+ 41 52 511 3200 (SUI)     + 1 713 364 5427 (USA)     
Politica di sicurezza informatica

 

1. Introduzione e scopo

1.1 Rheonics si impegna a proteggere il proprio patrimonio informativo, inclusi dati proprietari, informazioni sui clienti, proprietà intellettuale e infrastruttura IT, da accessi, usi, divulgazioni, alterazioni, interruzioni o distruzioni non autorizzati.

1.2 La presente politica stabilisce il quadro per il mantenimento di un ambiente sicuro per Rheonics'operazioni digitali, allineate con:

  • Regolamenti: FADP svizzera, GDPR (ove applicabile), leggi statali/federali degli Stati Uniti e altre leggi nazionali applicabili ove Rheonics opera.
  • Standard: principi Zero Trust, benchmark CIS, linee guida NIST (ad esempio, SP 800-88, SP 800-171 ove applicabile) e linee guida OWASP.

1.3 Obiettivi:

  • Salvaguardare la riservatezza, l'integrità e la disponibilità (CIA) dei dati e dei sistemi.
  • Ridurre al minimo i rischi di incidenti di sicurezza informatica e garantire la continuità aziendale.
  • Promuovere una cultura della sicurezza tra tutto il personale.
  • Garantire il rispetto degli obblighi legali, normativi e contrattuali.

 

2. Scopo

Vale per tutti Rheonics dipendenti, appaltatori, consulenti, stagisti, volontari e terze parti ("Utenti") che accedono Rheonics sistemi, dati o strutture. Copre:

2.1 Risorse

  • Hardware
  • Software (inclusi SaaS/IaaS/PaaS)
  • Dati (elettronici e fisici)
  • Reti
  • Strutture fisiche

2.2 Attività

  • Lavoro in loco
  • Lavoro a distanza
  • Utilizzo di dispositivi di proprietà aziendale
  • Utilizzo di dispositivi personali (BYOD)
  • Attività di sviluppo
  • Interazioni con fornitori terzi

 

3. Ruoli e responsabilità


RuoloCompiti chiave
ManagementPromuovere la politica; allocare le risorse; garantire la conformità complessiva e la gestione del rischio.
Team IT/SicurezzaImplementare/gestire i controlli; guidare la risposta agli incidenti; condurre audit e valutazioni.
Tutti gli utentiRispettare la policy; utilizzare password complesse + MFA; segnalare tempestivamente gli incidenti; completare la formazione.

 

4. Dichiarazioni di politica

4.1 Data Security

  • Classificazione e gestione: I dati devono essere classificati e gestiti in base alla sensibilità (vedere Appendice A). I ​​requisiti aumentano con l'aumentare della sensibilità.
  • crittografia: I dati riservati e riservati devono essere crittografati sia a riposo che in transito utilizzando algoritmi robusti e conformi agli standard del settore.
  • Disposizione: È obbligatorio utilizzare metodi sicuri: cancellazione conforme allo standard NIST SP 800-88 per i supporti elettronici; distruzione a taglio incrociato (P-4 o superiore) per i documenti fisici contenenti dati riservati o riservati. È obbligatorio rispettare i piani di conservazione dei dati.

4.2 Controllo degli accessi

  • Privilegio minimo e RBAC: L'accesso viene concesso in base alla necessità della funzione lavorativa (privilegi minimi) utilizzando il controllo degli accessi basato sui ruoli (RBAC).
  • Autenticazione: Sono richiesti ID utente univoci. Password complesse (vedere Appendice B) e autenticazione a più fattori (MFA) sono obbligatorie per i servizi cloud, l'accesso remoto, gli account amministrativi e i sistemi che gestiscono dati riservati/limitati.
  • Recensioni: I diritti di accesso vengono rivisti trimestralmente dai responsabili/responsabili del sistema; revocati immediatamente in caso di cessazione del rapporto o cambio di ruolo. È richiesta una procedura di approvazione formale per le concessioni/modifiche dell'accesso.

