+ 41 52 511 3200 (SUI) + 1 713 955 7305 (USA)
Politica di sicurezza informatica

1. Introduzione e scopo

1.1 Rheonics si impegna a proteggere il proprio patrimonio informativo, inclusi dati proprietari, informazioni sui clienti, proprietà intellettuale e infrastruttura IT, da accessi, usi, divulgazioni, alterazioni, interruzioni o distruzioni non autorizzati.

1.2 La presente politica stabilisce il quadro per il mantenimento di un ambiente sicuro per Rheonics'operazioni digitali, allineate con:

  • Regolamenti: FADP svizzera, GDPR (ove applicabile), leggi statali/federali degli Stati Uniti e altre leggi nazionali applicabili ove Rheonics opera.
  • Standard: principi Zero Trust, benchmark CIS, linee guida NIST (ad esempio, SP 800-88, SP 800-171 ove applicabile) e linee guida OWASP.

1.3 Obiettivi:

  • Salvaguardare la riservatezza, l'integrità e la disponibilità (CIA) dei dati e dei sistemi.
  • Ridurre al minimo i rischi di incidenti di sicurezza informatica e garantire la continuità aziendale.
  • Promuovere una cultura della sicurezza tra tutto il personale.
  • Garantire il rispetto degli obblighi legali, normativi e contrattuali.

 

2. Scopo

Vale per tutti Rheonics dipendenti, appaltatori, consulenti, stagisti, volontari e terze parti ("Utenti") che accedono Rheonics sistemi, dati o strutture. Copre:

2.1 Risorse

  • Hardware
  • Software (inclusi SaaS/IaaS/PaaS)
  • Dati (elettronici e fisici)
  • Reti
  • Strutture fisiche

2.2 Attività

  • Lavoro in loco
  • Lavoro a distanza
  • Utilizzo di dispositivi di proprietà aziendale
  • Utilizzo di dispositivi personali (BYOD)
  • Attività di sviluppo
  • Interazioni con fornitori terzi

 

3. Ruoli e responsabilità


RuoloCompiti chiave
ManagementPromuovere la politica; allocare le risorse; garantire la conformità complessiva e la gestione del rischio.
Team IT/SicurezzaImplementare/gestire i controlli; guidare la risposta agli incidenti; condurre audit e valutazioni.
Tutti gli utentiRispettare la policy; utilizzare password complesse + MFA; segnalare tempestivamente gli incidenti; completare la formazione.

 

4. Dichiarazioni di politica

4.1 Data Security

  • Classificazione e gestione: I dati devono essere classificati e gestiti in base alla sensibilità (vedere Appendice A). I ​​requisiti aumentano con l'aumentare della sensibilità.
  • crittografia: I dati riservati e riservati devono essere crittografati sia a riposo che in transito utilizzando algoritmi robusti e conformi agli standard del settore.
  • Disposizione: È obbligatorio utilizzare metodi sicuri: cancellazione conforme allo standard NIST SP 800-88 per i supporti elettronici; distruzione a taglio incrociato (P-4 o superiore) per i documenti fisici contenenti dati riservati o riservati. È obbligatorio rispettare i piani di conservazione dei dati.

4.2 Controllo degli accessi

  • Privilegio minimo e RBAC: L'accesso viene concesso in base alla necessità della funzione lavorativa (privilegi minimi) utilizzando il controllo degli accessi basato sui ruoli (RBAC).
  • Autenticazione: Sono richiesti ID utente univoci. Password complesse (vedere Appendice B) e autenticazione a più fattori (MFA) sono obbligatorie per i servizi cloud, l'accesso remoto, gli account amministrativi e i sistemi che gestiscono dati riservati/limitati.
  • Recensioni: I diritti di accesso vengono rivisti trimestralmente dai responsabili/responsabili del sistema; revocati immediatamente in caso di cessazione del rapporto o cambio di ruolo. È richiesta una procedura di approvazione formale per le concessioni/modifiche dell'accesso.

4.3 Politica di utilizzo accettabile (AUP)

  • Scopo commerciale: Rheonics Le risorse sono destinate principalmente all'uso aziendale. Un uso personale occasionale limitato è consentito a condizione che non interferisca con le attività lavorative, non consumi risorse eccessive, non comporti costi o non violi politiche/leggi.
  • Attività vietate: Inclusi, ma non limitati a: attività illegali, molestie, accesso/distribuzione di materiale offensivo, violazione del copyright, modifica non autorizzata del sistema, elusione dei controlli di sicurezza, installazione di software non autorizzato, introduzione di malware, condivisione/esfiltrazione non autorizzata di dati, uso personale eccessivo.
  • Vigilanza sugli utenti: Gli utenti devono prestare attenzione alla posta elettronica (phishing), alla navigazione sul Web (siti dannosi) e alla gestione di allegati/link.

