Per fornire le nostre prestazioni con successo e soprattutto in modo sostenibile, sono di fondamentale importanza la riservatezza, la disponibilità, l’integrità e la tracciabilità dei nostri valori informativi.
A tale scopo abbiamo creato un sistema di gestione della sicurezza delle informazioni (ISMS). Questo sistema è conforme alla direttiva UFAS «Direttive sulle esigenze in materia di sicurezza delle informazioni e della protezione dei dati dei sistemi d’informazione degli organi d’esecuzione del 1° pilastro/assegni familiari (D-SIPD)». A partire dal 2025, l’ISMS viene sottoposto a un controllo esterno e migliorato costantemente.
Questo documento descrive i principi fondamentali per la protezione adeguata di tutti i valori informativi da minacce di qualsiasi tipo, sia interne che esterne, intenzionali o accidentali. Tali principi hanno lo scopo di proteggere le informazioni nella misura richiesta dall’attività aziendale.
Lo scopo dell’ISMS è la protezione dei nostri valori informativi (dati, documenti, infrastruttura di sicurezza delle informazioni) riguardo ai 4 obiettivi di protezione da possibili minacce (p.es. attacchi di hacker o pubblicazione accidentale di documenti riservati).
L’ISMS si applica a tutta la cassa di compensazione.
Gli obiettivi di protezione qui indicati sono requisiti stabiliti dalla direzione della cassa per quanto riguarda la riservatezza, la disponibilità e l’integrità dei dati. I livelli o «gruppi di protezione» qui definiti vengono utilizzati, tra l’altro, per la tipizzazione dell’elenco dei valori.
Invece, l’analisi delle esigenze di protezione (AKIS) serve a determinare se è necessario un livello di protezione più elevato oppure no.
Obiettivo di protezione (in conformità a OPDa art. 2): accesso consentito solo a una cerchia di persone opportunamente autorizzate.
Comprensione della cassa di compensazione: devono essere protetti tutti i dati personali, in special modo i dati personali particolarmente sensibili secondo LPD art. 5c. Ciò include i dati relativi al contesto dei nostri clienti, così come i dati dei nostri collaboratori o partner. Il termine gruppo di protezione comprende anche altri dati sensibili, come ad esempio segreti commerciali o dati di progetto.
| Livello | Descrizione | Esempi |
| Pubblico | – Tutte le informazioni non interne o riservate | – Sito Internet – Post sui social media – Ultime notizie e comunicati stampa |
Interno | – Tutti i dati personali non particolarmente sensibili (in conformità a LPD art. 5c) – Tutti i dati aziendali e di progetto interni non riservati | – Dati dei collaboratori – Tutti gli altri dati personali, come ad esempio i collaboratori dei clienti e partner commerciali |
Riservato | – Tutti i dati personali particolarmente sensibili (in conformità a LPD art. 5c) – Tutte le informazioni interne, la cui pubblicazione potrebbe danneggiare la competitività o la reputazione della cassa. | – Dati/documenti su indennità giornaliere o rendite AI – Dossier dei propri collaboratori – Contabilità finanziaria – Documenti direzione aziendale – Progetti di rete del reparto informatico |
Obiettivo di protezione (in conformità a OPDa art. 2): le informazioni sono disponibili per scopi autorizzati in tempi sufficientemente rapidi.
Comprensione della cassa di compensazione: vogliamo essere disponibili per i nostri clienti in misura ragionevole. Ciò vale per la nostra disponibilità a fornire informazioni di persona o telefonicamente e, naturalmente, anche per la piattaforma clienti connect. Con opportune misure (p.es. backup, ridondanza dei sistemi critici) riduciamo al minimo il rischio di interruzioni del sistema. Nel contempo ci prepariamo per scenari catastrofici.
| Livello | Durata massima d’inattività | Descrizione | Esempi |
| Normale | < 1 giorno | Tutti i restanti dati | |
| Alto | > 1 giorno | Tutti quei dati necessari in connect per i membri e i futuri assicurati | Elenco di tutti i collaboratori, conto corrente |
Obiettivo di protezione (in conformità a OPDa art. 2): i dati non possono essere modificati in modo non autorizzato o involontario (integrità). Le modifiche dei dati devono essere tracciabili (tracciabilità).
