White paper sulla sicurezza
| Data | 14 giu 2024 |
| Revisione | 1.0 |
| Classificazione | PUBBLICO |
| Oggetto | WHITE PAPER SULLA SICUREZZA |
Storico revisioni
| Versione | Autore | Data | Note |
| 1.0 |
Francesco Minolfi Alessandro Illiano |
14 giu 2024 | Prima stesura |
Panoramica
La sicurezza è una priorità fondamentale per TocToc, costantemente integrata nelle nostre persone, nei nostri processi e nei nostri prodotti.
In questo documento, descriviamo le misure e le operazioni che adottiamo per mantenere elevati standard di sicurezza in tutti i nostri ambiti.
- Sicurezza organizzativa
- Sicurezza fisica
- Sicurezza dei dati trattati
- Sicurezza delle infrastrutture
- Sicurezza dei sistemi
- Sicurezza operativa
- Gestione degli incidenti
- Gestione dei fornitori terzi
- Cosa puoi fare tu per garantire la tua sicurezza
Sicurezza organizzativa
Abbiamo implementato un sistema di gestione della sicurezza delle informazioni (SGI) che allinea i nostri obiettivi di sicurezza con l’analisi dei rischi e le misure di mitigazione, considerando tutte le parti interessate. Le nostre politiche e procedure garantiscono la sicurezza, la disponibilità, l’integrità e la riservatezza dei dati dei clienti, assicurando una protezione completa delle informazioni.
Controlli sull’idoneità dei dipendenti
Ogni dipendente impiegato in ambiti che prevedono il trattamento dei dati personali dei nostri clienti è sottoposto a un processo di verifica dei precedenti lavorativi e del background formativo. Fino al completamento di questa verifica, i dipendenti non sono assegnati a compiti che potrebbero comportare rischi.
Consapevolezza della sicurezza
Ogni dipendente, una volta assunto, firma un accordo di riservatezza per poi seguire una formazione approfondita sulla sicurezza delle informazioni, sulla privacy e sulla conformità. La loro comprensione viene valutata attraverso test e quiz, per identificare eventuali necessità di formazione aggiuntiva su argomenti specifici in base ai loro ruoli.
Team dedicati alla sicurezza e alla privacy
Abbiamo un team dedicato alla sicurezza e alla privacy che implementa, gestisce, progetta e manutiene i nostri sistemi di difesa, sviluppando processi di revisione e monitoraggio costante delle nostre reti per rilevare attività sospette.
Audit interno e conformità
Abbiamo un team di conformità dedicato che rivede costantemente le procedure e le politiche del sistema di gestione per garantirne l’allineamento ai cambiamenti e agli standard normativi. Questo team identifica i controlli, i processi e i sistemi necessari per soddisfare tali standard. Inoltre, esegue audit interni periodici e facilita audit e valutazioni indipendenti da parte di terzi.
Sicurezza degli endpoint
Tutte le workstation assegnate ai dipendenti eseguono versioni aggiornate del sistema operativo e sono dotate di software antivirus. Sono configurate in conformità ai nostri standard di sicurezza, che includono configurazioni adeguate, installazione di patch e monitoraggio continuo tramite soluzioni di gestione degli endpoint. Queste workstation sono sicure per impostazione predefinita, poiché gli storage locali che memorizzano i dati inattivi vengono crittografati, richiedono password complesse e si bloccano automaticamente quando non sono in uso. Inoltre, i dispositivi mobili utilizzati per scopi aziendali sono censiti in un apposito registro.
Sicurezza fisica
Sul posto di lavoro
Permettiamo l’accesso alle nostre risorse (edifici, infrastrutture e strutture) solo se necessario e per scopi specifici. Manteniamo registri dettagliati degli accessi da parte dei dipendenti e dei visitatori per tracciare, individuare e risolvere eventuali anomalie.
Nei data center
I nostri sistemi sono ospitati in data center presso fornitori che rispettano i più alti standard di sicurezza come ISO-9001, ISO-27001, ISO-27017, ISO-27018, ISO-27701, ISO-22301, ISO-20000-1.
Monitoraggio
Monitoriamo entrate e uscite dalle nostre sedi tramite telecamere CCTV e sistemi di antifurto. I filmati registrati dalle telecamere al verificarsi di determinati eventi nel perimetro di osservazione sono disponibili nel cloud del fornitore per un periodo determinato.
Sicurezza dei dati trattati
Ciclo di vita dello sviluppo del software
Ogni modifica e nuova funzionalità viene rigorosamente verificata prima di essere implementata in produzione. Il nostro ciclo di vita dello sviluppo software prevede una fase di screening approfondita, che include la verifica delle vulnerabilità basata sugli standard OWASP e revisioni manuali. Questo processo consente di identificare e risolvere potenziali problemi di sicurezza, come SQL injection, cross-site scripting e attacchi DoS a livello applicativo.
Isolamento dei dati
I dati di ciascun cliente sono trattati dalla nostra piattaforma in modo da essere logicamente separati da quelli degli altri clienti. Questo garantisce che i dati di un cliente non siano mai accessibili a un altro cliente assicurando, in questo modo, la massima sicurezza e riservatezza.
