Dichiarazione di sicurezza commerciale

Introduzione

BauWatch prende molto sul serio la sicurezza delle informazioni. Essendo un attore chiave nel settore della sicurezza (della sorveglianza), la sicurezza delle informazioni è incorporata nei nostri processi e prodotti principali. Adottiamo misure cruciali per proteggere le informazioni dalle violazioni dei dati, dagli accessi non autorizzati e dalle minacce alla sicurezza delle informazioni che danneggiano l'azienda, i clienti e i dati personali. Per noi la sicurezza delle informazioni è un elemento di differenziazione del servizio rispetto ai nostri concorrenti.

In BauWatch abbiamo abbracciato l'atteggiamento "Migliorare ogni giorno". Crediamo che l'uomo non debba mai smettere di migliorare. Attraverso l'apprendimento e lo sviluppo, i nostri utenti e colleghi mirano a svolgere il loro lavoro al meglio. Ma questo vale anche per i nostri prodotti, servizi e processi. Per la protezione dei vostri dati abbiamo adottato la norma ISO 27001. Con un atteggiamento di continuo miglioramento, cerchiamo di proteggere i vostri dati nel miglior modo possibile.

Disponiamo di processi operativi dedicati alla gestione della sicurezza delle informazioni, di personale dedicato alla sicurezza e di un meccanismo di reporting interno per facilitare il corretto processo decisionale in caso di incidenti. Il nostro sistema di gestione della sicurezza delle informazioni si basa sulla gestione del rischio.

Governance della sicurezza

Ci impegniamo a rispettare tutte le leggi e le normative pertinenti, come la NIS-2, il Regolamento generale sulla protezione dei dati (GDPR) e standard come ISO 27001 e EN 50518. Un meccanismo chiave è la nostra struttura di governance con una linea di reporting diretta ai nostri dirigenti, che sono impegnati nella sicurezza. Allo stesso tempo abbiamo istituito un comitato direttivo per la sicurezza, guidato dal nostro CISO, per allineare le attività all'interno dei vari Paesi. Il comitato monitora i processi di sicurezza, discute gli incidenti di sicurezza e si assicura che il programma di sicurezza sia implementato ed eseguito a livello di gruppo e di paese.

Sicurezza dal punto di vista del design

La protezione dei vostri dati parte dall'inizio. Per questo motivo i nostri prodotti e servizi sono sviluppati sulla base del principio Security by Design. Per il nostro software abbiamo definito un processo di sviluppo sicuro e una lista di controllo del codice sicuro. Lo stesso vale per i nostri processi di ingegneria e di gestione dei progetti. La sicurezza è presente in tutte le fasi dei nostri processi di sviluppo.
Se utilizziamo componenti di fornitori, ci assicuriamo che soddisfino le nostre linee guida sulla sicurezza.

Protezione dei dati

Ci impegniamo a fondo per proteggere la riservatezza dei dati personali, delle preferenze e di altre informazioni. A tal fine abbiamo adottato i principi del "minimo privilegio" e della "necessità di sapere". Investiamo molto nelle tecnologie dei nostri server, database, backup e firewall. Per ulteriori informazioni sulla privacy dei dati, consultare la nostraDichiarazione sulla privacy.

Ci dedichiamo alla trasparenza

Noi di BauWatch non pretendiamo di poter prevenire tutti gli incidenti di sicurezza. Gli incidenti possono verificarsi e si verificheranno occasionalmente. Quando si verificano, ci impegniamo a essere trasparenti al riguardo. Crediamo che questo sia il modo migliore per mantenere la fiducia dei nostri clienti. Ovviamente ci impegniamo a fondo per garantire che gli incidenti siano il più rari possibile.

Per ridurre l'impatto degli incidenti abbiamo implementato piani di disaster recovery e istituito un team di risposta agli incidenti che si esercita annualmente sulle crisi potenziali. Per dare una guida a tutto ciò, eseguiamo il Risk Management su base continua.

Approvato da esperti indipendenti

Più volte all'anno monitoriamo i nostri controlli e processi di sicurezza delle informazioni. Una volta all'anno chiediamo a un revisore esterno di fare lo stesso. Il risultato è il nostro certificato ISO27001:2022. Questi audit multipli (sia interni che esterni) ci hanno aiutato a stabilire un ciclo di miglioramento continuo sulla sicurezza delle informazioni.

Ulteriori informazioni

BauWatch è lieta di ricevere domande o commenti sulla sicurezza e sulla presente Dichiarazione di sicurezza. Se avete domande o commenti sulla presente Dichiarazione di sicurezza o se desiderate ricevere il nostro rapporto di conformità per scopi di audit, inviate un'e-mail a info-it@bauwatch.com con tutti i dettagli pertinenti.

