Contatti

Policy Integrata Qualità e Sicurezza delle Informazioni

La policy di vertice di Agorà Security — integra la Politica per la Qualità (ISO 9001:2015) e la Politica per la Sicurezza delle Informazioni (ISO/IEC 27001:2022), con la guida cloud-specifica ISO/IEC 27017:2015. Approvata dall'Amministratore Unico.

Codice documento: POL-01-AS · Revisione: rev.00 · Data di rilascio: 10 novembre 2025 · Approvato da: Amministratore Unico, Matteo Brunati

Riferimenti normativi: ISO 9001:2015 + Amd.1:2024 · ISO/IEC 27001:2022 · ISO/IEC 27017:2015

1. Scopo

Questo documento è la policy di vertice del Sistema di Gestione Integrato (SGI) di Agorà Security S.r.l. Stabilisce l’impegno della direzione verso la qualità dei servizi e dei prodotti di Agorà Security e verso la riservatezza, integrità e disponibilità delle informazioni che clienti, personale, fornitori e altre parti interessate ci affidano. È la policy ancora dalla quale derivano tutte le policy, procedure, registri e record subordinati del SGI.

2. Ambito di applicazione

La policy si applica al Sistema di Gestione Integrato di Agorà Security S.r.l. nella sua interezza. Il SGI copre:

  • Servizi di advisory erogati da Agorà Security ai clienti — cyber resilience, data protection, supporto alla certificazione ISO/IEC 27001 e ISO 9001, gap analysis e implementazione NIS 2, risk assessment, virtual CISO, supporto in incident response, supplier security assessment, formazione e security awareness.
  • Prodotti software sviluppati, operati ed erogati da Agorà Security — in particolare la piattaforma SaaS di cyber resilience della società, comprensiva dell’intero ciclo di sviluppo del software, dell’esercizio in produzione, dell’onboarding e supporto ai clienti, e del trattamento dei dati cliente.
  • Tutto il personale di Agorà Security, i collaboratori esterni e i partner che operano per conto della società, nonché tutte le informazioni e i sistemi informativi posseduti o controllati da Agorà Security.
  • La sede di Vicenza e il personale che opera in modalità remota sotto rapporto di lavoro o collaborazione con Agorà Security.

3. Impegno della direzione

L’Amministratore Unico di Agorà Security S.r.l., in nome della direzione, si impegna a:

  1. Stabilire, attuare, mantenere e migliorare con continuità il Sistema di Gestione Integrato in conformità ai requisiti di ISO 9001:2015/Amd.1:2024 per la qualità e di ISO/IEC 27001:2022 per la sicurezza delle informazioni, includendo la guida cloud-specifica di ISO/IEC 27017:2015.
  2. Soddisfare tutti i requisiti applicabili — obblighi contrattuali, requisiti legali e regolamentari (inclusi, senza limitazione, il GDPR / Regolamento UE 2016/679, il Codice italiano in materia di protezione dei dati personali — D.Lgs. 196/2003, il Testo unico sulla salute e sicurezza sul lavoro — D.Lgs. 81/2008, e, ove applicabile, la trasposizione italiana della Direttiva NIS 2 — D.Lgs. 138/2024), nonché le policy e procedure interne.
  3. Garantire la disponibilità delle risorse — umane, tecniche, finanziarie — necessarie a far funzionare il SGI in modo efficace.
  4. Integrare il SGI nelle operazioni quotidiane della società, affinché qualità e sicurezza delle informazioni siano parte di come l’azienda lavora, non un insieme separato di attività.
  5. Assegnare e comunicare ruoli, responsabilità e autorità del SGI tramite una matrice RACI documentata e lettere di nomina formali.
  6. Definire obiettivi misurabili per qualità e sicurezza delle informazioni, monitorarli, riesaminarli periodicamente e correggerli quando necessario.
  7. Rispondere a incidenti, non conformità e segnalazioni dei clienti con un processo sistematico che porta ad azioni correttive, miglioramento continuo e riduzione della ricorrenza.
  8. Comunicare questa policy a ogni persona che lavora per Agorà Security o per suo conto, e alle parti interessate su richiesta.

