Guvernanță și etică

231 Model de organizare

Decretul legislativ italian 231/01, intitulat „Norme privind răspunderea administrativă a persoanelor juridice, a societăților și a asociațiilor, inclusiv a celor fără personalitate juridică„, a introdus răspunderea entităților pentru infracțiunile administrative comise de persoane fizice în interesul sau în avantajul entităților însele. Astfel, a fost prevăzută răspunderea autonomă a unei entități pentru infracțiunile care apar în sfera sa, pe lângă răspunderea specifică a autorului material al infracțiunii.

Namirial a adoptat un model propriu de organizare, gestionare și control („Modelul de organizare 231„) pentru prevenirea infracțiunilor comise în interesul sau în avantajul societății și a desemnat un organism de supraveghere („Organismo di Vigilanza”) cu puteri autonome de inițiativă și control, în conformitate cu legea.

Scop

Prin modelul 231, Namirial intenționează să:

– să îndeplinească cerințele exprimate de reglementările privind răspunderea administrativă a entităților, analizând riscurile potențiale de comportament ilicit relevante în temeiul Decretului legislativ 231/2001 și consolidând structurile de control menite să prevină apariția unor astfel de comportamente;

– să promoveze și să încurajeze o cultură corporativă orientată spre eticitate, corectitudine și transparență a activităților;

– să determine, la toți cei care lucrează în numele Societății în cadrul așa-numitelor activități sensibile, conștientizarea faptului că aceștia pot suporta, în cazul încălcării dispozițiilor prezentei, consecințe disciplinare și/sau contractuale, precum și sancțiuni penale și administrative care le pot fi impuse;

– să reitereze faptul că un comportament ilegal este condamnat cu fermitate, deoarece este contrar nu numai dispozițiilor legale, ci și principiilor etice ale Societății;

– să permită Societății, prin intermediul unei monitorizări continue, să intervină prompt pentru a preveni și/sau a se opune comportamentelor ilegale care contravin legii și normelor societății.

Structura

Structura modelului 231 constă în:

Codul de etică, descris mai jos;

Secțiunea generală, care descrie conținutul Decretului legislativ 231/2001, scopurile Modelului 231 și regulile specifice de guvernanță ale modelului în sine, ale organismului de supraveghere și ale sistemului de sancțiuni;

Secțiuni speciale, care descriu, pentru fiecare proces/domeniu corporativ cu risc în conformitate cu Decretul legislativ italian 231/2001, infracțiunile relevante, principiile comportamentale care trebuie respectate și măsurile de control care trebuie puse în aplicare pentru a preveni riscurile.

Codul de Etică

Scop

Codul de etică al Namirial are ca obiectiv principal definirea clară a valorilor etice fundamentale și conține principiile generale care trebuie să inspire conduita organelor corporative ale societății și a membrilor, angajaților și colaboratorilor și consultanților acestora, în scopul de a promova, prin autodisciplină și tehnici de guvernanță corporativă, crearea și maximizarea valorii pentru acționari, pentru cei care lucrează în cadrul societății și pentru clienții cărora li se adresează societatea. Acesta stabilește, ca principiu ineluctabil al activității Societății, respectarea legilor și reglementărilor în vigoare și sancționează principiile de conduită pe care trebuie să le urmeze toți destinatarii în desfășurarea zilnică a activităților și misiunilor lor de muncă.

Destinatarii

Codul de etică se aplică tuturor celor care sunt angajați sau colaborează cu Societatea.

Descărcați Codul de etică

Politica anticorupție

Scop

Politica anticorupție prezintă principiile generale și regulile de conduită care trebuie respectate în desfășurarea activităților, comportamentele interzise și măsurile de protecție identificate de companie pentru a reduce riscul de corupție.

Destinatarii

Politica se aplică Namirial, filialelor/afiliaților săi și tuturor partenerilor Namirial, în măsura în care este compatibilă, și este împărtășită și cu celelalte companii în care s-a investit, pentru a promova principii și comportamente în concordanță cu cele exprimate de Companie.

În general, politica se aplică tuturor celor care colaborează în mod profesional cu Namirial, precum și oricărei alte persoane, indiferent unde se află, care acționează, în orice calitate, în numele și/sau în numele Companiei, în limitele sarcinilor și responsabilităților lor.

Descărcați politica anticorupție

Denunțare

Scop

Namirial a adoptat o Politică de denunțare a neregulilor cu scopul de a consolida controlul asupra aplicării efective și respectării Codului de etică, a prevederilor și principiilor politicilor și procedurilor interne, a legilor și reglementărilor, precum și pentru a garanta integritatea companiei și pentru a aborda în mod eficient problemele potențiale într-un stadiu incipient, reducând riscul unor posibile daune semnificative aduse activității și reputației companiei.

