Politica per la Qualità, la Sicurezza delle informazioni e la Protezione dei dati personali

Nextage si impegna a proteggere da minacce, interne o esterne, intenzionali o accidentali, il patrimonio informativo aziendale e a svolgere attività di business nel pieno rispetto della Sicurezza delle Informazioni.

Nextage si impegna ad attuare, implementare, gestire, monitorare, revisionare, mantenere e migliorare il sistema di gestione per la Sicurezza delle Informazioni, Qualità e Protezione dei dati personali in conformità alla Norma ISO/IEC 27001:2013 e alle sue estensioni ISO/IEC 27017:2015 e ISO/IEC 27018:2019, alla Norma ISO 9001:2015 e Regolamento UE 2016/679.

Con l’attuazione della presente politica, Nextage garantisce ai propri Clienti prodotti sicuri nel rispetto della qualità e della sicurezza delle informazioni.

Nextage si impegna ad adempiere agli obblighi di adeguamento al Regolamento Generale sulla Protezione dei Dati (GDPR/RDGP) direttamente applicabile a partire da 25 Maggio 2018, attraverso

– l’elaborazione del registro delle attività di trattamento (sia come Titolare del Trattamento che Responsabile esterno);
– la valutazione d’impatto sulla protezione dei dati, laddove applicabile;
– l’applicazione di misure tecniche ed organizzative adeguate intese a garantire la sicurezza dei dati e derivanti da un processo di analisi del rischio;
– designazione di un Responsabile della Protezione dei Dati (Data Protection Officer) e
– definizione all’interno (e se necessario all’esterno) dell’azienda di ruoli e responsabilità relativi al trattamento dei dati.

Nextage si impegna ad attenersi ai principi di protezione dei dati contenuti nel GDPR per garantire che tutti i dati siano:

– trattati dimostrando l’accountability, nel rispetto dei principi di privacy by design e by default;
– trattati in modo lecito, corretto e trasparente;
– raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che siano compatibili con tali finalità;
– adeguati, pertinenti e non sovrabbondanti;
– accurati e mantenuti aggiornati;
– conservati per il tempo necessario;
– trattati in conformità dei diritti dell’interessato;
– sicuri;
– non trasferiti all’estero senza adeguata protezione.

Sono state stabilite le responsabilità generali del Titolare del trattamento nella figura del Legale Rappresentante (membri del CDA) per qualsiasi trattamento di dati personali che effettui direttamente o che altri effettuino per suo conto. In particolare, Nextage mette in atto misure adeguate ed efficaci, così da essere in grado di dimostrare la conformità delle attività di trattamento con il GDPR, compresa l’efficacia delle misure, che tengono conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.

È scopo di Nextage assicurare che:

– le informazioni siano protette da accessi non autorizzati e non vengano divulgate a persone non autorizzate;
– vengano definiti programmi formativi di dettaglio sulla Qualità, sulla Sicurezza delle Informazioni e sulla Protezione dei Dati personali per tutti i dipendenti interni e per tutto il personale esterno che opera per prolungati periodi all’interno dell’organizzazione qualora si verificasse quest’ultima eventualità;
– l’integrità delle informazioni sia protetta e salvaguardata da modifiche non autorizzate;
– venga definita, documentata e riesaminata periodicamente una procedura per il controllo degli accessi alle informazioni basata sui requisiti per l’accesso relativi alla sicurezza e all’attività dell’Azienda, dettagliando in base a accessi fisici e accessi logici;
– venga definita e documentata la procedura per la comunicazione tempestiva e per la gestione degli incidenti in caso di minaccia alla sicurezza dell’informazione in particolar modo quando questi coinvolgano dati personali (Data Breach). Siano pertanto immediatamente riconoscibili i responsabili e le azioni correttive da intraprendere;
– le informazioni siano a disposizione degli utenti autorizzati quando ne hanno bisogno;
– vengano redatti piani per la continuità dell’attività aziendale, e che tali piani siano il più possibile tenuti aggiornati e controllati;
– quando è concesso l’accesso alle informazioni o agli asset dell’Organizzazione da parte di terzi vengano attuati controlli appropriati prima di concedere l’accesso;
– sia sempre messa al centro delle attività per la realizzazione di prodotti/servizi la soddisfazione del cliente;

Per quanto riguarda l’erogazione di servizi in modalità SaaS cloud provider, è scopo di Nextage definire e mantenere sotto controllo:

– le modalità di erogazione del servizio in cloud SaaS;
– la gestione degli accessi ai servizi erogati in modalità cloud, secondo la politica di gestione degli accessi;
– le comunicazioni ai customer in caso di change e agli interessati in caso di data breach;
– il ciclo di vita degli account relativi ai servizi erogati in modalità cloud;
– il recepimento nell’analisi del rischio dei rischi aggiuntivi derivanti dall’erogazione di un servizio cloud: l’analisi del rischio ISO/IEC 27001 viene effettuata includendo gli asset relativi ai servizi in cloud;
– l’applicazione dei requisiti cogenti derivati dal Regolamento Europeo per la Protezione dei Dati Personali (GDPR).

Per quanto riguarda la fruizione di servizi in modalità cloud customer utilizzati per l’erogazione di servizi cloud SaaS da parte di Nextage, è scopo dell’azienda definire e mantenere sotto controllo:

– le modalità di conservazione e accesso alle informazioni nell’ambiente cloud da parte del cloud service provider;
– come gli asset di Nextage siti in cloud vengono mantenuti dal cloud service provider;
– se e come viene effettuato il mantenimento in ambienti multi-tenant in cloud;
– gli utenti che fruiscono i servizi cloud e il contesto in cui li usano;
– gli utenti amministratori dei servizi cloud fruiti in modalità customer, dotati di accessi privilegiati;
– la localizzazione geografica dei provider di servizi cloud e i paesi in cui il provider può conservare i dati di Nextage, anche temporaneamente;
– gli asset siti in cloud includendoli nell’analisi del rischio ISO/IEC 27001 di Nextage.

Ambito di Applicazione

L’obiettivo di Nextage è quello di certificare l’azienda in materia di qualità e sicurezza delle informazioni, in quanto ritiene che questo possa essere di supporto al business e quindi al raggiungimento degli obiettivi strategici. La Direzione ha definito il seguente ambito di certificazione:

Sistema di gestione della Sicurezza delle Informazioni

“Progettazione ed erogazione di servizi cloud in modalità SaaS secondo le linee guida ISO/IEC 27017:2015 e ISO/IEC 27018:2019 e sviluppo di applicativi software in particolare in ambito Healthcare, ricerca finanziata, consulenza in ambito di Sistemi di Gestione, Risk management e Compliance, progettazione ed erogazione di corsi di formazione su tematiche afferenti alle aree di Business”.

“Design and provision of SaaS cloud services according to ISO/IEC 27017:2015 and ISO/IEC 27018:2019 and development of software applications primarily in Healthcare, funded research for innovation; consultancy on management systems, risk management and compliance; design and provision of training courses within scope of Business”.

Sistema di gestione della Qualità

“Progettazione ed erogazione di servizi cloud in modalità SaaS e sviluppo di applicativi software in particolare in ambito Healthcare, ricerca finanziata, consulenza in ambito di Sistemi di Gestione, Risk management e Compliance, progettazione ed erogazione di corsi di formazione su tematiche afferenti alle aree di Business”.

“Design and provision of SaaS cloud services and development of software applications primarily in Healthcare, funded research for innovation; consultancy on management systems, risk management and compliance; design and provision of training courses within scope of Business”.