Per fornire le nostre prestazioni con successo e soprattutto in modo sostenibile, sono di fondamentale importanza la riservatezza, la disponibilit\u00e0, l\u2019integrit\u00e0 e la tracciabilit\u00e0 dei nostri valori informativi.<\/p>\n\n\n\n
A tale scopo abbiamo creato un sistema di gestione della sicurezza delle informazioni (ISMS). Questo sistema \u00e8 conforme alla direttiva UFAS \u00abDirettive sulle esigenze in materia di sicurezza delle informazioni e della protezione dei dati dei sistemi d\u2019informazione degli organi d\u2019esecuzione del 1\u00b0 pilastro\/assegni familiari (D-SIPD)\u00bb. A partire dal 2025, l\u2019ISMS viene sottoposto a un controllo esterno e migliorato costantemente.<\/p>\n\n\n\n
Questo documento descrive i principi fondamentali per la protezione adeguata di tutti i valori informativi da minacce di qualsiasi tipo, sia interne che esterne, intenzionali o accidentali. Tali principi hanno lo scopo di proteggere le informazioni nella misura richiesta dall\u2019attivit\u00e0 aziendale.<\/p>\n\n\n\n
Lo scopo dell’ISMS \u00e8 la protezione dei nostri valori informativi (dati, documenti, infrastruttura di sicurezza delle informazioni) riguardo ai 4 obiettivi di protezione da possibili minacce (p.es. attacchi di hacker o pubblicazione accidentale di documenti riservati).<\/p>\n\n\n\n
L\u2019ISMS si applica a tutta la cassa di compensazione.<\/p>\n\n\n\n
Gli obiettivi di protezione qui indicati sono requisiti stabiliti dalla direzione della cassa per quanto riguarda la riservatezza, la disponibilit\u00e0 e l’integrit\u00e0 dei dati. I livelli o \u00abgruppi di protezione\u00bb qui definiti vengono utilizzati, tra l\u2019altro, per la tipizzazione dell\u2019elenco dei valori.<\/p>\n\n\n\n
Invece, l\u2019analisi delle esigenze di protezione (AKIS) serve a determinare se \u00e8 necessario un livello di protezione pi\u00f9 elevato oppure no.<\/p>\n\n\n\n
Obiettivo di protezione (in conformit\u00e0 a OPDa art. 2): accesso consentito solo a una cerchia di persone opportunamente autorizzate.<\/p>\n\n\n\n
Comprensione della cassa di compensazione: devono essere protetti tutti i dati personali, in special modo i dati personali particolarmente sensibili secondo LPD art. 5c. Ci\u00f2 include i dati relativi al contesto dei nostri clienti, cos\u00ec come i dati dei nostri collaboratori o partner. Il termine gruppo di protezione comprende anche altri dati sensibili, come ad esempio segreti commerciali o dati di progetto.<\/p>\n\n\n\n Obiettivo di protezione (in conformit\u00e0 a OPDa art. 2): le informazioni sono disponibili per scopi autorizzati in tempi sufficientemente rapidi.<\/p>\n\n\n\n Comprensione della cassa di compensazione: vogliamo essere disponibili per i nostri clienti in misura ragionevole. Ci\u00f2 vale per la nostra disponibilit\u00e0 a fornire informazioni di persona o telefonicamente e, naturalmente, anche per la piattaforma clienti connect. Con opportune misure (p.es. backup, ridondanza dei sistemi critici) riduciamo al minimo il rischio di interruzioni del sistema. Nel contempo ci prepariamo per scenari catastrofici.<\/p>\n\n\n\n Obiettivo di protezione (in conformit\u00e0 a OPDa art. 2): i dati non possono essere modificati in modo non autorizzato o involontario (integrit\u00e0). Le modifiche dei dati devono essere tracciabili (tracciabilit\u00e0).<\/p>\n\n\n\n Comprensione della cassa di compensazione: in questo obiettivo di protezione riassumiamo principalmente i requisiti di tracciabilit\u00e0 (o verbalizzazione). Il nostro sistema principale AKIS comprende ampie misure di verbalizzazione. Misure speciali per questo obiettivo di protezione sono quindi necessarie solo al di fuori di AKIS. Vedasi anche OPDa art. 4.<\/p>\n\n\n\n Nota: nel nostro ISMS l\u2019obiettivo di protezione della tracciabilit\u00e0 \u00e8 sempre incluso come parte dell\u2019obiettivo d\u2019integrit\u00e0.