Misure tecnico-organizzative

21 Dic 2023

Misure tecnico-organizzative

Le presenti Misure tecnico-organizzative riguardano tutte le sedi aziendali del CitNOW Group e le sue strutture di ricerca e sviluppo.

Informazioni sul CitNOW Group

Creato per valorizzare l’innovazione e supportare rivenditori e costruttori nel fornire un’esperienza eccellente ai propri clienti, il CitNOW Group è guidato dalla vision di trasformare la comunicazione nel mondo dell’automotive.

Il CitNOW Group offre molteplici servizi per le varie fasi del percorso del cliente. Scopri di più su ogni servizio nella nostra pagina web Brand e soluzioni.

Il CitNOW Group, comprendente CitNOW, CitNOW Imaging, CitNOW Triage and Appraise, Dealerdesk, Dealerweb, Quik, REALtime Communications (RTC) e Web1on1 (operante come CitNOW Conversations), opera a livello globale, con una presenza in 82 Paesi, oltre 19.500 installazioni e numerose partnership con fornitori complementari del settore automotive.

Finalità e ambito di applicazione

Il CitNOW Group elabora i dati di clienti finali e consumatori per conto dei propri clienti del settore automotive. Per questo motivo, rispetta la privacy e il valore di tali dati, così come la fiducia che i suoi clienti ripongono in esso.

Di seguito sono riportate le misure tecnico-organizzative adottate per garantire la protezione e la sicurezza dei dati, con l’obiettivo di assicurare la riservatezza, l’integrità e la disponibilità delle informazioni trattate. Per informazioni più dettagliate sulle strutture del data center, cliccare sui link in calce al documento.

Approccio

Adotteremo tutte le misure di sicurezza ragionevoli, appropriate, pratiche ed efficaci per proteggere i nostri processi e le risorse critiche, e per conseguire i nostri obiettivi in materia di sicurezza delle informazioni.
Rispetteremo tutti i requisiti stabiliti dalla norma ISO/IEC 27001:2022 all'interno del nostro Sistema di gestione per la sicurezza delle informazioni.
Seguiremo la norma ISO 27002 come quadro di riferimento per guidare il nostro approccio alla gestione della sicurezza.
Rivedremo costantemente l'efficacia delle misure adottate per migliorare costantemente la protezione della nostra attività.
Proteggeremo e gestiremo le nostre risorse informative nel rispetto dei nostri obblighi contrattuali, legislativi e relativi alla privacy.
Adotteremo tutte le misure ragionevoli e appropriate per garantire il trasferimento sicuro delle informazioni a soggetti terzi che necessitano di accedervi.
Assicureremo la conformità al Regolamento generale sulla protezione dei dati (GDPR), al GDPR del Regno Unito (UK GDPR) e al GDPR dell'Unione europea (EU GDPR), attraverso i nostri rappresentanti aziendali per la protezione dei dati e il nostro Responsabile della protezione dei dati (DPO) esterno e indipendente.
Ci atterremo al quadro di riferimento e alle linee guida TISAX, per soddisfare i requisiti di sicurezza delle informazioni previsti dalle normative e dalle aspettative dei clienti nell'ambito delle politiche del CitNOW Group.

