carVertical

Politica di sicurezza delle informazioni

1. La politica di sicurezza delle informazioni (di seguito denominata “Politica”) è il documento principale del sistema di gestione della sicurezza delle informazioni (di seguito denominato ‘ISMS’) di UAB cV Group (di seguito denominato “cV Group” o “Società”). I documenti ISMS e/o parti separate degli stessi possono essere forniti alle parti coinvolte nell’accesso alle informazioni di cV Group.

2. Lo scopo della politica è quello di presentare la posizione della direzione di cV Group in materia di sicurezza delle informazioni e di proteggere tutte le informazioni verbali, scritte ed elettroniche ricevute, inviate, create, gestite e utilizzate da cV Group da tutte le possibili minacce: esterne, interne, intenzionali o accidentali, che potrebbero compromettere le attività e la reputazione di cV Group.

3. Per implementare gli obiettivi dell'ISMS, sono stati stabiliti i seguenti obiettivi di sicurezza delle informazioni:

  • garantire e gestire la sicurezza delle informazioni, tenendo conto degli obiettivi strategici di cV Group relativi alla fornitura dei propri servizi;
  • garantire e gestire la conformità ai requisiti di sicurezza delle informazioni esterni e interni, effettuando valutazioni periodiche di conformità ed eliminando le discrepanze individuate;
  • garantire la risoluzione delle violazioni della sicurezza delle informazioni e l'eliminazione delle cause che le hanno determinate, implementando la gestione degli incidenti relativi alla sicurezza delle informazioni;
  • garantire la selezione e l'implementazione adeguate delle misure di sicurezza e trattamento delle informazioni, effettuando una valutazione annuale dei rischi e implementando le misure di sicurezza delle informazioni richieste;
  • garantire l'efficacia delle misure di sicurezza delle informazioni applicate;
  • garantire l'adeguatezza del piano di gestione della continuità operativa, sottoponendolo a revisioni e test periodici.

4. Le informazioni sono una risorsa strategicamente importante per le operazioni svolte da cV Group, pertanto la loro perdita, alterazione illegale, compromissione, divulgazione o interruzione del trattamento delle informazioni può determinare interruzioni delle operazioni svolte da cV Group. Di conseguenza, la presente politica di gestione della sicurezza delle informazioni stabilisce le linee guida di base che tutti i dipendenti, gli appaltatori e le altre parti coinvolte che intrattengono rapporti commerciali con cV Group cV si impegnano a rispettare.

5. La politica di gestione della sicurezza delle informazioni si applica a tutti i processi aziendali di cV Group relativi ai servizi forniti e comprende informazioni verbali e scritte, sistemi informativi, reti informatiche, ambiente fisico, ambiente virtuale, dipendenti, parti coinvolte, partner, appaltatori o altre persone che lavorano presso cV Group, compresi i dipendenti che lavorano per conto di terzi e quelli incaricati del trattamento legale delle informazioni relative a cV Group.

6. La sicurezza delle informazioni comprende tre aspetti principali:

  • riservatezza delle informazioni - protezione delle informazioni dalla divulgazione non autorizzata;
  • integrità delle informazioni - protezione delle informazioni da modifiche non autorizzate o accidentali;
  • accessibilità delle informazioni: garanzia che le informazioni siano accessibili quando necessario per il corretto svolgimento delle attività di cV Group.

7. Lo scopo delle normative è quello di:

  • salvaguardare le risorse informative, compresi i dati dei clienti ricevuti da varie fonti e da terzi, garantendone la riservatezza, l'integrità, l'accessibilità e gli aspetti tangibili (ad esempio, dispositivi informatici e di comunicazione, locali, ecc.) e intangibili (ad esempio, reputazione, immagine);
  • determinare la responsabilità in materia di sicurezza delle informazioni;
  • fornire riferimenti ai documenti di sicurezza che costituiscono il sistema di gestione della sicurezza delle informazioni.

8. I documenti ISMS devono essere sottoposti a revisione almeno una volta all'anno.

9. L'implementazione dei requisiti di sicurezza delle informazioni da parte di cV Group è garantita e gestita attraverso una pianificazione, implementazione, valutazione e miglioramenti costanti dell'ISMS in conformità con i requisiti della norma ISO/IEC 27001 (e delle sue ultime versioni)

10. L'ambito della certificazione dell'ISMS di cV Group comprende tutti i prodotti informatici e i relativi progetti del gruppo di società.

11. La gestione della sicurezza delle informazioni presso cV Group si basa sulla gestione dei rischi. La valutazione dei rischi per la sicurezza delle informazioni pone le condizioni affinché le misure di gestione della sicurezza delle informazioni applicate nelle attività di cV Group soddisfino gli obiettivi principali delle attività di cV Group e della sicurezza delle informazioni.

12. I rischi per la sicurezza delle informazioni relative a cV Group vengono valutati ogni anno solare in base alla politica di valutazione dei rischi approvata. Durante la valutazione dei rischi per la sicurezza delle informazioni è opportuno effettuare una revisione del contesto aziendale.

13. La politica è applicabile anche a carVertical OÜ, che applica i requisiti per le terze parti descritti nella Politica.