Di seguito troverete informazioni più dettagliate sui nostri controlli di sicurezza delle informazioni implementati:

Sicurezza del prodotto

Controllo

Registri di controllo
Per i nostri prodotti e servizi teniamo traccia delle attività che si svolgono attraverso i file di log. I nuovi sviluppi seguono la nostra politica di registrazione. Esempio di attività che tracciamo:
- Registri utente
- Log degli eventi
- Registri degli errori

Autenticazione a più fattori - Single Sign On
Ove possibile, richiediamo l'mfa per accedere alle nostre applicazioni e ai prodotti che utilizziamo. Quando selezioniamo un nuovo prodotto, questo è uno dei requisiti indispensabili. Se possibile, questo viene supportato tramite Single Sign On.

Controllo degli accessi basato su Rol (RBAC)

Nei nostri processi e prodotti seguiamo i principi del "minimo privilegio" e della "necessità di sapere", in modo che le persone possano vedere e fare ciò che è legato al loro ruolo e alle attività che appartengono a più ruoli.

Test di penetrazione

Verifichiamo regolarmente i nostri prodotti tramite test di penetrazione e lavoriamo sui risultati ottenuti, se del caso.

Sicurezza delle informazioni

Controllo

Responsabile della sicurezza delle informazioni
Per domande sulla sicurezza delle informazioni potete inviarci un'e-mail all'indirizzo security@bauwatch.com

Dati criptati a riposo

BauWatch utilizza diverse tecnologie per garantire che i dati memorizzati siano crittografati a riposo utilizzando la crittografia AES-256.

Dati crittografati in transito

BauWatch cripta i dati sensibili in transito con TLS 1.2 o TLS 1.3.

Password

BauWatch utilizza la protezione con password, la crittografia e altre misure di sicurezza per impedire l'accesso non autorizzato ai dati riservati. Le password seguono i requisiti NIST.

Controllo e monitoraggio degli accessi

L'accesso ai sistemi di BauWatch è controllato in modo rigoroso e le autorizzazioni per i sistemi e le applicazioni interne sono riviste e approvate periodicamente per garantire il mantenimento del principio del minimo privilegio.

BauWatch dispone di politiche e procedure di accesso che vengono riviste e approvate su base annuale.

Backup dei dati

I sistemi di BauWatch sono sottoposti a backup su base regolare, secondo orari e frequenze stabiliti. I backup sono monitorati e vengono generati avvisi in caso di eccezioni. I guasti vengono documentati, gestiti e risolti di conseguenza. Tutti i backup sono criptati.

Inventario delle risorse

Viene mantenuto un inventario dei sistemi che comprende dispositivi e sistemi fisici, dispositivi virtuali e software.

Classificazione dei dati

BauWatch dispone di una politica di classificazione dei dati formalmente documentata che identifica le informazioni necessarie per supportare il funzionamento dei controlli interni, il raggiungimento degli obiettivi e i relativi requisiti di protezione, diritti di accesso e conservazione.

Sicurezza organizzativa

Controllo

Controlli sul passato dei dipendenti

I dipendenti di BauWatch sono sottoposti a un controllo dei precedenti prima di ricevere un'offerta formale di lavoro. Il controllo dei precedenti può variare a seconda del paese e del ruolo, a causa di leggi e regolamenti. Al momento dell'assunzione, tutti i dipendenti devono leggere e accettare il Codice di Sicurezza di BauWatch:

  • Codice di condotta per la sicurezza

  • Manuale per i dipendenti

Formazione sulla sicurezza dei dipendenti

BauWatch richiede che tutti i dipendenti completino la formazione sul comportamento/sensibilizzazione alla sicurezza come parte del processo di inserimento dei nuovi dipendenti e su base annuale per tutti i dipendenti.

Gestione delle risorse

BauWatch ha implementato strumenti per fornire visibilità sugli asset chiave della nostra infrastruttura.

Gestione del cambiamento

BauWatch mantiene un processo di gestione delle modifiche all'interno del proprio framework di cybersecurity, valutando e controllando sistematicamente le modifiche al proprio ambiente IT per garantire che gli aggiornamenti, le configurazioni e le alterazioni siano implementati in modo sicuro, riducendo al minimo i rischi potenziali e mantenendo una solida postura di sicurezza.

Gestione degli incidenti

BauWatch mantiene un processo formale di gestione degli incidenti che delinea le procedure di risposta agli eventi (di sicurezza). Ogni dipendente viene informato su come segnalare gli incidenti (di sicurezza).

Privacy

Controllo

Responsabile della privacy dei dati

Per domande sulla privacy dei dati è possibile leggere la nostra Dichiarazione sulla privacy inviarci un'e-mail o un messaggio di posta elettronica all'indirizzo privacy@bauwatch.com

Accordo sul trattamento dei dati

BauWatch ha stabilito un accordo completo per il trattamento dei dati (DPA) che delinea i termini e le condizioni che regolano il trattamento dei dati personali.

