Benvenuto in Intric Support Center
Sicurezza e Conformità
Supporto DPIA

Supporto DPIA

Per facilitare ai nostri clienti il completamento di una Valutazione d’impatto sulla protezione dei dati (DPIA), Intric fornisce materiale completo basato sul nostro sistema di gestione della sicurezza delle informazioni (ISMS) certificato ISO27001. Intric AB è certificata secondo ISO 27001:2022, uno standard internazionalmente riconosciuto per i sistemi di gestione della sicurezza delle informazioni. Scopri di più sulle nostre certificazioni nel nostro Trust Center.

Il materiale qui sotto contiene:

  • Estratti delle misure di protezione tecniche e organizzative interne di Intric.
  • Un elenco delle funzioni di sicurezza disponibili nella piattaforma (ad esempio, controllo degli accessi, registrazione, crittografia) che puoi utilizzare per proteggere i tuoi dati.

Puoi utilizzare questo materiale come base per la tua valutazione del rischio (DPIA). Nota che le misure specifiche che devi adottare dipendono dalla sensibilità delle informazioni e dei dati personali che intendi gestire nella piattaforma.

Sicurezza delle informazioni e misure di protezione

Intric offre una piattaforma AI per la gestione della conoscenza e l’automazione dove la sicurezza delle informazioni e la conformità sono centrali. La piattaforma può essere gestita in un’istanza cloud dedicata con provider di hosting europei, o tramite un’installazione on-premise. La piattaforma supporta sia modelli AI globali che modelli linguistici europei e svedesi. Per le installazioni on-premise, i modelli linguistici possono anche essere gestiti localmente.

Sistema di gestione della sicurezza delle informazioni (certificato ISO27001)

Il Sistema di gestione della sicurezza delle informazioni (ISMS) di Intric AB è certificato ISO-27001 e serve come garanzia che la piattaforma della nostra azienda soddisfi i rigorosi requisiti di protezione, integrità e disponibilità richiesti dai nostri clienti nel settore pubblico.

Qui sotto c’è una panoramica delle policy e delle linee guida incluse nell’ISMS di Intric. Scopri di più sulle certificazioni di Intric e accedi alle nostre policy nel nostro Trust Center.

Information Security Policy - Quadro completo che garantisce riservatezza, integrità e disponibilità per tutti i sistemi e i dati. Copre il controllo degli accessi, la protezione dei dati, la gestione degli incidenti e il monitoraggio continuo.

Access Control and Termination Policy - Il principio del privilegio minimo (least privilege) viene applicato in modo coerente. Tutti gli accessi sono documentati, rivisti trimestralmente e revocati entro un giorno lavorativo al termine.

Acceptable Use Policy - Linee guida chiare per l’uso delle risorse IT con requisiti per l’autenticazione multi-fattore (MFA) per tutti gli ambienti di produzione e i sistemi critici.

Data Classification Policy - Classificazione sistematica delle informazioni in quattro livelli (Public, Internal, Confidential, Restricted) con requisiti di gestione specifici per ogni livello.

Data Handling Procedure - Requisiti dettagliati per la gestione sicura dei dati durante l’intero ciclo di vita, dalla raccolta all’eliminazione, con crittografia dei dati sensibili a riposo e in transito.

Records Retention and Disposal Policy - Archiviazione e distruzione sicura delle informazioni secondo i requisiti legali e le esigenze aziendali, con metodi di eliminazione verificati.

Incident Response Policy - Processo strutturato per la segnalazione, la gestione e la comunicazione degli incidenti di sicurezza con tempi di risposta definiti basati sulla gravità.

Baseline Hardening Policy - Standard di configurazione per tutti i sistemi includono l’hardening della rete, la gestione delle patch, la registrazione, MFA e la crittografia.

Change Management Policy - Tutte le modifiche in produzione richiedono approvazione, test e documentazione. Le modifiche al codice sorgente sono registrate e richiedono approvazione prima del deployment in produzione.

Risk Assessment and Treatment Policy - La valutazione annuale dei rischi identifica minacce e vulnerabilità. I rischi critici vengono affrontati immediatamente con piani di trattamento documentati.

