Sistema di Gestione Integrato

Abbiamo sviluppato un Sistema di Gestione Integrato (SGI) conforme ai requisiti delle norme internazionali ISO 9001, ISO 13485, ISO/IEC 20000-1, ISO/IEC 27001 e ISO 22301 integrato con standard specifici per l'ingegneria del software e dei sistemi con l'obiettivo di sviluppare metodologie di lavoro e processi capaci di coniugare standardizzazione con flessibilità e capacità di auto-miglioramento attraverso il supporto di persone competenti, consapevoli e motivate.

Il cambiamento come strategia di crescita
Creare valore attraverso prevenzione, soddisfazione, motivazione
Le suddette norme forniscono i requisiti per l’implementazione, l’attuazione e il miglioramento di un sistema di gestione per la qualità (ISO 9001 e ISO 13485), di un sistema di gestione dei servizi IT (ISO/IEC 20000-1), di un sistema di gestione per la sicurezza delle informazioni (ISO/IEC 27001), nonché di un sistema di gestione della business continuity (ISO 22301). Il Manuale di Gestione Integrata descrive l’insieme dei suddetti sistemi di gestione, i processi in scope di ogni sistema, le aziende del Gruppo a cui sono applicabili le norme indicate.
Politica per la Qualità (ISO 9001)

Il nostro gruppo è da sempre focalizzato sullo sviluppo di competenze e soluzioni, e l'erogazione di servizi di consulenza e di system integration che consentano ai nostri clienti di trasformare le esigenze di cambiamento in opportunità di crescita.

Per raggiungere questi obiettivi occorre sviluppare metodologie di lavoro e processi capaci di coniugare standardizzazione con flessibilità e capacità di auto miglioramento ed è necessario mantenere una forza lavoro altamente competente, consapevole e motivata.

Per questi motivi la Direzione ha definito una nuova organizzazione e intende attuare un sistema di gestione per la qualità, secondo la norma internazionale ISO 9001 integrato con standard specifici per l'ingegneria del software e dei sistemi (es. ISO/IEC 12207, ISO/IEC 250nn).

Il Sistema di Gestione per la Qualità, basato su un approccio mirato alla prevenzione delle non conformità, è monitorato sistematicamente per valutare la sua efficacia anche attraverso la conduzione di audit interni.

In modo specifico la Direzione si impegna a:

  • assicurare l’efficacia del Sistema di Gestione per la Qualità;
  • promuovere l’approccio per processi e la gestione dei rischi che possono impattare sulla conformità dei prodotti/servizi e sulla capacità di accrescere la soddisfazione dei clienti;
  • comunicare l’importanza di soddisfare i requisiti del cliente, le prescrizioni legali e regolamentari, nonché gli obblighi contrattuali;
  • stabilire e comunicare la politica e gli obiettivi per la qualità;
  • comunicare all’organizzazione l’importanza di conseguire gli obiettivi stabiliti e di mantenere la conformità alle politiche, alle responsabilità legali e alle esigenze di miglioramento continuo;
  • assicurare la disponibilità di risorse per stabilire, attuare, condurre, monitorare, riesaminare e mantenere attivo, aggiornato e migliorare il Sistema di Gestione per la Qualità;
  • stabilire i criteri per l’accettazione dei rischi e i livelli di rischio accettabili;
  • condurre riesami periodici del Sistema di Gestione per la Qualità per assicurare che siano conseguiti i risultati attesi e sia promosso il miglioramento continuo.

Gli obiettivi strategici della politica, che interagiscono tra loro in modo sinergico, sono:

  • assicurare che i bisogni dei clienti siano definiti e soddisfatti allo scopo di accrescerne la soddisfazione (Customer Satisfaction) e incrementare la loro fidelizzazione;
  • aumentare la comprensione e la motivazione del personale verso i traguardi e gli obiettivi aziendali, ed il loro apporto al miglioramento continuo dell'organizzazione (Employee Satisfaction);
  • migliorare la professionalità del personale e il suo utilizzo in modo efficace ed efficiente;
  • incrementare il vantaggio competitivo dell'azienda in modo efficace ed efficiente migliorando i risultati operativi e le quote di mercato;
  • sviluppare la capacità di creare valore sia attraverso l'ottimizzazione dei costi e delle risorse che aumentando la velocità di risposta al mercato.

Per rendere sistematici la pianificazione ed il raggiungimento di tali obiettivi e per renderli visibili ai propri Clienti, la Direzione oltre ad assicurare il proprio supporto, l'impiego di tutte le risorse finanziarie e professionali necessarie, intende fornire strumenti ed azioni volte a favorire la piena adozione del sistema di gestione per la qualità da parte di tutte le persone coinvolte nell'organizzazione ed incentivare il contributo di ognuno al suo miglioramento continuo.

