Data di efficacia: Ottobre 2025
WorkTime è un software di monitoraggio dei dipendenti con priorità alla privacy, non invasivo, fidato da organizzazioni in tutto il mondo.
Prendiamo la sicurezza seriamente e ci impegniamo a mantenere la confidenzialità, l'integrità e la disponibilità di tutti i dati dei clienti e dell'azienda.
Questa pagina delinea i principi e le pratiche principali che guidano il nostro programma di sicurezza.
1. Scopo e ambito
Questa Politica di Sicurezza definisce come WorkTime protegge i suoi sistemi, applicazioni e informazioni dei clienti.
Si applica a tutti i dipendenti, appaltatori e fornitori di servizi di terze parti che hanno accesso ai sistemi o dati di WorkTime.
2. Ambito
Questo piano si applica a tutti i dipendenti WorkTime, appaltatori, sistemi, applicazioni e servizi di terze parti coinvolti nell'elaborazione o archiviazione di dati aziendali o dei clienti.
Copre tutti gli incidenti relativi alla sicurezza delle informazioni, privacy dei dati e continuità del servizio.
3. Obiettivi
Rilevamento rapido e contenimento degli incidenti di sicurezza.
Valutazione accurata dell'ambito e dell'impatto.
Comunicazione tempestiva con gli stakeholder e i clienti interessati.
Risoluzione completa e documentazione delle cause radice.
Prevenzione di incidenti futuri attraverso il miglioramento continuo.
4. Definizione di Incidente
Un incidente di sicurezza è qualsiasi evento che possa compromettere i sistemi informativi o i dati di WorkTime’, inclusi ma non limitati a:
Accesso non autorizzato o divulgazione di dati.
Infezione da malware o ransomware.
Attacchi di negazione del servizio (DoS).
Perdita o furto di apparecchiature contenenti dati sensibili.
Malfunzionamento, corruzione dei dati o cancellazione accidentale.
Violazione delle normative sulla privacy (GDPR, HIPAA, GLBA).
5. Ciclo di Vita della Risposta agli Incidenti
5.1 Identificazione
Monitorare sistemi, log e avvisi per attività insolite o sospette.
Ricevere rapporti da dipendenti, clienti o fornitori di terze parti.
Classificare l'evento come incidente sospetto o confermato sulla base delle evidenze.
5.2 Contenimento
Isolare i sistemi interessati per prevenire il movimento laterale.
Disabilitare account compromessi o credenziali di accesso.
Preservare tutti i log rilevanti e dati forensi.
5.3 Eradicazione
Rimuovere codice malevolo, disabilitare backdoor e applicare patch alle vulnerabilità.
Validare che i sistemi siano puliti e sicuri da ripristinare.
5.4 Ripristino
Ripristinare i sistemi da backup puliti.
Monitorare i sistemi ripristinati per reinfezioni o comportamenti anomali.
Verificare che le funzioni aziendali siano tornate alla normalità.
5.5 Notifica e Comunicazione
Notificare immediatamente la direzione esecutiva dopo la conferma.
Per incidenti che coinvolgono dati personali o dei clienti, notificare i clienti interessati entro i termini legali richiesti.
Se applicabile, notificare gli organismi regolatori (ad es., ai sensi del GDPR o delle regole di violazione HIPAA).
Tutte le comunicazioni sono revisionate e approvate dall’Ufficiale di Sicurezza e Legale.
5.6 Lezioni Apprese
Condurre una revisione post-incidente entro 7 giorni lavorativi dalla risoluzione.
Documentare causa radice, impatto e azioni correttive.
Aggiornare politiche, controlli e formazione se necessario.
7. Classificazione della Gravità
Gli incidenti sono classificati come Critical, High, Medium o Low in base all'impatto e all'urgenza, con tempi di risposta che vanno da immediati a un giorno lavorativo.
8. Preservazione delle Evidenze
Tutti i log, avvisi e immagini di sistema relative a un incidente sono preservati in modo sicuro per almeno un anno.
L'accesso a queste evidenze è ristretto all'Ufficiale di Sicurezza e investigatori autorizzati.
9. Canali di Comunicazione
Rapporti interni via canale Slack sicuro #security-alerts e email security@worktime.com.
Notifiche ai clienti attraverso i canali di comunicazione ufficiali di WorkTime e contatti account.
Comunicazioni esterne solo attraverso il rappresentante PR o Legale designato.
10. Revisione e Test
Questo piano è rivisto annualmente e dopo qualsiasi incidente maggiore.
Test da tavolo e simulazioni sono condotti almeno una volta all'anno per validare la prontezza.
11. Riferimenti alla Conformità
Questo piano supporta la conformità con:
SOC 2 Type II (Sicurezza, Disponibilità e Confidenzialità)
Articolo 33 del GDPR (Notifica di Violazione dei Dati)
HIPAA 164.308(a)(6) (Procedure per Incidenti di Sicurezza)
Regola di Salvaguardia GLBA
WorkTime — Con Priorità alla Privacy, Sicuro, Monitoraggio Dipendenti Non Invasivo
Proteggiamo i vostri dati con la stessa cura dei nostri.