Politiche per la sicurezza delle informazioni
1. Il CitNOW Group ha definito una serie di Politiche per la sicurezza delle informazioni, approvate dalla Direzione operativa, che stabiliscono l'approccio dell'organizzazione alla gestione dei propri obiettivi in materia di sicurezza dei dati.
2. Tali politiche sono state adottate per soddisfare i requisiti derivanti dalla strategia aziendale, dalle normative vigenti, dalla legislazione applicabile, dagli obblighi contrattuali, nonché dal contesto attuale e previsto delle minacce alla sicurezza delle informazioni. Inoltre, esse costituiscono un requisito per il mantenimento delle certificazioni ISO/IEC 27001, Cyber Essentials Plus e TISAX (ove applicabili, in base alla specifica unità aziendale). Tutto il personale è tenuto a rispettare le seguenti politiche:
  - Politica di controllo degli accessi
  - Politica di utilizzo accettabile
  - Politica di gestione delle modifiche
  - Politica di classificazione delle informazioni
  - Politica di gestione degli incidenti relativi alla sicurezza delle informazioni
  - Politica di trasferimento delle informazioni
  - Politica sull’uso di dispositivi portatili e telelavoro
  - Politica per la sicurezza fisica
  - Politica della scrivania sgombra e dello schermo bloccato
  - Politica di gestione delle password
  - Politica in materia di crittografia
  - Politiche relative alla gestione del personale: onboarding, controlli preassunzione e cessazione del rapporto di lavoro
  - Politica sull'utilizzo dei browser Internet
3. Potrebbero essere previste ulteriori politiche vincolanti, oltre a quelle sopra indicate, in base al ruolo ricoperto dal dipendente.
4. Tutte le politiche sulla sicurezza delle informazioni del CitNOW Group vengono riviste almeno una volta l'anno oppure ogniqualvolta intervengano modifiche significative che possano avere un impatto su una politica, indipendentemente dalla natura di tali cambiamenti (ad esempio: variazioni nelle attività aziendali, aggiornamenti legislativi o innovazioni tecnologiche).
Gestione dei rischi
1. Il CitNOW Group adotta un approccio completo, ma pragmatico, per l'identificazione, l'analisi e il trattamento dei rischi, oltre che per il monitoraggio e la verifica costanti. Ciò è definito nel nostro documento "Risk Assessment & Treatment Methodology" (Metodologia di valutazione e trattamento dei rischi), che affronta i rischi derivanti da questioni interne ed esterne, sia in termini di minacce che di opportunità, e delinea l'approccio da adottare nei confronti dei rischi derivante dalla legislazione applicabile.
2. Inoltre, è stato istituito un Registro dei rischi aggiornato, utilizzato per mappare e trattare i rischi individuati durante la fase di identificazione e analisi. Il Registro dei rischi viene utilizzato anche per documentare le attività e dimostrare i collegamenti con i controlli e le politiche selezionati dall’organizzazione per affrontare minacce e opportunità di rischio.
Misure organizzative
1. Ruoli e responsabilità: il CitNOW Group ha identificato ruoli e responsabilità chiave nell'ambito della sicurezza delle informazioni e della protezione dei dati. Questi ruoli specifici vengono assegnati e comunicati per garantire la gestione efficace della sicurezza delle informazioni e affinché le prestazioni del sistema di gestione della sicurezza delle informazioni siano riportate ai vertici aziendali.
  1. Responsabile delle operazioni di sicurezza e dei rischi: coordina e presiede il Comitato ISO, assicurando il mantenimento del Sistema di gestione per la sicurezza delle informazioni (Information Security Management System, ISMS) e della certificazione ISO. Inoltre, si occupa della gestione della sicurezza delle informazioni all’interno dell’organizzazione e del monitoraggio dei rischi.
  2. Responsabile della conformità del Gruppo e della protezione dei dati: guida il Team di compliance del Gruppo ed è responsabile delle aree del sistema ISMS relative agli aspetti legali, contrattuali e di protezione dei dati. Ha altresì la responsabilità di garantire la conformità al GDPR nelle sedi del Regno Unito e dell'Unione europea.
  3. Comitato ISO: si occupa della gestione quotidiana e della manutenzione del sistema ISMS, dell'implementazione delle politiche e delle procedure e garanzia della conformità del personale e della gestione delle azioni correttive e dei miglioramenti, nonché dei rischi e dei trattamenti.
  4. Auditor interni: membri del personale che hanno frequentato il corso raccomandato per auditor interni ISO 27001 e che, pertanto, sono responsabili dell'esecuzione di tutte le revisioni contabili interne, in linea con il Programma di revisione contabile.
  5. Direzione operativa responsabile del sistema ISMS e del GDPR: punto di contatto per il comitato ISO e la Direzione operativa del CitNOW Group. È responsabile dell'approvazione di nuove politiche e procedure nell'ambito della certificazione ISO, nonché della supervisione del raggiungimento dei nostri indicatori chiave di prestazione (KPI). Inoltre, è incaricata di approvare l'accettazione dei rischi in conformità con la metodologia adottata per la gestione dei rischi.
  6. Responsabile della protezione dei dati: ha la responsabilità di garantire che il CitNOW Group rispetti tutti gli aspetti del GDPR, sia dell'UE che del Regno Unito.
  7. Rappresentante UE: il nostro Rappresentante UE nominato in relazione al GDPR dell'UE. È responsabile del rapporto con le autorità di vigilanza dell'UE in relazione al GDPR dell'UE e del rapporto con gli Interessati con sede nell’UE.
  8. Referenti per il GDPR: rappresentano il punto di contatto quotidiano per tutte le tematiche relative alla protezione dei dati personali all'interno dell’organizzazione. Assicurano il mantenimento e l'aggiornamento costanti delle politiche dinamiche (le cosiddette "living policies"), come il Registro delle attività di trattamento, ai sensi dell'Articolo 30 del GDPR, il Registro delle violazioni ecc. Inoltre, gestiscono l'aggiornamento dell'Informativa sulla privacy e vigilano sulla conformità operativa quotidiana dell'organizzazione rispetto agli obblighi previsti dal GDPR, con particolare attenzione ai diritti degli Interessati e alla tutela dei dati dei clienti.