Politica per la Gestione dei Servizi IT (ISO/IEC 20000-1)

I servizi sono caratterizzati da una forte e frequente interazione con il fruitore finale e si basano su concetti peculiari come la garanzia di continuità, disponibilità e rispetto di livelli prestazionali del servizio.

Exprivia ha deciso di diffondere al proprio interno la cultura della gestione in qualità dei servizi organizzando corsi di addestramento e promuovendo la qualificazione del proprio personale sulle best practices del settore (ITIL). In aggiunta, al fine di ottenere un formale riconoscimento esterno delle proprie capacità di gestire servizi IT in qualità, ha deciso l'adozione e la certificazione dei servizi IT erogati ai propri clienti in conformità alla norma internazionale ISO/IEC 20000.

In sintesi la Direzione aziendale assume un forte impegno nell'assicurare la pianificazione, lo sviluppo, l'attuazione, la conduzione, il monitoraggio, l'aggiornamento ed il miglioramento continuo dei servizi erogati ai propri clienti attraverso un Sistema di Gestione per i Servizi IT.

In modo specifico la Direzione si impegna a:

  • stabilire e comunicare il campo di applicazione, la politica e gli obiettivi relativi alla gestione del servizio;
  • assicurare che, per ogni servizio erogato sia creato, attuato e mantenuto aggiornato un piano di gestione del servizio al fine di adempiere alla politica, conseguire gli obiettivi per la gestione del servizio e soddisfare i requisiti del servizio;
  • comunicare l’importanza di soddisfare i requisiti del servizio;
  • comunicare l’importanza di soddisfare le prescrizioni legali e regolamentari, nonché gli obblighi contrattuali;
  • assicurare la messa a disposizione di risorse;
  • condurre i riesami di direzione ad intervalli prestabiliti;
  • assicurare che i rischi per i servizi siano valutati e gestiti;
  • assicurare che siano definite e tenute aggiornate le autorità e responsabilità per la gestione del servizio.

La Direzione ha, inoltre, designato un membro della struttura direzionale a cui ha assegnato l'autorità e la responsabilità per:

  • assicurare che i processi relativi al Sistema di Gestione Integrato siano stabiliti, attuati, tenuti aggiornati e migliorati in conformità alle norme ISO 9001, ISO 13485, ISO/IEC 20000-1 e ISO/IEC 27001 ed in accordo con le politiche e gli obiettivi stabiliti dalla Direzione;
  • assicurare che siano eseguite attività per identificare, documentare e soddisfare i requisiti dei prodotti e dei servizi;
  • assicurare, in tutta l'organizzazione, la promozione della consapevolezza dell'importanza di soddisfare sempre i requisiti dei clienti e quelli regolamentari;
  • assicurare che i beni, comprese le licenze, usate per sviluppare i prodotti ed erogare i servizi, siano gestiti secondo le prescrizioni legali e regolamentari nonché gli obblighi contrattuali;
  • mantenere i rapporti con gli organismi esterni per la certificazione delle diverse componenti del sistema di gestione integrato;
  • riferire alla Direzione sull'andamento del Sistema di Gestione Integrato compreso la necessità di eventuali miglioramenti.

Gli obiettivi strategici definiti sono gli stessi documentati per la Politica per la Qualità.

Politica del Sistema di Gestione per la Sicurezza delle Informazioni e della Privacy (SGSI)

La politica della sicurezza delle informazioni di Exprivia impone che, in coerenza con la missione aziendale, la gestione di tutti i processi aziendali sia impostata con le regole proprie dell’applicazione dello standard ISO/IEC 27001 e delle prescrizioni normative contenute nel D. Lgs. 196/03 e del Reg. UE 679/2016. L’assunzione è che quanto prescritto dalla normativa vigente sulla protezione dei dati personali sono misure di sicurezza tecniche e organizzative e che i dati personali sono un sottoinsieme delle informazioni che è necessario proteggere, non solo per il business aziendale ma anche per rispettare i diritti e le libertà delle persone fisiche.

Exprivia inoltre, nel fornire soluzioni ICT in cloud ha sentito l’esigenza di estendere l’ambito della sicurezza delle informazioni seguendo le Linee Guida ISO/IEC 27017 “Code of practice for information security controls based on ISO/IEC 27002 for cloud services” e ISO/IEC 27018 “Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors”.

Scopo
La direzione di Exprivia ha definito e divulgato a tutti i livelli della propria organizzazione la presente politica per la Gestione della Sicurezza delle Informazioni e della privacy.

Lo scopo della presente politica è di garantire la tutela e la protezione da tutte le minacce, interne o esterne, intenzionali o accidentali:

  • delle informazioni necessarie per il business di Exprivia (di cui i dati personali sono solo una delle classi d’informazioni da proteggere),
  • delle informazioni dei propri clienti che sono gestite nel ciclo di vita dei prodotti e servizi forniti agli stessi

in conformità alle indicazioni fornite dal D.Lgs. 196/03, del Reg. UE 679/2016, dalla ISO/IEC 27001 e dalle Linee Guida ISO/IEC 27017 e ISO/IEC 27018.

