Vai al contenuto
Iscriviti alla newsletter
ENGES
    Chi siamo
    Hybrid AI
    Offering
    Industry
      Quale industry stai cercando?
      Scopri tutte le industry
      Banche e servizi finanziari
      Garantire conformità normativa, riduzione dei rischi legati a clienti e crimini finanziari e più efficienza operativa.
      Assicurazioni
      Sfruttare l’AI per mitigare i rischi, ottimizzare il ciclo di vendita e ampliare la capacità operativa in tutte le fasi dei processi assicurativi.
      Pubblica Amministrazione
      Rendere i processi burocratici più rapidi e snelli e migliorare la soddisfazione dei cittadini grazie a servizi digitali e su misura.
      Industrial
      Ottimizzare il servizio clienti, semplificare la gestione della conoscenza aziendale, diminuire tempi e costi operativi.
      Editoria e servizi di informazione
      Ottimizzare i processi di creazione e arricchimento dei contenuti migliorando i workflow e le attività manuali.
      Industria farmaceutica
      Accelerare i processi decisionali, ridurre i tempi di revisione normativa e rendere disponibili farmaci e cure più rapidamente.
ExpertAIPolitica per la Qualità e la Sicurezza delle Informazioni

Politica per la Qualità e la Sicurezza delle Informazioni

1. Introduzione

L’informazione è uno dei fattori più cruciali che guidano l’economia moderna e rappresenta un elemento significativo nello sviluppo e nella gestione aziendale. La raccolta di dati e informazioni trattate da Expert.ai, indipendentemente dalla forma in cui vengono gestite o archiviate, costituisce l’Asset Informativo dell’azienda. Questo asset è un elemento competitivo di importanza fondamentale, che orienta sia le decisioni tattiche che strategiche e supporta i processi operativi aziendali. Expert.ai comprende tutte le società del gruppo.

Nell’attuale contesto di mercati dinamici e in rapido cambiamento, le tecnologie facilitano la raccolta e l’elaborazione rapida ed efficiente delle informazioni per raggiungere gli obiettivi aziendali. L’aumento della concorrenza spinge le aziende a cercare nuove forme di interazione con i clienti, favorendo l’esplorazione di soluzioni basate su tecnologie emergenti e lo sviluppo di canali innovativi progettati per gestire una quantità sempre più pervasiva di informazioni di alto valore.

In questo contesto, si stanno verificando cambiamenti profondi e rapidi che generano esposizione a nuovi scenari di rischio. È quindi essenziale monitorare costantemente e tempestivamente l’innovazione per implementare misure di protezione e mitigazione dei rischi in modo puntuale. Questo approccio contribuisce a soddisfare la crescente domanda di sicurezza da parte dei clienti e a proteggere il valore e la competitività dell’azienda.

Inoltre, la protezione e la gestione sicura delle informazioni sono temi rilevanti nelle normative nazionali e internazionali, sempre più stringenti. Queste normative richiedono, dal punto di vista organizzativo, che siano presenti comportamenti, sistemi di controllo e azioni orientate alla protezione delle informazioni.

La protezione degli Asset Informativi è quindi di importanza strategica, derivante dall’adozione di normative di riferimento adeguate che orientino gli interventi organizzativi, tecnologici e regolatori necessari. Lo sviluppo di software di intelligenza artificiale costituisce il core business dell’organizzazione, che nel tempo si è dotata di tecnologie all’avanguardia basate sull’intelligenza artificiale per la comprensione del linguaggio naturale, idonee a tale scopo.

Il mercato odierno, sempre più esigente e selettivo, richiede metodi che garantiscano che il servizio o prodotto finale possieda caratteristiche che lo rendano facilmente fruibile dai clienti e conforme alle normative e agli standard internazionali. Riconoscendo questa necessità, l’organizzazione ha adottato un Sistema Interno di Gestione della Qualità e della Sicurezza delle Informazioni.

2. Motivazione

Expert.ai è un’azienda che opera nel campo dell’Information Technology e della Comprensione del Linguaggio Naturale. Data la natura delle sue attività, l’organizzazione considera la qualità e la sicurezza delle informazioni caratteristiche essenziali per garantire la protezione della propria infrastruttura tecnologica, degli asset informativi e dei processi aziendali. Inoltre, la gestione della qualità e della sicurezza delle informazioni rappresenta un vantaggio competitivo nei processi di progettazione e sviluppo dei suoi prodotti e servizi.

