Politica di Sicurezza delle Informazioni
In Nexi, ci impegniamo a garantire i più alti standard di sicurezza delle informazioni. La nostra Group Security Policy, approvata dal Consiglio di Amministrazione, si basa su normative internazionali e best practice riconosciute. Essa è concepita per proteggere la riservatezza, integrità, disponibilità e autenticità dei dati, rafforzando continuamente il nostro approccio alla sicurezza al fine di supportare la fiducia di clienti, dipendenti, partner, azionisti e autorità di regolamentazione.
All’interno del Gruppo sono definiti in modo chiaro ruoli e responsabilità, assicurando che ogni dipendente comprenda il proprio ruolo nella protezione delle informazioni. L’accountability è integrata nei nostri processi, con percorsi di escalation efficaci per affrontare tempestivamente eventuali problematiche di sicurezza. La formazione continua fornisce alle nostre persone le competenze e gli strumenti necessari per adottare pratiche di sicurezza solide.
Il nostro Group Chief Information Security Officer (CISO) è responsabile della definizione e supervisione della strategia, del programma e del framework di cybersecurity di Nexi, garantendo l’allineamento in tutte le aree di business e nei Paesi in cui il Gruppo opera.
Adottiamo un approccio proattivo al rilevamento e alla prevenzione delle minacce attraverso strumenti di monitoraggio avanzati, valutazioni del rischio continue e sistemi di allerta precoce. Il nostro framework strutturato di incident response assicura una gestione tempestiva ed efficace di ogni evento, con responsabilità chiaramente assegnate in tutta l’organizzazione. Le conoscenze acquisite dagli incidenti vengono utilizzate per rafforzare il nostro sistema di sicurezza e promuovere il miglioramento continuo.
Anche la sicurezza della catena di fornitura rappresenta una priorità fondamentale. Monitoriamo costantemente i fornitori terzi e includiamo nei contratti clausole specifiche per garantire la sicurezza dei servizi, comprese strategie di uscita chiare. Le relazioni con terze parti sono gestite in linea con gli standard di sicurezza delle informazioni di Nexi.
Programma di Sicurezza delle Informazioni
Nexi ha implementato solidi programmi di gestione della sicurezza delle informazioni per proteggere la propria infrastruttura digitale e garantire la resilienza operativa in tutte le aree di business. Tali programmi includono un insieme articolato di iniziative volte a prevenire, rilevare e rispondere alle minacce informatiche, assicurando al contempo la continuità e l’integrità dei servizi critici.
I principali elementi del programma includono:
Piani dettagliati e regolarmente testati affrontano un’ampia gamma di scenari di rischio — incluse minacce informatiche — per garantire la resilienza e il rapido ripristino dei servizi essenziali in caso di interruzioni.
Valutazioni periodiche delle vulnerabilità, condotte secondo un approccio basato sul rischio, per identificare, analizzare e risolvere in modo proattivo eventuali debolezze in applicazioni, sistemi e infrastrutture.
I dipendenti sono responsabilizzati e incoraggiati a segnalare tempestivamente incidenti, vulnerabilità o attività sospette tramite un processo di escalation ben definito, permettendo investigazioni e risposte rapide.
Tutti i dipendenti ricevono formazione continua per accrescere la consapevolezza sulle minacce informatiche, promuovere comportamenti digitali sicuri e rafforzare la responsabilità individuale nella protezione delle informazioni sensibili.
Per garantire l’efficacia del programma, sono previsti audit interni periodici che verificano l’allineamento al Framework di Sicurezza delle Informazioni di Nexi. Inoltre, vengono svolti audit esterni indipendenti, inclusi processi di certificazione e valutazione come ISO/IEC 27001, PCI DSS e ISAE 3402. Le certificazioni vengono rinnovate annualmente, promuovendo il miglioramento continuo e offrendo solide garanzie all’azienda e ai suoi clienti in termini di conformità, affidabilità e gestione del rischio.
Nell’ultimo esercizio, Nexi non ha registrato alcuna violazione grave della sicurezza o perdita di dati, dimostrando l’efficacia della propria strategia multilivello di sicurezza, del monitoraggio continuo e dell’impegno costante al miglioramento.