Business Continuity and Disaster Recovery - Piano di ripristino testato garantisce il funzionamento continuo durante gli incidenti. Backup regolari con capacità di ripristino verificata.

Business Impact Analysis Policy - Analisi sistematica dei processi critici con obiettivi di tempo di ripristino (RTO) e obiettivi di punto di ripristino (RPO) definiti.

Personnel Security Policy - Controlli di background, accordi di riservatezza e formazione annuale sulla sicurezza per tutto il personale. Ruoli e responsabilità chiari per il lavoro di sicurezza.

Board of Directors Charter & Oversight Committee Charter - Governance e responsabilità chiare a livello dirigenziale per la sicurezza delle informazioni, la gestione dei rischi e la supervisione tecnologica.

Vendor Management Policy - Valutazione della sicurezza di tutti i fornitori critici prima dell’onboarding e follow-up annuale. Requisiti per accordi di riservatezza e impegni di sicurezza.

Physical Security Policy - Accesso fisico controllato a strutture e attrezzature basato sul principio del privilegio minimo con gestione degli accessi documentata.

Network Security Policy - Architettura di rete segmentata con firewall, comunicazione crittografata (TLS 1.2+) e monitoraggio regolare del traffico di rete.

Estratti delle misure di protezione tecniche interne

Qui sotto ci sono una serie di esempi delle misure di protezione tecniche interne stabilite nelle policy, procedure e linee guida che Intric AB ha nel suo sistema di gestione della sicurezza delle informazioni certificato ISO-27001.

Crittografia e protezione dei dati

  • Crittografia a riposo: Tutti i dati sensibili sono crittografati in archiviazione utilizzando algoritmi standard del settore
  • Crittografia in transito: TLS 1.2+ è richiesto per tutti i trasferimenti di dati su reti pubbliche
  • Gestione delle chiavi: Gestione centralizzata delle chiavi di crittografia tramite il servizio di gestione delle chiavi del provider cloud

Controllo degli accessi

  • Autenticazione multi-fattore (MFA): Obbligatoria per tutti gli account privilegiati e l’accesso a produzione, email, controllo versioni e infrastruttura cloud
  • Identità utente uniche: A tutti gli utenti vengono assegnate credenziali uniche che possono essere tracciate
  • Requisiti password: Minimo 8 caratteri con requisiti di complessità, unici per sistema
  • Accesso basato sui ruoli (RBAC): Privilegio minimo basato sul ruolo lavorativo
  • Password manager: I password manager approvati sono richiesti per la memorizzazione delle credenziali

Sicurezza di rete

  • Segmentazione: Reti di produzione, sviluppo/test e aziendali sono mantenute separate
  • Firewall: Configurati per consentire solo porte e protocolli necessari

Gestione delle vulnerabilità

  • Scansione automatica delle vulnerabilità: Scansioni mensili di infrastruttura e applicazioni
  • Gestione delle patch: Le patch di sicurezza critiche vengono applicate secondo le tempistiche definite
  • Test di penetrazione: Test regolari dei controlli di sicurezza
  • Prioritizzazione delle vulnerabilità: Le vulnerabilità critiche vengono affrontate immediatamente

Registrazione e monitoraggio

  • Registrazione: Tutte le attività di sistema, azioni amministrative ed eventi di sicurezza sono registrati
  • Sincronizzazione temporale: NTP viene utilizzato per la marcatura temporale accurata
  • Protezione dei log: I log sono protetti contro accesso non autorizzato e modifica
  • Conservazione dei log: I log sono archiviati secondo contratto/istruzioni del cliente

Backup e ripristino

  • Backup automatici: Almeno backup settimanale dei dati utente
  • Ridondanza geografica: I backup sono replicati in diverse zone di disponibilità
  • Test di ripristino: Verifica periodica dell’integrità del backup
  • Controllo versioni: Il codice sorgente è controllato nelle versioni con tracciabilità

