"
  • home
  • Politica per la Sicurezza delle Informazioni

REV. 8 DEL 17 SETTEMBRE 2025 - ESTRATTO

 

NAITEC POLITICA PER LA SICUREZZA DELLE INFORMAZIONI 

 

1. DEFINIZIONE DI INFORMATION SECURITY MANAGEMENT SYSTEM - ISMS

1.1 CONTENUTO DEL DOCUMENTO

La presente disposizione organizzativa illustra l’Information Security Management System di Naitec in linea con le necessità, gli obiettivi, i requisiti di sicurezza, le strutture organizzative e le principali contromisure adottate da Naitec in materia di sicurezza delle informazioni al fine di:

  • - assicurare la sicurezza delle informazioni e dei sistemi informativi e di rete utilizzati per il trattamento delle stesse;
  • - assicurare il rispetto delle linee di indirizzo del management in materia di gestione dei rischi e di protezione delle informazioni;
  • - assicurare la protezione logica e fisica delle informazioni aziendali;
  • - assicurare l'attuazione dei controlli di sicurezza nei servizi cloud erogati e la protezione dei dati personali nel cloud, nel rispetto dei principi fissati all’articolo 5 del Regolamento (UE) 2016/679;
  • - fornire gli indirizzi organizzativi per la gestione della sicurezza delle informazioni aziendale in conformità alle leggi, ai regolamenti interni e ai requisiti contrattuali inerenti l’Information Security;
  • - assicurare l’adozione di misure di sicurezza tecniche ed organizzative adeguate per la protezione dei dati personali (GDPR);
  • - identificare, valutare e risolvere gli eventi e gli incidenti di sicurezza in maniera efficace;
  • - notificare opportunamente gli incidenti di sicurezza con impatto significativo sulla fornitura dei servizi;
  • - segnalare le vulnerabilità della sicurezza delle informazioni, affinché possano essere gestite in modo appropriato;
  • - ridurre il rischio derivante da possibili ricorrenze attraverso un'analisi a posteriori e rafforzare le attività di prevenzione degli incidenti sulla sicurezza delle informazioni; 
  • - miglioramento continuo delle attività di Risk Assessment.

I processi di dettaglio che rendono operative le linee guida descritte nella Politica di sicurezza delle informazioni sono riportati all'interno di procedure specifiche definite nell'impianto documentale del ISMS.

 

1.2 SICUREZZA DELLE INFORMAZIONI

Per sicurezza delle informazioni si intende il soddisfacimento dei seguenti requisiti:

  • - Riservatezza: Servizi e Informazioni devono essere protetti per evitarne gli accessi non autorizzati;
  • - Integrità: Servizi e Informazioni devono essere corretti, completi e protetti da abusi, e da modiche non autorizzate;
  • - Disponibilità: Servizi e Informazioni devono essere accessibili dagli utenti quando richiesto, in linea con i livelli di sicurezza definiti. 

Questi requisiti vengono perseguiti in ogni fase del ciclo di vita dell’informazione.

 

2. ISMS AMBITO

L’ambito di applicazione del Sistema di Gestione della Sicurezza delle Informazioni e delle indicazioni riportate nel presente documento si estende a tutta Naitec ovvero alla:

Progettazione, sviluppo, assistenza e manutenzione di soluzioni informatiche. Erogazione di servizi SaaS e PaaS.

 

3. IMPEGNO DEL MANAGEMENT

Naitec, mediante il proprio management, considera la protezione del proprio patrimonio informativo assolutamente strategica, nonché fattore critico di successo del business aziendale, e fattore abilitante di una efficiente e necessaria condivisione delle informazioni.

A tal fine, il management di Naitec intende adottare tutte le necessarie misure al fine di garantire:

  • - l’attribuzione di aggiornate responsabilità di sicurezza;
  • - la protezione degli asset informativi in modo commisurato al loro valore e in funzione dei risultati dell’analisi dei rischi;
  • - una continua promozione di comprensione e armonizzazione con leggi e regolamenti generali e specifici per le proprie attività;
  • - l’adeguata gestione della catena di approvvigionamento attraverso l’inserimento di requisiti di sicurezza negli accordi contrattuali, l’accesso a dati ed informazioni strettamente necessari per l’erogazione delle attività o la sottoscrizione di accordi di riservatezza;
  • - La progettazione, lo sviluppo e l’erogazione di servizi in rispetto dei requisiti di sicurezza e dei requisiti contrattuali sottoscritti;
  • - la progettazione, lo sviluppo di soluzioni informatiche in rispetto dei requisiti di sicurezza;
  • - la formazione adeguata del personale sul tema della sicurezza in funzione dei ruoli e delle responsabilità di sicurezza ad esso assegnate;
  • - il miglioramento continuo del Sistema di Gestione non soltanto attraverso un’adeguata azione di controllo e governo, ma anche per mezzo di attività volte al raggiungimento di una maggiore efficienza;
  • - l’adeguata gestione, analisi e comunicazione, attraverso specifiche procedure, dei possibili incidenti di sicurezza dell’informazione al fine di mitigarne l’impatto e ridurre al minimo i danni diretti ed indiretti alla operatività aziendale;
  • - l'adeguata selezione di provider cloud sulla base delle garanzie di sicurezza previste per la protezione delle informazioni.

 

4. RESPONSABILITA' DEI DIPENDENTI, DEI COLLABORATORI E DELLE TERZE PARTI

Tutti i dipendenti di Naitec, i collaboratori e le terze parti sono tenuti a seguire tutte le istruzioni riguardanti il corretto comportamento da tenere nell’attività svolta e nella gestione delle operazioni assegnate.

In particolare è compito di ciascuno:

  • - Fare riferimento a tutte le informazioni disponibili sul Regolamento sull’uso dei dispositivi informatici o ad eventuali vincoli contrattuali specifici, assicurando la protezione degli asset assegnati con un corretto utilizzo, mantenendo piena consapevolezza e comprensione delle regole e delle procedure per la protezione dei beni e dei dati aziendali
  • - Assicurare adeguata classificazione e controllo di tutte le informazioni di proprietà Naitec delle quali è responsabile;
  • - Essere consapevoli riguardo le norme di Sicurezza riferendo tempestivamente gli incidenti in caso di infrazione o sospetta attività.

E' inoltre compito del personale coinvolto nell'erogazione dei servizi  cloud mantenere nel tempo una adeguata consapevolezza sugli aspetti di sicurezza del cloud e delle relative minacce.

 

5. CONFORMITA' E VIOLAZIONI

La conformità alle politiche del presente documento è obbligatoria: ciascun destinatario deve conoscere il proprio ruolo e le proprie responsabilità relativamente alla protezione degli asset informativi.

Qualsiasi violazione dei principi espressi in questo documento dovrà essere oggetto di valutazione del CISO, in modo che possa intraprendere tutte le azioni necessarie per minimizzarne l’impatto e ridurre la probabilità di reiterazione.

 

 

VIA DEI DA PRATA, 14
31100 TREVISO - ITALY
+39 0422 422903
+39 0422 303555
INFO@NAITEC.AERO
Naitec S.r.l. | Gruppo SAVE – Società unipersonale
Viale G. Galilei, 30/1 - 30173 Tessera - Venezia (VE)
Registro Imprese di Venezia | Capitale sociale Euro 50.000,00 i.v.
Codice Fiscale 03580700262 - P.IVA 03332970270

Società soggetta a direzione e coordinamento da parte di SAVE S.p.A
CERTIFICATION

Member of CISQ Federation
Certified management system
ISO 9001 – ISO/IEC 27001