Corso Umberto I, 32 - 70042 Mola di Bari (BA)

1) SCOPO, OBIETTIVI E CAMPO DI APPLICAZIONE
DIGITARCA S.R.L. ha definito e si impegna a mantenere attiva a tutti i livelli della propria Organizzazione la presente Politica per la Gestione della Sicurezza delle Informazioni. Lo scopo della presente è garantire la massima soddisfazione del Cliente nella fruizione dei nostri servizi, a tutela e protezione dello stesso da tutte le minacce, interne o esterne, intenzionali o accidentali, delle informazioni nell’ambito delle nostre attività in accordo con le indicazioni fornite dallo standard UNI CEI EN ISO/IEC 27001:2022 e dalle linee guida contenute nello standard UNI CEI EN ISO/IEC 27017:2015 e UNI CEI EN ISO/IEC 27018:2019, nelle loro ultime versioni.
Pertanto, DIGITARCA S.R.L. si impegna a raggiungere i seguenti Obiettivi coerenti con la presente Politica:
– Soddisfare le attese dei Committenti e dei Dipendenti attraverso un processo di miglioramento continuo al quale partecipi ogni persona che lavora per l’Azienda, perseguendo un approccio proattivo allo scopo di evitare gli errori e problemi di Sicurezza informatica nell’erogazione dei servizi;
– Rispettare le leggi e i regolamenti pertinenti e la legislazione vigente ed operare nel totale rispetto di quella che è la giurisprudenza, i regolamenti e le direttive sia a carattere nazionale che comunitario;
– Formulare Obiettivi di miglioramento continuo delle prestazioni in relazione alla sicurezza delle informazioni;
– Promuovere attività di formazione, informazione e sensibilizzazione, coinvolgendo tutto il Personale aziendale rendendolo consapevole dei suoi obblighi individuali e dell’importanza di ogni sua singola azione per il raggiungimento dei risultati attesi e della sua responsabilità in materia di sicurezza delle informazioni;
– Comunicare con le parti interessate coinvolgendo e attivando appropriati canali di comunicazione al proprio interno, tesi ad assicurare un continuo e proficuo scambio con tutto il Personale e verso l’esterno;
– Garantire la Sicurezza delle Informazioni e i Dati dei nostri Clienti che, in quanto beni aziendali, hanno un valore per l’Organizzazione, in modo da assicurare la continuità del business aziendale, minimizzare i danni e massimizzare il ritorno degli investimenti e delle opportunità commerciali;
– Adottare le misure tecniche e organizzative volte ad assicurare la salvaguardia della riservatezza, integrità e disponibilità delle Informazioni gestite;
– Proteggere la Sicurezza dei sistemi riducendo ad un valore accettabile la probabilità che vengano violati i parametri di Sicurezza informatica, individuando tempestivamente quando ed in quale parte del sistema questo accade, limitando i danni e ripristinando i requisiti violati nel minor tempo possibile;
– Mantenere un alto livello professionale dei Dipendenti, Collaboratori, Professionisti perché questo è propedeutico al raggiungimento degli altri Obiettivi: uniformandosi le tecnologie, è il fattore umano l’aspetto differenziale;
– Diffondere la cultura informatica al fine di creare e promuovere un patrimonio di conoscenze e competenze che contribuiscono in modo sostanziale alla formazione d’una coscienza e di un’identità informatica nel territorio, attraverso diverse metodologie di servizi e strumenti;
– Proteggere le risorse informatiche aziendali attraverso la selezione e l’applicazione di appropriate misure precauzionali, che non devono essere percepite come vincoli e costrizioni alla missione dell’Organizzazione, ma come elementi che contribuiscono al raggiungimento degli Obiettivi aziendali;
Tutto ciò permette a DIGITARCA S.R.L. di porsi con successo nel mercato del rilievo 3D all’avanguardia e della creazione digital twin impegnandosi a progettare e realizzare soluzioni altamente tecnologiche per i propri Clienti, con un occhio attento a Sicurezza ed innovazione.

2) RESPONSABILITA’ DI OSSERVANZA E ATTUAZIONE

L’ osservanza e l’attuazione delle Policy sono responsabilità di:

1) Tutto il Personale che, a qualsiasi titolo, collabora con l’Azienda ed è in qualche modo coinvolto con il trattamento di Dati ed Informazioni che rientrano nel campo di applicazione del Sistema di Gestione.
Tutto il Personale è altresì responsabile della segnalazione di tutte le anomalie e violazioni di cui dovesse venire a conoscenza;

2) Tutti i soggetti esterni che intrattengono rapporti e collaborano con l’Azienda. Questi ultimi Devono garantire il rispetto dei requisiti contenuti nella presente Policy.