<\/p>\n\n\n\n La seguente tabella mostra i ruoli principali responsabili della creazione e del mantenimento dell\u2019ISMS. Inoltre, qui \u00e8 anche definita la percentuale (%) di un posto a tempo pieno da dedicare al funzionamento ricorrente dell\u2019ISMS.<\/p>\n\n\n\n Il funzionamento dell\u2019ISMS segue il principio PDCA, che costituisce il principio di base del miglioramento continuo.<\/p>\n\n\n\n Controlli e misurazioni, cos\u00ec come corsi di sensibilizzazione per i collaboratori, garantiscono che le carenze vengano rilevate tempestivamente. Un audit interno assicura inoltre che le carenze non vengano rilevate solo durante la revisione ordinaria.<\/p>\n\n\n\n Un elemento importante per un\u2019elevata sicurezza delle informazioni \u00e8 rafforzare la consapevolezza dei collaboratori. In tal senso offriamo ai nostri collaboratori moduli di e-learning.<\/p>\n\n\n\n Gli incidenti di sicurezza si verificheranno anche se avremo adottato misure adeguate. I collaboratori sono invitati a segnalare qualsiasi tipo di osservazione, evento o incidente.<\/p>\n\n\n\n Punti importanti:<\/p>\n\n\n\n Scopo Per fornire le nostre prestazioni con successo e soprattutto in modo sostenibile, sono di fondamentale importanza la riservatezza, la\u2026<\/p>\n","protected":false},"author":2,"featured_media":0,"parent":0,"menu_order":35,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_acf_changed":false,"footnotes":""},"class_list":["post-7807","page","type-page","status-publish","hentry"],"acf":[],"_links":{"self":[{"href":"https:\/\/aza.ch\/it\/wp-json\/wp\/v2\/pages\/7807","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aza.ch\/it\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/aza.ch\/it\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/aza.ch\/it\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/aza.ch\/it\/wp-json\/wp\/v2\/comments?post=7807"}],"version-history":[{"count":0,"href":"https:\/\/aza.ch\/it\/wp-json\/wp\/v2\/pages\/7807\/revisions"}],"wp:attachment":[{"href":"https:\/\/aza.ch\/it\/wp-json\/wp\/v2\/media?parent=7807"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Livello<\/td> Descrizione<\/td> Esempi<\/td><\/tr> Pubblico<\/td> – Tutte le informazioni non interne o riservate<\/td> – Sito Internet
– Post sui social media
– Ultime notizie e comunicati stampa<\/td><\/tr>
Interno<\/td>– Tutti i dati personali non particolarmente sensibili (in conformit\u00e0 a LPD art. 5c)
– Tutti i dati aziendali e di progetto interni non riservati<\/td>– Dati dei collaboratori
– Tutti gli altri dati personali, come ad esempio i collaboratori dei clienti e partner commerciali<\/td><\/tr>
Riservato<\/td>– Tutti i dati personali particolarmente sensibili (in conformit\u00e0 a LPD art. 5c)
– Tutte le informazioni interne, la cui pubblicazione potrebbe danneggiare la competitivit\u00e0 o la reputazione della cassa.<\/td>– Dati\/documenti su indennit\u00e0 giornaliere o rendite AI
– Dossier dei propri collaboratori
– Contabilit\u00e0 finanziaria
– Documenti direzione aziendale
– Progetti di rete del reparto informatico<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\nDisponibilit\u00e0<\/h3>\n\n\n\n
Livello<\/td> Durata massima d\u2019inattivit\u00e0<\/td> Descrizione<\/td> Esempi<\/td><\/tr> Normale<\/td> < 1 giorno<\/td> Tutti i restanti dati<\/td> <\/td><\/tr> Alto<\/td> > 1 giorno<\/td> Tutti quei dati necessari in connect per i membri e i futuri assicurati<\/td> Elenco di tutti i collaboratori, conto corrente<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Integrit\u00e0 e tracciabilit\u00e0<\/h3>\n\n\n\n
Livello<\/td> Descrizione<\/td> Esempi<\/td><\/tr> Normale<\/td> Tutti i restanti dati<\/td> <\/td><\/tr> Alto<\/td> Tutti i dati relativi ai diritti alle prestazioni<\/td> – Dati relativi ai diritti a rendite, indennit\u00e0 giornaliere AI, assegni familiari e molto altro.
