POLITICA DI CLASSIFICAZIONE E TRATTAMENTO DELLE INFORMAZIONI
1. Introduzione
Cubbit si impegna alla gestione sicura delle proprie informazioni e all’identificazione delle attività che necessitano di protezione. Ai fini della presente policy, per asset si intendono le funzioni, le attrezzature e le informazioni che si ritiene abbiano valore per l’organizzazione.
2. Scopo
Lo scopo di questa politica è stabilire i principi chiave per una classificazione e un trattamento adeguati delle informazioni, che si applicano sia alle informazioni in forma elettronica che a quelle in forma fisica.
3. Campo di applicazione
L’ambito di applicazione di questa politica si estende a tutte le informazioni e a tutti i documenti prodotti dalla Cubbit che sono stati considerati come aventi una classificazione di sicurezza ad essi applicata. Sono esclusi i volantini, i fascicoli di informazione e i moduli di candidatura in bianco. Le informazioni contenute in questa politica includono, ma non sono limitate a, informazioni memorizzate o condivise con qualsiasi mezzo. Ciò include informazioni elettroniche, informazioni su carta e informazioni condivise oralmente o visivamente (ad esempio conversazioni telefoniche o videoconferenze).
4. Dichiarazione politica
Tutte le informazioni di Cubbit hanno un valore per l’organizzazione, ma non tutte hanno lo stesso valore o richiedono lo stesso livello di protezione. Essere in grado di identificare il valore delle risorse informative è fondamentale per comprendere il livello di sicurezza di cui hanno bisogno. Una volta identificato il livello di sicurezza appropriato, è possibile implementare il controllo appropriato per prevenire la perdita, il danneggiamento o la compromissione delle attività, l’interruzione delle attività aziendali e la prevenzione della compromissione o del furto di strutture per l’elaborazione delle informazioni. L’errata classificazione delle attività può comportare l’implementazione di controlli inadeguati o non corretti a tutela delle stesse.
4.1 Classificazione delle informazioni
Le risorse informative sono classificabili in una delle tre categorie seguenti. L’attività informativa deve essere adeguatamente etichettata per garantire che la sua classificazione sia facilmente identificabile.
| Classificazione | Descrizione | Restrizioni | Esempi |
| 🔴 Strettamente riservato | Informazioni la cui divulgazione non autorizzata (anche all’interno dell’organizzazione) potrebbe causare un grave danno in termini di perdite finanziarie, azioni legali o perdita di reputazione. | L’accesso è limitato all’Executive Management e al personale con ruoli e autorizzazioni specifici o con diritti di accesso previsti dalla legge (need-to-know basis). | Controversie legali, pendenti o minacciate;Verbali disciplinari; Rapporti di audit; Consulenze e rapporti personali sulla salute sul lavoro. |
| 🟡 Riservato | Informazioni generalmente disponibili a chiunque all’interno delle aree di Cubbit e che contengono valore commerciale, tecnologico o patrimoniale per l’organizzazione o che richiedono protezione a causa di dati personali. L’accesso non autorizzato potrebbe influenzare l’efficacia operativa della Società, causare importanti perdite finanziarie, fornire un guadagno significativo per un concorrente, o causare un grave calo nella fiducia dei Clienti. L’integrità delle informazioni è di vitale importanza. | L’accesso è limitato al personale interno dell’organizzazione in relazione alla sua attività lavorativa. | Piani di continuità operativa. Procedure informatiche relative all’infrastruttura aziendale. Fascicoli personali. Contratti.File sensibili dal punto di vista commerciale Codice sorgenteDocumentazione tecnica Elaborazione di piani di servizioKnow-how utilizzato per elaborare le informazioni del ClienteProcedure operative utilizzate dall’Azienda |
| 🟢 Pubblico | Informazioni che possono essere rese disponibili al pubblico e che non causerebbero danni o pregiudizi se divulgate | Nessuna | Orari di apertura dell’ufficio. Business number. Politiche e procedure. Statistiche e indicatori di performance. Informazioni generali. |
Se le informazioni sono raggruppate, la classificazione più elevata si applica a tutte le informazioni del gruppo.