Il Responsabile del Sistema di Gestione, il Responsabile della Sicurezza delle Informazioni e l’Amministrazione del Sistema che, nell’ambito del Sistema di Gestione Integrato e attraverso norme e procedure appropriate, devono:
Condurre l’analisi dei rischi con le opportune metodologie e adottare tutte le misure per la gestione del rischio;
Stabilire tutte le norme necessarie alla conduzione sicura di tutte le attività aziendali;
Verificare le violazioni alla sicurezza e adottare le contromisure necessarie e controllare l’esposizione dell’azienda alle principali minacce e rischi;
Organizzare la formazione e promuovere la consapevolezza del Personale per tutto ciò che concerne la Sicurezza delle Informazioni;
Verificare periodicamente l’efficacia e l’efficienza del Sistema di Gestione.

Qualsiasi individuo in modo intenzionale o riconducibile a negligenza, disattenda le regole di Sicurezza stabilite e in tal modo provochi un danno all’Azienda, potrà essere perseguito nelle opportune sedi e nel pieno rispetto dei vincoli di legge e contrattuali.

3) POLITICA AZIENDALE PER LA SICUREZZA DELLE INFORMAZIONI

DIGITARCA S.R.L., consapevole dell’importanza della qualità dei servizi erogati nonché della protezione, riservatezza, integrità e disponibilità degli asset informativi dell’Organizzazione, ha implementato un Sistema di Gestione per la Sicurezza delle Informazioni in accordo alla norma UNI CEI EN ISO/IEC 27001:2022 nella convinzione che il riconoscimento internazionale di tali standard rappresentano un elemento di garanzia e sicurezza aziendale. Al fine di perimetrare, mettere in atto e migliorare il proprio Sistema di Gestione della Sicurezza delle Informazioni, DIGITARCA S.R.L. ha analizzato e considerato le variabili del proprio contesto, classificato le parti interessate e le loro esigenze ed ha individuato i rischi strategici e le opportunità di Sistema.
Nel definire la presente Politica, la Direzione si impegna affinché essa sia appropriata agli scopi dell’Organizzazione e consenta effettivamente il miglioramento continuo dell’efficacia e dell’efficienza dei processi ed il rispetto delle prescrizioni legali applicabili.
Il patrimonio informativo da tutelare ai sensi della UNI CEI EN ISO/IEC 27001:2022 è costituito dall’insieme delle Informazioni gestite attraverso i servizi forniti e localizzate in tutte le sedi dell’Azienda.

DIGITARCA S.R.L. assicura:
La riservatezza delle Informazioni: ovvero le Informazioni devono essere accessibili solo da chi è autorizzato.
L’integrità delle Informazioni: ovvero proteggere la precisione e la completezza delle Informazioni e dei metodi per la loro elaborazione.
La disponibilità delle Informazioni: ovvero che gli utenti autorizzati possano effettivamente accedere alle Informazioni e ai beni collegati nel momento in cui lo richiedono.
DIGITARCA S.R.L. è consapevole che la mancanza di adeguati livelli di Sicurezza può comportare il danneggiamento dell’immagine aziendale, la mancata soddisfazione del Cliente, il rischio di incorrere in sanzioni legate alla violazione delle normative vigenti nonché danni di natura economica e finanziaria e di conseguenza consapevole che un adeguato livello di Sicurezza è altresì basilare per la condivisione delle Informazioni.
L’Azienda identifica tutte le esigenze di Sicurezza tramite l’analisi dei rischi che incombono sui propri asset aziendali che consente di acquisire idonea consapevolezza sul livello di esposizione a minacce. La valutazione del rischio permette di valutare le potenziali conseguenze e i danni che possono derivare dalla mancata applicazione di misure di Sicurezza al sistema informativo e quale sia la realistica probabilità di attuazione delle minacce identificate.
I risultati di questa valutazione determinano le azioni necessarie per gestire i rischi individuati e le misure di Sicurezza più idonee.
I principi di DIGITARCA S.R.L. per la Gestione della Sicurezza delle Informazioni abbracciano i seguenti aspetti:
1 – ASSET INVENTORY SEMPRE AGGIORNATO – Garantire un catalogo costantemente aggiornato degli asset aziendali rilevanti ai fini della Gestione delle Informazioni e per ciascuno deve essere individuato un responsabile. Le Informazioni devono essere classificate in base al loro livello di criticità, in modo da essere gestite con livelli di riservatezza, integrità e disponibilità coerenti ed appropriati.
2 – VALUTAZIONE DEI RISCHI DELLE INFORMAZIONI AGGIORNATA – La valutazione dei rischi delle Informazioni viene aggiornata almeno una volta all’anno in occasione del Riesame della Direzione o nel caso si presentino eventi avversi o nel caso vi sia un adeguamento dell ’asset inventory.
3 – ACCESSO AI SISTEMI SICURO – Per garantire la Sicurezza delle Informazioni, ogni accesso ai sistemi è sottoposto a una procedura di identificazione e autenticazione. Le autorizzazioni di accesso alle Informazioni sono differenziate in base al ruolo ed agli incarichi ricoperti dai singoli individui, in modo che ogni Utente possa accedere alle sole Informazioni di cui necessita, e sono periodicamente sottoposte a revisione.
4 – UTILIZZO SICURO DEI BENI AZIENDALI – Sono definite delle procedure per l’utilizzo sicuro dei beni aziendali e delle Informazioni e dei loro Sistemi di Gestione.
5 – FORMAZIONE CONTINUA DEL PERSONALE – Avere Personale operante in Azienda adeguatamente formato rispetto alle attività operative che dovrà svolgere, rispetto alle cogenze legislative (Sicurezza, Privacy, ecc.) e rispetto ai Sistemi di Gestione implementati in Azienda. E’ incoraggiata la piena consapevolezza delle problematiche relative alla Sicurezza delle Informazioni in tutto il Personale (Dipendenti e Collaboratori) a partire dal momento della selezione e per tutta la durata del rapporto di lavoro.
6 – GESTIONE TEMPESTIVA DI EVENTI AVVERSI – Per poter gestire in modo tempestivo gli incidenti, tutti devono notificare qualsiasi problema relativo alla Sicurezza. Ogni incidente deve essere gestito come indicato nelle procedure.
7 – PROTEZIONE FISICA ADEGUATA DELLE SEDI AZIENDALI – È necessario prevenire l’accesso non autorizzato alle sedi e ai singoli locali aziendali dove sono gestite le Informazioni ed è garantita la Sicurezza delle apparecchiature.
8 – GESTIONE DELLA COMPLIANCE CONTRATTUALE CON LE TERZE PARTI – E’ assicurata la conformità con i requisiti legali e con i principi legati alla Sicurezza delle Informazioni nei contratti con le terze parti.
9 – SIMULAZIONI DEL PIANO DI CONTINUITA’ AZIENDALE – E’ predisposto un piano di continuità che permetta all’Azienda di affrontare efficacemente un evento imprevisto, garantendo il ripristino dei servizi critici in tempi e con modalità che limitino le conseguenze negative sulla missione aziendale.
10 – SICUREZZA INFORMATICA BY DESIGN – Gli aspetti di Sicurezza sono inclusi in tutte le fasi di progettazione, sviluppo, esercizio, manutenzione, assistenza e dismissione dei sistemi e dei servizi informatici.
11 – AGGIORNAMENTO LEGISLATIVO CONTINUO – Vengono garantiti il rispetto delle disposizioni di legge, di statuti, regolamenti o obblighi contrattuali e di ogni requisito inerente la Sicurezza delle Informazioni, riducendo al minimo il rischio di sanzioni legali o amministrative, di perdite rilevanti o danni alla reputazione.

