1. Introduzione
Cubbit S.r.l. (Cubbit) fornisce molti servizi essenziali e funzioni aziendali che si basano su risorse tecnologiche ICT (tecnologie dell’informazione e della comunicazione). L’utilizzo delle risorse ICT deve essere in linea con le buone pratiche e procedure di lavoro professionali e deve garantire la sicurezza, l’integrità e la disponibilità di tutte le informazioni e i dati di Cubbit.
2. Scopo
Lo scopo di questa politica è quello di stabilire come devono essere utilizzate le strutture e le risorse ICT di Cubbit.
3. Ambito di applicazione
L’ambito di applicazione di questa politica si estende a tutti i dipartimenti, dipendenti, collaboratori, consulenti ed, eventualmente, appaltatori, fornitori e agenzie partner che utilizzano/accedono alle strutture ICT e alle informazioni di Cubbit, indipendentemente dalle modalità in cui la prestazione lavorativa viene svolta (presso la sede aziendale o da remoto).
Il personale esterno all’azienda riceverà un estratto della presente policy al fine di prendere atto dei contenuti rilevanti in essa presenti.
4. Dichiarazione politica
4.1 Uso del computer e di altri dispositivi informatici
- L’utilizzo delle strutture ICT è autorizzato mediante l’assegnazione di username e password per il primo accesso a cura dell’amministratore di sistema.
- Le password di accesso all’account dell’utente e del sistema sono private e non vengono condivise, visualizzate o comunicate a chiunque non abbia un diritto legittimo su tali informazioni.
- Ogni periferica di massa utilizzata (removibile o non removibile) deve essere cifrata e la chiave di cifratura deve restare ad esclusiva conoscenza dell’utente e dell’amministratore di sistema nel caso di dispositivo di proprietà aziendale. Qualora non fosse possibile cifrare l’intero disco, come requisito minimo deve essere cifrata la porzione di disco destinata all’archiviazione dei dati relativi a Cubbit e alle sue attività.
- Fermo restando quanto sopra, le informazioni e i dati di Cubbit non devono essere salvati in modo permanente e per un periodo prolungato localmente sui dischi rigidi di PC desktop o laptop.
- I dati e le informazioni di Cubbit non vengono salvati su dispositivi di memorizzazione esterna, salvo quando ciò fosse indispensabile per l’interazione con una parte terza. In tali casi, i dispositivi di archiviazione esterna devono essere preventivamente approvati da Cubbit e prevedere il salvataggio in forma cifrata.
- L’accesso al PC o ad altri dispositivi informatici deve essere sempre bloccato quando ci si allontana anche se per un breve periodo di tempo dalla postazione lavorativa.
- I computer devono essere disconnessi e spenti quando non vengono utilizzati per periodi prolungati (ad esempio durante la notte) e i monitor devono essere spenti.
- Le apparecchiature informatiche fisse di Cubbit non devono essere rimosse dalla loro sede senza la gestione della linea e/o l’approvazione del dipartimento IT.
- Sui device aziendali il software di base deve essere installato esclusivamente da personale autorizzato, anche mediante assistenza da remoto (l’accesso autorizzato può includere compiti specifici che richiedono l’accesso amministrativo del personale per svolgere determinate funzioni lavorative) o in alternativa autorizzato dal dipartimento IT.
- La presenza presso la sede aziendale (o le postazioni di coworking messe a disposizione da Cubbit per dipendenti, collaboratori e consulenti) di un qualsiasi dispositivo sospetto o sconosciuto vicino o vicino a PC/laptop deve essere segnalato al reparto IT.
- I dispositivi informatici aziendali sono asset aziendali individuati da un apposito codice e vengono assegnati tramite uno specifico processo di consegna ai singoli individui. Questi ultimi hanno l’obbligo di custodire le apparecchiature informatiche affidate in modo diligente, preservandone l’integrità si dell’hardware che del software. Al termine del loro utilizzo, tutti i dispositivi portatili devono essere riposti in sicurezza o portati con sé, per eseguire la propria attività lavorativa da remoto con l’avvertenza di non lasciarli mai incustoditi.
4.2 Utilizzo di Internet, della posta elettronica e della messaggistica istantanea
Internet
- Non è consentito utilizzare i sistemi di posta elettronica di Cubbit per scopi personali.