2. Separazione dei compiti: la separazione dei compiti ha lo scopo di garantire che alla stessa persona non vengano assegnate responsabilità contrastanti e di impedire che un singolo individuo possa accedere, modificare o utilizzare risorse senza autorizzazione o senza essere scoperto.
3. Intelligence sulle minacce: per comprendere le potenziali minacce e vulnerabilità che potrebbero compromettere la sicurezza delle informazioni, raccogliamo e analizziamo i dati sulle minacce provenienti da fonti note. In questo modo siamo consapevoli delle minacce che potrebbero avere un impatto su di noi e siamo in grado di adottare le misure appropriate quando necessario. Qualsiasi informazione relativa a minacce che potrebbe influire sull'organizzazione viene registrata nel Registro dei rischi e trattata secondo il nostro metodo di gestione dei rischi.
4. Sicurezza delle informazioni nella gestione dei progetti: I Dipartimenti di prodotto del Gruppo seguono un flusso di lavoro che prevede il coinvolgimento del reparto Compliance già nelle fasi iniziali dei progetti, unitamente alla valutazione dei rischi. Qualora un progetto possa avere un impatto sulla privacy dei clienti, del personale o dei consumatori, è obbligatorio seguire le procedure aziendali previste per la valutazione dell'impatto sulla protezione dei dati (Data Protection Impact Assessment, DPIA). Se un progetto coinvolge un soggetto terzo, sarà rispettata anche la Procedura di sicurezza del fornitore.
5. Inventario delle informazioni e di altre risorse: utilizziamo un Sistema di tracciamento per l'inventario delle risorse informative e un Sistema di tracciamento delle risorse fisiche, entrambi concepiti per seguire le nostre risorse durante il loro intero ciclo di vita. Il proprietario della risorsa è responsabile della sua corretta gestione per tutto il suo ciclo di vita e della sua protezione in conformità alla classificazione delle informazioni. Al termine del rapporto di lavoro o del contratto con terzi, tutte le risorse informative del CitNOW Group devono essere restituite a quest'ultimo.
6. Utilizzo accettabile delle informazioni e di altre risorse associate: Il CitNOW Group applica una Politica di utilizzo accettabile che definisce le regole per l'utilizzo dei sistemi informativi e delle risorse aziendali. Essa pone l'accento sull'utilizzo responsabile delle risorse per scopi aziendali, vieta attività non autorizzate e garantisce la sicurezza dei dati. I dipendenti sono tenuti a seguire le linee guida relative agli aggiornamenti software, all'utilizzo di Internet, alle comunicazioni via e-mail e alla segnalazione di incidenti.
7. Gestione delle risorse: ove possibile, il CitNOW Group evita di creare autonomamente risorse informative cartacee e cerca di produrre esclusivamente informazioni digitali. Le informazioni digitali sono protette dall'accesso non autorizzato mediante l'applicazione di misure, quali il controllo degli accessi.
8. Classificazione ed etichettatura delle informazioni: Il CitNOW Group ha definito tre livelli di riservatezza con la “Matrice di classificazione delle informazioni” (Riservate, Pubbliche e Interne). Tutta la documentazione deve essere chiaramente contrassegnata con l'etichetta di riservatezza appropriata e le informazioni classificate come “Riservate” devono essere accompagnate da un Elenco delle persone autorizzate ad accedervi.
9. Trasferimento di informazioni: Il CitNOW Group adotta una politica per il trasferimento delle informazioni che garantisce che tutti i trasferimenti di informazioni/dati all'interno del Gruppo CitNOW, sia interne/i che esterne/i o dirette/i a terzi, soddisfino requisiti minimi di sicurezza. Tale politica definisce ruoli e responsabilità, metodi per il trasferimento sicuro e linee guida per la gestione di vari formati di informazioni, ivi inclusi posta elettronica, messaggistica istantanea e dispositivi di memoria esterni. Questa politica è applicabile a tutti i dipendenti e a soggetti terzi, sottolineando l’importanza della conformità e della corretta classificazione delle informazioni.
10. Controllo degli accessi: il CitNOW Group adotta una politica di controllo degli accessi che definisce le regole per accedere a sistemi, apparecchiature, strutture e informazioni in base alle esigenze aziendali e di sicurezza. L'accesso alle risorse segue i principi "deny-by-default" (diniego predefinito) e "need-to-know" (necessità di sapere). Il controllo degli accessi basato sui ruoli (Role-Based Accessi Control – RBAC) è attuato secondo il principio del privilegio minimo, e i diritti di accesso vengono rivisti annualmente. Il reparto IT è responsabile del controllo dell’accesso alla rete, che viene concesso solo in caso di effettiva necessità.
11. Responsabilità dell'utente e gestione delle password: tutti gli utenti dei sistemi del CitNOW Group devono disporre di un ID utente univoco e autenticarsi mediante password. Le password devono essere mantenute riservate e non devono essere condivise in alcun modo (a voce, per iscritto, elettronicamente, ecc.), né salvate all'interno di sistemi informatici, salvo che in un archivio delle password approvato (vault). Gli utenti sono tenuti ad adottare buone pratiche di sicurezza nella creazione e nell'utilizzo delle proprie password, e a rispettare tutte le disposizioni previste dalla politica aziendale sulle password.
12. Gestione degli accessi degli utenti: l'implementazione tecnica del conferimento o della revoca dei diritti di accesso di base dei dipendenti del CitNOW Group è effettuata dal reparto IT e dal reparto Risorse umane. L'implementazione tecnica del conferimento o della revoca dei diritti di accesso è effettuata dai Proprietari del sistema. La separazione delle funzioni e degli account privilegiati da quelli non privilegiati è implementata ove possibile e pratico. I diritti di accesso sono monitorati e rivisti regolarmente, almeno una volta l’anno.