4) RIESAME DI DIREZIONE

La Direzione verificherà periodicamente e regolarmente o in concomitanza di cambiamenti significativi l’efficacia e l’efficienza del Sistema di Gestione della Sicurezza delle Informazioni, in modo da assicurare un supporto adeguato all’introduzione di tutte le migliorie necessarie e in modo da favorire l’attivazione di un processo continuo, con cui viene mantenuto il controllo e l’adeguamento della Policy in risposta ai cambiamenti dell’ambiente aziendale, del business, delle condizioni legali. Il Responsabile del Sistema di Gestione della Sicurezza delle Informazioni (RSGSI), ha la responsabilità del Riesame della Politica.
Il Riesame dovrà verificare lo stato delle azioni preventive e correttive e l’aderenza alla Politica. Dovrà tenere conto di tutti i cambiamenti che possono influenzare l’approccio dell’Azienda alla gestione della Sicurezza delle Informazioni, includendo i cambiamenti organizzativi, l’ambiente tecnico, la disponibilità di risorse, le condizioni legali, regolamentari o contrattuali e dei risultati dei precedenti Riesami.
Il risultato del Riesame dovrà includere tutte le decisioni e le azioni relative al miglioramento dell’approccio aziendale alla gestione della Sicurezza delle Informazioni.

5) CONCLUSIONI FINALI : IMPEGNO DELLA DIREZIONE

La Direzione sostiene attivamente la Sicurezza delle Informazioni in Azienda tramite un chiaro indirizzo, un impegno evidente, degli incarichi espliciti e il riconoscimento delle responsabilità relative alla Sicurezza delle Informazioni.
L’impegno della Direzione si attua tramite una struttura i cui compiti sono:
Garantire che siano identificati tutti gli Obiettivi relativi alla Sicurezza delle Informazioni e che questi incontrino i requisiti aziendali;
Stabilire i ruoli aziendali e le responsabilità per lo sviluppo e il mantenimento del SGSI;
Fornire risorse sufficienti alla pianificazione, implementazione, organizzazione, controllo, revisione, gestione e miglioramento continuo del SGSI;
Controllare che il SGSI sia integrato in tutti i processi aziendali e che procedure e controlli siano sviluppati efficacemente;
Approvare e sostenere tutte le iniziative volte al miglioramento della Sicurezza delle Informazioni;
Attivare programmi per la diffusione della consapevolezza e della cultura della Sicurezza delle Informazioni.

MOLA DI BARI, lì 28 Marzo 2024