4. Obiettivi strategici

Agorà Security persegue i seguenti obiettivi strategici, declinati in target misurabili nel registro interno Obiettivi e KPI:

  1. Erogare servizi di advisory e prodotti software di qualità elevata e costante, che soddisfino o superino le aspettative dei clienti e gli impegni contrattuali.
  2. Preservare riservatezza, integrità e disponibilità delle informazioni affidate da clienti, personale, fornitori e altre parti interessate. È il core business di Agorà Security e il contenuto principale della sua reputazione.
  3. Operare la nostra piattaforma SaaS come servizio sicuro, che incontra le aspettative di sicurezza dei clienti e che rispecchia gli stessi standard che Agorà Security raccomanda ai propri clienti di adottare.
  4. Sostenere la compliance normativa — GDPR come driver principale per la privacy, ISO/IEC 27001:2022 e ISO/IEC 27017:2015 come driver principali per la sicurezza delle informazioni, ISO 9001:2015/Amd.1:2024 per la qualità, e la normativa italiana di settore applicabile.
  5. Migliorare in continuo il SGI tramite risk assessment, lessons-learned dagli incidenti, esiti degli audit interni, feedback dei clienti e riesame della direzione.
  6. Investire su competenza e consapevolezza — sia formazione tecnica del personale, sia attività di security-culture per tutto il team.

5. Principi

Il SGI opera in base ai seguenti principi, che ogni policy e procedura subordinata declina sul proprio dominio specifico:

  1. Security e quality by design e by default. Ogni servizio, ogni deliverable, ogni rilascio software inizia con requisiti di sicurezza e qualità, e termina con la verifica che quei requisiti siano soddisfatti.
  2. Approccio risk-based. Le risorse sono allocate in proporzione al rischio che indirizzano. Risk Assessment e Statement of Applicability sono la dichiarazione autorevole di quali rischi sono gestiti e come.
  3. Least privilege e need-to-know. L’accesso a informazioni e sistemi è concesso solo nella misura necessaria a svolgere un compito legittimo e solo per il tempo necessario. Il principio si applica a personale, collaboratori, fornitori e account di servizio automatici.
  4. Segregazione dei compiti. I compiti in conflitto sono separati per ridurre il rischio di errore e collusione. Dove la separazione strutturale non è possibile, sono adottati controlli compensativi documentati.
  5. Defense in depth. Più strati di controlli — organizzativi, fisici, tecnologici — proteggono ogni asset, in modo che il fallimento di un singolo controllo non porti a un incidente non contenuto.
  6. Tracciabilità ed evidenza. Ogni decisione, azione ed evento significativo del SGI è registrato in modo da poter essere ricostruito e riesaminato a posteriori.
  7. Accountability del fornitore. I fornitori, in particolare quelli cloud, sono selezionati secondo criteri di sicurezza espliciti, riesaminati periodicamente e vincolati contrattualmente a obblighi equivalenti.
  8. Consapevolezza delle responsabilità cloud. Agorà Security opera sia come Cloud Service Customer (consumando servizi SaaS di terzi) sia come Cloud Service Provider (erogando la propria piattaforma SaaS). Ogni ruolo comporta obblighi distinti previsti da ISO/IEC 27017:2015.
  9. Privacy by design. I dati personali sono raccolti, trattati, conservati e trasferiti con consapevolezza dei diritti dell’interessato, in conformità al GDPR e sotto supervisione del DPO.
  10. Focus sul cliente. La qualità è definita dai bisogni del cliente, non dalla convenienza dell’organizzazione. La soddisfazione dei clienti è misurata, il feedback è oggetto di azione, gli impegni contrattuali sono onorati.
  11. Miglioramento continuo. Il SGI non è mai “finito”. Ogni audit interno, ogni riesame della direzione, ogni incidente e ogni segnale del cliente sono un’opportunità per migliorare.
  12. Accountability personale. Ciascuno è responsabile della qualità del proprio lavoro e della conformità al SGI. I manager rispondono per le persone che dirigono. La direzione risponde del SGI nel suo insieme.

6. Impegni su temi specifici

Gli impegni che seguono integrano i principi e indirizzano i temi che un auditor si attende vengano dichiarati esplicitamente nella policy di vertice. Ciascuno è declinato in una policy o procedura subordinata.