4.4 Sicurezza di rete

  • Perimetro e segmentazione: Firewall e IDS/IPS mantenuti. La segmentazione della rete isola i sistemi critici (ad esempio, ricerca e sviluppo, produzione) e gli archivi dati.
  • Wi-Fi: Protezione WPA3-Enterprise (o almeno WPA2-Enterprise) per le reti interne. Il Wi-Fi per gli ospiti deve essere logicamente separato e non deve fornire accesso alle risorse interne.
  • Accesso remoto: Solo tramite VPN approvata dall'azienda con MFA. Lo split tunneling potrebbe essere limitato.
  • Fiducia zero: È in corso l'implementazione dei principi dell'architettura Zero Trust (ad esempio microsegmentazione, verifica continua, controlli dello stato dei dispositivi) e l'obiettivo è completarli entro il primo trimestre del 1 per le reti critiche.

4.5 Sicurezza degli endpoint di proprietà aziendale

  • Marchio: Tutti gli endpoint di proprietà aziendale (desktop, laptop, dispositivi mobili) devono disporre di un software Endpoint Detection & Response (EDR) gestito dall'azienda o di un software antivirus approvato, in esecuzione e aggiornato.
  • Patch: I sistemi operativi e le applicazioni devono essere mantenuti aggiornati tramite il processo di gestione delle patch aziendale. Le patch critiche vengono applicate entro tempi definiti [Rheonics per definire le tempistiche, ad esempio 72 ore per i sistemi operativi critici].
  • crittografia: La crittografia dell'intero disco (ad esempio BitLocker, FileVault) è obbligatoria su laptop e dispositivi portatili.

4.6 Porta il tuo dispositivo (BYOD)

  • Approvazione e standard: Utilizzo di dispositivi personali (BYOD) per accedere a servizi non pubblici Rheonics i dati richiedono un'approvazione esplicita e il rispetto degli standard minimi (vedere Appendice D).
  • Requisiti di sicurezza: Include la registrazione MDM, le versioni del sistema operativo supportate, il software di sicurezza, la crittografia, i codici di accesso, la funzionalità di cancellazione remota e la segregazione/containerizzazione dei dati.
  • Disclaimer: Rheonics si riserva il diritto di gestire/cancellare i dati aziendali dai dispositivi BYOD; Rheonics non è responsabile della perdita di dati personali durante le azioni di sicurezza.

4.7 Sicurezza e gestione del software

  • Software autorizzato: È possibile installare solo software con licenza approvata dal reparto IT. Agli utenti è vietato installare applicazioni non autorizzate.
  • Gestione delle patch: Si applica a tutti i software (sistema operativo, applicazioni, firmware) su tutti i sistemi (server, endpoint, dispositivi di rete).
  • Gestione delle vulnerabilità: Viene effettuata una scansione periodica delle vulnerabilità. Le vulnerabilità critiche devono essere risolte entro tempi definiti [Rheonics da definire]. Test di penetrazione eseguiti periodicamente sui sistemi critici.
  • Sviluppo sicuro: (Se applicabile) I team di sviluppo devono seguire pratiche di codifica sicura (ad esempio OWASP Top 10), condurre revisioni del codice e utilizzare strumenti di test di sicurezza (SAST/DAST).
  • Analisi della composizione software (SCA): I componenti open source devono essere inventariati e analizzati per individuare eventuali vulnerabilità. L'utilizzo di software/componenti a fine vita (EOL) è vietato, a meno che non sia esplicitamente accettato il rischio da parte della direzione/sicurezza IT.

4.8 Sicurezza fisica

  • Controllo di accesso: Accesso a Rheonics Strutture, sale server e laboratori di ricerca e sviluppo sono limitati tramite controlli fisici (badge, chiavi, dati biometrici). I registri degli accessi sono mantenuti per le aree sensibili.
  • Gestione visitatori: I visitatori devono registrarsi, ricevere un documento d'identità temporaneo ed essere accompagnati nelle aree non pubbliche.
  • Sicurezza della postazione di lavoro: Gli utenti devono bloccare le postazioni di lavoro quando non sono presidiate (Windows+L / Ctrl+Cmd+Q).
  • Scrivania/schermo puliti: Le informazioni sensibili (documenti fisici, schermi) devono essere protette dalla consultazione non autorizzata, soprattutto nelle aree aperte o quando si lasciano le scrivanie incustodite. Sono utilizzati contenitori sicuri per lo smaltimento.