Campo di applicazione
La presente politica si applica indistintamente a tutti gli organi e i livelli di Exprivia.

L’attuazione della presente politica è obbligatoria per tutto il personale e deve comunicarla a qualsiasi soggetto esterno che, a qualsiasi titolo, possa essere coinvolto con il trattamento di informazioni che rientrano nel campo di applicazione del Sistema di Gestione della Sicurezza delle Informazioni.

La nostra policy in tema di Sicurezza delle Informazioni
Il patrimonio informativo da tutelare è costituito dall’insieme delle informazioni gestite attraverso i servizi forniti e localizzate in tutte le sedi dell’azienda.

È necessario assicurare:

  • la riservatezza delle informazioni: ovvero le informazioni devono essere accessibili solo da chi è autorizzato.
  • l’integrità delle informazioni: ovvero proteggere la correttezza e la completezza delle informazioni e dei metodi per la loro elaborazione.
  • la disponibilità delle informazioni: ovvero che gli utenti autorizzati possano effettivamente accedere alle informazioni e agli asset che le contengono.

La mancanza di adeguati livelli di sicurezza può comportare il danneggiamento dell’immagine aziendale, la mancata soddisfazione del cliente, il rischio di incorrere in sanzioni legate alla violazione delle leggi e normative vigenti nonché danni di natura economica e finanziaria.

Un adeguato livello di sicurezza è altresì basilare per la condivisione delle informazioni.

L’azienda identifica, inoltre, tutte le esigenze di sicurezza tramite l’analisi e la valutazione del rischio per la sicurezza delle informazioni e la DPIA (Data Protection Impact Assessment) sulla protezione dei dati personali che consente di acquisire consapevolezza sul livello di esposizione a minacce dei propri sistemi di gestione dei dati.

La valutazione del rischio e la DPIA permettono di valutare le potenziali conseguenze e i danni, materiali e immateriali, che possono derivare dalla mancata applicazione delle misure di sicurezza tecniche e organizzative al patrimonio informativo e la probabilità di accadimento delle minacce identificate.

I risultati di questa valutazione determinano le azioni necessarie per individuare le corrette ed adeguate misure di sicurezza ed i meccanismi per garantire la protezione dei dati personali.

Responsabilità di osservanza e attuazione
L’osservanza e l’attuazione della politica sono responsabilità di tutto il personale e di tutti i soggetti esterni, che intrattengono rapporti e collaborano con Exprivia, e che sono in qualche modo coinvolti con il trattamento di dati e informazioni che rientrano nel campo di applicazione del Sistema di Gestione della sicurezza delle informazioni e della privacy. Tutti sono altresì responsabili della segnalazione di tutte le anomalie e violazioni di cui dovesse venire a conoscenza.

Chiunque, dipendenti, consulenti e/o collaboratori esterni dell’Azienda, che in modo intenzionale o riconducibile a negligenza, disattenda le regole di sicurezza stabilite provocando un danno ad Exprivia, potrà essere perseguito nelle opportune sedi e nel pieno rispetto dei vincoli di legge e contrattuali.

Riesame
La Direzione verificherà periodicamente e regolarmente l’efficacia e l’efficienza del Sistema di Gestione della sicurezza delle informazioni e della privacy, in modo da promuovere e favorire l’attivazione di un processo di miglioramento continuo, in risposta anche ai cambiamenti dell’ambiente interno ed esterno.

Impegno della Direzione 
La direzione sostiene attivamente le attività inerenti la gestione della sicurezza delle informazioni e privacy aziendale tramite un chiaro indirizzo, un impegno evidente, degli incarichi espliciti e il riconoscimento delle responsabilità relative alla sicurezza delle informazioni e privacy.

L’impegno della direzione si attua tramite una struttura i cui compiti sono:

  • garantire che siano identificati tutti gli obiettivi relativi alla sicurezza delle informazioni e della privacy, nonché la conformità ai requisiti aziendali;
  • stabilire i ruoli aziendali e le responsabilità per lo sviluppo e il mantenimento del SGSI;
  • fornire risorse sufficienti alla pianificazione, implementazione, organizzazione, controllo, revisione, gestione e miglioramento continuo del SGSI;
  • controllare che il SGSI sia integrato in tutti i processi aziendali e che procedure e controlli siano sviluppati efficacemente;
  • approvare e sostenere tutte le iniziative volte al miglioramento della sicurezza delle informazioni e della privacy;
  • attivare programmi per la diffusione della consapevolezza e della cultura della sicurezza delle informazioni e della privacy.