4.3 Politica di utilizzo accettabile (AUP)

  • Scopo commerciale: Rheonics Le risorse sono destinate principalmente all'uso aziendale. Un uso personale occasionale limitato è consentito a condizione che non interferisca con le attività lavorative, non consumi risorse eccessive, non comporti costi o non violi politiche/leggi.
  • Attività vietate: Inclusi, ma non limitati a: attività illegali, molestie, accesso/distribuzione di materiale offensivo, violazione del copyright, modifica non autorizzata del sistema, elusione dei controlli di sicurezza, installazione di software non autorizzato, introduzione di malware, condivisione/esfiltrazione non autorizzata di dati, uso personale eccessivo.
  • Vigilanza sugli utenti: Gli utenti devono prestare attenzione alla posta elettronica (phishing), alla navigazione sul Web (siti dannosi) e alla gestione di allegati/link.

4.4 Sicurezza di rete

  • Perimetro e segmentazione: Firewall e IDS/IPS mantenuti. La segmentazione della rete isola i sistemi critici (ad esempio, ricerca e sviluppo, produzione) e gli archivi dati.
  • Wi-Fi: Protezione WPA3-Enterprise (o almeno WPA2-Enterprise) per le reti interne. Il Wi-Fi per gli ospiti deve essere logicamente separato e non deve fornire accesso alle risorse interne.
  • Accesso remoto: Solo tramite VPN approvata dall'azienda con MFA. Lo split tunneling potrebbe essere limitato.
  • Fiducia zero: È in corso l'implementazione dei principi dell'architettura Zero Trust (ad esempio microsegmentazione, verifica continua, controlli dello stato dei dispositivi) e l'obiettivo è completarli entro il primo trimestre del 1 per le reti critiche.

4.5 Sicurezza degli endpoint di proprietà aziendale

  • Marchio: Tutti gli endpoint di proprietà aziendale (desktop, laptop, dispositivi mobili) devono disporre di un software Endpoint Detection & Response (EDR) gestito dall'azienda o di un software antivirus approvato, in esecuzione e aggiornato.
  • Patch: I sistemi operativi e le applicazioni devono essere mantenuti aggiornati tramite il processo di gestione delle patch aziendale. Le patch critiche vengono applicate entro tempi definiti [Rheonics per definire le tempistiche, ad esempio 72 ore per i sistemi operativi critici].
  • crittografia: La crittografia dell'intero disco (ad esempio BitLocker, FileVault) è obbligatoria su laptop e dispositivi portatili.

4.6 Porta il tuo dispositivo (BYOD)

  • Approvazione e standard: Utilizzo di dispositivi personali (BYOD) per accedere a servizi non pubblici Rheonics i dati richiedono un'approvazione esplicita e il rispetto degli standard minimi (vedere Appendice D).
  • Requisiti di sicurezza: Include la registrazione MDM, le versioni del sistema operativo supportate, il software di sicurezza, la crittografia, i codici di accesso, la funzionalità di cancellazione remota e la segregazione/containerizzazione dei dati.
  • Disclaimer: Rheonics si riserva il diritto di gestire/cancellare i dati aziendali dai dispositivi BYOD; Rheonics non è responsabile della perdita di dati personali durante le azioni di sicurezza.

4.7 Sicurezza e gestione del software

  • Software autorizzato: È possibile installare solo software con licenza approvata dal reparto IT. Agli utenti è vietato installare applicazioni non autorizzate.
  • Gestione delle patch: Si applica a tutti i software (sistema operativo, applicazioni, firmware) su tutti i sistemi (server, endpoint, dispositivi di rete).
  • Gestione delle vulnerabilità: Viene effettuata una scansione periodica delle vulnerabilità. Le vulnerabilità critiche devono essere risolte entro tempi definiti [Rheonics da definire]. Test di penetrazione eseguiti periodicamente sui sistemi critici.
  • Sviluppo sicuro: (Se applicabile) I team di sviluppo devono seguire pratiche di codifica sicura (ad esempio OWASP Top 10), condurre revisioni del codice e utilizzare strumenti di test di sicurezza (SAST/DAST).
  • Analisi della composizione software (SCA): I componenti open source devono essere inventariati e analizzati per individuare eventuali vulnerabilità. L'utilizzo di software/componenti a fine vita (EOL) è vietato, a meno che non sia esplicitamente accettato il rischio da parte della direzione/sicurezza IT.