4.9 Sicurezza cloud

  • Servizi approvati: Utilizzo di servizi cloud (SaaS, IaaS, PaaS) per Rheonics i dati devono essere approvati da IT/Sicurezza.
  • Configurazione e monitoraggio: I servizi devono essere configurati in modo sicuro, allineandosi ai benchmark CIS ove applicabile (AWS/GCP/Azure). Devono essere applicate policy di accesso condizionale (ad esempio, geolocalizzazione, conformità dei dispositivi). La registrazione delle attività delle API e degli utenti deve essere abilitata e monitorata.
  • Protezione dati: Garantire che i fornitori di cloud soddisfino Rheonicsrequisiti di sicurezza dei dati, crittografia, backup e residenza tramite contratti e valutazioni.

4.10 Gestione di terze parti/fornitori

  • Valutazione del rischio: Valutazioni di sicurezza condotte prima di coinvolgere i fornitori che accedono, elaborano e archiviano Rheonics dati o connettersi alle reti. Il livello di rischio determina la profondità della valutazione.
  • Requisiti contrattuali: I contratti devono includere clausole relative alla riservatezza, alla protezione dei dati (inclusi i DPA in caso di elaborazione di dati personali ai sensi del GDPR/FADP), ai controlli di sicurezza, alla notifica degli incidenti e ai diritti di audit.
  • Monitoraggio continuo: Revisione periodica delle misure di sicurezza dei fornitori critici.

4.11 Risposta agli incidenti

  • Reporting: Gli incidenti sospetti devono essere segnalati immediatamente (obiettivo entro 1 ora dalla scoperta) tramite () o (canale dei team aziendali interni 24 ore su 7, XNUMX giorni su XNUMX).
  • Piano di risposta: Rheonics mantiene un Piano di Risposta agli Incidenti (IRP). Vedere l'Appendice C per il flusso di base.
  • Incidenti critici: (ad esempio, ransomware, violazione dei dati confermata) Attivare azioni di escalation e contenimento (obiettivo entro 4 ore). La notifica legale/esecutiva segue le tempistiche dettate dalle normative (ad esempio, notifica di violazione GDPR/FADP entro 72 ore, ove applicabile).
  • Cooperazione: Tutti gli utenti sono tenuti a collaborare pienamente alle indagini di risposta agli incidenti.

 

5. Applicazione

Le violazioni saranno affrontate in base alla gravità e all'intento, nel rispetto delle leggi locali sul lavoro.

ViolazioneEsempioConseguenza (esempi)
MinoreDeviazione accidentale della politica; formazione non critica persaAvvertimento scritto; riqualificazione obbligatoria
MaggioreCredenziali condivise; ripetute violazioni minori; installazione di software P2P non autorizzatoSospensione; azione disciplinare formale
Critico/intenzionaleViolazione intenzionale dei dati; attività dannosa; sabotaggioRisoluzione; potenziale azione legale

 

6. Manutenzione della politica

  • Cadenza di revisione: Revisionato almeno una volta all'anno dal responsabile della politica (responsabile IT) e dalle parti interessate.
  • Trigger di revisione: Revisioni ad hoc innescate da: gravi incidenti di sicurezza, cambiamenti normativi significativi (ad esempio, nuove leggi sulla privacy dei dati), importanti cambiamenti tecnologici/infrastrutturali (ad esempio, grande migrazione al cloud), risultati di audit.
  • Aggiornamenti: Modifiche approvate comunicate a tutti gli utenti.