- Il download di video, file musicali, giochi, file software e altri programmi per computer per scopi non lavorativi su dispositivi aziendali è severamente proibito soprattutto se costituiscono violazione delle leggi sul copyright.
- Non è consentito visualizzare, copiare o diffondere deliberatamente alcun materiale che:
- sia sessualmente esplicito o osceno;
- sia razzista, sessista, omofobo, molesto o in qualsiasi altro modo discriminatorio o offensivo;
- contenga materiale il cui possesso costituirebbe un reato penale;
- Promuova qualsiasi forma di attività criminale;
- Riporti contenuti di qualsiasi tipo che possano causare offesa.
I servizi software in uso (in modalità SaaS) potrebbero raccogliere informazioni relative agli accessi (log) degli utenti agli account personali e alle informazioni aziendali conservate presso le strutture ICT. Tali dati hanno la finalità di assicurare il controllo dei sistemi aziendali, necessari per poter verificare, anche a posteriori, eventuali violazioni, incidenti della sicurezza o attacchi informatici. Questa attività di controllo viene svolta nel rispetto delle regole e dei principi imposti dalla normativa vigente in materia di protezione dei dati personali e dei lavoratori.
Email e messaggistica istantanea
L’utilizzo dell’account di posta elettronica aziendale è previsto e consentito esclusivamente in connessione allo svolgimento dell’incarico lavorativo. È fatto espresso divieto di utilizzo dell’account di posta elettronica aziendale per attività diverse e comunque non compatibili.
Per le comunicazioni interne, l’azienda autorizza, fornendone apposito accesso, ed incoraggia l’utilizzo di strumenti di messaggistica istantanea e di piattaforme di collaborazione online, che rispondono ad adeguati standard di sicurezza e riservatezza. Non è consentito l’utilizzo a scopi lavorativi di strumenti di comunicazione scritta diversi da quelli appositamente approvati.
Non è consentito utilizzare il sistema di posta elettronica e messaggistica in modo offensivo. È vietato visualizzare, copiare o diffondere deliberatamente qualsiasi materiale che:
- sia sessualmente esplicito o osceno;
- sia razzista, sessista, omofobo, molesto o in qualsiasi altro modo discriminatorio o offensivo;
- contenga materiale il cui possesso costituirebbe un reato penale;
- promuova qualsiasi forma di attività criminale;
- riporti contenuti di qualsiasi tipo che possano causare offesa;
- contenga proposte indesiderate;
- sia una lettera a catena;
- costituisce spamming.
4.3 Sicurezza
I sistemi informatici sono continuamente minacciati da hacker, infezioni da virus/malware, furto di dati e apparecchiature. Cubbit deve rimanere vigile in ogni momento al fine di salvaguardare le informazioni e i dati e per proteggere la sicurezza e l’integrità di tutti i sistemi ICT.
Gli utenti di tutti i computer e dispositivi di Cubbit devono assicurarsi che ciò avvenga:
- i computer e i dispositivi informatici non devono essere consegnati a persone non autorizzate per ragioni di sicurezza;
- i computer e i dispositivi non devono essere abbandonati né lasciati incustoditi in luoghi pubblici;
- tutti i dispositivi informatici mobili portatili e le altre apparecchiature IT non devono mai essere lasciati incustoditi a bordo di un veicolo;
- i computer e i dispositivi devono essere adeguatamente protetti da danni fisici;
- i computer e i dispositivi non devono essere noleggiati, prestati o ceduti senza l’autorizzazione del dipartimento IT;
- i computer/dispositivi devono mantenere i settaggi impostati dall’amministratore di sistema che consentono di aggiornare automaticamente i sistemi operativi con le varie patch emesse dai produttori;
- tutti i computer/dispositivi che non sono più necessari o che hanno raggiunto la fine della vita utile devono essere restituiti per essere smaltiti.
4.4 Antivirus
Qualsiasi warning prodotto da software antivirus/antimalware di Cubbit in merito a minacce identificate/rilevate da virus/malware deve essere immediatamente segnalato al reparto IT.
4.5 Dispositivi personali
I dispositivi personali, che non sono di proprietà di Cubbit (per esempio, computer portatili, tablet, smartphone, penne digitali, ecc.), possono essere utilizzati, per registrare o acquisire informazioni relative a Cubbit e ai suoi servizi soltanto qualora siano state preventivamente adottate le misure di sicurezza individuate dall’azienda relative a riservatezza, integrità e disponibilità dei dati.