Comprensione della cassa di compensazione: in questo obiettivo di protezione riassumiamo principalmente i requisiti di tracciabilità (o verbalizzazione). Il nostro sistema principale AKIS comprende ampie misure di verbalizzazione. Misure speciali per questo obiettivo di protezione sono quindi necessarie solo al di fuori di AKIS. Vedasi anche OPDa art. 4.
Nota: nel nostro ISMS l’obiettivo di protezione della tracciabilità è sempre incluso come parte dell’obiettivo d’integrità.
| Livello | Descrizione | Esempi |
| Normale | Tutti i restanti dati | |
| Alto | Tutti i dati relativi ai diritti alle prestazioni | – Dati relativi ai diritti a rendite, indennità giornaliere AI, assegni familiari e molto altro. – Conto individuale – Conto corrente |
La seguente tabella mostra i ruoli principali responsabili della creazione e del mantenimento dell’ISMS. Inoltre, qui è anche definita la percentuale (%) di un posto a tempo pieno da dedicare al funzionamento ricorrente dell’ISMS.
| Ruolo | Compiti principali (cifre secondo appendice A della norma 2022) |
| ISI (Incaricato della Sicurezza delle Informazioni) | – Responsabilità generale per ISMS |
| – Offre consulenza alla cassa di compensazione riguardo ai temi di protezione dei dati | |
| CPD (Consulente per la Protezione dei Dati) | – Comunicazione in scenari catastrofici |
| – Responsabile e punto di contatto per la gestione degli incidenti | |
| Responsabile della comunicazione | – Sicurezza fisica |
Il funzionamento dell’ISMS segue il principio PDCA, che costituisce il principio di base del miglioramento continuo.
Controlli e misurazioni, così come corsi di sensibilizzazione per i collaboratori, garantiscono che le carenze vengano rilevate tempestivamente. Un audit interno assicura inoltre che le carenze non vengano rilevate solo durante la revisione ordinaria.
| Contenuto | Collaboratori | Clienti | Autorità | Stampa |
| Informazioni generali sul tema ISDS | ISI | Responsabile cassa di compensazione [1] | Responsabile cassa di compensazione [1] | — |
| Orientamento sugli incidenti di sicurezza | ISI | Responsabile cassa di compensazione [1] | Responsabile cassa di compensazione [1] | Responsabile cassa compensazione in accordo con l’UFAS |
Un elemento importante per un’elevata sicurezza delle informazioni è rafforzare la consapevolezza dei collaboratori. In tal senso offriamo ai nostri collaboratori moduli di e-learning.
| Cerchia di persone | Data | Misura | Responsabile |
| Collaboratori (tutti) | Nuovo ingresso in azienda | Entro i primi tre giorni lavorativi vengono spiegate al nuovo collaboratore le norme sull’uso dell’IT. | Responsabile HR |
| Collaboratori (tutti) | Nuovo ingresso in azienda | Al momento dell’assunzione vengono attivati gli attuali moduli di e-learning di infosec, che devono essere completati entro un mese. | Responsabile IT |
| Collaboratori (tutti) | Nuovi moduli di e-learning vengono attivati da IGAKIS | I nuovi moduli di e-learning attivati vengono valutati dall’IT e viene stimato il tempo necessario per completarli. | ISI |
| Collaboratori (tutti) | Periodico | Eventi informativi interni | ISI |
| Collaboratori (tutti) | Periodico | Corsi di sensibilizzazione (incl. test) | ISI |
Gli incidenti di sicurezza si verificheranno anche se avremo adottato misure adeguate. I collaboratori sono invitati a segnalare qualsiasi tipo di osservazione, evento o incidente.
Punti importanti:
| Tipo di fornitore | Regola |
| Fornitori di IGAKIS come p.es. M&S | Un controllo di sicurezza di questi fornitori viene effettuato da IGAKIS. |
| Altri fornitori | I fornitori elencati nella «lista dei fornitori» devono essere verificati annualmente riguardo ai seguenti punti: – Esiste una regolamentazione contrattuale – La relazione commerciale è ancora attuale – Referente con coordinate – Esiste un accordo di riservatezza La lista dei fornitori fa parte del cosiddetto manuale di emergenza. |