13. Sicurezza delle informazioni nei rapporti con i fornitori: il CitNOW Group dispone di una Politica di sicurezza per i fornitori. Lo scopo di questa politica è garantire che lo scambio di informazioni con soggetti terzi avvenga in modo tale da ottenere il massimo valore da tali relazioni, proteggendo al contempo le risorse informative del CitNOW Group da eventuali abusi. Per garantire la massima riservatezza delle informazioni, tutti i soggetti terzi che hanno accesso a dati o informazioni sono tenuti a sottoscrivere un accordo di non divulgazione e riservatezza. Tale accordo è incluso nel contratto o nell'accordo di servizio a seconda del tipo di fornitore. Inoltre, è prevista una procedura interna che garantisce che tutti i dipendenti seguano le procedure corrette quando valutano un nuovo fornitore e che il Team di compliance sia coinvolto nel processo, al fine di garantire che tutti i controlli siano stati effettuati.
14. Gestione della sicurezza in collaborazione con i fornitori: laddove possibile, collaboriamo con fornitori che soddisfano già la maggior parte dei nostri requisiti in materia di sicurezza delle informazioni per i servizi che ci forniscono e che hanno una comprovata esperienza nel gestire in modo responsabile le questioni relative alla sicurezza delle informazioni. Selezioniamo servizi di prim'ordine e degni di fiducia, noti per la loro solidità, affidabilità e sicurezza e, ove possibile, ci rivolgiamo a fornitori che hanno già ottenuto la certificazione ISO 27001 o una certificazione equivalente.
15. Monitoraggio, revisione e gestione dei cambi di fornitore: tutti i fornitori del CitNOW Group vengono sottoposti a una valutazione approfondita dei requisiti di sicurezza prima dell’avvio dell’erogazione dei servizi. Questo processo di verifica è continuo: i fornitori che rivestono un ruolo critico vengono riesaminati annualmente; mentre quelli a minore impatto sono valutati alla scadenza del contratto o prima del suo rinnovo. In caso di modifiche ai servizi forniti, durante il processo decisionale vengono presi in considerazione diversi fattori per garantire risultati ottimali. Come buona prassi, miriamo a identificare e valutare almeno tre potenziali fornitori prima di finalizzare una nuova scelta. Le principali considerazioni includono:
  - la natura del cambiamento;
  - il tipo di fornitore coinvolto e la criticità delle informazioni, dei sistemi e dei processi aziendali e la rivalutazione dei rischi associati;
  - il grado di interdipendenza con il fornitore; e
  - la nostra capacità di influenzare o gestire il cambiamento.
16. Gestione degli incidenti relativi alla sicurezza delle informazioni: sono state definite procedure di risposta agli incidenti al fine di garantire un approccio strutturato e tempestivo in caso di eventi di sicurezza. Tali procedure stabiliscono ruoli e responsabilità chiari per il personale, sia in fase di segnalazione che di gestione dell'incidente, assicurando un quadro operativo coerente ed efficace. Il compito iniziale consiste nel valutare l'evento e decidere le azioni per ridurre al minimo il rischio di compromettere la disponibilità, l’integrità o la riservatezza delle informazioni (Availability, Integrity or Confidentiality, CIA), prevenire ulteriori incidenti, ridurre al minimo le interruzioni e identificare chi deve essere informato, inclusi personale interno, clienti, fornitori e autorità di regolamentazione, tenendo conto dei requisiti del GDPR e del Data Protection Act 2018 [N.d.T.: legge britannica del 2018, che regola il trattamento dei dati personali nel Regno Unito]. Una volta valutata la situazione, una persona incaricata si metterà in contatto con le parti interessate per risolvere la questione. I tempi di risposta variano a seconda della classificazione e della gravità dell’incidente. Se un incidente ha ripercussioni sui clienti, provvederemo a informarli in conformità con nostri obblighi legali e contrattuali, entro i limiti previsti dalla legge, dopo aver condotto un’indagine approfondita.
17. Sicurezza delle informazioni durante le interruzioni operative: il CitNOW Group ha identificato diversi scenari potenzialmente critici per la continuità aziendale e ha documentato le relative misure di mitigazione all’interno del proprio Piano di continuità operativa. Tale piano è progettato per garantire una ripresa rapida ed efficace delle attività, minimizzando l'impatto degli incidenti che potrebbero causare interruzioni operative. L’esecuzione dei test e il mantenimento in efficienza del piano di continuità operativa del CitNOW Group, al fine di garantirne la coerenza con i nostri obiettivi di sicurezza delle informazioni, vengono effettuati sulla base dei seguenti criteri:
  - i test di parti specifiche del piano e il loro impatto sulla sicurezza delle informazioni vengono condotti con una frequenza correlata alla probabilità di rischio e all'impatto secondo la valutazione dei rischi.
  - Le verifiche del Piano di continuità operativa (Business Continuity Plan, BCP) vengono pianificate regolarmente in linea con il programma di auditing.
  - Il Team IT e il Team di compliance effettuano revisioni del piano stesso per garantirne la pertinenza e qualsiasi modifica utile individuata viene presentata alla Direzione operativa.
  - Almeno una volta l'anno, viene condotta un’esercitazione teorica completa sulla continuità operativa, per garantire che continui a far parte di un approccio integrato all'attività e alla sua capacità di raggiungere gli obiettivi.
18. Legislazione applicabile: le leggi, le norme e i requisiti contrattuali applicabili al CitNOW Group sono identificati, documentati, monitorati e periodicamente rivisti nel corso delle normali attività operative e delle revisioni amministrative.
19. Diritti di proprietà intellettuale: Il CitNOW Group definisce il proprio approccio alla protezione dei propri diritti di proprietà intellettuale (Intellectual Property Rights, IPR) attraverso le misure seguenti, derivanti da politiche e accordi consolidati, che includono:
  - Termini e condizioni di impiego
  - Cancellazione delle informazioni
  - Accordi di riservatezza o di non divulgazione
20. Protezione dei registri: i registri del CitNOW Group sono protetti contro perdita, distruzione, falsificazione, accesso e divulgazione non autorizzati, in conformità con i requisiti legislativi, normativi, contrattuali e aziendali. I singoli registri sono conservati secondo le politiche di conservazione dei dati. La pianificazione e la gestione della protezione dei registri sono affidate ai proprietari delle informazioni o delle risorse coinvolte.
21. Analisi della sicurezza delle informazioni: le politiche e le procedure di sicurezza delle informazioni del CitNOW Group sono soggette a revisione indipendente a intervalli regolari e in caso di variazioni, nell’ambito del nostro impegno per il miglioramento continuo del servizio. Gli audit interni vengono inoltre pianificati annualmente tramite il Programma di audit, assegnando al personale appropriato il compito di condurli.
22. Revisione tecnica: ogni prodotto viene sottoposto una volta all'anno a test di vulnerabilità e test di penetrazione da parte di esperti qualificati in questo tipo di prove, per verificare se tali vulnerabilità possono essere effettivamente corrette.
23. Procedure operative: il CitNOW Group ha messo in atto procedure operative che consentono agli amministratori e ai responsabili di reparto di decidere dove archiviare le procedure operative più adatte alle loro esigenze e a quelle del proprio personale, nonché di creare tale documentazione.
Persone
1. Screening: la politica globale di reclutamento e selezione del CitNOW Group comprende le attività di screening che devono essere intraprese per tutti i nuovi assunti. Tra queste rientrano, a titolo esemplificativo e non esaustivo, la prova della loro idoneità al lavoro e due referenze lavorative soddisfacenti.
2. Termini e condizioni per i dipendenti: al momento dell'offerta di assunzione, tutti i nuovi dipendenti del CitNOW Group ricevono un contratto specifico in base all'entità giuridica con cui collaboreranno. Tali contratti includono rigorosi requisiti di riservatezza e confidenzialità, oltre a delineare in modo chiaro gli obblighi di conformità alle politiche di sicurezza delle informazioni del Gruppo che saranno tenuti a rispettare.
3. Consapevolezza, formazione e addestramento in materia di sicurezza delle informazioni: al momento dell'assunzione, il personale deve partecipare alle nostre sessioni di formazione "DNA", che consentono ai nuovi assunti di integrarsi completamente nell'azienda, comprese quelle tenute dai membri del nostro Team per la Sicurezza dell'organizzazione. Il personale attualmente in servizio partecipa regolarmente a corsi di formazione e iniziative di sensibilizzazione , attraverso moduli di e-learning e campagne di prevenzione contro il phishing. Inoltre è incoraggiato a individuare e richiedere autonomamente percorsi formativi ritenuti utili per lo sviluppo delle proprie competenze professionali.
4. Politica disciplinare: la sicurezza delle informazioni è un elemento di fondamentale importanza per il CitNOW Group. Di conseguenza, il ripetersi di episodi di non conformità alle politiche aziendali o un atto deliberato che comporti una grave violazione dei dati può comportare l’adozione di provvedimenti disciplinari, ove necessario e applicabile. Il reparto Risorse umane del CitNOW Group agirà in conformità con la politica disciplinare prevista per i dipendenti operanti nel mercato del Regno Unito. Poiché le normative variano a seconda della giurisdizione, il Team Risorse umane applicherà le procedure disciplinari negli altri mercati in linea con le leggi di mercato locali vigenti.
5. Risoluzione del contratto di lavoro o variazione del rapporto lavorativo: in caso di cessazione del rapporto di lavoro, questioni quali la riservatezza e il comportamento da tenere in merito alle informazioni riservate dopo aver lasciato l’organizzazione sono trattate in conformità con i Termini e condizioni di impiego e vengono ricordate ai membri del personale durante il colloquio di uscita con il Team Risorse umane. Il recupero delle risorse dei dipendenti che lasciano il posto di lavoro viene effettuato in conformità con la procedura di restituzione delle risorse e la rimozione da tutti i sistemi viene effettuata in conformità con la Politica di controllo degli accessi.
6. Accordi di riservatezza e non divulgazione (NDA): accordi di riservatezza e non divulgazione che hanno come oggetto i requisiti per proteggere le informazioni riservate mediante termini giuridicamente vincolanti. Gli accordi di riservatezza o non divulgazione sono applicabili e obbligatori per tutte i soggetti esterni o i dipendenti del CitNOW Group, che abbiano sottoscritto un NDA o una clausola NDA completa facente parte di un accordo.
7. Segnalazione di eventi e vulnerabilità relativi alla sicurezza delle informazioni: ogni dipendente, fornitore o altro soggetto terzo che venga a contatto con informazioni e/o sistemi del CitNOW Group o dei relativi clienti è tenuto a segnalare qualsiasi vulnerabilità, incidente o evento che possa comportare un potenziale rischio per la sicurezza. Le informazioni relative alle modalità di segnalazione di tali eventi o vulnerabilità sono parte integrante della formazione continua sulla sicurezza delle informazioni destinata a tutti i dipendenti del CitNOW Group e del processo di onboarding dei fornitori e di altri soggetti terzi.
Misure fisiche
1. Ingresso fisico: le misure di sicurezza fisica in tutti gli uffici del CitNOW Group includono quanto segue:
  - tutti i dipendenti devono essere in possesso di un badge o di un tesserino magnetico per accedere agli uffici, a meno che l'ufficio non disponga di una reception presidiata;
  - tutti i visitatori sono tenuti a registrarsi alla reception e a indossare sempre un badge identificativo;
