Politica di sicurezza

ONE MILLION BOT, SL è un'azienda tecnologica nel campo dell'intelligenza artificiale con una vasta esperienza nell'elaborazione del linguaggio naturale (NLP) e assistenti virtuali intelligenti.

1MILLIONBOT è stata fondata nel luglio 2018 come spin off di ITYIS SIGLO XXI, SL, un gruppo economico con 20 anni di esperienza e successi nell'economia digitale.

La nostra visione aziendale è la seguente: Guidare il linguaggio che deve ancora venire, creando un'Intelligenza Artificiale +e:

+ etica

+ empatico

+ evolutivo

Questi valori si riflettono in tutti i nostri progetti, in cui assicuriamo la più rigorosa etica nell'applicazione dell'Intelligenza Artificiale, prendendoci sempre cura dell'esperienza dell'utente e garantendo flessibilità e valore crescente per le aziende e la società.  

Il nostro scopo aziendale è quello di creare soluzioni personalizzate in Intelligenza Artificiale per dare valore ai nostri clienti e alla società, sempre guidati dall'efficienza e dall'etica come principi fondamentali. 1MILLIONBOT è fortemente impegnata nell'innovazione, nel miglioramento continuo e nella qualità del servizio fornito ai propri clienti.

• quadro normativo
• Portata
• Principi e linee guida
• obiettivi
• Organizzazione per la sicurezza
• Documentazione sulla sicurezza
• Dati personali
• Gestione del rischio
• Obbligo del personale
• terzi

 

quadro normativo

Il quadro normativo sulla sicurezza informatica in cui 1MILLIONBOT svolge la propria attività è essenzialmente il seguente: 

• Legge organica 3/2018, del 5 dicembre, Protezione dei dati personali. 
• Regio decreto 1720/2007, del 21 dicembre, che approva il regolamento per lo sviluppo della legge organica 15/1999 sulla protezione dei dati personali. 
• REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/ CE. 
• Regio Decreto 3/2010, dell'8 gennaio, che regola il Sistema di Sicurezza Nazionale nel campo dell'amministrazione elettronica. 
• Regio Decreto 951/2015, del 23 ottobre, che modifica il Regio Decreto 3/2010, dell'8 gennaio, che regola il Sistema Nazionale di Sicurezza nel campo dell'Amministrazione Elettronica.
• Legge 34/2002, dell'11 luglio, sui servizi della società dell'informazione e sul commercio elettronico. 
• Regio Decreto Legislativo 1/1996, del 12 aprile, che approva il Testo Unico della Legge sulla Proprietà Intellettuale. 

Portata

Questa politica di sicurezza interessa tutti i sistemi, i lavoratori e i fornitori correlati a 1MILLIONBOT. 

L'ambito di questa politica è nei sistemi, nelle persone e nei fornitori che intervengono nei sistemi informativi che supportano i processi di progettazione, sviluppo e manutenzione di assistenti virtuali basati su intelligenza artificiale per i servizi in modalità SaaS, nonché nella progettazione, sviluppo e manutenzione di applicazioni per i servizi forniti ai clienti.

Principi e linee guida

I principi che sono contemplati da 1MILLIONBOT quando si tratta di garantire la sicurezza delle informazioni sono quelli stabiliti nell'articolo 4 del RD 3/2010, che regola il Sistema di sicurezza nazionale nel campo dell'amministrazione elettronica.

PREVENZIONE

1MILLIONBOT impedisce che informazioni o servizi vengano danneggiati da incidenti di sicurezza. Per fare ciò, i dipartimenti applicano le misure minime di sicurezza determinate dal National Security Framework, nonché ogni ulteriore controllo individuato attraverso una valutazione delle minacce e dei rischi. Tali controlli, i ruoli di sicurezza e le responsabilità di tutto il personale, sono chiaramente definiti e documentati. 

Per garantire la conformità con la politica di sicurezza, 1MILLIONBOT: 

• Autorizzare i sistemi prima di entrare in funzione
• Richiedere una revisione periodica di terze parti allo scopo di ottenere una valutazione indipendente.

RILEVAMENTO

I servizi sono costantemente monitorati per rilevare anomalie nell'erogazione dei servizi e agire di conseguenza come stabilito dall'art. 8 e dell'art. 9 dell'ENS.

Esistono meccanismi di rilevamento, analisi e segnalazione stabiliti che raggiungono i responsabili regolarmente e, soprattutto, quando si verifica uno scostamento dai parametri prestabiliti.

RISPOSTA

Esistono meccanismi per rispondere efficacemente agli incidenti di sicurezza. Una casella di posta è abilitata come canale di comunicazione per gli incidenti di sicurezza, che saranno supervisionati dal responsabile. La procedura per lo scambio di informazioni al riguardo è stabilita attraverso la procedura interna a tal fine.

