Area Legale

Politica per la sicurezza delle informazioni con i fornitori

 

 

 

 

Sicurezza delle informazioni con fornitori

Versione 2.0, agosto 2024

Revisione 0
Autore Erica Spina
Approvato da Andrea Ferlin
Data 16/07/2024

1. Scopo della politica per la sicurezza delle informazioni con i fornitori

Il presente documento illustra i requisiti di sicurezza delle informazioni nel processo di approvvigionamento e/o erogazione dei prodotti e servizi, richiesti da PLINK.

2. Destinatari della politica per la sicurezza delle informazioni con i fornitori

La politica aziendale per la sicurezza delle informazioni nei rapporti con i fornitori si applica nei rapporti con fornitori e con i partner di Professional Link Srl.

3. Riferimenti normativi

  • ISO IEC 27001:2022 – Sistemi di Gestione per la Sicurezza delle informazioni
  • NIS 2 – Direttiva Ue 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022 sulla sicurezza delle reti e delle informazioni.

4. Responsabilità

Nella gestione dei rapporti con i fornitori di servizi informatici intervengono la Direzione, il COO ed eventualmente i referenti dell’area tecnica.

5. Sicurezza delle informazioni

La politica aziendale prevede una parziale inibizione all’accesso agli asset informativi aziendali da parte dei fornitori e partner. L’Organizzazione fornisce l’accesso al sistema PAR ed eventuali altri asset aziendali per la manutenzione di servizi particolari, i quali saranno acceduti con la garanzia della massima sicurezza.
In particolare, l’accesso è possibile, a seconda dei casi, tramite VPN creata da PLINK, l’accesso diretto è filtrato sull’IP sorgente che viene abilitato solo quando chiediamo assistenza e tramite desktop remoto.
Per la creazione delle credenziali vengono seguite le stesse regole di sicurezza vigenti in Professional Link Srl nelle policy d’accesso per i dipendenti concedendo il livello minimo autorizzativo necessario per espletare le attività a cui si è incaricati.
In linea generale, si distinguono due tipologie di fornitori:

  • fornitori di prodotti o assistenza
  • fornitori di servizi informatici

In entrambi i casi sarà necessaria la presenza di un contratto/accordo che vada a specificare gli aspetti peculiari della fornitura (oggetto, durata, listino, possibilità di recesso e relative conseguenze).

Per la fornitura di prodotti e servizi particolarmente impattanti sull’attività dell’Organizzazione sarà opportuno che:

  • Il fornitore utilizzi le misure minime di sicurezza, tra cui antivirus/antimalware aggiornati con continuità;
  • Il fornitore presti particolare attenzione al costante aggiornamento delle patch di sicurezza del sistema operativo e software installati;
  • Nel caso in cui il fornitore, nello svolgimento della propria attività, si avvalga di subappaltatori, l’obbligo di richiedere il consenso espresso a PLINK, non essendo sufficiente la mera comunicazione;
  • Il fornitore stabilisca, monitori e riesamini il piano di continuità operativa;
  • L’Organizzazione abbia il diritto di Audit, di accedere alle informazioni memorizzate o processate da parte del fornitore, previo un ragionevole preavviso;
  • Il fornitore comunichi gli incidenti relativi agli accessi non autorizzati alle informazioni, le violazioni della confidenzialità o qualunque altro avvenimento che possa influenzare PLINK;
  • Il fornitore comunichi tempestivamente all’Organizzazione ogni cambiamento alla fornitura che possa impattare sull’Organizzazione stessa, compresi cambiamenti societari;
  • Con la presente l’Azienda notifica i fornitori che esegue la valutazione periodica della performance monitorando i livelli del servizio (on time delivery, logistica) e qualità (la presenza delle non-conformità, IT security incidents) e nel caso del peggioramento della performance si riserva di contattare il fornitore per stabilire le azioni di miglioramento.

6. Sicurezza negli accordi

La politica di Sicurezza Informazioni negli accordi con i fornitori e partner impone il livello di sicurezza e riservatezza nelle informazioni trattate più appropriato al caso specifico. Il rapporto viene instaurato solo a seguito di verifica del fornitore tramite questionario di valutazione.
Di volta in volta ai fornitori potrà essere richiesto di organizzare e strutturare l’erogazione di servizi e prodotti in modo da ridurre al minimo i rischi relativi alla sicurezza delle informazioni tramite formalizzazione a livello contrattuale.
È compito dei fornitori garantire almeno la stessa attenzione alla sicurezza delle informazioni prestata da PLINK nei confronti dei suoi sub-fornitori.

7. Monitoraggio e riesame dei servizi

PLINK utilizza un sistema di classificazione dei fornitori in base alla loro influenza sulla sicurezza delle informazioni analizzando l’impatto sulla riservatezza, sull’integrità e sulla disponibilità delle informazioni.
Viene verificata, in base alle vigenti policy in azienda, la correttezza amministrativa e l’adeguatezza tecnica valutando tutti gli aspetti che impattano sull’erogazione del servizio (come, ad esempio, se le caratteristiche della fornitura sono conformi ai requisiti, o la presenza di eventuali certificazioni).

8. Gestione dei cambiamenti ai servizi

Nel caso di cambiamento alla fornitura dei servizi da parte dei fornitori, devono essere prontamente comunicate a PLINK che rivedrà le procedure di qualifica e che riprenderà in esame gli aspetti legati alla sicurezza delle informazioni all’interno degli accordi.

9. Comunicazione

La Politica nei rapporti coi fornitori viene resa disponibile sul sito aziendale ed eventuali variazioni verranno notificate via e-mail.

10. Aggiornamento

La Politica è mantenuta costantemente aggiornata ed allineata con gli indirizzi strategici della Direzione. In occasione del Riesame della Direzione ne viene verificata l’adeguatezza

11. Cessazione rapporti con il fornitore

Nell’ipotesi di cessazione dei rapporti con il fornitore, gli aspetti sulla sicurezza delle informazioni dovranno essere gestiti conformemente a quanto contrattualizzato tra le parti.