a) trasmessi su reti pubbliche (ad esempio Internet) o trasmessi in modalità wireless; oppure
    • b) a riposo o memorizzati su supporti portatili o rimovibili (ad esempio computer portatili, CD/DVD, unità USB, nastri di backup).
  • 8.3 Tutte le e-mail contenenti dati personali devono essere criptate.
  • 8.4 I dati personali contenuti nel corpo di un'e-mail, sia inviata che ricevuta, devono essere copiati dal corpo dell'e-mail e archiviati in modo sicuro. L'e-mail stessa deve essere cancellata. Anche tutti i file temporanei ad essa associati devono essere cancellati.
  • 8.5 Nel caso in cui i dati personali debbano essere inviati per fax, il destinatario deve essere informato in anticipo della trasmissione e deve essere in attesa di ricevere i dati dal fax.
  • 8.6 Se i dati personali sono visualizzati sullo schermo di un computer e il computer in questione deve essere lasciato incustodito per un certo periodo di tempo, l'utente deve bloccare il computer e lo schermo prima di lasciarlo.
  • 8.7 Nessun dato personale deve essere trasferito su un dispositivo appartenente personalmente a un dipendente e i dati personali possono essere trasferiti su dispositivi appartenenti ad agenti, appaltatori o altre parti che lavorano per conto dell'Azienda solo se la parte in questione ha accettato di rispettare pienamente la lettera e lo spirito della presente Politica e del GDPR (il che può includere la dimostrazione all'Azienda che sono state adottate tutte le misure tecniche e organizzative adeguate).
  • 8.8 Il reparto IT dovrà garantire procedure e controlli operativi per lo smaltimento sicuro di qualsiasi parte dei sistemi IT o di qualsiasi supporto, in modo da rendere tutte le informazioni o i dati in essi contenuti indecifrabili o irrecuperabili prima dello smaltimento definitivo o dell'uscita dal possesso della Società.
  • 8.9 Se i dati personali devono essere cancellati o eliminati in altro modo per qualsiasi motivo (anche nel caso in cui siano state fatte delle copie che non sono più necessarie), devono essere cancellati e smaltiti in modo sicuro. Le copie cartacee devono essere distrutte e le copie elettroniche devono essere eliminate in modo sicuro.
  • 8.10 Il Dipartimento IT deve garantire di disporre di misure tecniche e organizzative adeguate per la protezione dal trattamento non autorizzato o illecito dei dati personali e dalla perdita o dalla distruzione accidentale dei dati personali o dal loro danneggiamento, in funzione del danno che potrebbe derivare dal trattamento non autorizzato o illecito o dalla perdita, dalla distruzione o dal danneggiamento accidentale e della natura dei dati da proteggere, tenendo conto dello stato dello sviluppo tecnologico e del costo di attuazione delle misure (tali misure possono includere, se del caso, la pseudonimizzazione e la crittografia dei dati personali, la garanzia della riservatezza, dell'integrità, della disponibilità e della resilienza dei propri sistemi e servizi, la garanzia che la disponibilità e l'accesso ai dati personali possano essere ripristinati tempestivamente dopo un incidente e la regolare valutazione dell'efficacia delle misure tecniche e organizzative adottate).
  • 8.11 Tutti i dati personali archiviati elettronicamente devono essere sottoposti a backup giornaliero con backup archiviati, AWS prende il backup del DB nel cloud AWS. Tutti i backup devono essere criptati.
  • 8.12 Tutte le copie elettroniche dei dati personali devono essere archiviate in modo sicuro utilizzando password e crittografia dei dati.
  • 8.13 Solo gli utenti che hanno bisogno di accedere ai dati personali e di utilizzarli per svolgere correttamente i compiti loro assegnati avranno accesso ai dati personali in possesso della Società.
  • 8.14 Tutti gli Utenti che trattano dati personali per conto dell'Azienda sono soggetti e devono rispettare le disposizioni della Politica di protezione dei dati dell'Azienda.

9. Uso di Internet e della posta elettronica

  • 9.1 Tutti gli Utenti sono soggetti e devono rispettare le disposizioni della Politica sulle comunicazioni, la posta elettronica e Internet della Società quando utilizzano i sistemi informatici.
  • 9.2 Laddove le disposizioni della presente Politica richiedano l'adozione di misure aggiuntive per garantire la sicurezza informatica durante l'utilizzo di Internet o della posta elettronica, oltre ai requisiti imposti dalla Politica sulle comunicazioni, la posta elettronica e Internet, gli Utenti devono adottare tali misure come richiesto.

10. Segnalazione di violazioni della sicurezza informatica

  • 10.1 Tutti i dubbi, le domande, le sospette violazioni o le violazioni note devono essere riferite immediatamente a Jimit Bagadiya.
  • 10.2Dopo aver ricevuto una domanda o una notifica di violazione, il reparto IT valuterà entro 24 ore il problema, compreso, ma non solo, il livello di rischio ad esso associato, e adotterà tutte le misure che riterrà necessarie per rispondere al problema.
  • 10.3 In nessun caso un Utente deve tentare di risolvere una violazione della sicurezza informatica da solo senza prima consultare il Dipartimento IT. Gli utenti possono tentare di risolvere le violazioni della sicurezza informatica solo sotto le istruzioni e con l'espressa autorizzazione del reparto IT.
  • 10.4 Tutte le violazioni della sicurezza informatica, siano esse risolte dal reparto IT o da un utente sotto la direzione del reparto IT, devono essere pienamente documentate.

11. Continuità aziendale

La Società deve disporre di adeguate procedure di resilienza/continuità aziendale e di ripristino in caso di disastro, volte a mantenere le informazioni e la fornitura di qualsiasi servizio e/o il ripristino da situazioni di emergenza o disastri prevedibili.

12. Attuazione della politica

La presente Politica è da considerarsi in vigore a partire dal 25-5-2018. Nessuna parte della presente Politica avrà effetto retroattivo e si applicherà quindi solo alle questioni che si verificano in tale data o successivamente.

Nome: Jimit Bagadiya
Posizione: Amministratore delegato e responsabile della protezione dei dati
Data: 15/05/2018
Firma: Firma

Azienda

Prodotti

Gestione dei social media

Caratteristiche principali

Strumenti e modelli

Risorse

  • linkedin
  • Instagram
  • Youtube
  • © 2026 SocialPilot Technologies Inc. Tutti i diritti riservati.