Certificato IWZ - EIAC / IAF
Lingua: Language:

Sicurezza delle Informazioni

Information Security Statement

CERTIFICATO IWZ protegge le informazioni raccolte e generate durante audit, processi di certificazione e attività correlate. Questa dichiarazione descrive controlli e pratiche di sicurezza adottate per preservare riservatezza, integrità e disponibilità delle informazioni (incluse informazioni di clienti, evidenze di audit e dati operativi).

CERTIFICATO IWZ protects information collected and generated during audits, certification processes and related activities. This statement describes security controls and practices to preserve confidentiality, integrity and availability of information (including client information, audit evidence and operational data).

Uso enterprise: questa pagina è pensata per procurement, vendor assessment e audit di seconda parte. Per temi privacy/trasferimenti dati consulta le pagine dedicate (es. Privacy Policy e data processing).

Enterprise usage: this page is designed for procurement, vendor assessments and second-party audits. For privacy/data transfer topics refer to dedicated pages (e.g., Privacy Policy and data processing).

Access Control Encryption Incident Response Access Control Encryption Incident Response

1. Principi

1. Principles

  • Minimo privilegio: accessi concessi solo a chi ne ha necessità operativa.
  • Need-to-know: condivisione limitata a scopi di certificazione e funzioni autorizzate.
  • Segregazione dei compiti: separazione tra audit, decisione e amministrazione.
  • Tracciabilità: logging e audit trail ove applicabile.
  • Least privilege: access granted only where operationally needed.
  • Need-to-know: sharing limited to certification purposes and authorized functions.
  • Segregation of duties: separation between audit, decision and administration.
  • Traceability: logging and audit trails where applicable.

2. Controllo accessi e identità

2. Identity and access control

Gli accessi a sistemi e repository sono gestiti con criteri di autorizzazione basati su ruolo e necessità. Sono adottate misure di sicurezza per l’autenticazione e la gestione credenziali.

Access to systems and repositories is managed through role-based and need-based authorization. Security measures are applied for authentication and credential management.

  • Gestione utenze: creazione, modifica e revoca accessi in base a ruoli e cambiamenti organizzativi.
  • Autenticazione: pratiche di hardening (password policy e/o MFA dove applicabile).
  • Accessi terze parti: concessi solo se necessari, con controlli e scadenze.
  • User lifecycle: provisioning, changes and revocation aligned to roles and organizational changes.
  • Authentication: hardening practices (password policy and/or MFA where applicable).
  • Third-party access: granted only if necessary, with controls and expirations.

3. Cifratura e protezione dati

3. Encryption and data protection

Quando applicabile, sono utilizzate misure di cifratura per proteggere dati in transito e/o a riposo, con gestione controllata delle chiavi. La trasmissione di evidenze di audit può avvenire tramite canali concordati e protetti.

Where applicable, encryption measures protect data in transit and/or at rest, with controlled key management. Transmission of audit evidence may occur via agreed secure channels.

4. Sicurezza endpoint e strumenti di lavoro

4. Endpoint and work tools security

  • Aggiornamenti: patching e aggiornamenti di sicurezza sui dispositivi utilizzati per attività di audit.
  • Protezione malware: misure di protezione endpoint e controllo esecuzione.
  • Data handling: riduzione copie locali non necessarie e cancellazione sicura ove applicabile.
  • Updates: security patching on devices used for audit activities.
  • Malware protection: endpoint protection measures and execution control.
  • Data handling: minimizing unnecessary local copies and secure deletion where applicable.

5. Conservazione (retention) e distruzione

5. Retention and disposal

Le informazioni sono conservate per il tempo necessario alle finalità di certificazione, agli obblighi legali e ai requisiti di accreditamento applicabili. Sono previste modalità di archiviazione e distruzione sicura, secondo policy interne e contratti.

Information is retained as needed for certification purposes, legal obligations and applicable accreditation requirements. Secure archiving and disposal are performed according to internal policies and contracts.

6. Gestione incidenti e data breach

6. Incident response and data breach handling

CERTIFICATO IWZ mantiene un processo di gestione incidenti per identificare, contenere, investigare e mitigare eventi di sicurezza. Ove previsto, sono gestite comunicazioni verso le parti interessate e autorità competenti secondo normative applicabili.

CERTIFICATO IWZ maintains an incident management process to identify, contain, investigate and mitigate security events. Where required, communications to stakeholders and competent authorities are handled according to applicable regulations.

Fase Stage Descrizione Description
Rilevazione Detection Identificazione di eventi/anomalie e attivazione del processo. Identify events/anomalies and trigger response process.
Contenimento Containment Limitazione dell’impatto e protezione dei sistemi e dati. Limit impact and protect systems and data.
Analisi Analysis Valutazione cause, perimetro, dati coinvolti e rischi. Assess causes, scope, affected data and risks.
Ripristino Recovery Ripristino servizi e prevenzione del ripetersi dell’evento. Restore services and prevent recurrence.

7. Continuità operativa

7. Business continuity

Sono adottate misure per preservare la disponibilità dei servizi essenziali (pianificazione audit, emissione certificati, comunicazioni), incluse procedure di backup e ripristino dove applicabile.

Measures are applied to maintain availability of essential services (audit planning, certificate issuance, communications), including backup and recovery procedures where applicable.

8. Canali sicuri per invio evidenze

8. Secure channels for evidence submission

Per l’invio di evidenze di audit o documentazione sensibile, si raccomanda l’uso di canali concordati e protetti. In caso di necessità, contattare il team per indicazioni operative.

For submitting audit evidence or sensitive documentation, use agreed secure channels. If needed, contact the team for operational guidance.

Request Secure Channel Complaints & Appeals