– Conto individuale
– Conto corrente<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\nOrganizzazione della sicurezza delle informazioni<\/h2>\n\n\n\n
Ruolo<\/td> Compiti principali (cifre secondo appendice A della norma 2022)<\/td><\/tr> ISI (Incaricato della Sicurezza delle Informazioni)<\/td> – Responsabilit\u00e0 generale per ISMS<\/td><\/tr> <\/td> – Offre consulenza alla cassa di compensazione riguardo ai temi di protezione dei dati<\/td><\/tr> CPD (Consulente per la Protezione dei Dati)<\/td> – Comunicazione in scenari catastrofici<\/td><\/tr> <\/td> – Responsabile e punto di contatto per la gestione degli incidenti<\/td><\/tr> Responsabile della comunicazione<\/td> – Sicurezza fisica<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Processo di sicurezza<\/h2>\n\n\n\n
Comunicazione<\/h2>\n\n\n\n
Contenuto<\/td> Collaboratori<\/td> Clienti<\/td> Autorit\u00e0<\/td> Stampa<\/td><\/tr> Informazioni generali sul tema ISDS<\/td> ISI<\/td> Responsabile cassa di compensazione [1]<\/td> Responsabile cassa di compensazione [1]<\/td> —<\/td><\/tr> Orientamento sugli incidenti di sicurezza<\/td> ISI<\/td> Responsabile cassa di compensazione [1]<\/td> Responsabile cassa di compensazione [1]<\/td> Responsabile cassa compensazione in accordo con l\u2019UFAS<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n[1] Dove necessario, con supporto esterno (p.es. rappresentanti di un\u2019assicurazione per la cybersicurezza)<\/p>\n\n\n\n Formazione e consapevolezza<\/h2>\n\n\n\n
Cerchia di persone<\/td> Data<\/td> Misura<\/td> Responsabile<\/td><\/tr> Collaboratori (tutti)<\/td> Nuovo ingresso in azienda<\/td> Entro i primi tre giorni lavorativi vengono spiegate al nuovo collaboratore le norme sull\u2019uso dell\u2019IT.<\/td> Responsabile HR<\/td><\/tr> Collaboratori (tutti)<\/td> Nuovo ingresso in azienda<\/td> Al momento dell’assunzione vengono attivati gli attuali moduli di e-learning di infosec, che devono essere completati entro un mese.<\/td> Responsabile IT<\/td><\/tr> Collaboratori (tutti)<\/td> Nuovi moduli di e-learning vengono attivati da IGAKIS<\/td> I nuovi moduli di e-learning attivati vengono valutati dall\u2019IT e viene stimato il tempo necessario per completarli.<\/td> ISI<\/td><\/tr> Collaboratori (tutti)<\/td> Periodico<\/td> Eventi informativi interni<\/td> ISI<\/td><\/tr> Collaboratori (tutti)<\/td> Periodico<\/td> Corsi di sensibilizzazione (incl. test)<\/td> ISI<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Incidenti di sicurezza (incidents)<\/h2>\n\n\n\n
\n
Ulteriori disposizioni<\/h2>\n\n\n\n
Gestione dei fornitori<\/h3>\n\n\n\n
Tipo di fornitore<\/td> Regola<\/td><\/tr> Fornitori di IGAKIS come p.es. M&S<\/td> Un controllo di sicurezza di questi fornitori viene effettuato da IGAKIS.<\/td><\/tr> Altri fornitori<\/td> I fornitori elencati nella \u00ablista dei fornitori\u00bb devono essere verificati annualmente riguardo ai seguenti punti:
– Esiste una regolamentazione contrattuale
– La relazione commerciale \u00e8 ancora attuale
– Referente con coordinate
– Esiste un accordo di riservatezza
La lista dei fornitori fa parte del cosiddetto manuale di emergenza.<\/td><\/tr><\/tbody><\/table><\/figure>\n","protected":false},"excerpt":{"rendered":"