Per quanto riguarda la sicurezza delle informazioni, Expert.ai progetta e sviluppa tecnologie per trasformare il modo in cui le persone trovano, comprendono e utilizzano le informazioni. Di conseguenza, la sicurezza delle informazioni è considerata dalla Direzione come un fattore indispensabile per garantire la qualità dei suoi prodotti.

La missione di Expert.ai è sviluppare software di intelligenza artificiale che comprenda il linguaggio delle persone comuni, con la velocità e la precisione necessarie per discernere, gestire e utilizzare informazioni strategiche su larga scala. Questo focus sui processi di gestione delle informazioni richiede un’attenzione particolare alla loro sicurezza e qualità.

Inoltre, l’organizzazione mira a posizionarsi come azienda leader nello sviluppo di intelligenza artificiale sul mercato internazionale. Pertanto, è imprescindibile l’impegno per il miglioramento continuo dei suoi processi, sia a livello organizzativo che tecnico.

Sulla base di ciò, Expert.ai intende implementare le misure tecniche e organizzative necessarie per garantire l’integrità, la riservatezza e la disponibilità dei propri asset informativi.

3. Scopo e impegno

La Direzione, riconoscendo l’importanza dell’immagine dell’organizzazione presso la propria base clienti e mirando a raggiungere obiettivi di qualità nella gestione dei processi e nell’erogazione dei servizi, intende mantenere attivamente e migliorare in modo continuo un Sistema Integrato di Gestione della Qualità e della Sicurezza delle Informazioni (ISQMS) in conformità alle norme ISO 9001, ISO/IEC 27001 e alle linee guida correlate ISO/IEC 27017 e ISO/IEC 27018. Questo con l’obiettivo di gestire l’organizzazione in modo efficiente ed efficace, garantendone la continuità.

Il nostro impegno si dimostra attraverso l’adesione a standard e certificazioni riconosciuti a livello internazionale, assicurando che soddisfiamo e superiamo costantemente le aspettative del settore.

Privacy e Protezione dei Dati

In Expert.ai, diamo priorità alla protezione delle informazioni personali e alla privacy dei nostri utenti. La nostra adesione alla norma ISO 27018 sulla protezione delle informazioni personali sottolinea il nostro impegno nella salvaguardia dei dati personali nei servizi cloud. Questa norma fornisce un codice di condotta per la protezione delle Informazioni di Identificazione Personale (PII), integrandosi con il nostro Sistema di Gestione della Sicurezza delle Informazioni e della Qualità (ISQMS) basato su ISO/IEC 27001:2022. Implementando controlli specifici, garantiamo la riservatezza e la protezione dei dati personali, allineandoci ai rigorosi requisiti del Regolamento Generale sulla Protezione dei Dati (GDPR).

Cybersecurity

Il nostro framework di cybersecurity è solido e completo, progettato per proteggere la riservatezza, l’integrità e la disponibilità delle informazioni. La certificazione ISO/IEC 27001:2022 è la prova del nostro rigoroso approccio alla gestione della sicurezza delle informazioni. Questo standard ci aiuta a mantenere la conformità legale e a implementare controlli di sicurezza efficaci, fondamentali nell’attuale panorama digitale. Inoltre, la nostra certificazione ISO 27017 sulla Sicurezza nel Cloud fornisce linee guida per i controlli di sicurezza delle informazioni specifici per i servizi cloud, garantendo la protezione dei dati sia per i nostri fornitori di servizi cloud che per i clienti.

AI Governance

Expert.ai è leader nella governance dell’intelligenza artificiale, assicurando che i nostri sistemi di IA siano sviluppati e gestiti in modo responsabile, in conformità con il nostro framework interno del Sistema di Gestione della Sicurezza delle Informazioni e della Qualità (ISQMS). Il nostro impegno verso standard elevati è esemplificato dal nostro Report SOC 2 Type II sul prodotto Platform. Questo report, emesso da un revisore esterno certificato, riflette la nostra dedizione al mantenimento di rigorosi standard di sicurezza, disponibilità, integrità del trattamento, riservatezza e privacy. Dimostra che le nostre misure di controllo interno non solo sono ben progettate, ma operano efficacemente nel tempo. I Criteri di Servizi Fidati (Trust Service Criteria – TSC) inclusi nel monitoraggio della nostra piattaforma sono Sicurezza e Disponibilità, garantendo che i nostri sistemi di IA siano affidabili e sicuri.

