Politica per la Qualità, la Sicurezza delle informazioni e la Protezione dei dati personali
Nextage si impegna a proteggere da minacce, interne o esterne, intenzionali o accidentali, il patrimonio informativo aziendale e a svolgere attività di business nel pieno rispetto della Sicurezza delle Informazioni.
Nextage si impegna ad attuare, implementare, gestire, monitorare, revisionare, mantenere e migliorare il sistema di gestione per la Sicurezza delle Informazioni, Qualità e Protezione dei dati personali in conformità alla Norma ISO/IEC 27001:2013, alla Norma ISO 9001:2015 e Regolamento UE 2016/679.
Con l’attuazione della presente politica, Nextage garantisce ai propri Clienti prodotti sicuri nel rispetto della qualità e della sicurezza delle informazioni.
Nextage si impegna ad adempiere agli obblighi di adeguamento al Regolamento Generale sulla Protezione dei Dati (GDPR/RDGP) direttamente applicabile a partire da 25 Maggio 2018, attraverso
– l’elaborazione del registro delle attività di trattamento (sia come Titolare del Trattamento che Responsabile esterno);
– la valutazione d’impatto sulla protezione dei dati, laddove applicabile;
– l’applicazione di misure tecniche ed organizzative adeguate intese a garantire la sicurezza dei dati e derivanti da un processo di analisi del rischio;
– designazione di un Responsabile della Protezione dei Dati (Data Protection Officer) e
– definizione all’interno (e se necessario all’esterno) dell’azienda di ruoli e responsabilità relativi al trattamento dei dati.
Nextage si impegna ad attenersi ai principi di protezione dei dati contenuti nel GDPR per garantire che tutti i dati siano:
– trattati dimostrando l’accountability, nel rispetto dei principi di privacy by design e by default;
– trattati in modo lecito, corretto e trasparente;
– raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che siano compatibili con tali finalità;
– adeguati, pertinenti e non sovrabbondanti;
– accurati e mantenuti aggiornati;
– conservati per il tempo necessario;
– trattati in conformità dei diritti dell’interessato;
– sicuri;
– non trasferiti all’estero senza adeguata protezione.
Sono state stabilite le responsabilità generali del Titolare del trattamento nella figura del Legale Rappresentante (membri del CDA) per qualsiasi trattamento di dati personali che effettui direttamente o che altri effettuino per suo conto. In particolare, Nextage mette in atto misure adeguate ed efficaci, così da essere in grado di dimostrare la conformità delle attività di trattamento con il GDPR, compresa l’efficacia delle misure, che tengono conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.
scopo di Nextage assicurare che:
– le informazioni siano protette da accessi non autorizzati e non vengano divulgate a persone non autorizzate;
– vengano definiti programmi formativi di dettaglio sulla Qualità, sulla Sicurezza delle Informazioni e sulla Protezione dei Dati personali per tutti i dipendenti interni e per tutto il personale esterno che opera per prolungati periodi all’interno dell’organizzazione qualora si verificasse quest’ultima eventualità;
– l’integrità delle informazioni sia protetta e salvaguardata da modifiche non autorizzate;
– venga definita, documentata e riesaminata periodicamente una procedura per il controllo degli accessi alle informazioni basata sui requisiti per l’accesso relativi alla sicurezza e all’attività dell’Azienda, dettagliando in base a accessi fisici e accessi logici;
– venga definita e documentata la procedura per la comunicazione tempestiva e per la gestione degli incidenti in caso di minaccia alla sicurezza dell’informazione in particolar modo quando questi coinvolgano dati personali (Data Breach). Siano pertanto immediatamente riconoscibili i responsabili e le azioni correttive da intraprendere;
– le informazioni siano a disposizione degli utenti autorizzati quando ne hanno bisogno;
– vengano redatti piani per la continuità dell’attività aziendale, e che tali piani siano il più possibile tenuti aggiornati e controllati;
– quando è concesso l’accesso alle informazioni o agli asset dell’Organizzazione da parte di terzi vengano attuati controlli appropriati prima di concedere l’accesso;
– sia sempre messa al centro delle attività per la realizzazione di prodotti/servizi la soddisfazione del cliente;
– tutte le attività che hanno influenza sulla qualità sono svolte in conformità ai requisiti della norma ISO 9001:2015.
Ambito di Applicazione
L’obiettivo di Nextage è quello di certificare l’azienda in materia di qualità e sicurezza delle informazioni, in quanto ritiene che questo possa essere di supporto al business e quindi al raggiungimento degli obiettivi strategici. La Direzione ha definito il seguente ambito di certificazione:
“Progettazione e sviluppo di applicativi software in particolare in ambito Healthcare, ricerca finanziata, consulenza in ambito di Sistemi di Gestione, Risk management e Compliance, progettazione ed erogazione di corsi di formazione su tematiche afferenti alle aree di Business”.