GDPR

BauWatch è conforme al GDPR e rispetta le norme applicabili in materia di notifica delle violazioni dei dati

Camara

Le torri di BauWatch e le sue telecamere monitorano solo le aree richieste dai nostri clienti. Tutte le aree che non dovrebbero essere monitorate non sono visibili nei nostri centri di monitoraggio. Allo stesso tempo, non monitoriamo continuamente gli schermi, ma ci attiviamo in base a eventi in aree di rilevamento specifiche, come concordato con i nostri clienti. Solo in caso di evento reale attiviamo e monitoriamo le telecamere in diretta.

Centri di ricezione allarmi (ARC)

Controllo

Monitoraggio degli allarmi

BauWatch monitora i vostri allarmi nelle Centrali di Ricezione Allarmi. In Germania e nei Paesi Bassi abbiamo i nostri centri di ricezione degli allarmi.

EN 50518

Gli ARC di BauWatch sono certificati EN 50518. In altri Paesi siamo ospitati in centri ARC certificati.

Disponibilità

In base alla norma EN 50518, garantiamo una disponibilità del nostro processo di allarme del 99,9% su base annua

Sicurezza fisica

I nostri centri di monitoraggio sono ambienti altamente protetti e separati, dotati anche della massima protezione fisica. Solo le persone che devono avere accesso possono entrare in queste aree

Continuità aziendale e disaster recovery

Controllo

Piano di continuità aziendale

BauWatch dispone di un piano di continuità aziendale documentato e di un piano di disaster recovery controllato e applicato da un team di disaster recovery. Il piano viene testato annualmente.

Piano di disaster recovery

BauWatch dispone di un piano di continuità operativa documentato e di un piano di disaster recovery controllato e applicato da un team di disaster recovery. Il piano viene testato annualmente.

Obiettivo di tempo di recupero (RTO) / Obiettivo di punto di recupero (RPO)

Il nostro piano di continuità operativa e i piani di disaster recovery si basano su KPI RTO e RPO che garantiscono una disponibilità del 99,9 del nostro processo di monitoraggio.

Gestione delle minacce

Controllo

Gestione delle vulnerabilità

BauWatch mantiene un solido sistema di gestione delle vulnerabilità, identificando, valutando e mitigando sistematicamente le potenziali vulnerabilità di sicurezza all'interno della sua infrastruttura IT e OT per garantire un ambiente operativo resiliente e sicuro. BauWatch si sottopone annualmente a una scansione delle vulnerabilità e a un test di penetrazione condotto da un fornitore terzo.

Politica di divulgazione delle vulnerabilità

Se siete un cliente o un potenziale cliente di BauWatch e ritenete di aver trovato una vulnerabilità di sicurezza relativa ai prodotti o ai servizi di BauWatch, contattate security@bauwatch.com

Test di penetrazione

BauWatch è sottoposto a una scansione annuale delle vulnerabilità e a un test di penetrazione condotto da un fornitore terzo.

Gestione del rischio

BauWatch ha implementato un processo completo di gestione del rischio, identificando, analizzando e mitigando sistematicamente i potenziali rischi di cybersecurity per garantire la riservatezza, l'integrità e la disponibilità dei propri sistemi informativi e delle proprie risorse.

Viene condotta una valutazione annuale dei rischi per valutare sistematicamente i potenziali rischi di cybersecurity, assicurando che i sistemi informativi e gli asset di BauWatch siano analizzati in modo completo per individuare le vulnerabilità e che vengano implementate strategie di mitigazione appropriate.

Antivirus e malware

BauWatch dispone di una politica antivirus e malware completa sia per le postazioni di lavoro che per i server dei dipendenti. BauWatch utilizza soluzioni di protezione degli endpoint affidabili come parte di una strategia di difesa in profondità, assicurando che i sistemi siano regolarmente aggiornati per difendersi dalle minacce più recenti.

Fornitori di servizi di terze parti / Sub-processori

Controllo

Fornitori di servizi di terze parti / Subprocessori

BauWatch può ingaggiare e utilizzare (i) alcuni processori di dati di terze parti e/o (ii) una delle affiliate di BauWatch (collettivamente, "Subprocessori") per fornire servizi ai nostri clienti. Questi Sub-Processori possono accedere ai dati personali forniti direttamente dal nostro cliente al fine di eseguire i servizi e l'assistenza previsti dal contratto.

Gestione del rischio di terze parti (TPRM)

BauWatch ha implementato un solido quadro di gestione del rischio di terze parti (TPRM) per identificare, valutare e mitigare sistematicamente i potenziali rischi associati alle sue partnership esterne, garantendo la sicurezza e l'integrità delle sue operazioni.