Qualità e sicurezza certificate, dal data center al dato personale.

Nome della società	2000Net S.R.L.
Data di entrata in vigore	05/09/2025
Classificazione	Pubblico

Scopo

L'organizzazione promuove politiche produttive e di erogazione del servizio che contemplino le esigenze di sviluppo economico e di creazione di valore, proprie delle attività di impresa ad esso riconducibili, con le esigenze di rispetto e salvaguardia dell'ambiente, della responsabilità sociale e della sicurezza delle informazioni e dei dati. Si impegna inoltre a rispettare la normativa vigente, incoraggiando la diffusione di una cultura del rispetto dei principi legali.

Campo di applicazione

Questo documento definisce la politica generale per il Sistema di Gestione della Sicurezza delle Informazioni (SGSI) di 2000Net S.R.L. Stabilisce l'impegno del Top Management e i principi fondamentali per la protezione degli asset informativi, in conformità con lo standard ISO/IEC 27001. La politica si applica a tutti i processi, le risorse e il personale dell'azienda, fornendo il quadro di riferimento per garantire la resilienza, l'integrità e la disponibilità dei servizi erogati.

Riferimenti normativi

• ISO/IEC 27001:2022 — Information security, cybersecurity and privacy protection — Information security management systems — Requirements.
• Regolamento (UE) 2016/679 (GDPR) — Regolamento Generale sulla Protezione dei Dati.
• D.Lgs. 196/2003 e s.m.i. — Codice in materia di protezione dei dati personali.

Impegno e obiettivi del sistema di gestione

Il Top Management di 2000Net S.R.L., in linea con la propria missione di partner tecnologico di fiducia per la comunicazione digitale e la trasformazione digitale di aziende e pubbliche amministrazioni, istituisce e sostiene la presente Politica del Sistema di Gestione. Questa politica è il quadro di riferimento per la protezione degli asset informativi e per garantire la resilienza, l'integrità e la disponibilità dei servizi erogati, in conformità con lo standard ISO/IEC 27001. La Direzione si impegna a perseguire i seguenti principi fondamentali:

• Definizione degli obiettivi di sicurezza — La politica fornisce il quadro per la definizione e il riesame periodico degli obiettivi, allineati alle strategie aziendali, alle analisi del contesto e ai requisiti delle parti interessate.
• Soddisfacimento dei requisiti applicabili — Rispetto di tutti i requisiti legali, normativi e contrattuali in materia di sicurezza delle informazioni, integrato in ogni processo aziendale.
• Miglioramento continuo — Miglioramento di idoneità, adeguatezza ed efficacia del SGSI tramite monitoraggio delle prestazioni, audit interni e riesame della direzione.
• Assegnazione di ruoli e responsabilità — La sicurezza è una responsabilità condivisa da tutto il personale; ruoli e responsabilità sono definiti e formalizzati nel "MOD Mansionario".
• Gestione basata sul rischio — Valutazione continua dei rischi per identificare le minacce, valutarne gli impatti e implementare controlli proporzionati per il loro trattamento.

Ruoli e responsabilità

• Top Management (Direzione) — Definisce e sostiene la politica, impegnandosi a perseguirne i principi e a migliorare continuamente l'efficacia del SGSI.
• Responsabile del sistema di gestione — Assicura che la politica sia mantenuta, comunicata, compresa e applicata, supervisionando l'implementazione e la manutenzione del SGSI in conformità con la ISO/IEC 27001.

Archiviazione e aggiornamenti

Il documento è gestito in forma controllata, archiviato secondo le procedure interne e sottoposto a riesame periodico, e comunque ogni qualvolta se ne ravvisi la necessità, al fine di garantirne la continua idoneità, adeguatezza ed efficacia.

Nome della società	2000Net S.R.L.
Data di entrata in vigore	05/09/2025
Classificazione	Pubblico

Scopo

Lo scopo della presente politica è dichiarare e comunicare l'impegno del Top Management verso la protezione degli asset informativi dell'organizzazione. Il documento definisce il quadro per istituire, attuare, mantenere e migliorare continuamente il SGSI, al fine di proteggere riservatezza, integrità e disponibilità delle informazioni e di supportare gli obiettivi strategici aziendali.

Campo di applicazione

La politica definisce i principi e gli obiettivi strategici per la gestione della sicurezza delle informazioni in 2000Net S.R.L., a protezione degli asset informativi aziendali e dei clienti. Si applica a tutto il personale, ai collaboratori esterni e a tutti i processi e sistemi informativi gestiti dall'azienda.

Riferimenti normativi

• ISO/IEC 27001:2022 — Sistemi di gestione della sicurezza delle informazioni — Requisiti.
• ISO/IEC 27002:2022 — Controlli di sicurezza delle informazioni.
• Regolamento (UE) 2016/679 (GDPR) — Protezione delle persone fisiche rispetto al trattamento dei dati personali.

Termini e definizioni

• Asset — Qualsiasi cosa che abbia valore per l'organizzazione.
• Riservatezza — Le informazioni non sono rese disponibili o divulgate a soggetti non autorizzati.
• Integrità — Proprietà di accuratezza e completezza.
• Disponibilità — Proprietà di essere accessibile e utilizzabile su richiesta da un'entità autorizzata.

Obiettivi di sicurezza delle informazioni

• Protezione degli asset informativi — Tutela di tutte le informazioni, aziendali e affidate da clienti e partner, da accessi, modifiche, divulgazioni o distruzioni non autorizzate.
• Garanzia della continuità operativa — Mantenimento dell'operatività dei servizi ICT e dei processi critici, minimizzando l'impatto degli incidenti.
• Conformità normativa e contrattuale — Rispetto di tutti i requisiti legali, normativi e contrattuali applicabili.
• Miglioramento continuo — Promozione di una cultura della sicurezza e miglioramento costante dell'efficacia del SGSI tramite un approccio basato sul rischio.

Principi fondamentali

Uso accettabile delle risorse. Tutti gli asset informativi sono di proprietà aziendale e utilizzabili solo per scopi lavorativi autorizzati. L'accesso è regolato dal principio del minimo privilegio e tracciato nel "Registro degli utenti autorizzati all'uso delle informazioni".

Segnalazione degli eventi. Tutto il personale ha l'obbligo di segnalare tempestivamente eventi di sicurezza osservati o sospetti, attraverso i canali ufficiali e secondo la relativa procedura di gestione degli incidenti.

Scrivania pulita e schermo pulito. I documenti e i supporti rimovibili sono custoditi sotto chiave a postazione incustodita; le postazioni adottano un salvaschermo protetto da password con attivazione automatica entro 900 secondi (15 minuti).

Sicurezza degli asset fuori sede. Gli asset utilizzati fuori dalle sedi sono protetti con la stessa diligenza applicata in ufficio e formalizzati tramite il "MOD Modulo di assegnazione dei beni".

Lavoro da remoto

• Connessione VPN aziendale con autenticazione a più fattori per accedere alle risorse di rete interne.
• Misure di protezione della rete domestica, come la modifica delle credenziali predefinite del Wi-Fi.
• Divieto di utilizzo di reti Wi-Fi pubbliche non sicure per la trasmissione di informazioni aziendali, se non tramite VPN.
• Antivirus e firewall approvati dall'azienda installati e attivi sui dispositivi.

Archiviazione e aggiornamenti

Il documento è archiviato in formato digitale controllato e riesaminato con cadenza almeno annuale, o a seguito di cambiamenti significativi nel contesto organizzativo, tecnologico o normativo. Gli aggiornamenti sono gestiti dal Responsabile del sistema di gestione e approvati dalla Direzione.