RECUPERO

Per garantire la disponibilità dei servizi critici, 1MILLIONBOT ha un piano di continuità per i sistemi ICT come parte del suo piano generale per le attività di business continuity e recovery.

obiettivi

I sistemi devono essere gestiti diligentemente, adottando le misure adeguate per proteggerli da danni accidentali o dolosi che possano pregiudicare l'autenticità, la disponibilità, l'integrità, la riservatezza o la tracciabilità delle informazioni trattate o dei servizi forniti.

L'obiettivo della sicurezza delle informazioni è garantire la qualità delle informazioni e la fornitura continua di servizi, agendo preventivamente, supervisionando l'attività quotidiana e reagendo rapidamente agli incidenti.

I seguenti obiettivi sono stabiliti per l'attuale politica di sicurezza: 

1. Utilizzo delle risorse aziendali, come e-mail, accesso a Internet, computer e apparecchiature di comunicazione.
2. Gestione del patrimonio informativo inventariato, categorizzato e associato a un responsabile.
3. Meccanismi necessari affinché chiunque acceda o possa accedere ai beni informativi, conosca le proprie responsabilità e riduca così il rischio derivante dall'uso improprio dei beni. 
4. Sicurezza fisica, in modo che le risorse informative siano collocate in aree sicure, protette da controlli di accesso fisico adeguati al loro livello di criticità. I sistemi informativi e le risorse contenute in queste aree saranno sufficientemente protetti da minacce fisiche o ambientali. 
5. Sicurezza nella gestione delle comunicazioni e delle operazioni, affinché le informazioni trasmesse attraverso le reti di comunicazione siano adeguatamente protette, tenuto conto del loro livello di sensibilità e criticità, attraverso meccanismi che ne garantiscano la sicurezza. 
6. Controllo degli accessi, limitazione dell'accesso agli asset informativi da parte di utenti, processi e sistemi informativi attraverso l'implementazione di meccanismi di identificazione, autenticazione e autorizzazione in funzione della criticità di ciascun asset. 
7. Acquisizione, sviluppo e manutenzione di sistemi informativi che contemplano aspetti di sicurezza informatica in tutte le fasi del ciclo di vita dei sistemi stessi. 
8. Gestione degli incidenti di sicurezza implementando opportuni meccanismi per la corretta identificazione, registrazione e risoluzione degli incidenti di sicurezza. 
9. Gestione della continuità implementando meccanismi adeguati per garantire la disponibilità dei sistemi informativi e mantenere la continuità dei processi aziendali.

Organizzazione per la sicurezza

L'implementazione della politica di sicurezza di 1MILLIONBOT richiede che tutti i membri dell'organizzazione comprendano i propri obblighi e responsabilità in base alla posizione ricoperta.

COMITATO PER LA SICUREZZA DELLE INFORMAZIONI

La sicurezza delle informazioni è una responsabilità organizzativa condivisa dal consiglio di amministrazione di 1MILLIONBOT. Promuove, pertanto, la composizione di un Comitato per la Sicurezza delle Informazioni, al fine di definire un percorso definito e sostenere le iniziative di sicurezza.

Tale Comitato è composto, almeno, dal responsabile della sicurezza, dal responsabile dell'informazione, dal responsabile del servizio, dal responsabile dei sistemi informativi e da un presidente che sarà il responsabile ultimo delle decisioni adottato e chi guiderà le riunioni del Comitato Sicurezza, informazione, proposta e coordinamento delle attività e delle decisioni.

Questo ruolo di Presidente spetta inizialmente alla Direzione Generale di 1MILLIONBOT. 

Le funzioni del Comitato per la sicurezza delle informazioni sono le seguenti: 

• Revisione della Information Security Policy e delle principali responsabilità. 
• Definire e promuovere la strategia e la pianificazione della sicurezza informatica, proponendo l'assegnazione di budget e risorse precise. 
• Supervisione e controllo dei cambiamenti significativi nell'esposizione del patrimonio informativo alle principali minacce, nonché sviluppo e implementazione di controlli e misure volte a garantire la Sicurezza di detto patrimonio. 
• Approvazione delle principali iniziative per migliorare la Sicurezza delle Informazioni. 
• Supervisione e monitoraggio di aspetti quali: 
• Principali incidenti nella sicurezza delle informazioni.
• Predisposizione e aggiornamento dei piani di continuità.
• Compliance e diffusione delle Security Policy.