4.8 Sicurezza fisica

  • Controllo di accesso: Accesso a Rheonics Strutture, sale server e laboratori di ricerca e sviluppo sono limitati tramite controlli fisici (badge, chiavi, dati biometrici). I registri degli accessi sono mantenuti per le aree sensibili.
  • Gestione visitatori: I visitatori devono registrarsi, ricevere un documento d'identità temporaneo ed essere accompagnati nelle aree non pubbliche.
  • Sicurezza della postazione di lavoro: Gli utenti devono bloccare le postazioni di lavoro quando non sono presidiate (Windows+L / Ctrl+Cmd+Q).
  • Scrivania/schermo puliti: Le informazioni sensibili (documenti fisici, schermi) devono essere protette dalla consultazione non autorizzata, soprattutto nelle aree aperte o quando si lasciano le scrivanie incustodite. Sono utilizzati contenitori sicuri per lo smaltimento.

4.9 Sicurezza cloud

  • Servizi approvati: Utilizzo di servizi cloud (SaaS, IaaS, PaaS) per Rheonics i dati devono essere approvati da IT/Sicurezza.
  • Configurazione e monitoraggiooring: I servizi devono essere configurati in modo sicuro, allineandosi ai benchmark CIS ove applicabile (AWS/GCP/Azure). Devono essere applicate policy di accesso condizionale (ad esempio, geolocalizzazione, conformità dei dispositivi). La registrazione delle attività delle API e degli utenti deve essere abilitata e monitorata.
  • Protezione dati: Garantire che i fornitori di cloud soddisfino Rheonicsrequisiti di sicurezza dei dati, crittografia, backup e residenza tramite contratti e valutazioni.

4.10 Gestione di terze parti/fornitori

  • Valutazione del rischio: Valutazioni di sicurezza condotte prima di coinvolgere i fornitori che accedono, elaborano e archiviano Rheonics dati o connettersi alle reti. Il livello di rischio determina la profondità della valutazione.
  • Requisiti contrattuali: I contratti devono includere clausole relative alla riservatezza, alla protezione dei dati (inclusi i DPA in caso di elaborazione di dati personali ai sensi del GDPR/FADP), ai controlli di sicurezza, alla notifica degli incidenti e ai diritti di audit.
  • Monitoraggio in corsooring: Revisione periodica delle misure di sicurezza dei fornitori critici.

4.11 Risposta agli incidenti

  • Reporting: Gli incidenti sospetti devono essere segnalati immediatamente (obiettivo entro 1 ora dalla scoperta) tramite () o (canale dei team aziendali interni 24 ore su 7, XNUMX giorni su XNUMX).
  • Piano di risposta: Rheonics mantiene un Piano di Risposta agli Incidenti (IRP). Vedere l'Appendice C per il flusso di base.
  • Incidenti critici: (ad esempio, ransomware, violazione dei dati confermata) Attivare azioni di escalation e contenimento (obiettivo entro 4 ore). La notifica legale/esecutiva segue le tempistiche dettate dalle normative (ad esempio, notifica di violazione GDPR/FADP entro 72 ore, ove applicabile).
  • Cooperazione: Tutti gli utenti sono tenuti a collaborare pienamente alle indagini di risposta agli incidenti.

 

5. Applicazione

Le violazioni saranno affrontate in base alla gravità e all'intento, nel rispetto delle leggi locali sul lavoro.

ViolazioneEsempioConseguenza (esempi)
MinoreDeviazione accidentale della politica; formazione non critica persaAvvertimento scritto; riqualificazione obbligatoria
MaggioreCredenziali condivise; ripetute violazioni minori; installazione di software P2P non autorizzatoSospensione; azione disciplinare formale
Critico/intenzionaleViolazione intenzionale dei dati; attività dannosa; sabotaggioRisoluzione; potenziale azione legale

 

6. Manutenzione della politica

  • Cadenza di revisione: Revisionato almeno una volta all'anno dal responsabile della politica (responsabile IT) e dalle parti interessate.
  • Trigger di revisione: Revisioni ad hoc innescate da: gravi incidenti di sicurezza, cambiamenti normativi significativi (ad esempio, nuove leggi sulla privacy dei dati), importanti cambiamenti tecnologici/infrastrutturali (ad esempio, grande migrazione al cloud), risultati di audit.
  • Aggiornamenti: Modifiche approvate comunicate a tutti gli utenti.

