Ultimo aggiornamento: 18 dicembre 2025
1.INTRODUZIONE
Scopo
Questa Politica di Sicurezza delle Informazioni è una guida per i dipendenti di Praxas per stabilire le linee guida e le migliori pratiche per la protezione delle informazioni riservate, sensibili o proprietarie da accesso, uso, divulgazione, alterazione o distruzione non autorizzati. Le informazioni sono un bene e devono essere protette in modo adeguato.
Definizione
La sicurezza delle informazioni è un processo volto a proteggere i dati riducendo i rischi. Include dati digitali, dati fisici e sicurezza informatica.
Ambito di applicazione
Questa Politica di Sicurezza delle Informazioni si applica a tutti i dipendenti di Praxas, indipendentemente dal contratto di lavoro, dalla posizione o dalla sede. Si applica anche a tutti gli appaltatori e ai fornitori di servizi di terze parti che hanno accesso alle informazioni e ai sistemi informatici della Società.
Praxas si impegna a rispettare tutte le leggi, i regolamenti e gli standard di settore relativi alla sicurezza delle informazioni nei luoghi in cui opera.
2. RESPONSABILITÀ
Praxas garantirà che tutti i dipendenti siano formati sulle loro responsabilità e sui loro obblighi in materia di sicurezza delle informazioni.
Ai fini di questa politica e di alcune normative regionali, Praxas è un Titolare del Trattamento dei Dati (DC) e si assicurerà che sia nominato un Responsabile della Protezione dei Dati (DPO), ove applicabile. Questa posizione deve essere dotata di risorse adeguate, deve riferire agli Amministratori e non deve svolgere altre mansioni che possano generare un conflitto di interessi. Il DPO è anche il punto di contatto per qualsiasi autorità di regolamentazione regionale e per gli individui i cui dati sono trattati dalla Società.
Management
I direttori, i manager e i supervisori hanno il compito di implementare e supervisionare le politiche e le procedure che riducono il rischio di violazione dei dati e di garantire una pianificazione sufficiente per rispondere agli incidenti. I dipendenti devono ricevere una formazione adeguata, a seconda dei loro ruoli e delle loro mansioni.
I responsabili IT di CIMSense e il personale di supporto IT regionale sono responsabili di mantenere il software e i dispositivi aggiornati con le ultime patch e aggiornamenti di sicurezza, di proteggere le reti da accessi non autorizzati ai sistemi e di supervisionare la formazione IT.
Dipendenti
Tutti i dipendenti sono tenuti a:
- Aderire a tutte le politiche Praxas e a tutte le procedure e linee guida aggiuntive contenute nel manuale per i dipendenti dell’azienda o in altri materiali aziendali pertinenti, relativi alla gestione dei dati, all’uso della posta elettronica e di internet, alla gestione dei dispositivi e ai social network.
- Proteggi le password e le credenziali di accesso: crea password forti, non condividerle mai, non usare la stessa password per più account e se accedi alle e-mail e/o ai documenti aziendali sul tuo dispositivo mobile personale assicurati che questo sia sufficientemente protetto. Come minimo, questo significa assicurarsi che il dispositivo sia protetto da password, pin o ID biometrico.
- Segnala gli incidenti di sicurezza: fai attenzione alle attività sospette (e-mail di phishing, infezioni da malware, accessi sospetti) e segnala immediatamente qualsiasi incidente a un responsabile IT di CIMSense o a un membro del supporto IT regionale. Gli incidenti possono essere segnalati anche via e-mail all’indirizzo support@cimsense.com.
- Proteggere i documenti fisici – i documenti fisici contenenti informazioni sensibili devono essere adeguatamente protetti e smaltiti in modo sicuro quando non sono più necessari.
- Evita le azioni ad alto rischio: fai attenzione quando accedi a reti WiFi pubbliche e assicurati che il tuo dispositivo sia protetto da un software antivirus aggiornato. Non scaricare software da fonti non attendibili che potrebbero compromettere la sicurezza delle informazioni aziendali. Rifletti attentamente prima di utilizzare supporti rimovibili (ad es. unità USB) e ricordati di rimuoverli dal dispositivo host.
3. CONTROLLO DEGLI ACCESSI
Praxas fornirà a tutti i dipendenti e agli altri utenti le informazioni di cui hanno bisogno per svolgere le loro responsabilità in modo efficace ed efficiente. L’accesso alle informazioni e ai sistemi informativi sarà concesso secondo i principi del minimo privilegio e della necessità di sapere.