RUOLI E RESPONSABILITÀ

La struttura organizzativa, i ruoli e le responsabilità di 1MILLIONBOT sono definiti da procedura interna. I principali ruoli sono individuati come segue:

• Manager della sicurezza
• Responsabile delle informazioni
• Responsabile del servizio
• Responsabile Sistemi

El Manager della sicurezza sarà colui che prende le decisioni opportune per soddisfare i requisiti di sicurezza delle informazioni e dei servizi. Avrai le seguenti funzioni:

• Supervisionare il rispetto di questa Politica, delle sue regole e procedure derivate.
• Consulenza in materia di sicurezza ai membri del Comitato per la sicurezza che lo richiedono.
• Essere a conoscenza e supervisionare le indagini e il monitoraggio degli incidenti di sicurezza.
• Stabilire misure di sicurezza adeguate ed efficaci per soddisfare i requisiti di sicurezza stabiliti dai Responsabili dei Servizi e delle Informazioni, seguendo in ogni momento quanto richiesto nell'Allegato II dell'ENS.
• Consigliare, in collaborazione con i Responsabili dei Sistemi, i Responsabili dei Servizi e dell'Informazione, nell'effettuare l'analisi e la gestione dei rischi, presentando la relativa relazione al Comitato per la Sicurezza.
• Monitorare lo stato di sicurezza del sistema fornito dagli strumenti di gestione degli eventi di sicurezza e dai meccanismi di controllo implementati nel sistema.
• Promuovere attività di sensibilizzazione e formazione sulla sicurezza nella propria area di competenza, seguendo le linee guida del Comitato per la sicurezza.
• Effettuare o promuovere audit periodici che consentano di verificare il rispetto degli obblighi del Comitato per la sicurezza in materia di sicurezza.
• Preparare gli argomenti da discutere nelle riunioni del Comitato per la sicurezza, fornendo informazioni tempestive per il processo decisionale.
• Preparazione e revisione delle norme di sicurezza Comitato per la sicurezza.
• Approvazione delle procedure di sicurezza predisposte dal Responsabile del Sistema.

El Responsabile delle informazioni sarà titolare dello stesso ed avrà le seguenti funzioni:

• Classificare le informazioni secondo i criteri stabiliti e in ciascuna delle dimensioni di sicurezza note e applicabili (disponibilità, autenticità, tracciabilità, riservatezza e integrità).
• Lavorare in collaborazione con il responsabile della sicurezza e del sistema nella manutenzione dei servizi tecnologici.
• Eseguire l'analisi del rischio che lo compromette nonché le diverse opzioni di gestione del rischio da implementare.
• Valuta e decide, unitamente ai Responsabili del Servizio, i rischi residui calcolati nell'analisi dei rischi, ed effettua il loro monitoraggio e controllo, ferma restando la possibilità di delegare tale compito.
• Garantire l'inclusione di clausole di sicurezza nei contratti con terzi che possono avere accesso alle informazioni sulle procedure che gestisce e monitorare la conformità.

El Responsabile del servizio determinerà i requisiti dei servizi forniti, di conseguenza, avrà le seguenti funzioni:

• Stabilire i requisiti di sicurezza del servizio o, nella terminologia ENS, il potere di determinare i livelli di sicurezza dei servizi.
• Classificare i servizi secondo i criteri e le categorie stabiliti nell'ENS e in ciascuna delle dimensioni di sicurezza conosciute e applicabili (disponibilità, autenticità, tracciabilità, riservatezza e integrità), nel quadro stabilito nell'allegato I dell'ENS.
• Soddisfare i requisiti di sicurezza delle informazioni, come disponibilità, accessibilità, interoperabilità, ecc. richiesti nella fornitura di servizi.
• Garantire l'inclusione di clausole di sicurezza nei contratti con terze parti che potrebbero influire sui loro servizi e monitorarne la conformità.

El Responsabile Sistemi Informativi, nell'ambito delle loro aree di azione, saranno assegnate le seguenti funzioni:

• Sviluppo, esercizio e manutenzione del Sistema Informativo durante tutto il suo ciclo di vita, sue specifiche, installazione e verifica del suo corretto funzionamento.
• Garantire che le misure di sicurezza siano adeguatamente integrate nel quadro generale della Sicurezza delle Informazioni.
• Approva qualsiasi modifica sostanziale della configurazione di qualsiasi elemento del sistema.
• Sviluppare procedure tecniche di sicurezza per i sistemi informativi.
• Preparare piani di continuità per i sistemi informativi.
• Collabora all'esecuzione dell'analisi dei rischi dei sistemi informativi di cui è responsabile.
• Implementare, gestire e mantenere le misure di sicurezza applicabili al sistema informativo.
• Gestire, configurare e aggiornare, ove appropriato, l'hardware e il software su cui si basano i meccanismi e i servizi di sicurezza del sistema informativo.

PROCEDURE DI APPUNTAMENTO

Le nomine sono stabilite dalla Direzione Generale di 1MILLIONBOT e saranno riviste ogni 2 anni o quando la posizione diventa vacante.

Documentazione sulla sicurezza

Le linee guida per strutturare la documentazione di sistema, la sua gestione e l'accesso sono dettagliate nella procedura generale 'Gestione delle informazioni documentate'.