Sicurezza dello sviluppo

  • Ambiente di sviluppo separato: Sviluppo e test separati dalla produzione
  • Code review: Tutte le modifiche alla produzione richiedono approvazione
  • Gestione sicura del codice sorgente: L’accesso ai repository è limitato con MFA
  • Validazione degli input: I dati sono validati per prevenire attacchi

Gestione dei dispositivi

  • Mobile Device Management (MDM): Gestione centralizzata degli endpoint
  • Crittografia del disco: Requisiti per la crittografia di workstation e laptop
  • Aggiornamenti automatici: OS e applicazioni sono mantenuti aggiornati
  • Blocco schermo: Blocco schermo automatico dopo inattività

Estratti delle misure di protezione organizzative

Qui sotto ci sono una serie di esempi delle misure di protezione organizzative interne stabilite nelle policy, procedure e linee guida che Intric AB ha nel suo sistema di gestione della sicurezza delle informazioni certificato ISO-27001.

Gestione delle policy e conformità

  • Revisione annuale delle policy: Tutte le policy sono riviste e aggiornate almeno annualmente
  • Certificazione ISO27001:2022: Certificazione indipendente del sistema di gestione della sicurezza delle informazioni
  • Statement of Applicability (SoA): Selezione dei controlli documentata con giustificazione
  • Controlli di conformità: Monitoraggio regolare della conformità alle policy

Gestione dei rischi

  • Valutazione annuale dei rischi: Identificazione e valutazione sistematica dei rischi
  • Registro dei rischi: Rischi documentati con proprietari e piani di trattamento
  • Accettazione dei rischi: Processo formale per l’approvazione dei rischi rimanenti
  • Monitoraggio continuo: Follow-up continuo dei rischi identificati

Personale e competenza

  • Controlli di background: Condotti prima dell’assunzione secondo le leggi locali
  • Accordi di riservatezza (NDA): Obbligatori per tutto il personale prima dell’accesso
  • Formazione sulla sicurezza: Formazione annuale obbligatoria per tutto il personale
  • Formazione specifica per ruolo: Formazione speciale per ruoli critici per la sicurezza
  • Valutazione delle prestazioni: La revisione annuale include responsabilità di sicurezza

Processi di gestione degli accessi

  • Processo di onboarding: Processo strutturato per la concessione dell’accesso all’assunzione
  • Revisione trimestrale degli accessi: Revisione regolare delle autorizzazioni per i sistemi critici
  • Checklist di offboarding: Garantisce che tutti gli accessi siano revocati entro un giorno lavorativo
  • Processo di cambio ruolo: Processo documentato per le attività lavorative modificate

Gestione degli incidenti e operazioni

  • Monitoraggio e segnalazione 24/7: Canali chiari per la segnalazione di incidenti operativi e di sicurezza tramite status.intric.ai
  • Tempi di risposta definiti: Gli incidenti critici sono gestiti entro 48 ore
  • Processo documentato: Tutti gli incidenti sono tracciati in un sistema di ticketing
  • Analisi post-mortem: Le lezioni apprese sono documentate e comunicate
  • Comunicazione con i clienti: Piano di comunicazione strutturato durante gli incidenti

Gestione delle modifiche

  • Processo formale di modifica: Tutte le modifiche in produzione richiedono test e approvazione
  • Piani di rollback: Piani di ripristino documentati in caso di problemi
  • Modifiche di emergenza: Procedure separate per modifiche urgenti con approvazione posteriore
  • Comunicazione con i clienti: Informazioni sulle modifiche pianificate

Gestione di fornitori e partner

  • Valutazione del rischio dei fornitori: Valutazione della sicurezza prima dell’onboarding
  • Revisione annuale dei fornitori: Revisione della sicurezza dei fornitori critici (report SOC 2)
  • Requisiti contrattuali: Impegni di sicurezza chiari negli accordi
  • Controllo dei subappaltatori: Revisione dei subappaltatori dei fornitori
  • Gestione dell’uscita: Processo strutturato alla risoluzione incluso la gestione dei dati

Continuità aziendale

  • Business Impact Analysis (BIA): Identificazione dei processi critici
  • Obiettivi di ripristino documentati: RTO e RPO definiti per i sistemi critici
  • Disaster Recovery Plan: Piano testato per il ripristino durante incidenti maggiori
  • Test annuali: I piani BCP/DRP sono testati almeno annualmente
  • Ridondanza documentata: Sistemi distribuiti su diverse zone

Funzionalità per le misure di protezione tecniche in Intric

La piattaforma Intric offre funzionalità complete e flessibili che danno ai nostri clienti il controllo completo per implementare misure di protezione tecniche, adattate ai requisiti specifici dell’organizzazione per la classificazione delle informazioni e il livello di sicurezza adeguato.

