Area Legale
Politica per la sicurezza delle informazioni con fornitori
Versione 2.0, agosto 2024
| Revisione | 0 |
| Autore | Erica Spina |
| Approvato da | Andrea Ferlin |
| Data | 16/07/2024 |
Politica per la sicurezza delle informazioni con fornitori: sommario
1. Scopo
Il presente documento illustra i requisiti di sicurezza delle informazioni nel processo di approvvigionamento e/o erogazione dei prodotti e servizi, richiesti da PLINK.
2. Destinatari
La politica aziendale per la sicurezza delle informazioni nei rapporti con i fornitori si applica nei rapporti con fornitori e con i partner di Professional Link Srl.
3. Riferimenti normativi
- ISO IEC 27001:2022 – Sistemi di Gestione per la Sicurezza delle informazioni
- NIS 2 – Direttiva Ue 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 sulla sicurezza delle reti e delle informazioni.
4. Responsabilità
Nella gestione dei rapporti con i fornitori di servizi informatici intervengono la Direzione, il COO ed eventualmente i referenti dell’area tecnica.
5. Sicurezza delle informazioni
La politica aziendale prevede una parziale inibizione all’accesso agli asset informativi aziendali da parte dei fornitori e partner. L’Organizzazione fornisce l’accesso al sistema PAR ed eventuali altri asset aziendali per la manutenzione di servizi particolari, i quali saranno acceduti con la garanzia della massima sicurezza.
In particolare, l’accesso è possibile, a seconda dei casi, tramite VPN creata da PLINK, l’accesso diretto è filtrato sull’IP sorgente che viene abilitato solo quando chiediamo assistenza e tramite desktop remoto.
Per la creazione delle credenziali vengono seguite le stesse regole di sicurezza vigenti in Professional Link Srl nelle policy d’accesso per i dipendenti concedendo il livello minimo autorizzativo necessario per espletare le attività a cui si è incaricati.
In linea generale, si distinguono due tipologie di fornitori:
- fornitori di prodotti o assistenza
- fornitori di servizi informatici
In entrambi i casi sarà necessaria la presenza di un contratto/accordo che vada a specificare gli aspetti peculiari della fornitura (oggetto, durata, listino, possibilità di recesso e relative conseguenze).
Per la fornitura di prodotti e servizi particolarmente impattanti sull’attività dell’Organizzazione sarà opportuno che:
- Il fornitore utilizzi le misure minime di sicurezza, tra cui antivirus/antimalware aggiornati con continuità;
- Il fornitore presti particolare attenzione al costante aggiornamento delle patch di sicurezza del sistema operativo e software installati;
- Nel caso in cui il fornitore, nello svolgimento della propria attività, si avvalga di subappaltatori, l’obbligo di richiedere il consenso espresso a PLINK, non essendo sufficiente la mera comunicazione;
- Il fornitore stabilisca, monitori e riesamini il piano di continuità operativa;
- L’Organizzazione abbia il diritto di Audit, di accedere alle informazioni memorizzate o processate da parte del fornitore, previo un ragionevole preavviso;
- Il fornitore comunichi gli incidenti relativi agli accessi non autorizzati alle informazioni, le violazioni della confidenzialità o qualunque altro avvenimento che possa influenzare PLINK;
- Il fornitore comunichi tempestivamente all’Organizzazione ogni cambiamento alla fornitura che possa impattare sull’Organizzazione stessa, compresi cambiamenti societari;
- Con la presente l’Azienda notifica i fornitori che esegue la valutazione periodica della performance monitorando i livelli del servizio (on time delivery, logistica) e qualità (la presenza delle non-conformità, IT security incidents) e nel caso del peggioramento della performance si riserva di contattare il fornitore per stabilire le azioni di miglioramento.
6. Sicurezza negli accordi
La politica di Sicurezza Informazioni negli accordi con i fornitori e partner impone il livello di sicurezza e riservatezza nelle informazioni trattate più appropriato al caso specifico. Il rapporto viene instaurato solo a seguito di verifica del fornitore tramite questionario di valutazione.
Di volta in volta ai fornitori potrà essere richiesto di organizzare e strutturare l’erogazione di servizi e prodotti in modo da ridurre al minimo i rischi relativi alla sicurezza delle informazioni tramite formalizzazione a livello contrattuale.
È compito dei fornitori garantire almeno la stessa attenzione alla sicurezza delle informazioni prestata da PLINK nei confronti dei suoi sub-fornitori.
7. Monitoraggio e riesame dei servizi
PLINK utilizza un sistema di classificazione dei fornitori in base alla loro influenza sulla sicurezza delle informazioni analizzando l’impatto sulla riservatezza, sull’integrità e sulla disponibilità delle informazioni.
Viene verificata, in base alle vigenti policy in azienda, la correttezza amministrativa e l’adeguatezza tecnica valutando tutti gli aspetti che impattano sull’erogazione del servizio (come, ad esempio, se le caratteristiche della fornitura sono conformi ai requisiti, o la presenza di eventuali certificazioni).
8. Gestione dei cambiamenti ai servizi
Nel caso di cambiamento alla fornitura dei servizi da parte dei fornitori, devono essere prontamente comunicate a PLINK che rivedrà le procedure di qualifica e che riprenderà in esame gli aspetti legati alla sicurezza delle informazioni all’interno degli accordi.
9. Comunicazione
La Politica nei rapporti coi fornitori viene resa disponibile sul sito aziendale ed eventuali variazioni verranno notificate via e-mail.
10. Aggiornamento
La Politica è mantenuta costantemente aggiornata ed allineata con gli indirizzi strategici della Direzione. In occasione del Riesame della Direzione ne viene verificata l’adeguatezza
11. Cessazione rapporti con il fornitore
Nell’ipotesi di cessazione dei rapporti con il fornitore, gli aspetti sulla sicurezza delle informazioni dovranno essere gestiti conformemente a quanto contrattualizzato tra le parti.