Fiducia e Sicurezza presso Agora Care

Presso Agora Care, la protezione dei dati che ci vengono affidati rappresenta una responsabilità fondamentale. Questo Trust Center descrive le misure che adottiamo per garantire la riservatezza, l'integrità e la disponibilità delle vostre informazioni. Il nostro approccio è guidato da standard riconosciuti a livello internazionale, obblighi normativi e una solida cultura interna della sicurezza e della protezione dei dati.

Gestione della sicurezza delle informazioni

Politiche e governance

Abbiamo implementato un Sistema di Gestione della Sicurezza delle Informazioni (ISMS) conforme alla norma ISO/IEC 27001. Le nostre politiche coprono tutti gli aspetti della sicurezza informatica, dal controllo degli accessi alla gestione degli incidenti. Tali politiche vengono riesaminate e aggiornate almeno una volta all’anno per garantirne l’efficacia e l’attualità.

Ruoli e responsabilità

La sicurezza è una responsabilità condivisa all'interno dell'organizzazione. I ruoli e le responsabilità in materia di sicurezza delle informazioni sono chiaramente definiti, revisionati regolarmente e integrati nella documentazione interna e negli strumenti operativi utilizzati dai nostri team.

Supervisione esterna e partecipazione settoriale

Collaboriamo con consulenti esterni fidati per audit e miglioramenti continui delle nostre pratiche di sicurezza. Partecipiamo inoltre a gruppi di lavoro e associazioni di settore per rimanere aggiornati su rischi emergenti, buone pratiche e novità normative, tra cui Clusis, The Trust Valley e l'Associazione Svizzera dei DPO.

Privacy by design e by default

Applichiamo i principi di protezione dei dati sin dall’inizio di ogni progetto. Quando vengono pianificate nuove attività di trattamento o vengono modificati processi esistenti, queste vengono esaminate e presentate al Comitato di Sicurezza per la valutazione.

Ogni cambiamento è tracciato attraverso i nostri sistemi interni per garantire responsabilità e trasparenza.

Lavoro a distanza sicuro

Il lavoro da remoto è supportato secondo standard di sicurezza elevati. I dipendenti seguono una politica formale che definisce requisiti minimi per l’utilizzo dei dispositivi, connessioni sicure, allestimento fisico della postazione di lavoro e protezione dei dati fuori dagli uffici aziendali.

Sicurezza dei dispositivi e degli endpoint

Tutte le attività professionali vengono svolte su dispositivi registrati e gestiti da Agora Care. Gli endpoint sono protetti tramite misure tecniche adeguate, come la crittografia completa del disco, restrizioni di accesso e aggiornamenti di sicurezza regolari. Monitoriamo costantemente le vulnerabilità e interveniamo in modo proattivo.

Sicurezza del personale

Il personale rappresenta una componente chiave della nostra strategia di sicurezza. Tutti i nuovi collaboratori ricevono una formazione iniziale su sicurezza delle informazioni e protezione dei dati, seguita da aggiornamenti periodici. Ogni dipendente è vincolato da un accordo di riservatezza che rimane valido anche dopo la cessazione del contratto.

Classificazione delle informazioni e gestione degli accessi

Classifichiamo i dati in base alla sensibilità e al contesto aziendale. L’accesso è gestito tramite controlli basati sui ruoli, applicati attraverso i nostri sistemi di gestione degli accessi.

Applichiamo procedure rigorose per la concessione, la revisione e la revoca degli accessi. Le politiche relative a password e autenticazione seguono le migliori pratiche e vengono aggiornate secondo l’evoluzione delle minacce.

Crittografia e protezione dei dati

Tutti i dati in transito sono crittografati con protocolli standard come TLS. Per i processi sensibili, adottiamo ulteriori livelli di crittografia e controllo degli accessi. Le pratiche di gestione dei dati vengono riesaminate regolarmente per garantirne la conformità alle normative e agli accordi contrattuali.

Sicurezza fisica e ambientale

I nostri uffici e le infrastrutture fisiche sono protetti da controlli di accesso, badge e sistemi di allarme. I collaboratori in modalità remota devono garantire un ambiente di lavoro riservato e sicuro, conforme agli standard minimi aziendali.

Sicurezza operativa

Le nostre misure operative includono:

  • Un processo strutturato di gestione dei cambiamenti con valutazione del rischio
  • Aggiornamenti software regolari e scansioni delle vulnerabilità
  • Infrastrutture gestite con controlli di sicurezza dedicati
  • Politiche che impongono configurazioni sicure per tutti i sistemi e i servizi

Rivediamo costantemente le minacce tecniche e adeguiamo i nostri controlli in modo coerente.

Canali di comunicazione sicuri

Utilizziamo strumenti di comunicazione crittografata e piattaforme sicure per lo scambio di informazioni sensibili o riservate. Tutti i collaboratori sono tenuti a utilizzare solo canali autorizzati e a seguire le linee guida aziendali per la trasmissione di segreti e dati sensibili.

Gli accordi di riservatezza rafforzano ulteriormente queste pratiche.

Sicurezza nello sviluppo e nel ciclo di vita dei sistemi

La sicurezza è integrata sin dalle prime fasi di sviluppo o acquisizione di ogni sistema o piattaforma. Le modifiche significative sono sottoposte ad analisi dei rischi e le misure di controllo vengono riesaminate lungo l’intero ciclo di vita. I sistemi forniti da terze parti devono rispettare i nostri requisiti di sicurezza prima dell’implementazione.

Gestione dei fornitori e dei partner

Richiediamo ai nostri fornitori il rispetto degli stessi standard di sicurezza applicati internamente. La nostra politica di gestione dei fornitori stabilisce criteri chiari in materia di sicurezza delle informazioni, sottoposti a revisione annuale. Conduciamo una due diligence per tutti i fornitori critici e i contratti includono clausole di protezione dei dati.

Gestione degli incidenti

Abbiamo una procedura strutturata per rilevare, segnalare e gestire gli incidenti di sicurezza. Ogni incidente viene documentato, analizzato e gestito con tempestività per ridurre l’impatto e prevenire recidive. I nostri processi vengono costantemente migliorati grazie alle esperienze acquisite.

Continuità operativa e resilienza

Disponiamo di un Piano di Continuità Operativa (BCP) che definisce come garantiamo la continuità dei servizi in caso di interruzione. Il piano prevede misure per assicurare la disponibilità e la riservatezza dei dati durante un incidente. Viene testato regolarmente e aggiornato in base ai risultati e all’evoluzione operativa.

Conformità legale e normativa

Rispettiamo la Legge federale svizzera sulla protezione dei dati (LPD), il Regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea e ogni altra normativa applicabile. Le nostre obbligazioni legali sono documentate in un registro dedicato, aggiornato regolarmente.

La conformità rappresenta per noi un pilastro essenziale per garantire la fiducia e la sicurezza.