Politica per la Qualità e la Sicurezza delle Informazioni
In conformità alle clausole 5.2 della ISO/IEC 27001:2022 e della UNI EN ISO 9001:2015.
Il Sistema di Gestione
L'erogazione di servizi di qualità e la sicurezza e la salvaguardia del patrimonio informativo costituiscono condizione imprescindibile per il raggiungimento degli obiettivi di business di AtWorkStudio S.r.l. I requisiti per la sicurezza delle informazioni sono coerenti con gli obiettivi dell'organizzazione e il Sistema di Gestione per la Qualità e la Sicurezza delle Informazioni (SGQSI) rappresenta lo strumento che consente l'individuazione di corrette best practice per il miglioramento costante della qualità aziendale, la condivisione delle informazioni, lo svolgimento di operazioni corrette e la riduzione dei rischi connessi alle informazioni a livelli accettabili.
Ambito di applicazione
Lo svolgimento delle attività aziendali deve sempre avvenire garantendo adeguati livelli di disponibilità, integrità e riservatezza delle informazioni, attraverso l'adozione di un formale SGQSI in linea con i requisiti attesi dagli stakeholder di AtWorkStudio S.r.l. e nel rispetto delle normative vigenti. Il sistema è applicato all'erogazione di servizi informatici in cloud, alla gestione continuativa dell'infrastruttura IT dei clienti e all'erogazione di servizi internet.
Obiettivi
Gli obiettivi generali del SGQSI perseguiti con l'impegno della Direzione sono dimostrare agli stakeholder di erogare servizi di qualità che seguano processi definiti e orientati al miglioramento continuo, dimostrare ai clienti la capacità di fornire con regolarità servizi sicuri massimizzando gli obiettivi di business, minimizzare il rischio di perdita e indisponibilità dei dati dei clienti pianificando e gestendo le attività a garanzia della continuità di servizio, svolgere una continua e adeguata analisi dei rischi che esamini costantemente le vulnerabilità e le minacce, rispettare le leggi e le disposizioni vigenti, i requisiti contrattuali e le procedure aziendali, promuovere la collaborazione e la consapevolezza del SGQSI da parte dei fornitori strategici e conformarsi ai principi e ai controlli stabiliti dalla ISO 9001, ISO/IEC 27001, ISO/IEC 27017 e ISO/IEC 27018:2025, nonché alle regolamentazioni in materia di privacy e sicurezza dei dati personali (GDPR).
Sicurezza dei servizi cloud
Per l'implementazione e l'erogazione dei servizi in cloud, ai sensi della ISO/IEC 27017, la Direzione si impegna ad adottare requisiti di sicurezza che tengano in considerazione i rischi derivanti dalla gestione del multi-tenancy, l'accesso agli asset cloud dei clienti da parte del personale del service provider, il controllo degli accessi amministrativi, le comunicazioni ai clienti in occasione di cambiamenti dell'infrastruttura, la sicurezza dei sistemi di virtualizzazione, la protezione dei dati dei clienti in ambiente cloud, la gestione del ciclo di vita degli account cloud e la comunicazione dei data breach.
Protezione dei dati personali
L'azienda è inoltre costantemente impegnata nella protezione dei dati personali degli interessati che gestisce, con particolare riferimento a quelli dei propri clienti. Ai sensi della ISO/IEC 27018:2025 e in accordo con il GDPR, AtWorkStudio S.r.l. agisce come Responsabile del Trattamento, dichiarando questo status e i relativi obblighi nei contratti con i clienti e nelle nomine a responsabile dei fornitori utilizzati per svolgere il trattamento.
Coinvolgimento e miglioramento continuo
Tutta l'azienda e i suoi partner sono coinvolti nella segnalazione di eventuali non conformità rispetto ai risultati attesi sulla qualità dei servizi, nella segnalazione di incidenti di sicurezza delle informazioni e di qualsiasi debolezza identificata nel SGQSI, e si impegnano a supportare l'implementazione, il riesame periodico e il miglioramento continuo del sistema.
Impegno della Direzione
Il vertice aziendale si impegna a perseguire, con i mezzi e le risorse adeguate, gli obiettivi di questa politica, con il fine ultimo del miglioramento continuo della qualità del suo operato e della sicurezza delle informazioni nell'erogazione dei suoi servizi.