Qualità

La nostra certificazione ISO 9001:2015 del Sistema di Gestione della Qualità (QMS), integrata nel nostro ISQMS, evidenzia la nostra capacità di fornire costantemente servizi e prodotti che soddisfano i requisiti dei clienti. Questo standard internazionale si concentra sulla qualità del servizio, assicurando che offriamo soluzioni di alta qualità conformi agli standard del settore.

Conformità a leggi e regolamenti

La conformità alle leggi e ai regolamenti pertinenti è un pilastro fondamentale delle nostre operazioni in Expert.ai. Il nostro Sistema di Gestione della Sicurezza delle Informazioni e della Qualità (ISQMS), supportato dalle nostre certificazioni complete, garantisce la protezione della riservatezza, dell’integrità e della disponibilità delle informazioni. Questo framework solido assicura che rispettiamo e superiamo i requisiti legali, incluso il Regolamento Generale sulla Protezione dei Dati (GDPR), l’AI Act e le normative statunitensi come HIPAA. Aderendo a questi rigorosi standard, dimostriamo il nostro impegno costante nel mantenere i più alti livelli di sicurezza e conformità in tutte le nostre operazioni.

Per raggiungere questi obiettivi, la Direzione e il personale dedicato alla Qualità e alla Sicurezza delle Informazioni intendono e si impegnano a:

  • Valorizzare le attitudini di ciascun membro dell’organizzazione e garantire la loro formazione continua e lo sviluppo professionale.
  • Garantire la disponibilità delle risorse necessarie per il funzionamento e la manutenzione dell’ISQMS.
  • Promuovere lo sviluppo tecnologico dell’intera organizzazione.
  • Assicurare il rispetto delle normative sulla privacy (Regolamento UE 2016/679 – GDPR, Regolamento Generale sulla Protezione dei Dati), nonché la riservatezza, l’integrità e la disponibilità delle informazioni per clienti e stakeholder.
  • Incrementare la cultura della Qualità e della Sicurezza delle Informazioni.
  • Motivare e responsabilizzare il personale affinché contribuisca al raggiungimento degli obiettivi aziendali.
  • Soddisfare i clienti per rafforzare la posizione dell’azienda sul mercato.
  • Garantire il rispetto delle tempistiche programmate per l’implementazione dei progetti.
  • Coinvolgere fornitori strategici e outsourcer nella fornitura di servizi di qualità e nel rispetto degli SLA (Service Level Agreement).
  • Minimizzare i rischi operativi e la possibilità di violazioni legate a Decreti Legislativi e Regolamenti (es. 231/01, AI Act, DORA, NIS2, HIPAA).
  • Standardizzare i metodi operativi e implementare controlli per ridurre gli errori.
  • Avviare un ciclo di miglioramento continuo e ottimizzare il processo di realizzazione per ridurre i tempi di erogazione del servizio.
  • Riconoscere, analizzare e valutare le esigenze e le aspettative di tutti gli stakeholder.
  • Sostenere, diffondere e spiegare la Politica per la Qualità e la Sicurezza delle Informazioni, mettendo a disposizione documenti informativi per il personale e promuovendo azioni mirate di formazione e coinvolgimento.
  • Comunicare questa politica alle parti interessate, ove appropriato.
  • Definire gli obiettivi per ciascun processo, fornendo le competenze e le risorse necessarie per raggiungerli.
  • Riesaminare sistematicamente la politica e gli obiettivi dell’ISQMS e i rischi associati al loro conseguimento.

4. Impegno per la Qualità e la Sicurezza delle Informazioni

La qualità e la sicurezza delle informazioni, e le modalità con cui vengono garantite nell’ambito dei processi e dei servizi erogati, sono oggetto di comunicazioni specifiche da parte delle funzioni aziendali competenti alle parti coinvolte. Tutti i dipendenti ricevono aggiornamenti appropriati sui processi di qualità e sicurezza delle informazioni, nonché sulle misure implementate dall’organizzazione attraverso iniziative di formazione dedicate. Inoltre, tutta la documentazione aggiornata relativa all’ISQMS è resa disponibile in un’area dedicata della intranet aziendale.