Qui sotto viene descritta la funzionalità integrata nella piattaforma con lo scopo di aumentare attivamente il livello di sicurezza e supportare la conformità normativa.

Controllo degli accessi e gestione delle autorizzazioni

  • Accesso basato sui ruoli (RBAC): I clienti possono definire ruoli utente dettagliati e limitare l’accesso a funzioni specifiche, documenti e modelli AI
  • Single Sign-On (SSO): Integrazione con la gestione delle identità esistente del cliente (Azure AD, Google Workspace, ecc.) per il controllo centralizzato degli accessi
  • Autenticazione multi-fattore (MFA): Possibilità di richiedere MFA per tutti gli utenti tramite integrazione SSO

Selezione del modello e minimizzazione dei dati

  • Selezione del modello AI: I clienti scelgono tra modelli linguistici globali, europei, svedesi o locali in base ai requisiti di sicurezza
  • Modelli locali (on-premise): Possibilità di eseguire modelli AI interamente all’interno dell’infrastruttura del cliente senza trasferimento dati esterno
  • Minimizzazione dei dati: I clienti configurano quali dati devono essere elaborati e possono limitare l’ambito

Crittografia e protezione dei dati

  • Crittografia end-to-end: Tutti i dati sono crittografati sia in transito che a riposo
  • Chiavi gestite dal cliente: Per on-premise, i clienti hanno il controllo completo sulle chiavi di crittografia
  • Archiviazione crittografata: Tutta la documentazione e la cronologia delle conversazioni sono archiviate crittografate
  • Chiamate API sicure: Tutte le comunicazioni tra sistemi avvengono tramite canali crittografati (TLS 1.2+).

Registrazione e tracciabilità

  • Log di audit: I clienti possono tracciare tutte le attività utente, l’accesso ai documenti e le modifiche al sistema
  • Esportazione dei log: Possibilità di esportare i log per l’integrazione con il sistema SIEM del cliente
  • Log di accesso ai dati: Registrazione completa di chi ha accesso a quali informazioni
  • Responsabilità utente: Visibilità su quale utente è responsabile sia degli strumenti/assistenti che delle informazioni caricate

Gestione dei dati, eliminazione e backup

  • Proprietà dei dati: I clienti mantengono la piena proprietà di tutti i dati nel sistema
  • Eliminazione selettiva: Possibilità di eliminare documenti, conversazioni o utenti specifici
  • Eliminazione in blocco: Funzionalità per eliminare tutti i dati alla chiusura del servizio
  • Funzione di esportazione: I clienti possono esportare tutti i loro dati in formati strutturati
  • Eliminazione automatica: Regole di conservazione configurabili per l’eliminazione automatica dopo un certo periodo
  • Backup automatici: Backup regolari dei dati del cliente (per hosting cloud)
  • Funzione di ripristino: I clienti possono ripristinare i dati eliminati entro un periodo definito (14 giorni)
  • Frequenza dei backup: Giornaliera
  • Backup propri: Per on-premise, i clienti sono responsabili dei backup secondo la propria policy

Sicurezza di rete

  • Isolamento di rete: Per on-premise, il sistema può essere completamente isolato da internet

Configurazione di sicurezza avanzata

  • Timeout della sessione: Tempo di inattività giornaliero per il logout automatico
  • Policy delle password: I clienti possono configurare requisiti di complessità e regole di rotazione per le password

Hai bisogno di aiuto? Se hai bisogno di supporto aggiuntivo o vuoi entrare in contatto con altri clienti che hanno completato valutazioni simili, non esitare a contattare il supporto di Intric.