 

7. appendici

7.1 Appendice A: Classificazione dei dati

ClassificazioneEsempioRequisiti di gestione
LimitatoPII del cliente, codice sorgente di ricerca e sviluppo, chiavi crittografiche• Crittografia (a riposo/in transito)
• Registri di accesso rigorosi
• Bisogno di sapere + approvazione esplicita
• Revisione annuale degli accessi
ConfidenzialeDati dei dipendenti, dati finanziari, strategie interne• MFA consigliato/richiesto
• Basi necessarie alla conoscenza
• Condivisione interna limitata
InternoAppunti delle riunioni, politiche interne, comunicazioni generali• Nessuna condivisione esterna senza approvazione.
• Utilizzare i sistemi aziendali
PubblicoMateriali di marketing, contenuti pubblici del sito web• Nessuna restrizione sulla gestione/condivisione

 

7.2 Appendice B: Requisiti della password

  • Lunghezza minima:
    • Account utente: 12 caratteri
    • Account di amministrazione/servizio: 16 caratteri
  • Complessità
    • Almeno 3 su 4: maiuscole, minuscole, numeri, simboli (~!@#$%^&*()-_=+[]{}|;:'”,.<>/?). Non può contenere nomi utente o parole comuni del dizionario.
  • Rotazione
    • Massimo 90 giorni (a meno che non si utilizzino metodi di autenticazione continua approvati).
  • Storia
    • Le 5 password precedenti non possono essere riutilizzate.
  • Memoria su disco:
    • Non devono essere trascritte in modo non protetto. Utilizzare un gestore di password approvato dall'azienda (ad esempio, Bitwarden, 1Password) per memorizzare password complesse e univoche. Vietata la condivisione delle password. Vietato bypassare l'autenticazione a più fattori (MFA).

 

7.3 Appendice C: Flusso di risposta agli incidenti

  • Rilevamento e analisi: Identificare potenziali incidenti.
  • Reporting: Segnalare IMMEDIATAMENTE (entro l'obiettivo di 1 ora) all'IT/Sicurezza tramite i canali definiti.
  • Triage e valutazione: Il reparto IT/Sicurezza valuta la gravità e l'impatto.
  • Contenimento: Isolare i sistemi/account interessati (entro 4 ore, obiettivo per gli incidenti critici).
  • Eradicazione: Rimuovere la minaccia/vulnerabilità.
  • Recupero: Ripristinare sistemi/dati in modo sicuro.
  • Revisione post-incidente: Lezioni apprese, miglioramento dei processi.
    • Notifica: Notifiche legali/normative/ai clienti eseguite secondo necessità in base alla valutazione (ad esempio, entro 72 ore per violazioni dei dati personali GDPR/FADP).

 

7.4. Appendice D: Standard minimi BYOD

  • Approvazione: Obbligatorio prima di accedere ai dati non pubblici.
  • Requisiti del dispositivo:
    • Versioni del sistema operativo: Deve eseguire le versioni attualmente supportate dal fornitore (ad esempio, Windows 11+, macOS 14+, iOS 16+, Android 13+)
    • Sicurezza: Blocco schermo/biometria abilitati; crittografia del dispositivo abilitata; potrebbe essere necessario un software di sicurezza approvato (AV/anti-malware); dispositivo non sottoposto a jailbreak/root.
    • MDM: Iscrizione a RheonicsLa soluzione Mobile Device Management (MDM) è obbligatoria.
    • Cancellazione remota: La funzionalità deve essere abilitata per i dati/profili aziendali.
  • Segregazione dei dati: I dati aziendali sono accessibili/memorizzati tramite applicazioni approvate all'interno di un profilo o contenitore gestito (ad esempio, Microsoft Intune MAM, Android Work Profile). Nessuna copia dei dati aziendali su app/archiviazione personali.
  • Reti: Connettiti tramite Wi-Fi sicuro; evita le reti Wi-Fi pubbliche non affidabili quando lavori.

 

8. Contatto e riconoscimento

  • Domande/dubbi sulla sicurezza: Contatto () o al team IT/sicurezza tramite canali interni.
  • Segnala incidenti: Utilizzare metodi urgenti: () e (canale Team aziendali interni 24 ore su 7, XNUMX giorni su XNUMX).
  • Riconoscimento: Tutti gli utenti sono tenuti a leggere, comprendere e confermare la ricezione della presente informativa elettronicamente tramite (Portale HR, Sistema di Formazione) al momento dell'inserimento e in seguito ad aggiornamenti significativi. La mancata conferma non pregiudica l'applicabilità della presente informativa.
Scarica la politica sulla sicurezza informatica
Rheonics Politica di sicurezza informatica
Cerca

Rheonics all'EXPOCOBRE 2026

Forum Rheonics Venite a trovarci all'EXPOCOBRE 2026 di Lima e scoprite come la sensoristica di precisione sta migliorando l'efficienza del settore minerario. Dalla densità delle fanghiglie al monitoraggio chimico, vedrete la nostra tecnologia in azione.

Scopri di più Scopri altri eventi