Per quanto riguarda terze parti (clienti e/o fornitori), le comunicazioni relative alla qualità e alla sicurezza delle informazioni sono regolamentate in conformità alle politiche aziendali che fanno parte dell’ISQMS e alle disposizioni contrattuali. Expert.ai consente la comunicazione e la diffusione di informazioni a soggetti esterni solo per il corretto svolgimento delle proprie attività, che devono essere condotte nel rispetto delle regole dettate dai modelli organizzativi aziendali e dalle normative obbligatorie.

Infine, vengono mantenuti contatti appropriati con le autorità competenti in materia di sicurezza dei dati e delle informazioni, nonché con gli organismi e le associazioni pertinenti di cybersecurity e privacy. Questo al fine di fornire collaborazione in caso di contingenze e aggiornare le competenze in relazione alle aree di ricerca nel campo dell’intelligenza artificiale.

5. Ruoli e responsabilità

Il Sistema di Gestione della Qualità e della Sicurezza delle Informazioni dell’organizzazione definisce i ruoli e le responsabilità al suo interno:

Chief Information Security Officer (CISO): gestisce la governance della sicurezza allineata ai rischi e agli obiettivi aziendali e garantisce la conformità alle politiche di privacy e sicurezza delle informazioni secondo gli standard aziendali e le normative legali.

Chief Data Officer (CDO): responsabile dello sviluppo e della gestione della strategia di gestione dei dati e delle informazioni dell’azienda.

Cyber Security Engineer: responsabile della progettazione e implementazione di soluzioni di rete sicure per difendersi da hacker, attacchi informatici e altre minacce persistenti. È inoltre responsabile del test e del monitoraggio dei sistemi aziendali, assicurando costantemente che tutte le misure di sicurezza implementate siano aggiornate e funzionanti. Questa figura è anche responsabile dell’esecuzione di test di penetrazione (penetration testing).

IT Security and Compliance Specialist: responsabile delle linee guida strategiche e di implementazione relative alle misure di sicurezza sui sistemi aziendali per mitigare i rischi informatici e monitorare e analizzare gli eventi di sicurezza; è responsabile della revisione delle modifiche derivanti dall’applicazione dell’ISMS in prima istanza e mantiene le metriche di valutazione di terze parti.

Amministratori IT e di Sistema: responsabili della definizione, implementazione e manutenzione tecnica dei dispositivi e delle tecnologie di sicurezza che compongono le reti ICT e le risorse dell’organizzazione che fanno parte del Sistema di Gestione della Sicurezza delle Informazioni.

Nella documentazione relativa al sistema di gestione integrato, è possibile trovare la dicitura Dipartimento IT, che si riferisce ai tecnici designati e autorizzati e agli Amministratori di Sistema, che operano i sistemi aziendali e sono responsabili della corretta gestione di dispositivi e reti.

Il CISO, CDO, l’IT Security and Compliance Specialist e il Cyber Security Engineer fanno parte integrante del Team Qualità e Sicurezza delle Informazioni, che è l’organo consultivo e di controllo del Sistema di Gestione della Qualità e della Sicurezza delle Informazioni e che redige e implementa le sue politiche e procedure, le revisiona e ne monitora l’applicazione.

Il Team Qualità e Sicurezza delle Informazioni ha inoltre il compito di promuovere la cultura della qualità e della sicurezza dei dati e delle informazioni all’interno dell’organizzazione, pianificando corsi di formazione specifici e periodici sulla sicurezza per tutto il personale, cooperando con le funzioni aziendali interne pertinenti per sensibilizzarle sui rischi. Questo organo è anche responsabile dell’adozione e del rispetto di metodologie e criteri per l’analisi e la gestione dei rischi e della proposta di misure di sicurezza organizzative, procedurali e tecniche per proteggere la sicurezza dell’organizzazione e la continuità delle sue attività. Infine, è responsabile della verifica degli incidenti di sicurezza e dell’adozione delle contromisure appropriate.

Le competenze di tutte le funzioni sopra menzionate sono state valutate in modo appropriato in relazione ai rispettivi ruoli. Il Dipartimento Risorse Umane mantiene evidenza delle competenze e della formazione delle risorse coinvolte nel sistema di gestione della sicurezza delle informazioni.