În special, această politică reglementează procesul de trimitere, primire, analiză și procesare a rapoartelor din partea oricărei persoane, inclusiv în formă confidențială sau anonimă, privind încălcări sau suspiciuni de încălcări:

– ale Codului de etică;

– a regulilor de conduită, a interdicțiilor și a principiilor de control prevăzute în Modelul 231, precum și a comiterii de comportamente ilicite relevante în temeiul Decretului legislativ 231/200;

– a legilor aplicabile, a actelor cu putere de lege sau a regulamentelor;

– procedurilor interne adoptate de Societate.

Destinatarii

Politica se aplică directorilor, managerilor, angajaților, precum și oricărei persoane care se află într-o relație de interes cu Societatea.

Canale de comunicare

Rapoartele menționate mai sus pot fi transmise, în atenția Consiliului de Supraveghere, prin intermediul

– e-mail: odv@ethics.namirial.com și/sau whistleblowing@ethics.namirial.com;

– poștă: Via Caduti sul Lavoro 4, 60019, Senigallia (AN), Italy.

Securitatea informațiilor

Declarația privind securitatea cibernetică

Grupul Namirial (denumit în continuare „Grupul”) este entitatea organizatorică identificată prin societatea Namirial S.p.A. și filialele deținute sau controlate de aceasta. Filială controlată (denumită în continuare „filială”) înseamnă orice filială a Namirial S.p.A, din care 50% sau mai mult din acțiunile în circulație sunt deținute de Namirial S.p.A și de filialele sale directe sau indirecte și a cărei societate deține, direct sau indirect, puterea de a conduce sau de a determina conducerea sau politicile, fie prin deținerea de acțiuni cu drept de vot, fie prin acord sau în alt mod.

Pentru noi, „securitatea informațiilor” înseamnă să ne asigurăm că toate informațiile și sistemele de informații de care depinde Grupul, inclusiv cele legate de datele clienților, angajaților și partenerilor noștri de afaceri, sunt protejate în mod adecvat, garantând securitatea serviciilor companiei și continuitatea activităților noastre comerciale. Contextul actual, caracterizat de evoluția continuă a amenințărilor cibernetice și de reglementările mai stricte impuse de autorități, prezintă mai multe provocări majore pentru întreprinderi.

Sisteme de securitate

Ne-am angajat să garantăm că Grupul este în permanență echipat cu sisteme de securitate adecvate, devenind astfel din ce în ce mai fiabil pentru părțile interesate.

Mai exact, ne angajăm să:

  • să protejăm serviciile companiei și să consolidăm standardele de securitate ale acesteia
  • să definim regulamente interne de securitate și să monitorizăm punerea în aplicare a acestora
  • să definim un proces solid de gestionare a riscurilor informatice
  • să asigurăm punerea în aplicare a măsurilor de securitate pentru gestionarea amenințărilor cibernetice
  • să creștem gradul de conștientizare și înțelegere în jurul acestei probleme în rândul tuturor angajaților

Prin urmare, am elaborat o strategie de îmbunătățire continuă a nivelului de securitate al Grupului, în patru domenii-cheie.

4 domenii cheie pentru îmbunătățirea securității

Abilitarea afacerilor

Să fim pregătiți pentru noile amenințări cibernetice care afectează noile afaceri digitale și să sprijinim dezvoltarea afacerilor

Noi amenințări cibernetice

Să fie rezilient la atacurile cibernetice cu capacități adecvate de prevenire, detectare și răspuns.

Guvernanță

Să fie eficient pentru a gestiona procesul de securitate a informațiilor, pentru a aborda gestionarea riscurilor cibernetice și pentru a asigura conformitatea cu reglementările.

Oameni, Competențe & Educație

Să fie conștienți de riscurile cibernetice și să dobândească competențe adecvate pentru a face față noilor provocări cibernetice.

Programul de transformare a securității cibernetice

Grupul a dezvoltat un program de securitate cibernetică pe termen lung pentru a aborda problemele de securitate cibernetică analizate. Acesta include contramăsuri adecvate pentru situații specifice. Toate proiectele definite și incluse în program sunt revizuite periodic, conform unui calendar, în timp ce strategia pe termen lung este revizuită anual.

Programul de securitate cibernetică a fost aprobat de conducerea executivă a Grupului.