  • Governance della sicurezza delle informazioni — organizzata tramite matrice RACI, con i ruoli RSGSI (Responsabile del SGSI), RSQ (Responsabile del Sistema Qualità) e DPO come ruoli di governance core, integrati da Internal Auditor e amministratori di sistema.
  • Gestione degli asset — ogni asset informativo ha un proprietario, una classificazione e una regola di trattamento documentata.
  • Controllo degli accessi e identità — accessi a minimo privilegio, autenticazione a più fattori su tutti gli account, riesame trimestrale degli account standard e mensile degli account privilegiati.
  • Crittografia — i dati in transito sono protetti via TLS; i dati a riposo sono protetti secondo la classificazione dell’asset; le chiavi crittografiche sono gestite con procedura dedicata.
  • Sicurezza operativa — i sistemi sono hardenizzati all’installazione, protetti contro attacchi brute-force, monitorati da soluzione EDR/SIEM e aggiornati con cadenza definita.
  • Servizi cloud — i provider cloud sono selezionati, utilizzati e dismessi secondo policy dedicata; il provider primario di hosting è soggetto a due diligence e riesame periodico.
  • Sviluppo sicuro — la piattaforma SaaS della società è sviluppata con SDLC sicuro: codice sorgente versionato, code review, test automatici, scansione delle vulnerabilità nelle dipendenze, hardening delle container image.
  • Sicurezza di rete — le reti di Agorà sono protette, segmentate e monitorate.
  • Continuità operativa e ICT readiness — è definito come Agorà Security mantiene l’erogazione dei servizi in caso di disservizio; i backup sono gestiti tramite procedura dedicata.
  • Gestione degli incidenti — eventi e incidenti di sicurezza sono rilevati, valutati, gestiti e oggetto di lessons-learned, con disposizioni specifiche per la notifica dei data breach personali sotto supervisione del DPO.
  • Sicurezza delle risorse umane — la sicurezza del personale è gestita dallo screening pre-assunzione fino alla cessazione del rapporto.
  • Lavoro remoto e sicurezza fisica — il lavoro da remoto è la norma; i controlli per remote-work e la sicurezza fisica della sede di Vicenza e delle postazioni remote sono regolati da policy dedicata.
  • Uso accettabile — tutto il personale e i collaboratori accettano le regole di uso accettabile come condizione di accesso a informazioni e sistemi di Agorà Security.
  • Gestione fornitori — i fornitori sono qualificati, onboardati, riesaminati e, se necessario, offboardati secondo procedura dedicata.
  • Qualità dell’erogazione dei servizi — i servizi di advisory sono pianificati, erogati e verificati con procedure dedicate; la soddisfazione dei clienti è misurata.
  • Conformità legale e regolamentare — un registro dedicato elenca ogni legge e obbligo contrattuale applicabile; la conformità è riesaminata periodicamente dal RSGSI e dal DPO nei rispettivi ambiti.
  • Privacy e protezione dei dati personali — i dati personali sono trattati in conformità al GDPR e al D.Lgs. 196/2003 sotto supervisione del DPO, con registro dei trattamenti mantenuto e aggiornato.

7. Scope dei framework

Il SGI di Agorà Security S.r.l. è progettato ed esercito per soddisfare i requisiti di:

  • ISO 9001:2015, come modificata dall’Amendment 1:2024 (Climate action changes) — in pieno
  • ISO/IEC 27001:2022 — in pieno, inclusi tutti i 93 controlli dell’Allegato A, con applicabilità dichiarata nello Statement of Applicability (SoA)
  • ISO/IEC 27017:2015 — in pieno, applicato sopra ISO/IEC 27001:2022 tramite la sezione cloud-specifica del SoA

I seguenti framework sono considerati solo informativi — Agorà Security ne è consapevole e implementa controlli dove si sovrappongono allo scope auditato, ma non rivendica certificazione o conformità formale:

  • ISO/IEC 27018:2014 (PII in public cloud) — rilevante perché la nostra piattaforma SaaS tratta dati personali dei clienti
  • ISO/IEC 27701:2019 (Privacy Information Management System) — rilevante per la linea di servizio data-protection advisory

Il seguente framework è fuori scope del SGI alla data di questa revisione:

  • NIS 2 / D.Lgs. 138/2024 — Agorà Security è sotto le soglie di assoggettamento obbligatorio della trasposizione italiana e non rivendica volontariamente conformità. Laddove specifiche previsioni NIS 2 si sovrappongono ai controlli dell’Allegato A di ISO/IEC 27001, queste sono implementate sotto la bandiera ISO/IEC 27001, non sotto NIS 2.