Quando le informazioni appartengono a una delle categorie: “RISERVATO” o “STRETTAMENTE RISERVATO” queste devono essere classificate utilizzando i rispettivi tag. Pertanto, il funzionario responsabile del trattamento o della gestione di un documento, in particolare se si sta valutando l’opportunità della divulgazione di un documento, DEVE considerare il contenuto dell’informazione o del dato contenuto nel documento al fine di determinare correttamente le modalità di trattamento dello stesso. L’etichettatura di un documento non prevale sugli obblighi di Cubbit ai sensi della legge sulla protezione dei dati.
Quando si crea un documento individuale, l’autore del documento deve aggiungere lo stato di classificazione al documento, preferibilmente nell’intestazione del documento.
Lo stato di classificazione di un documento può cambiare nel tempo (ad esempio, un documento può avere una classificazione ristretta all’inizio del suo ciclo di vita, ma questa può essere declassata a una classificazione controllata con il passare del tempo). È essenziale rivedere regolarmente le classificazioni.
4.2 Gestione delle informazioni
La seguente tabella fornisce una guida alla gestione elettronica delle informazioni per le classificazioni descritte nella sezione 4.1. Tutte le informazioni devono essere conservate e trattate come specificato nelle procedure di classificazione e trattamento delle informazioni.
| Azione | Pubblico | Riservato | Strettamente riservato |
| Visualizzazione / processo tramite accesso remoto crittografato / Strong authentication (MFA) | X | X | X |
| Visualizza / processo attraverso accesso remoto non crittografato | X | X | X |
4.3 Trasmissione delle informazioni
La tabella seguente fornisce orientamenti sui metodi di trasmissione delle informazioni per le classificazioni di cui al punto 4.1.
| Metodo di trasmissione | Pubblico | Riservato | Strettamente riservato |
| Per posta ordinaria ITA / UE Destinazioni*. | X | X | X |
| Per raccomandata / consegna speciale verso destinazioni ITA / EU | X | X | X |
| Tramite corriere per ITA / UE | X | X | X |
| Tramite e-mail crittografata interni all’organizzazione** | X | X | X |
| Tramite e-mail non crittografata esterno a Cubbit verso destinazioni ITA/UE | X | X | X |
| Tramite e-mail crittografata esterna a Cubbit verso destinazioni non ITA/UE | X | X | X |
| Trasmissione sicura collegamento cioè VPN | X | X | X |
| Tramite supporti crittografati (ad es. chiavi USB crittografate) | X | X | X |
| Conferenze telefoniche e video | A condizione che il chiamante sia stato identificato e abbia il diritto di ricevere le informazioni e che la chiamata non si trovi in un’area pubblica. | A condizione che il chiamante sia stato identificato e abbia il diritto di ricevere le informazioni e che la chiamata non si trovi in un’area pubblica. | |
| Testo/Multimediale/Messaggistica istantanea non cifrata end to end per impostazione predefinita (es. Facebook Messenger, Instagram, Telegram default) | X | X | X |
| Testo/Multimediale/Messaggistica istantanea con crittografia end to end (Whatsapp, Telegram chat segreta, Signal) o at rest e in transit (Slack) | X | X | X |
Si deve considerare se sia necessaria una consegna speciale o raccomandata.
L’e-mail della società è crittografata solo durante il trasporto. I delegati alle caselle di posta elettronica devono essere considerati come aventi gli stessi diritti di accesso alle informazioni contenute nell’e-mail del proprietario della casella di posta elettronica. Il proprietario della casella email è responsabile della revisione di chi ha delegato l’accesso alla propria casella di posta elettronica.
Se non diversamente indicato, le e-mail di Cubbit sono classificate come ‘RISERVATO’.