 

7. appendici

7.1 Appendice A: Classificazione dei dati

ClassificazioneEsempioRequisiti di gestione
LimitatoPII del cliente, codice sorgente di ricerca e sviluppo, chiavi crittografiche• Crittografia (a riposo/in transito)
• Registri di accesso rigorosi
• Bisogno di sapere + approvazione esplicita
• Revisione annuale degli accessi
ConfidenzialeDati dei dipendenti, dati finanziari, strategie interne• MFA consigliato/richiesto
• Basi necessarie alla conoscenza
• Condivisione interna limitata
InternoAppunti delle riunioni, politiche interne, comunicazioni generali• Nessuna condivisione esterna senza approvazione.
• Utilizzare i sistemi aziendali
PubblicoMateriali di marketing, contenuti pubblici del sito web• Nessuna restrizione sulla gestione/condivisione

 

7.2 Appendice B: Requisiti della password

  • Lunghezza minima:
    • Account utente: 12 caratteri
    • Account di amministrazione/servizio: 16 caratteri
  • Complessità
    • Almeno 3 su 4: maiuscole, minuscole, numeri, simboli (~!@#$%^&*()-_=+[]{}|;:'”,.<>/?). Non può contenere nomi utente o parole comuni del dizionario.
  • Rotazione
    • Massimo 90 giorni (a meno che non si utilizzino metodi di autenticazione continua approvati).
  • Storia
    • Le 5 password precedenti non possono essere riutilizzate.
  • Memoria su disco:
    • Non deve essere scritto in modo non protetto. Utilizzare un gestore di password approvato dall'azienda (ad esempio, Bitwarden, 1Password) peroring Password complesse e uniche. Vietata la condivisione delle password. Vietato bypassare l'autenticazione a più fattori (MFA).

 

7.3 Appendice C: Flusso di risposta agli incidenti

  • Rilevamento e analisi: Identificare potenziali incidenti.
  • Reporting: Segnalare IMMEDIATAMENTE (entro l'obiettivo di 1 ora) all'IT/Sicurezza tramite i canali definiti.
  • Triage e valutazione: Il reparto IT/Sicurezza valuta la gravità e l'impatto.
  • Contenimento: Isolare i sistemi/account interessati (entro 4 ore, obiettivo per gli incidenti critici).
  • Eradicazione: Rimuovere la minaccia/vulnerabilità.
  • Recupero: Ripristinare sistemi/dati in modo sicuro.
  • Revisione post-incidente: Lezioni apprese, miglioramento dei processi.
    • Notifica: Notifiche legali/normative/ai clienti eseguite secondo necessità in base alla valutazione (ad esempio, entro 72 ore per violazioni dei dati personali GDPR/FADP).

 

7.4. Appendice D: Standard minimi BYOD

  • Approvazione: Obbligatorio prima di accedere ai dati non pubblici.
  • Requisiti del dispositivo:
    • Versioni del sistema operativo: Deve eseguire le versioni attualmente supportate dal fornitore (ad esempio, Windows 11+, macOS 14+, iOS 16+, Android 13+)
    • Sicurezza: Blocco schermo/biometria abilitati; crittografia del dispositivo abilitata; potrebbe essere necessario un software di sicurezza approvato (AV/anti-malware); dispositivo non sottoposto a jailbreak/root.
    • MDM: Iscrizione a RheonicsLa soluzione Mobile Device Management (MDM) è obbligatoria.
    • Cancellazione remota: La funzionalità deve essere abilitata per i dati/profili aziendali.
  • Segregazione dei dati: I dati aziendali sono accessibili/memorizzati tramite applicazioni approvate all'interno di un profilo o contenitore gestito (ad esempio, Microsoft Intune MAM, Android Work Profile). Nessuna copia dei dati aziendali su app/archiviazione personali.
  • Network NetPoulSafe: Connettiti tramite Wi-Fi sicuro; evita le reti Wi-Fi pubbliche non affidabili quando lavori.

 

8. Contatto e riconoscimento

  • Domande/dubbi sulla sicurezza: Contatto () o al team IT/sicurezza tramite canali interni.
  • Segnala incidenti: Utilizzare metodi urgenti: () e (canale Team aziendali interni 24 ore su 7, XNUMX giorni su XNUMX).
  • Riconoscimento: Tutti gli utenti sono tenuti a leggere, comprendere e confermare la ricezione della presente informativa elettronicamente tramite (Portale HR, Sistema di Formazione) al momento dell'inserimento e in seguito ad aggiornamenti significativi. La mancata conferma non pregiudica l'applicabilità della presente informativa.
Scarica la politica sulla sicurezza informatica
Rheonics Politica di sicurezza informatica
Cerca