Entaksi pone la massima attenzione alla protezione dei dati dei propri clienti.
Quella che segue è la politica per la sicurezza delle informazioni, detta anche "Information Security Policy", un insieme
di regole e procedure adottate dall’azienda per salvaguardare la tutela dei dati trattati.
L’obiettivo generale della Società è la corretta gestione di tutte le informazioni generate o trattate al fine di garantire
la continuità gestionale e prevenire o minimizzare i possibili danni.
Al fine di raggiungere questo obiettivo Entaksi utilizza un Sistema Integrato di Gestione (SIG) che copre interamente
le attività caratteristiche della Società, nel rispetto della sicurezza delle informazioni.
Il SIG comprende progettazione, produzione, commercializzazione, installazione e assistenza di applicativi software, erogazione di servizi informatici quali ad esempio la distribuzione in modalità SaaS (Software as a Service) degli applicativi.
Il SIG di cui si è dotata Entaksi Solutions SpA è il risultato della adozione coordinata ed integrata di sistemi di gestione conformi alle seguenti norme:
ISO 9001:2015 – Sistema di Gestione della Qualità (SGQ)
ISO/IEC 20000-1:2011 – Sistema di Gestione per l’Erogazione di Servizi Informatici (SGS)
ISO/IEC 27001:2013 – Sistema di Gestione della Sicurezza delle Informazioni (SiGSI)
ISO/IEC 27017:2015 - Estensione del Sistema di Gestione della Sicurezza delle Informazioni (SiGSI)
ISO/IEC 27018:2019 - Estensione del Sistema di Gestione della Sicurezza delle Informazioni (SiGSI)
ISO/IEC 27035:2016 - Sistema di Gestione degli Incidenti di Sicurezza delle Informazioni (SiGI)
ISO/IEC 22301:2019 - Sistema di gestione della continuità operativa aziendale (BCMS)
UNI ISO 37001:2016 - Sistema di Gestione della Prevenzione della Corruzione (SGPC)
Regolamento UE n° 910/2014 - EIDAS - Sistema di Gestione dei Servizi Fiduciari (SGSF)
ETSI EN 319 401
ETSI EN 319 421
ETSI TS 119 511
Le politiche per la protezione e la sicurezza devono salvaguardare tre aspetti fondamentali relativi ai dati informatici:
Riservatezza: l’accesso ai dati deve essere limitato in base ai privilegi indicati per gli utenti definiti, in accordo con il loro livello di classificazione, e le informazioni devono essere protette da eventuali accessi non autorizzati.
Integrità: le informazioni devono essere complete e precise. Tutti i sistemi, gli asset e le reti devono funzionare correttamente, secondo specifiche che ne garantiscano la piena operatività.
Disponibilità: le informazioni devono essere disponibili all’accesso e poter essere distribuite a chi ne detiene i diritti in base al livello di classificazione.
Tutte le informazioni trattate da Entaksi nell’esercizio delle sue funzioni sono classificate in base
al loro contenuto e gestite in base alla classificazione attribuita.
Le informazioni vengono protette, gestite e rese disponibili in base agli usi consentiti.
Entaksi si occupa di elaborare una periodica analisi dei rischi in grado di valutare il trattamento del
rischio sugli asseti informativi, e adeguare il sistema in base al risultato ottenuto.
Tutto il personale di Entaksi interessato nella creazione o nella gestione delle informazioni si occupa della loro corretta classificazione e trattamento, e viene adeguatamente e costantemente istruito e formato al riguardo.
Sono presenti nell’azienda ruoli e responsabilità definite per assicurare il mantenimento e la corretta conduzione del Sistema Integrato di Gestione e il raggiungimento degli obiettivi di sicurezza.
I soggetti esterni che vengono a contatto con i dati gestiti da Entaksi sono definiti attraverso i contratti di servizio e obbligati alla sottoscrizione di un accordo di riservatezza.
La norma ISO/IEC 22301:2019 stabilisce i requisiti necessari per la corretta implementazione di un Sistema di Gestione della Continuità Operativa. Entaksi ha adottato questo standard internazionale per garantire la continuità dei propri servizi IT.