6. Obiettivi strategici e aziendali

Gli obiettivi strategici e aziendali relativi all’organizzazione e al suo posizionamento sul mercato sono coerenti con gli obiettivi dell’ISQMS e con gli obiettivi di qualità e sicurezza delle informazioni. Essi si articolano sulla base dei principi guida di seguito riportati.

In primo luogo, l’ISQMS definisce un insieme di misure per implementare strategicamente il principio “customer first”, in conformità ai requisiti di qualità e sicurezza accettati a livello internazionale. Expert.ai, attraverso l’ISQMS, mira anche a proteggere nel miglior modo possibile i propri asset informativi e quelli dei clienti.

In secondo luogo, Expert.ai aderisce al principio “be process driven”, che implica la creazione di processi strutturati e misurabili per ottenere risultati. Attraverso l’ISQMS, Expert.ai si propone di preservare l’immagine dell’azienda come fornitore affidabile e competente, soddisfacendo al contempo i requisiti delle normative vigenti e obbligatorie.

Inoltre, Expert.ai si posiziona sul mercato definendo strategicamente il principio “Focus on product”, che identifica la necessità dell’organizzazione di offrire soluzioni innovative e competitive attraverso la fornitura dei propri prodotti. Questi prodotti devono essere sviluppati e adattati alle esigenze dei clienti in conformità alle politiche e procedure dell’ISMS, garantendo la sicurezza e l’efficienza dei processi, nonché l’integrità, la disponibilità e la riservatezza delle informazioni.

Infine, il principio guida “Empower your colleagues” viene implementato attraverso misure volte a garantire la lealtà e la professionalità del personale, aumentando al contempo il livello di consapevolezza e competenza sulle tematiche di sicurezza.

Tutte queste disposizioni sono coerenti con gli obiettivi strategici e di mercato definiti dall’organizzazione:

  • Espandere il proprio mercato, posizionandosi come azienda di riferimento internazionale nello sviluppo dell’intelligenza artificiale.
  • Migliorare la gestione del ciclo di vita del prodotto.
  • Ridurre i costi dei servizi per essere più competitivi sul mercato.
  • Migliorare la comunicazione e l’organizzazione interna in modo adeguato a un’azienda innovativa e in crescita.

È responsabilità del Team Qualità e Sicurezza delle Informazioni monitorare la corretta implementazione degli obiettivi di qualità e sicurezza delle informazioni. Questi obiettivi vengono verificati periodicamente ogni quattro mesi e fanno parte della documentazione da analizzare durante il Riesame della Direzione.

Gli obiettivi per la sicurezza delle informazioni sono:

  • Promuovere la diffusione di una cultura e consapevolezza sulla sicurezza e protezione dei dati e delle informazioni, in particolare sulla riservatezza, integrità e disponibilità dei dati e delle informazioni, tra dipendenti, collaboratori, partner e terze parti, in relazione ai loro ruoli e responsabilità in questo ambito.
  • Formare il personale per svolgere attività di protezione degli asset aziendali e delle informazioni trattate secondo il Sistema di Gestione della Sicurezza delle Informazioni.
  • Proteggere gli asset aziendali e gli asset informativi gestiti.
  • Proteggere i dati e le informazioni da accessi non autorizzati.
  • Tutelare l’immagine dell’azienda.
  • Rispettare l’etica sul luogo di lavoro, tra colleghi e con terze parti.
  • Gestire in modo rapido, efficace e scrupoloso emergenze o incidenti che possano verificarsi nelle attività, anche collaborando con terze parti o organismi competenti.
  • Rispettare le leggi e i regolamenti applicabili e aderire agli standard identificati con senso di responsabilità e consapevolezza basata sulla valutazione dei rischi.
  • Verificare e monitorare la continuità della sicurezza delle informazioni per i servizi critici anche dopo incidenti gravi che potrebbero compromettere la sopravvivenza stessa dell’azienda.
  • Monitorare, riesaminare e migliorare il sistema di gestione della sicurezza delle informazioni.

Gli obiettivi di qualità, invece, sono orientati alla ricerca della soddisfazione, fiducia e fidelizzazione del cliente, guidando l’organizzazione nello sviluppo, implementazione e miglioramento del proprio sistema di gestione della qualità.