  - i dipendenti devono fare attenzione a evitare che persone non autorizzate si infiltrino, entrando dietro a qualcun altro, e informarsi sull'identità delle persone sconosciute per garantire la sicurezza dell'ufficio;
  - le porte degli uffici principali devono essere sempre chiuse;
  - tutte le finestre e le porte di accesso principali devono essere chiuse a chiave alla fine di ogni giornata lavorativa;
  - i punti di accesso a tutti gli uffici sono sorvegliati da telecamere a circuito chiuso, fornite dai proprietari.
2. Aree sicure: tutti gli uffici del CitNOW Group sono protetti grazie alle seguenti misure precauzionali:
  - le apparecchiature di telecomunicazione, i server e le infrastrutture di rete sono conservati in sicurezza in locali chiusi a chiave, accessibili solo a pochi dipendenti;
  - la posta viene consegnata in un’unica cassetta postale chiusa a chiave, accessibile, solo al nostro personale, ove possibile;
  - tutto il personale ha a disposizione armadi per archiviazione protetti, armadietti o cassetti della scrivania chiudibili a chiave;
  - se viene utilizzata una sala riunioni condivisa per più giorni, è consentito lasciare il materiale all’interno durante la notte, a condizione che la sala sia chiusa a chiave e che il materiale riservato sia nascosto alla vista;
  - tutte le riunioni di natura "riservata" si svolgono in sale riunioni dedicate per evitare il rischio di fuga di informazioni nell'ufficio open space principale, dove non è necessario che tali informazioni vengano condivise;
  - ai dipendenti e a chiunque utilizzi uffici e sale riunioni si ricorda di evitare di lasciare materiali "Riservati" in luoghi visibili ad altri, incluso su lavagne informative, ecc.
3. Politica della scrivania sgombra e dello schermo bloccato: le informazioni riservate o sensibili, conservate in formato elettronico o cartaceo, devono essere protette in maniera adeguata e in conformità alla Politica di classificazione delle informazioni, quando i dipendenti sono assenti dal posto di lavoro per un periodo prolungato e alla fine di ogni giornata lavorativa. Per agevolare questo processo, sono stati elaborati principi guida che riguardano sia i documenti non elettronici (ad esempio, manuali/documenti cartacei) che i moduli informativi elettronici. Quando sono lontani dalle loro postazioni di lavoro, i dipendenti devono bloccare lo schermo con una password.
4. Attrezzature: tutto il CitNOW Group ha implementato i seguenti controlli per garantire la sicurezza delle attrezzature:
  - il CitNOW Group utilizza prevalentemente servizi basati su cloud forniti da provider consolidati e di grandi dimensioni, responsabili della fornitura di servizi garantiti all’interno dei rispettivi data center;
  - i cavi di alimentazione e telecomunicazione che trasportano dati o supportano servizi informativi all'interno di tutti gli uffici del CitNOW Group sono protetti contro intercettazioni, interferenze o danni;
  - i cavi per i server e le infrastrutture di rete sono conservati in sicurezza in locali dedicati alle comunicazioni chiusi a chiave, accessibili solo a pochi dipendenti, e tutti i cavi sono sottoposti a regolare manutenzione.
  - le attrezzature specialistiche, come quelle antincendio, vengono sottoposte a manutenzione secondo gli intervalli di manutenzione e le specifiche.
5. Supporti di archiviazione: i dipendenti del CitNOW Group sono autorizzati a utilizzare sui propri computer ad uso lavorativo esclusivamente supporti informatici rimovibili forniti dall'azienda e distribuiti dal reparto IT. Tali supporti non devono essere collegati né utilizzati su dispositivi non di proprietà o non noleggiati dal CitNOW Group, salvo espressa autorizzazione del reparto IT. Eventuali dati aziendali o personali archiviati su questi supporti devono essere eliminati in maniera sicura, utilizzando tecnologie approvate, in base al livello di sensibilità delle informazioni. Il CitNOW Group garantisce che tutte le risorse vengano smaltite tramite aziende di trattamento autorizzate e approvate secondo la normativa RAEE. I dipendenti sono autorizzati a portare fuori dall'ufficio apparecchiature aziendali, come i computer portatili, senza previa autorizzazione o registrazione dell'evento, a condizione che vengano sempre rispettate tutte le politiche di sicurezza per la protezione delle risorse.
Misure tecnologiche
1. Malware: l'impiego di software antivirus sui dispositivi dei dipendenti consente di rilevare ed eliminare la stragrande maggioranza dei malware più comuni. Il CitNOW Group utilizza prodotti noti e ampiamente affidabili per ridurre al minimo il rischio che un utente venga esposto a minacce informatiche. In tutti i casi in cui è installato un software antimalware:
  - il software deve essere aggiornato regolarmente tramite la funzione di aggiornamento automatico;
  - quando si accede ai file, deve essere eseguita una scansione antimalware.
2. Gestione delle vulnerabilità: il CitNOW Group esegue periodicamente scansioni delle vulnerabilità e test di penetrazione annuali per individuare eventuali vulnerabilità non identificate in precedenza. Quando viene individuata una vulnerabilità, indipendentemente dalla fonte, questa viene esaminata dal Team di compliance, dal CIO, dal CTO e da qualsiasi altro attore chiave. Qualora sia necessario intervenire per risolvere una vulnerabilità, a seconda della natura della stessa, vengono adottate misure immediate o programmate entro una data specifica.
3. Eliminazione delle informazioni: l'utilizzo di data warehouse di prim'ordine a livello mondiale consente al CitNOW Group di garantire un livello elevato di disponibilità e sicurezza. I nostri database contengono informazioni di identificazione personale (Personal Identification Information, PII) di clienti e consumatori (come definiti all’articolo 6 del Data Protection Act 2018). Per eliminare le PII dai nostri database, utilizziamo metodi di anonimizzazione e, successivamente, procediamo alla loro completa cancellazione dopo un periodo di tempo definito. Eliminazione delle PII dai nostri database:
  
