POLITICA PER LA SICUREZZA DELLE INFORMAZIONI - Twproject: project management software, bug tracking, time tracking, planning

Revisione 0 – 06/07/2026 – Prima emissione

Emissione controllata: SI


1. Scopo

La Direzione di TW Project ha deciso di adottare un Sistema di Gestione per la Sicurezza delle Informazioni conforme alla UNI CEI EN ISO/IEC 27001:2024, con l’obiettivo di proteggere in modo adeguato le informazioni trattate dall’azienda, i dati dei clienti, il software sviluppato e gli strumenti utilizzati per l’erogazione dei servizi.

Per TW Project la sicurezza delle informazioni non rappresenta soltanto un requisito tecnico, ma un elemento essenziale per garantire affidabilità, continuità del servizio e fiducia da parte dei clienti. La presente Politica definisce quindi i principi generali con cui l’azienda intende gestire la sicurezza nell’ambito delle attività di sviluppo, assistenza e commercializzazione di software per la gestione dei progetti.

2. Campo di applicazione

La Politica si applica a tutte le informazioni gestite da TW Project, indipendentemente dal formato in cui si trovano e dagli strumenti utilizzati per trattarle. Rientrano quindi nel perimetro del SGSI le attività di sviluppo e manutenzione del software, l’assistenza ai clienti, la gestione delle istanze cloud, la commercializzazione tramite sito web, gli strumenti interni di lavoro, la posta elettronica, la documentazione aziendale e i rapporti con fornitori e terze parti.

Il software TW Project è erogato principalmente tramite infrastruttura cloud AWS, dove ogni cliente dispone di una propria istanza separata. Questo aspetto è particolarmente rilevante per la sicurezza, perché consente di mantenere distinti gli ambienti e i dati dei diversi clienti.

È incluso nel perimetro anche il server fisico interno, utilizzato prevalentemente per la gestione delle autorizzazioni nel dominio aziendale. Pur contenendo una quantità limitata di dati, tale server è considerato un asset di supporto importante per l’operatività interna.

3. Principi della sicurezza delle informazioni

TW Project si impegna a proteggere le informazioni secondo i principi di riservatezza, integrità e disponibilità.

La riservatezza viene perseguita assicurando che le informazioni siano accessibili solo alle persone autorizzate. L’integrità viene garantita attraverso misure volte a prevenire modifiche non autorizzate, accidentali o non controllate ai dati, al codice sorgente e alle configurazioni. La disponibilità viene tutelata affinché i sistemi, le informazioni e i servizi siano accessibili quando necessario, in coerenza con le esigenze operative e con gli impegni assunti verso i clienti.

L’azienda considera inoltre fondamentali l’autenticità e la tracciabilità delle operazioni rilevanti. Dove tecnicamente possibile, gli accessi e le attività sui sistemi devono essere riconducibili agli utenti autorizzati, in modo da favorire controllo, responsabilizzazione e gestione tempestiva di eventuali anomalie.

La sicurezza viene gestita con un approccio basato sul rischio. Questo significa che le misure adottate non sono definite in modo astratto, ma sulla base del contesto aziendale, degli asset da proteggere, delle minacce rilevanti, delle vulnerabilità individuate e dei requisiti legali, contrattuali e organizzativi applicabili.

Particolare attenzione è riservata allo sviluppo sicuro del software. La sicurezza deve essere considerata nelle attività di progettazione, sviluppo, manutenzione, rilascio e aggiornamento del prodotto, con l’obiettivo di ridurre il rischio di vulnerabilità e garantire un servizio affidabile nel tempo.

4. Impegni della Direzione

La Direzione si impegna a sostenere attivamente il Sistema di Gestione per la Sicurezza delle Informazioni, assicurando che esso sia coerente con gli obiettivi aziendali e integrato nei processi quotidiani.

In particolare, la Direzione promuove l’adozione di misure adeguate per proteggere i dati dei clienti, il software sviluppato, gli ambienti cloud, gli strumenti interni e le informazioni aziendali. Si impegna inoltre a mettere a disposizione le risorse necessarie, a definire obiettivi di sicurezza misurabili, a garantire il rispetto dei requisiti normativi e contrattuali applicabili e a favorire la consapevolezza del personale.

La sicurezza delle informazioni viene considerata parte integrante dello sviluppo software, dell’assistenza ai clienti e della gestione dei servizi cloud. Per questo motivo TW Project intende mantenere nel tempo pratiche coerenti con i principi di sicurezza by design, controllo degli accessi, gestione delle vulnerabilità, backup, continuità operativa e miglioramento continuo.

5. Responsabilità

La sicurezza delle informazioni riguarda tutte le persone che operano per conto di TW Project. Ogni dipendente o collaboratore è chiamato a utilizzare correttamente gli strumenti aziendali, rispettare le procedure interne, proteggere le informazioni a cui ha accesso e segnalare eventuali anomalie o situazioni potenzialmente rischiose.

La Direzione ha la responsabilità di approvare la presente Politica, verificarne l’attuazione e assicurare che il SGSI rimanga adeguato rispetto all’evoluzione dell’organizzazione e del contesto tecnologico.

Il Responsabile SGSI coordina le attività operative del sistema, supporta il personale nell’applicazione delle regole definite, monitora l’avanzamento delle azioni previste e riferisce alla Direzione sull’andamento del SGSI.

Anche fornitori e terze parti che trattano informazioni aziendali o dei clienti sono tenuti a rispettare i requisiti di sicurezza applicabili, secondo quanto previsto dagli accordi contrattuali o dalle istruzioni ricevute.

6. Conformità e miglioramento continuo

TW Project si impegna a identificare e rispettare i requisiti legali, regolamentari e contrattuali applicabili alla sicurezza delle informazioni, alla protezione dei dati personali, alla tutela del software e alla gestione dei rapporti con clienti e fornitori.

Il Sistema di Gestione per la Sicurezza delle Informazioni viene monitorato e riesaminato periodicamente, anche attraverso audit interni, analisi dei rischi, valutazione degli incidenti, riesame della Direzione e verifica del raggiungimento degli obiettivi stabiliti.

La presente Politica viene riesaminata almeno una volta all’anno e ogni volta che intervengano cambiamenti significativi nell’organizzazione, nei servizi erogati, nell’infrastruttura tecnologica, nel quadro normativo o nei rischi rilevanti per la sicurezza delle informazioni.

Ogni aggiornamento viene approvato dalla Direzione e comunicato alle persone interessate.

La presente Politica entra in vigore alla data della sua approvazione.

Firenze, 10/07/2026