Entaksi mette in atto le misure tecniche e organizzative necessarie per garantire un livello di sicurezza adeguato al mantenimento della business continuity, e aggiorna periodicamente le proprie strategie e procedure in modo tale da garantirne la continuità e l’efficacia nel tempo.
Il monitoraggio continuo delle prestazioni e dei parametri selezionati per i sistemi costituisce un punto centrale dell’implementazione di questo sistema di gestione, e la Direzione si occupa di revisionare continuamente gli obiettivi per l’azienda attraverso una specifica Business Process Impact Analysis e un’analisi dei rischi periodica. Obiettivi quali la pianificazione delle risorse, la continua attenzione all’aderenza ai requisiti e la considerazione delle parti interessate sono ritenuti fondamentali per l’azienda.
La corretta gestione degli incidenti informatici è considerato un requisito fondamentale per la sicurezza dei servizi IT.
La semplice risposta al danno non è sufficiente per garantire una protezione completa per le informazioni gestite, pertanto Entaksi ha deciso di adottare un approccio strutturato alla gestione degli incidenti, uniformando il proprio Sistema Integrato di Gestione alla norma ISO/IEC 27035:2016 per la gestione degli incidenti informatici.
Lo schema prevede un livello strategico di preparazione di un piano di gestione degli incidenti, per i quali viene predisposto un apposito gruppo di risposta (Incident Response Team) appositamente formato e preparato.
Nelle procedure viene posta particolare attenzione alla risposta e ai punti di contatto tra l’azienda e i clienti, per migliorare complessivamente no solo la fase di prevenzione ma anche quella di reazione, e in particolare non sottovalutare possibili danni derivanti soprattutto per dati personali (data breach), per i quali l’azienda si propone di operare nella massima trasparenza.
Entaksi mantiene il proprio Sistema Integrato di Gestione in conformità al Regolamento Generale sulla Protezione dei Dati (General Data Protection Regulation) dell’Unione europea n. 2016/679.
Per ulteriori informazioni relative al trattamento dei dati è possibile consultare la Privacy Policy.
Entaksi Solutions SpA si impegna a contrastare qualsiasi fenomeno di corruzione, ossia "offrire, promettere, fornire, accettare o richiedere un vantaggio indebito di qualsivoglia valore (che può essere economico o non economico), direttamente o indirettamente, e indipendentemente dal luogo, violando la legge vigente, come incentivo o ricompensa per una persona ad agire o a omettere azioni in relazione alla prestazione delle mansioni di quella persona".
L’organizzazione pertanto si è dotata di un Sistema di Gestione della Prevenzione della Corruzione (SGPC) conforme allo standard UNI ISO 37001:2016, che tramite i controlli da esso derivati sia in grado di mantenere l’adeguamento del Sistema Integrato di Gestione (SIG) alla normativa cogente in materia di lotta alla corruzione.
Per ulteriori informazioni è disponibile la Politica di prevenzione della corruzione.
La politica viene periodicamente revisionata e costantemente aggiornata in caso di accadimenti quali la presenza di nuove minacce, aggiornamenti tecnologici, risoluzioni a problemi noti, ed è inoltre conforme agli standard per i quali Entaksi ha ottenuto delle certificazioni, descritti nella pagina dedicata.
Per quanto riguarda in particolare la sicurezza delle informazioni il SIG è conforme ai controlli stabiliti dalla ISO 27001:2013 e dalle sue estensioni ISO/IEC 27017:2015 e ISO/IEC 27018:2019 e alle norme e ai regolamenti inerenti la protezione dei dati personali, tra i quali, in particolare, il Regolamento UE n. 2016/679.
Per ulteriori informazioni consulta la nostra pagina di domande e risposte.
Leggi la versione estesa della Politica per la qualità e la sicurezza delle informazioni.
Leggi la versione pubblica del nostro DPIA (Data protection Impact Assessment).
Aggiornata al 14/07/2023.