GeneGIS GI S.r.l., per esplicito impegno del CdA, della Direzione e di tutti gli appartenenti all’organizzazione aziendale definisce, come finalità prioritari della propria azione, il continuo miglioramento della qualità dei prodotti/servizi erogati e la cultura aziendale volta alla attenzione alla sicurezza dei dati e delle informazioni.

Gli elementi fondanti dell’azione delle funzioni di governo, per il perseguimento delle finalità suddette, sono rinvenibili:

• nella crescita delle conoscenze e competenze del personale in ambito networking & security;
• nel costante monitoraggio del rispetto dei requisiti contrattuali definiti con il cliente e della sua soddisfazione;
• nella garanzia della Riservatezza delle informazioni mediante idonee policies di accesso ai dati ed alle infrastrutture;
• nella garanzia dell’Integrità delle informazioni attuando comportamenti e tecniche volte a salvaguardare l’informazione da modifiche e/o elaborazioni non autorizzate, garantendo a tale scopo la storicizzazione delle versioni;
• nella garanzia della disponibilità delle informazioni assicurandone l’accessibilità e l’utilizzo solo quando ritenuto necessario e ad opportune funzioni allo scopo abilitate;
• nel controllo dell’efficienza dei processi di sviluppo dei progetti – prodotti e nella erogazione dei servizi;
• nel monitoraggio delle regole definite dal Sistema di gestione integrato qualità e sicurezza delle informazioni.

Per dare seguito alle azioni definite, le funzioni di governo, si impegnano a:

• garantire un periodico report sul livello di soddisfazione dei Clienti;
• pianificare le attività formative necessarie ad assicurare una crescita delle competenze del personale coerente con lo sviluppo delle tecnologie nei settori di riferimento;
• garantire la effettuazione di audit finalizzati a monitorare le capacità aziendali di mantenere attivi i comportamenti definiti nel Sistema di Gestione Inte-grato Qualità e Sicurezza delle Informazioni;
• mantenere aggiornato il quadro di riferimento sul contesto, sulle aspettative delle parti interessate e sui rischi che possono generare eventi e/o incidenti pregiudizievoli per la reputazione aziendale. 

Una maggiore attenzione e consapevolezza dell’organizzazione riguarda i servizi offerti in ambiente cloud (servizi SaaS).  La Società conferma l’impegno a:

• mantenere adeguati requisiti di sicurezza delle informazioni di base applicabili alla progettazione e realizzazione del servizio cloud nel rispetto delle prescrizioni delle linee guida ISO IEC 27017/2015 e ISO IEC 27018:2014. Tali requisiti tengono conto dei criteri e delle modalità di erogazione dei servizi concordati con il Cloud Service Provider (CSP) dei servizi IaaS ed in osservanza a quanto definito per l’accreditamento nel marketplace di ACN;
• gestire rischi derivanti dai soggetti che a qualsiasi titolo hanno accesso autorizzato alle informazioni;
• mantenere in spazi isolati (non condivisi) dati e applicazioni del cliente (compresa la virtualizzazione);
• garantire le adeguate policies di accesso agli asset dei clienti del servizio cloud da parte del personale della Società;
• garantire e monitorare il controllo degli accessi degli utenti prevedendo delle adeguate credenziali di autenticazione;
• garantire le necessarie comunicazioni ai clienti del servizio cloud durante la gestione delle modifiche e dei cambiamenti;
• garantire una adeguata sicurezza nei processi di virtualizzazione;
• garantire il pieno rispetto dei requisiti contrattuali in materia di accesso e protezione dei dati dei clienti del servizio cloud;
• garantire la gestione del ciclo di vita dei dati e del servizio in cloud fornito al cliente;
• garantire la protezione dei dati personali in osservanza alle norme cogenti (Reg-UE 679/2016 e della normativa nazionale in vigore)
• assicurare le comunicazioni delle eventuali violazioni e la condivisione delle informazioni o di linee guida volte a supportare le indagini di natura legale.

L’impegno al mantenimento di questi requisiti trova esplicitazione sia in documenti contrattuali sottoscritti con il cliente che nella attuazione di specifiche procedure del sistema di gestione integrato qualità e sicurezza delle informazioni implementato secondo le specifiche normative ISO di riferimento.

Il sistema di gestione integrato Qualità e Sicurezza delle Informazioni, conforme alle norme   UNI EN ISO 9001:2015 e ISO IEC 27001:2022 e alle linee guida ISO IEC 27017 e ISO IEC 27018, rappresenta lo strumento attraverso cui l’organizzazione garantisce il monitoraggio dei processi, la tutela degli interessi del cliente ed il perseguimento degli obiettivi.

Milano, 31/03/2025  medesimi.