Gli obiettivi specifici per la qualità sono:

  • Miglioramento continuo di tutti i processi aziendali, coinvolgendo tutti i dipendenti.
  • Fornire prodotti e servizi di qualità che soddisfino le esigenze e le aspettative iniziali e successive dei clienti e delle altre parti interessate.
  • Impegno a rispettare i requisiti regolati dalle leggi applicabili, nonché gli impegni contrattuali.
  • Conformità a tutte le norme interne e regolamenti per la sicurezza dei lavoratori sul luogo di lavoro.
  • Disponibilità delle risorse necessarie, in termini di personale qualificato e attrezzature adeguate.
  • Garantire lo sviluppo dell’azienda attraverso il miglioramento continuo della tecnologia semantica per entrare in nuovi segmenti di mercato.
  • Corsi di formazione e aggiornamento per ciascun dipendente, nell’ambito delle proprie mansioni.
  • Un sistema di controllo adeguato per misurare le attività, risolvere i problemi e fornire alla Direzione elementi idonei per effettuare revisioni e verificare che la Politica per la Qualità sia sempre adeguata e coerente con la missione aziendale.

7. Gestione delle risorse per la sicurezza delle informazioni

L’organizzazione riconosce l’importanza critica della sicurezza delle informazioni in termini di disponibilità, integrità e riservatezza e ammette che i componenti tecnologici da soli non possono garantirla. Di conseguenza, il fattore umano emerge come predominante per la corretta e sicura gestione delle risorse aziendali e delle informazioni trattate.

L’organizzazione ritiene essenziale che le Politiche e le Procedure relative alla sicurezza delle informazioni vengano concretamente attuate per raggiungere gli obiettivi pianificati, in particolare:

  • Protezione degli asset aziendali e delle informazioni.
  • Salvaguardia dei dati e delle informazioni da accessi non autorizzati.
  • Preservazione dell’immagine aziendale.
  • Mantenimento dell’etica sul luogo di lavoro tra colleghi e con terze parti.
  • Conformità alle normative applicabili.

Salvo eccezioni, che saranno valutate e approvate dal Team Qualità e Sicurezza delle Informazioni, sono generalmente vietati:

  • L’uso di dispositivi personali all’interno dell’azienda.
  • L’uso di dispositivi aziendali per scopi privati.
  • L’archiviazione di dati personali e qualsiasi altro elemento non legato all’attività lavorativa.
  • Il trattamento dei dati al di fuori delle applicazioni/database forniti dall’azienda (es. copia/gestione dei dati localmente su dispositivi personali).

L’organizzazione considera le seguenti attività totalmente inaccettabili, senza eccezioni:

  • Violazione dei diritti di qualsiasi persona o azienda protetti da copyright, segreto commerciale, brevetto o altra proprietà intellettuale.
  • Esportazione di software, informazioni tecniche, software o tecnologia di crittografia in violazione delle leggi internazionali o nazionali e delle normative aziendali.
  • Introduzione di programmi dannosi (malware) nella rete o nei server.
  • Divulgazione di password ad altri o consentire ad altri di utilizzare il proprio account.
  • Utilizzo di una risorsa Expert.ai per ottenere o trasmettere materiale che violi leggi nazionali o internazionali.
  • Compromissione della sicurezza della rete o interruzione delle comunicazioni di rete.
  • Scansione delle porte e scansione di sicurezza sono espressamente vietate.
  • Esecuzione di qualsiasi tipo di monitoraggio di rete volto a intercettare dati non destinati all’host dell’utente, salvo che tali attività facciano parte delle mansioni abituali dell’utente.
  • Elusione dell’autenticazione degli utenti o della sicurezza di qualsiasi host, rete o account.
  • Utilizzo di qualsiasi programma/script/comando o invio di messaggi di qualsiasi tipo con l’intento di interferire o disabilitare funzioni proprie o di altri utenti.
  • Fornitura di informazioni su dipendenti, collaboratori, stagisti, lavoratori temporanei, consulenti, aziende e, in generale, tutti i soggetti che hanno contatti diretti o indiretti con Expert.ai.
  • Utilizzo dell’account di posta elettronica aziendale per scopi diversi da quelli strettamente legati al lavoro.
Investors
News & Resources
Careers
Partner
Contatti
ENGES
 Richiedi demo