La documentazione relativa alla Sicurezza delle Informazioni è classificata in tre livelli, in modo che ogni documento di livello si basi su quelli di livello superiore: 

• Primo livello: Politica di sicurezza delle informazioni.
• Secondo livello: Regolamenti, policy interne e procedure di sicurezza.
• Terzo livello: Rapporti, atti e prove.

Primo livello: politica di sicurezza.

Documento obbligatorio per tutto il personale, interno ed esterno, dell'Organizzazione.

Secondo livello: Regolamenti, policy interne e procedure di sicurezza.

Conformità obbligatoria in base al corrispondente ambito organizzativo, tecnico o legale, sviluppato da 1MILLIONBOT nell'ambito del suo Sistema di Gestione, in cui sono stati inclusi gli aspetti specifici dell'ENS per soddisfare i requisiti minimi di sicurezza stabiliti nel suo articolo 11.

La responsabilità dell'approvazione dei documenti elaborati a questo livello sarà di competenza del Safety Committee.

Terzo livello: Rapporti, registrazioni e prove.

Documenti di natura tecnica che raccolgono evidenze generate durante tutte le fasi del ciclo di vita del sistema informativo, nonché minacce e vulnerabilità dei sistemi informativi.

Dati generali

Tutti i sistemi informativi di 1MILLIONBOT rispettano i livelli di sicurezza richiesti dalle normative per la natura e la finalità dei dati personali.

In applicazione del principio di responsabilità proattiva stabilito dal Regolamento generale sulla protezione dei dati (GDPR) e dal nuovo LOPD, le attività di trattamento dei dati personali sono integrate nella categorizzazione dei sistemi del Sistema di sicurezza nazionale, considerando le minacce e i rischi associati a questo tipo di trattamento.

Parimenti, sarà applicata ogni altra normativa vigente in materia di protezione dei dati personali.

Gestione del rischio

Tutti i sistemi soggetti alla presente Policy devono effettuare un'analisi dei rischi, valutando le minacce e i rischi a cui sono esposti. 

Questa analisi sarà ripetuta: 

• Regolarmente, almeno una volta all'anno. 
• Quando le informazioni gestite cambiano. 
• Quando cambiano i servizi offerti. 
• Quando si verifica un grave incidente di sicurezza. 
• Quando vengono segnalate gravi vulnerabilità. 

Per l'armonizzazione dell'analisi dei rischi, il Comitato per la sicurezza stabilirà una valutazione di riferimento per i diversi tipi di informazioni che gestisce ei diversi servizi forniti. 

Il Comitato per la Sicurezza razionalizzerà la disponibilità di risorse per soddisfare le esigenze di sicurezza dei diversi sistemi, promuovendo investimenti di natura orizzontale. 

Obbligo del personale

Tutti i membri di 1MILLIONBOT hanno l'obbligo di conoscere e rispettare la presente Politica di sicurezza delle informazioni e le Norme di sicurezza, essendo responsabilità del Comitato per la sicurezza fornire i mezzi necessari affinché le informazioni raggiungano le persone interessate. 

Tutti i membri di 1MILLIONBOT parteciperanno a una sessione di sensibilizzazione sulla sicurezza almeno una volta all'anno. Verrà istituito un programma di sensibilizzazione continua per servire tutti i membri di 1MILLIONBOT, in particolare i nuovi arrivati. 

Le persone responsabili dell'uso, del funzionamento o dell'amministrazione dei sistemi TIC riceveranno una formazione per la gestione sicura dei sistemi nella misura in cui ne hanno bisogno per svolgere il proprio lavoro. La formazione sarà obbligatoria prima di assumere una responsabilità, sia che si tratti del tuo primo incarico sia che si tratti di un cambio di lavoro o di responsabilità in esso.

terzi

Quando 1MILLIONBOT utilizza servizi di terze parti o trasferisce informazioni a terze parti, queste verranno informate della presente Politica di sicurezza e delle Norme di sicurezza relative a tali servizi o informazioni.

Detta terza parte sarà soggetta agli obblighi previsti da detto regolamento, potendo sviluppare proprie procedure operative per soddisfarlo. Saranno stabilite specifiche procedure di segnalazione e risoluzione degli incidenti. Sarà garantito che il personale di terze parti sia adeguatamente consapevole della sicurezza, almeno allo stesso livello di quello stabilito nella presente Politica. 

Quando un qualsiasi aspetto della Politica non può essere soddisfatto da terzi come richiesto nei paragrafi precedenti, sarà richiesta una relazione del Responsabile della Sicurezza che specifichi i rischi sostenuti e il modo di trattarli. Prima di procedere sarà richiesta l'approvazione di questo rapporto da parte dei responsabili dell'informazione e dei servizi interessati.