- Introduzione
Lo scopo di questa politica di sicurezza è delineare le misure e le pratiche che Allamex™ adotta per garantire la riservatezza, l'integrità e la disponibilità dei nostri sistemi e dati. Questa politica si applica a tutti i dipendenti, appaltatori ed entità terze che hanno accesso ai nostri sistemi e alle nostre informazioni. L'adesione a questa politica è obbligatoria per proteggere le informazioni sulla nostra attività e sui clienti da accessi non autorizzati, divulgazione, alterazione o distruzione.
- Access Control
2.1Profili utente:
- Verranno creati account utente per tutti i dipendenti e collaboratori esterni che accedono ai sistemi aziendali online all'ingrosso.
- Gli account utente verranno concessi in base al principio del privilegio minimo, garantendo che gli individui abbiano accesso solo alle risorse necessarie per svolgere le proprie responsabilità lavorative.
- Verranno applicate password complesse, che richiederanno una combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali.
- Verrà implementata l'autenticazione a più fattori (MFA) per tutti gli account utente per fornire un ulteriore livello di sicurezza.
2.2Accesso di terze parti:
- L'accesso di terzi ai nostri sistemi e dati sarà concesso solo in caso di necessità.
- Alle entità terze sarà richiesto di firmare un accordo di riservatezza e di aderire a standard e pratiche di sicurezza coerenti con i nostri.
- Protezione dei dati
3.1Classificazione dei dati:
-
- Tutti i dati saranno classificati in base alla loro sensibilità e criticità per determinare adeguati livelli di protezione.
- Ai dipendenti verranno fornite linee guida per la classificazione dei dati per garantire la corretta gestione, archiviazione e trasmissione dei dati.
3.2Crittografia dei dati:
-
- La trasmissione dei dati sensibili verrà crittografata utilizzando protocolli di crittografia standard del settore, come SSL/TLS.
- Verranno implementati meccanismi di crittografia per proteggere i dati inattivi, in particolare le informazioni sensibili archiviate
- database e file system.
3.3Backup e ripristino dei dati:
-
- Verranno eseguiti backup regolari dei dati critici e archiviati in modo sicuro in una posizione fuori sede.
- L'integrità del backup e i processi di ripristino verranno periodicamente testati per garantire la recuperabilità dei dati in caso di disastro.
4.Sicurezza di rete
-
- Firewall e sistemi di rilevamento delle intrusioni:
- Verranno implementati firewall e sistemi di rilevamento delle intrusioni per proteggere la nostra infrastruttura di rete da tentativi di accesso non autorizzati e attività dannose.
- Verranno condotti un monitoraggio e un'analisi regolari del traffico di rete per identificare e rispondere a eventuali potenziali incidenti di sicurezza.
4.1Accesso remoto sicuro:
-
- L'accesso remoto ai nostri sistemi sarà consentito solo attraverso canali sicuri, come le VPN (Virtual Private Networks).
- Gli account di accesso remoto saranno protetti da meccanismi di autenticazione avanzati e monitorati per eventuali attività sospette.
5.Risposta agli incidenti
5.1Segnalazione di incidenti:
-
-
- I dipendenti e gli appaltatori saranno formati per segnalare tempestivamente eventuali incidenti di sicurezza, violazioni o attività sospette al punto di contatto designato.
- Le procedure di segnalazione degli incidenti saranno chiaramente comunicate e riviste periodicamente per garantire una risposta e una risoluzione tempestive.
-
5.2Squadra di risposta agli incidenti:
-
-
- Verrà designato un team di risposta agli incidenti per gestire gli incidenti di sicurezza, indagare sulle violazioni e coordinare le azioni appropriate.
- Verranno definiti i ruoli e le responsabilità dei membri del team e le loro informazioni di contatto saranno prontamente disponibili.
-
5.3Recupero dagli incidenti e lezioni apprese:
-
-
- Verranno intraprese azioni tempestive per mitigare l’impatto degli incidenti di sicurezza e ripristinare i sistemi e i dati interessati.
- Dopo ogni incidente, verrà condotta una revisione post-incidente per identificare le lezioni apprese e implementare i miglioramenti necessari per prevenire incidenti simili in futuro.
-
6.Sicurezza fisica
6.1Controllo di accesso:
-
- L'accesso fisico ai data center, alle sale server e ad altre aree critiche sarà limitato solo al personale autorizzato.
- I meccanismi di controllo degli accessi come l'autenticazione biometrica, le chiavi magnetiche e la sorveglianza CCTV saranno implementati ove appropriato.
6.2Protezione dell'attrezzatura:
-
- Tutte le apparecchiature informatiche, i supporti di memorizzazione e i dispositivi portatili saranno protetti contro furto, smarrimento o accesso non autorizzato.
- I dipendenti saranno formati per conservare e maneggiare in modo sicuro le attrezzature, soprattutto quando lavorano in remoto o sono in viaggio.
7.Formazione e Consapevolezza
7.1 Formazione sulla consapevolezza della sicurezza:
-
- Verrà fornita regolare formazione sulla sensibilizzazione alla sicurezza a tutti i dipendenti e appaltatori per istruirli sulle migliori pratiche, politiche e procedure di sicurezza.
- Le sessioni di formazione riguarderanno argomenti quali la sicurezza delle password, la consapevolezza del phishing, la gestione dei dati e la segnalazione degli incidenti.
7.2 Riconoscimento della politica:
-
- Tutti i dipendenti e gli appaltatori saranno tenuti a rivedere e riconoscere la loro comprensione e conformità con questa politica di sicurezza.
- I riconoscimenti verranno regolarmente aggiornati e conservati come parte dei registri del personale.
8.Revisione e aggiornamenti delle politiche
Questa politica di sicurezza verrà rivista periodicamente e aggiornata secondo necessità per riflettere i cambiamenti nella tecnologia, nelle normative o nei requisiti aziendali. Tutti i dipendenti e gli appaltatori saranno informati di eventuali aggiornamenti e sarà richiesta la loro adesione alla politica rivista.
Implementando e applicando questa politica di sicurezza, miriamo a proteggere la nostra attività di vendita all'ingrosso online, i dati dei clienti e a mantenere la fiducia dei nostri partner e clienti.