Fiducia e Sicurezza presso Agora Care
Presso Agora Care, la protezione dei dati che ci vengono affidati rappresenta una responsabilità fondamentale. Questo Trust Center descrive le misure che adottiamo per garantire la riservatezza, l'integrità e la disponibilità delle vostre informazioni. Il nostro approccio è guidato da standard riconosciuti a livello internazionale, obblighi normativi e una solida cultura interna della sicurezza e della protezione dei dati.
Gestione della sicurezza delle informazioni
Politiche e governance
Abbiamo implementato un Sistema di Gestione della Sicurezza delle Informazioni (ISMS) conforme alla norma ISO/IEC 27001. Le nostre politiche coprono tutti gli aspetti della sicurezza informatica, dal controllo degli accessi alla gestione degli incidenti. Tali politiche vengono riesaminate e aggiornate almeno una volta all’anno per garantirne l’efficacia e l’attualità.
Ruoli e responsabilità
La sicurezza è una responsabilità condivisa all'interno dell'organizzazione. I ruoli e le responsabilità in materia di sicurezza delle informazioni sono chiaramente definiti, revisionati regolarmente e integrati nella documentazione interna e negli strumenti operativi utilizzati dai nostri team.
Supervisione esterna e partecipazione settoriale
Collaboriamo con consulenti esterni fidati per audit e miglioramenti continui delle nostre pratiche di sicurezza. Partecipiamo inoltre a gruppi di lavoro e associazioni di settore per rimanere aggiornati su rischi emergenti, buone pratiche e novità normative, tra cui Clusis, The Trust Valley e l'Associazione Svizzera dei DPO.
Privacy by design e by default
Applichiamo i principi di protezione dei dati sin dall’inizio di ogni progetto. Quando vengono pianificate nuove attività di trattamento o vengono modificati processi esistenti, queste vengono esaminate e presentate al Comitato di Sicurezza per la valutazione.
Ogni cambiamento è tracciato attraverso i nostri sistemi interni per garantire responsabilità e trasparenza.
Lavoro a distanza sicuro
Il lavoro da remoto è supportato secondo standard di sicurezza elevati. I dipendenti seguono una politica formale che definisce requisiti minimi per l’utilizzo dei dispositivi, connessioni sicure, allestimento fisico della postazione di lavoro e protezione dei dati fuori dagli uffici aziendali.
Sicurezza dei dispositivi e degli endpoint
Tutte le attività professionali vengono svolte su dispositivi registrati e gestiti da Agora Care. Gli endpoint sono protetti tramite misure tecniche adeguate, come la crittografia completa del disco, restrizioni di accesso e aggiornamenti di sicurezza regolari. Monitoriamo costantemente le vulnerabilità e interveniamo in modo proattivo.
Sicurezza del personale
Il personale rappresenta una componente chiave della nostra strategia di sicurezza. Tutti i nuovi collaboratori ricevono una formazione iniziale su sicurezza delle informazioni e protezione dei dati, seguita da aggiornamenti periodici. Ogni dipendente è vincolato da un accordo di riservatezza che rimane valido anche dopo la cessazione del contratto.
Classificazione delle informazioni e gestione degli accessi
Classifichiamo i dati in base alla sensibilità e al contesto aziendale. L’accesso è gestito tramite controlli basati sui ruoli, applicati attraverso i nostri sistemi di gestione degli accessi.
Applichiamo procedure rigorose per la concessione, la revisione e la revoca degli accessi. Le politiche relative a password e autenticazione seguono le migliori pratiche e vengono aggiornate secondo l’evoluzione delle minacce.
Crittografia e protezione dei dati
Tutti i dati in transito sono crittografati con protocolli standard come TLS. Per i processi sensibili, adottiamo ulteriori livelli di crittografia e controllo degli accessi. Le pratiche di gestione dei dati vengono riesaminate regolarmente per garantirne la conformità alle normative e agli accordi contrattuali.
Sicurezza fisica e ambientale
I nostri uffici e le infrastrutture fisiche sono protetti da controlli di accesso, badge e sistemi di allarme. I collaboratori in modalità remota devono garantire un ambiente di lavoro riservato e sicuro, conforme agli standard minimi aziendali.
Sicurezza operativa
Le nostre misure operative includono:
- Un processo strutturato di gestione dei cambiamenti con valutazione del rischio
- Aggiornamenti software regolari e scansioni delle vulnerabilità
- Infrastrutture gestite con controlli di sicurezza dedicati
- Politiche che impongono configurazioni sicure per tutti i sistemi e i servizi
Rivediamo costantemente le minacce tecniche e adeguiamo i nostri controlli in modo coerente.
Canali di comunicazione sicuri
Utilizziamo strumenti di comunicazione crittografata e piattaforme sicure per lo scambio di informazioni sensibili o riservate. Tutti i collaboratori sono tenuti a utilizzare solo canali autorizzati e a seguire le linee guida aziendali per la trasmissione di segreti e dati sensibili.
Gli accordi di riservatezza rafforzano ulteriormente queste pratiche.
Sicurezza nello sviluppo e nel ciclo di vita dei sistemi
La sicurezza è integrata sin dalle prime fasi di sviluppo o acquisizione di ogni sistema o piattaforma. Le modifiche significative sono sottoposte ad analisi dei rischi e le misure di controllo vengono riesaminate lungo l’intero ciclo di vita. I sistemi forniti da terze parti devono rispettare i nostri requisiti di sicurezza prima dell’implementazione.
Gestione dei fornitori e dei partner
Richiediamo ai nostri fornitori il rispetto degli stessi standard di sicurezza applicati internamente. La nostra politica di gestione dei fornitori stabilisce criteri chiari in materia di sicurezza delle informazioni, sottoposti a revisione annuale. Conduciamo una due diligence per tutti i fornitori critici e i contratti includono clausole di protezione dei dati.
Gestione degli incidenti
Abbiamo una procedura strutturata per rilevare, segnalare e gestire gli incidenti di sicurezza. Ogni incidente viene documentato, analizzato e gestito con tempestività per ridurre l’impatto e prevenire recidive. I nostri processi vengono costantemente migliorati grazie alle esperienze acquisite.
Continuità operativa e resilienza
Disponiamo di un Piano di Continuità Operativa (BCP) che definisce come garantiamo la continuità dei servizi in caso di interruzione. Il piano prevede misure per assicurare la disponibilità e la riservatezza dei dati durante un incidente. Viene testato regolarmente e aggiornato in base ai risultati e all’evoluzione operativa.
Conformità legale e normativa
Rispettiamo la Legge federale svizzera sulla protezione dei dati (LPD), il Regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea e ogni altra normativa applicabile. Le nostre obbligazioni legali sono documentate in un registro dedicato, aggiornato regolarmente.
La conformità rappresenta per noi un pilastro essenziale per garantire la fiducia e la sicurezza.