Pentru a consolida securitatea și gestionarea riscurilor IT, Consiliul de administrație a înființat un comitet de conducere special dedicat definirii și dezvoltării strategiei de securitate a Grupului, precum și guvernării și monitorizării riscurilor IT corporative. Acest comitet, care funcționează la nivel de grup, se numește Comitetul director pentru securitate corporativă și riscuri IT, iar membrii săi efectivi sunt CEO, CFO, CHRO, CTO și CISO.

Considerăm că factorul uman este esențial pentru a ne proteja informațiile. De fapt, am dezvoltat un program de conștientizare a securității cibernetice pentru toți angajații noștri, sub forma unor atacuri de phishing simulate periodic și a unei miniserii de videoclipuri instructive. Toate materialele sunt disponibile pe portaluri interne dedicate angajaților. Episoadele se referă la domenii specifice de securitate a informațiilor, de exemplu securitatea smartphone-urilor și a tabletelor și ingineria socială.

Namirial S.p.A, compania din cadrul Grupului care furnizează servicii de încredere calificată și alte servicii reglementate de organismul de supraveghere italian AgID, furnizează, de asemenea, servicii și infrastructuri IT pentru principalele companii din cadrul Grupului și este certificată în conformitate cu următoarele standarde:

  • ISO/IEC 27001:2013
  • ISO/IEC 27017:2015
  • ISO/IEC 27018:2015
  • Regulamentul (UE) 910/2014 eIDAS ca furnizor calificat de servicii de încredere
  • ETSI EN 319 401 pentru serviciul de încredere pentru identificarea electronică (Electronic Identification Trust Service)
  • Regulamentul (UE) 910/2014 eIDAS pct. 24 pentru furnizarea de servicii de încredere de stocare a documentelor IT
  • Reglementări AgID pentru conservarea pe termen lung a documentelor
  • Reglementări AgID pentru SPID (sistemul public italian pentru identitate digitală)

Certificările din seria ISO/IEC 27k sunt adaptate pentru a pune în aplicare standardele sectoriale legate de serviciile Namirial, fără excluderi în Declarația de aplicabilitate; controalele de securitate reflectă cele cerute de ETSI 319 401 și de directivele AgID.

Din 2010, suntem supuși auditurilor anuale pentru certificările ISO/IEC și pentru toate standardele anterioare de către Bureau Veritas și de către organismul național de supraveghere AgID, precum și la audituri periodice pentru raportul financiar.

Respectarea acestor reglementări este asigurată de Comitetul de coordonare a riscurilor juridice și de conformitate al întreprinderii, format din directorul financiar, responsabilii juridici și de conformitate și auditorul principal.

Pentru a evita conflictele cu standardele și reglementările pentru care compania este auditată și în virtutea certificărilor deținute, Namirial nu va implementa pe serviciile sale politici de securitate specifice emise și furnizate de către Clienții săi.

Mai mult, datorită caracterului critic al serviciilor furnizate, Namirial nu împărtășește documente sau informații referitoare la sistemele și controalele sale de securitate pentru a răspunde la solicitările de completări și clarificări privind securitatea informațiilor formulate de către terți, fie ei Clienți, Furnizori și/sau Parteneri.

În acest scop, Namirial dispune de certificări internaționale și tehnice care pot fi verificate pe site-uri publice cu valoare legală și contractuală. În fapt, protecția confidențialității, integrității și disponibilității informațiilor, obiect al activităților Namirial, ar putea fi compromisă dacă anumite informații ar fi puse la dispoziție în afara contextului Namirial și/sau ar face obiectul, în vreun fel, al oricărei forme de publicare neautorizată. În plus, unele sisteme și protecții sunt parțial sau total integrate în servicii supuse unor constrângeri de securitate tehnice, de reglementare, contractuale și legale, prin urmare, acestea nu vor fi dezvăluite unor terțe părți.

Namirial se adaptează în permanență la peisajul în continuă schimbare al securității cibernetice și pentru a fi în fața amenințărilor la adresa sistemelor și aplicațiilor noastre. Cu toate acestea, păstrarea în siguranță a informațiilor clienților și angajaților noștri nu se realizează doar prin tehnologie, ci este nevoie de angajați, clienți și parteneri atenți, care să știe cum să recunoască și să raporteze problemele. Din acest motiv, le permitem clienților și partenerilor noștri să prezinte vulnerabilitățile și/sau evenimentele de securitate pe care le pot descoperi pe orice site web sau aplicație cu acces public deținută, operată sau controlată de Namirial prin intermediul unui Program de dezvăluire responsabilă.