A livello di Gruppo, CIMSense dispone di diversi modi per proteggere le informazioni che possono essere fornite attraverso le sue società, inclusa Praxas. Queste includono, ma non si limitano a, la Politica di Controllo degli Accessi di CIMSense.
Controllo degli accessi fisici
I dipendenti di Praxas che per il loro ruolo lavorativo devono accedere a informazioni riservate e sensibili saranno istruiti sulla gestione sicura di tutte le informazioni e sulle procedure che regolano l’utilizzo, l’archiviazione, la condivisione e l’organizzazione dei dati all’interno della Società.
I dati personali e riservati devono essere conservati in archivi chiusi a chiave quando non vengono utilizzati e le chiavi non devono essere lasciate nella serratura di schedari e porte.
Controllo degli accessi digitali
Gli account utente devono essere creati con password forti e l’accesso deve essere revocato al termine del rapporto di lavoro o del contratto.
Gli utenti non devono condividere le proprie credenziali di accesso con altri o permettere ad altri di utilizzare i loro account. In genere non sono ammessi ID generici o di gruppo.
I sistemi informativi devono disporre di meccanismi di autenticazione e autorizzazione per garantire che solo gli utenti autorizzati possano accedere alle informazioni, compresa l’autenticazione a più fattori.
Gli utenti remoti devono essere autorizzati da un responsabile IT di CIMSense o da un membro del personale di supporto IT regionale. Non è consentito l’accesso esterno non controllato a nessun dispositivo o sistema di rete.
4.PROTEZIONE DEI DATI
Tutti i territori
Praxas ha un’Informativa sulla privacy separata che illustra come la Società rispetta la privacy degli individui e si impegna a proteggere i dati personali.
Le informazioni riservate, sensibili o proprietarie devono essere protette da accesso, uso, divulgazione, alterazione o distruzione non autorizzati. I dati Praxas di solito includono nomi o numeri. Ad esempio, i dati dei dipendenti, i nomi dei prodotti, i prezzi, i costi, i codici fiscali, i marchi di registrazione, i codici e le date.
Le informazioni devono essere classificate in base alla loro sensibilità e i controlli appropriati devono essere implementati per proteggerle.
La crittografia deve essere utilizzata per proteggere le informazioni sensibili durante la trasmissione e l’archiviazione.
Le informazioni digitali devono essere regolarmente sottoposte a backup per evitare la perdita di dati in caso di guasti hardware o disastri. Le terze parti che ospitano dati digitali, ad esempio i servizi cloud, dovranno soddisfare requisiti e certificazioni rigorosi.
Unione Europea e Regno Unito
Il Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea e il Data Protection Act 2018 del Regno Unito, che implementa il regolamento GDPR, proteggono i dati personali dei cittadini o dei residenti dell’Unione Europea. Come sopra, l’Informativa sulla privacy illustra le modalità di gestione e protezione dei dati personali da parte della Società.
In conformità alla normativa GDPR, gli interessati saranno informati di qualsiasi violazione dei dati personali entro 72 ore dall’incidente.
5. MONITORAGGIO
I sistemi informativi devono essere monitorati per evitare accessi, usi o divulgazioni non autorizzati. I registri saranno regolarmente rivisti e analizzati per individuare e rispondere agli incidenti di sicurezza.
Le valutazioni del rischio di vulnerabilità e i test di penetrazione devono essere eseguiti periodicamente per identificare e ridurre i potenziali rischi per la sicurezza.
6. INCIDENTI DI SICUREZZA
Gli incidenti possono avere un impatto enorme su un’azienda in termini di costi, produttività e reputazione. Tutti gli incidenti di sicurezza devono essere segnalati immediatamente a un responsabile IT di CIMSense e al personale di supporto IT regionale, in modo che l’incidente possa essere contenuto e risolto il più rapidamente possibile.
I piani di risposta agli incidenti devono essere formulati e messi in atto per tutti i tipi di violazione della sicurezza a livello locale e di Gruppo. A livello di Gruppo, CIMSense ha una politica di risposta agli incidenti e un piano di risposta agli incidenti. Tutti i piani devono essere testati periodicamente per garantirne l’efficacia.
7. NON CONFORMITÀ E AZIONI DISCIPLINARI
Le violazioni di questa politica possono comportare gravi conseguenze per CIMSense e Praxas e causare disagio personale agli individui. Qualsiasi violazione sarà oggetto di un’indagine approfondita e potrebbe comportare un’azione disciplinare nei confronti del trasgressore.