  Per ogni operazione di eliminazione, vengono conservati i registri contenenti le seguenti informazioni:
  - Chi
  - Ha eliminato cosa
  - Quando
  - Autorizzato da chi
4. Prevenzione della fuga di informazioni: il CitNOW Group ha implementato una serie di tecniche finalizzate alla prevenzione della fuga di informazioni, che ci consentono di garantire che i dati sensibili siano correttamente accessibili e utilizzati, impedendone l’accesso a utenti sconosciuti o anonimi, attraverso le seguenti misure:
  - identificazione delle informazioni che richiedono particolare protezione, ad esempio attraverso la classificazione;
  - designazione delle persone autorizzate ad accedere alle informazioni e dei tempi in cui possono farlo;
  - garanzia che il fornitore di servizi disponga di un meccanismo per il controllo e il monitoraggio delle modalità, dei tempi e dei dati accessibili, proteggendo tali informazioni da utilizzo, copia e distribuzione non autorizzati;
  - controllo sulle informazioni condivise con soggetti esterni o terzi;
  - sensibilizzazione del personale sull'importanza della verifica dei destinatari e della corretta classificazione delle informazioni, mediante attività di formazione, educazione e informazione in materia di sicurezza dei dati; e
  - adozione di provvedimenti volti a implementare il mascheramento dei dati, ove appropriato.
5. Backup: il backup di tutti i sistemi fondamentali per l'azienda all'interno del Gruppo CitNOW viene eseguito regolarmente, utilizzando sia soluzioni in cloud che copie di sicurezza locali. Sono state elaborate politiche di backup per definire i requisiti e i periodi di conservazione relativi al backup delle informazioni, dei software e dei sistemi all’interno di ciascuna entità.
6. Disponibilità di strutture per il trattamento delle informazioni: il CitNOW Group utilizza prevalentemente servizi basati su cloud per fornire i propri servizi. Questi sistemi dispongono della ridondanza intrinseca integrata nelle rispettive architetture resilienti e ad alta disponibilità.
7. Registrazione e monitoraggio: il CitNOW Group esegue la registrazione degli eventi per tutti i prodotti delle entità tramite vari software di monitoraggio. I registri sono accessibili quando necessario e contengono informazioni quali i tentativi di accesso degli utenti e gli errori nelle applicazioni. Tutte le informazioni registrate sono accessibili solo agli utenti in possesso dei privilegi appropriati; gli utenti devono disporre di un account all’interno del sistema specificato con le autorizzazioni adeguate.
8. Controlli del software: nel CitNOW Group sono applicate varie misure per controllare le modifiche del software nei sistemi operativi. Tutte le modifiche al software operativo sono gestite in conformità con la procedura di gestione delle modifiche e tengono conto dei requisiti aziendali e degli aspetti di sicurezza della modifica.
9. Sicurezza delle reti: le reti interne sono gestite dal reparto IT. Il reparto IT è responsabile della manutenzione e dell'aggiornamento delle attività di tutte le reti. Poiché utilizziamo principalmente servizi basati su cloud, i fornitori dei servizi cloud sono i principali responsabili della sicurezza dei servizi di rete. Tutti i servizi Internet e basati su cloud sono soggetti a un rigoroso accordo sui livelli di servizio (Service Level Agreement, SLA) tra il CitNOW Group e il fornitore. Ogni accesso ai server o ai sistemi del CitNOW Group è gestito tramite meccanismi di autenticazione. Per gli ospiti sono disponibili reti dedicate, che non consentono l’accesso ai sistemi principali.
10. Utilizzo della crittografia: il CitNOW Group ha adottato una politica crittografica che delinea il nostro approccio all'uso dei controlli crittografici. Essa garantisce che l'organizzazione mantenga gli standard di crittografia più elevati possibili. Tutti i membri del personale del CitNOW Group hanno la responsabilità di garantire che i dati interni e riservati siano crittografati prima di lasciare la sede dell’organizzazione. Considerazioni sulla gestione delle chiavi crittografiche: devono essere definiti requisiti specifici per la gestione delle chiavi crittografiche durante il loro intero ciclo di vita, incluse le fasi di generazione, archiviazione, recupero, distribuzione, revoca e distruzione. Gli algoritmi di crittografia, la lunghezza delle chiavi e le modalità di utilizzo devono essere selezionati in conformità con le migliori pratiche del settore.
11. Politica di sviluppo sicura: questa politica riflette il nostro approccio allo sviluppo sicuro dei nostri servizi, prodotti e siti web e si applica a tutti i team di sviluppo. Vengono presi in considerazione e rispettati gli standard di codifica sicura.
12. Test di accettazione: vengono eseguiti test su tutte le modifiche per garantire la sicurezza, la solidità, la correttezza e le prestazioni dell'applicazione. I test di accettazione sono una prassi standard per i nostri sviluppatori nell’ambito del nostro ciclo di implementazione: tutte le nuove funzionalità vengono testate singolarmente prima della loro implementazione. Applichiamo la separazione dei compiti, con la nomina di addetti ai test in ciascuna entità per far parte di ogni team di sviluppo.
13. Sviluppo esternalizzato: tutti gli sviluppatori esterni vengono valutati per garantire che siano qualificati e competenti. Gli Appaltatori singoli sono trattati allo stesso modo degli sviluppatori del Gruppo CitNOW, applicando le stesse politiche e gli stessi controlli di sviluppo sia allo sviluppo esternalizzato che a quello interno.
14. Separazione ambientale: al fine di ridurre il rischio di attività dannose o modifiche non autorizzate o accidentali da parte di utenti interni, in tutti i prodotti del Gruppo CitNOW vengono utilizzati ambienti separati per sviluppo, test e produzione, in linea con le migliori pratiche del settore. All'interno di ciascuna entità vengono generalmente adottati i seguenti ambienti:
  - Ambiente di sviluppo – destinato allo sviluppo del software
  - Ambiente di staging/test - utilizzato per test interni e validazioni preliminari
  - Ambiente di produzione – rappresenta l’ambiente operativo reale
15. Gestione delle modifiche: le modifiche significative all'organizzazione, ai processi aziendali, alle strutture e ai sistemi di trattamento delle informazioni all'interno del Gruppo CitNOW sono soggette a revisione formale e approvazione da parte della Direzione operativa.
16. Controllo delle modifiche: le nostre procedure di controllo delle modifiche in fase di sviluppo sono integrate nella gestione delle modifiche disciplinata nella nostra Politica di controllo delle modifiche. Tutte le modifiche ai sistemi sono sottoposte a un processo di peer code review (revisione del codice tra pari) e a un ciclo di test, in conformità con le procedure documentate.
17. Protezione dei dati dei test: in circostanze normali, non vengono utilizzati dati personali per lo sviluppo o il collaudo di alcun prodotto del CitNOW Group.
Politiche di supporto aggiuntive
1. Inoltre, il CitNOW Group ha adottato una serie di altre politiche aziendali di supporto alle proprie procedure di sicurezza delle informazioni, quali, a titolo esemplificativo e non esaustivo:
  - Politica globale anti-corruzione del Gruppo
  - Politica disciplinare
  - Politica globale del Gruppo per la segnalazione delle irregolarità
  - Politica globale in materia di salute e sicurezza
  - Politica di contrasto alla schiavitù moderna
  - Procedura di notifica delle violazioni
Certificazioni
1. ISO 27001: CitNOW Group Limited ha ottenuto la certificazione ISO 27001 dall’ente accreditato britannico BSI - British Standards Institution (certificazione n.: IS 785456).
2. Cyber Essentials Plus: CitNOW Group Limited ha ottenuto la certificazione Cyber Essentials Plus da CyberSmart (certificazione n.: b5aea281-ec18-4306-9374-beba1ef3fe98)
3. TISAX: l’Associazione ENX, per conto della VDA (Verband der Automobilindustrie – Associazione dell’industria automobilistica tedesca), promuove il sistema di valutazione TISAX (Trusted Information Security Assessment Exchange) come sistema comune di accettazione delle Valutazioni sulla sicurezza delle informazioni nel settore automotive. Le Valutazioni TISAX sono condotte da fornitori di servizi di auditing che, a intervalli regolari. devono dimostrare la loro qualifica Il sistema TISAX e i risultati delle valutazioni non sono destinati al grande pubblico.
4. Stato TISAX: Siamo un partecipante TISAX registrato e abbiamo ottenuto le seguenti etichette:
  - Riservatezza & Protezione dei dati secondo il GDPR UE Art. 28 al livello di valutazione AL2.
  - Verifica: I nostri risultati di valutazione sono disponibili tramite il portale ENX. Se hai bisogno di accesso, richiedilo tramite il portale ENX utilizzando il nostro Scope ID (disponibile su richiesta).
Sub-responsabili del trattamento
Tutti i sub-responsabili del trattamento di cui si avvale ciascuna entità all’interno del CitNOW Group sono elencati nella pagina Subprocessors del sito web del CitNOW Group.