Identificato come investimento futuro, non nello scope corrente:

  • ISO/IEC 42001:2023 (Artificial Intelligence Management System) — Agorà Security è AI-native e intende perseguire la certificazione AIMS in un ciclo successivo. Il SGI attuale è progettato in modo da non precludere l’estensione AIMS.

8. Dichiarazione di ruolo cloud

Agorà Security S.r.l. ricopre simultaneamente entrambi i lati del modello di responsabilità condivisa cloud:

  • Cloud Service Customer (CSC) — quando consuma servizi cloud di terzi per operare il business (workload server e stack di produttività SaaS aziendale). In queste relazioni Agorà Security è il cliente ed è soggetta agli obblighi del CSC previsti da ISO/IEC 27017:2015.
  • Cloud Service Provider (CSP) — quando eroga la propria piattaforma SaaS ai clienti finali. In queste relazioni Agorà Security è il provider ed è soggetta agli obblighi del CSP previsti da ISO/IEC 27017:2015.

La dichiarazione di dettaglio, inclusa la ripartizione per controllo tra obblighi CSC e CSP, è mantenuta nella sezione cloud dello Statement of Applicability.

9. Compliance e quadro disciplinare

La conformità a questa policy e a tutte le policy e procedure subordinate del SGI è obbligatoria per dipendenti, collaboratori e partner di Agorà Security. Le violazioni possono comportare:

  • Per i dipendenti: provvedimenti disciplinari secondo il contratto di lavoro applicabile, il CCNL di riferimento e la normativa giuslavoristica italiana (inclusi i limiti e le procedure dello Statuto dei Lavoratori — L. 20 maggio 1970 n. 300, art. 4 sui controlli del lavoratore).
  • Per i collaboratori e i partner: rimedi contrattuali fino alla risoluzione per giusta causa del rapporto, secondo le clausole contrattuali dell’accordo applicabile.
  • Per tutti: in caso di violazione di legge o regolamento, segnalazione alle autorità competenti (Garante per la Protezione dei Dati Personali per data breach personali; autorità di polizia per condotte penalmente rilevanti; altre autorità di settore se applicabili).

Il processo disciplinare per il personale è disciplinato dalla HR Security Policy ed è coerente con la normativa giuslavoristica italiana e il CCNL applicabile.

10. Riesame e revisione

Questa policy è riesaminata dall’Amministratore Unico almeno una volta l’anno nell’ambito del riesame della direzione e ogniqualvolta intervenga un cambiamento significativo nel contesto di Agorà Security, nello scope, nei rischi, negli impegni legali o contrattuali, o nella struttura organizzativa.

11. Comunicazione

Questa policy è comunicata a:

  • Tutto il personale di Agorà Security — in onboarding e a ogni revisione.
  • Collaboratori e partner — all’inizio del rapporto e a ogni revisione.
  • Clienti — su richiesta e come parte delle risposte ai questionari di sicurezza fornitori.
  • Fornitori — dove rilevante per la relazione (es. provider cloud che trattano informazioni di Agorà Security).
  • Organismo di certificazione — nell’ambito del processo di certificazione.
  • Qualunque parte interessata — su richiesta.

Approvazione

Approvata dall’Amministratore Unico di Agorà Security S.r.l. ed entrata in vigore alla data della sua firma.

Matteo Brunati, Amministratore Unico — Agorà Security S.r.l.

Questo documento è la versione pubblica della policy POL-01-AS del Sistema di Gestione Integrato di Agorà Security. La versione interna firmata e i documenti subordinati (procedure, registri, lettere di nomina) sono disponibili su richiesta motivata a privacy@agorasecurity.it.