Questi subappaltatori (sub-responsabili del trattamento) possono variare nel tempo in funzione del rilascio di nuove funzionalità e aggiornamenti di sistema. Durante la selezione di nuovi subappaltatori vengono adottate misure di due diligence per garantire il rispetto dei requisiti di sicurezza e protezione dei dati.

In conformità con la Procedura per i fornitori terzi, il CitNOW Group valuta attentamente le misure di sicurezza e gli standard di conformità dei propri partner, al fine di garantire un elevato livello di protezione. Per rafforzare questo impegno, il CitNOW Group stipula Accordi sul trattamento dei dati solidi e conformi al GDPR con tutti i sub-responsabili del trattamento. Ove necessario, vengono inoltre implementati meccanismi di trasferimento supplementari per garantire la conformità alle normative in materia di protezione dei dati, tra cui: Clausole Contrattuali Standard (Standard Contractual Clauses, SCC), Accordi Internazionali per il Trasferimento dei Dati (International Data Transfer Agreements, IDTA) e/o valutazioni dei rischi associati al trasferimento (Transfer Risk Assessments, TRA).
Sede centrale del CitNOW Group
Tutte le sedi centrali del CitNOW sono consultabili sul sito web del CitNOW Group.

Ultimo aggiornamento: 5 Gen 2026

« Back