Crittografia
Tutti i dati in transito verso i nostri server su reti pubbliche sono protetti con protocolli di crittografia avanzati. Richiediamo che tutte le connessioni ai nostri server utilizzino la crittografia Transport Layer Security (TLS 1.2/1.3) con cifrature avanzate, comprese le connessioni web, l’accesso API e l’accesso ai client di posta elettronica IMAP/SMTP.
I dati a riposo vengono crittografati utilizzando Advanced Encryption Standard (AES) a 256 bit. Possediamo e manteniamo le chiavi utilizzando il nostro servizio interno di gestione delle chiavi (KMS).
Conservazione e smaltimento dei dati
Conserviamo i dati nel tuo account secondo le politiche di data retention definite in ambito contrattuale e finché scegli di utilizzare i nostri servizi. Una volta terminato il tuo rapporto con noi, i tuoi dati verranno eliminati in modo sicuro.
I file temporanei o non più utilizzati dal sistema vengono eliminati applicando tecniche di cancellazione sicura.
Sicurezza delle infrastrutture
Sicurezza della rete
Le nostre tecniche di sicurezza e monitoraggio della rete offrono più livelli di protezione e difesa. Utilizziamo firewall per impedire accessi non autorizzati e traffico indesiderato, e segmentiamo i nostri sistemi in reti separate per proteggere i dati. I sistemi di test e sviluppo sono ospitati su una rete distinta rispetto a quelli di produzione.
Un team dedicato riesamina periodicamente le impostazioni dei firewall, aggiornando costantemente le regole.
Il nostro NOC (Network Operations Center) monitora l’infrastruttura e le applicazioni osservando costantemente tutti i parametri che vengono registrati dal sistema di monitoraggio che, in caso di attività anomale o sospette, invia messaggi al personale reperibile notificandoli su molteplici canali di contatto.
Ridondanza di rete
Tutti i nostri sistemi sono configurati utilizzando risorse cloud per garantire il massimo standard di fault tolerance. Gli elementi di networking che vengono erogati dai nostri fornitori di servizi cloud sono ridondati, in questo modo sono in grado di gestire eventuali guasti hardware senza interruzione di servizio.
Prevenzione DDoS
Utilizziamo tecnologie proprietarie e soluzioni di fornitori terzi consolidati e affidabili per prevenire attacchi DDoS ai nostri server. Queste soluzioni avanzate bloccano il traffico dannoso durante un attacco, garantendo così l’elevata disponibilità e le prestazioni ottimali dei nostri sistemi, applicazioni e API.
Rilevamento e prevenzione delle intrusioni
Il nostro meccanismo di rilevamento delle intrusioni registra gli accessi non autorizzati in ogni singolo server fornendo al personale di presidio della sicurezza avvisi di possibili incidenti. Inoltre, abbiamo sistemi di allarme basati su regole che monitorano ogni modifica che viene effettuata ai file di sistema e di configurazione delle nostre macchine.
Sicurezza dei sistemi
Criteri di robustezza delle password per l’accesso all’applicativo
Utilizziamo l’algoritmo zxcvbn al massimo dello score che viene verificato sia in frontend che in backend. Prevediamo un aggiornamento obbligatorio annuale delle password. Superato un limite massimo di tentativi di login errati, l’account viene bloccato e non sarà più possibile autenticarsi senza una richiesta di sblocco agli amministratori di sistema. Queste tecniche ci consentono di soddisfare criteri elevati di complessità delle password e garantire la sicurezza continua e ridurre il rischio di compromissione.
Autorizzazione dei dispositivi utilizzati
Utilizziamo un sistema di autorizzazione per i nuovi dispositivi che prevede l’invio di un codice di verifica via e-mail. Una volta autenticati nel pannello di controllo, è possibile visualizzare e revocare l’accesso ai dispositivi non più utilizzati, garantendo così un controllo continuo e una maggiore sicurezza dei propri account.
Autenticazione a più fattori
Offriamo strumenti di autenticazione a più fattori (MFA) come misura di sicurezza aggiuntiva. Questi strumenti richiedono l’inserimento di codici OTP inviati via e-mail per confermare operazioni sensibili, come l’accesso a gruppi di lavoro specifici e l’eliminazione di dati.
Accesso amministrativo
Utilizziamo controlli di accesso tecnici e politiche interne per vietare ai dipendenti di accedere arbitrariamente ai dati degli utenti. Aderiamo ai principi dei privilegi minimi e delle autorizzazioni basate sui ruoli per ridurre al minimo il rischio di esposizione dei dati.
L’accesso agli ambienti di produzione viene gestito da una directory centrale e autenticato utilizzando una combinazione di password complesse, autenticazione a due fattori e chiavi SSH protette da passphrase. Inoltre, facilitiamo tale accesso attraverso una rete separata con regole più rigide e dispositivi autorizzati. Inoltre, registriamo tutte le operazioni e le controlliamo periodicamente.
Sicurezza operativa
Registrazione e monitoraggio
Monitoriamo e analizziamo le informazioni raccolte dai servizi, dal traffico della rete e dall’utilizzo di dispositivi e terminali. Queste informazioni vengono registrate sotto forma di log eventi, log di controllo e log errori. I log vengono monitorati automaticamente e analizzati per identificare anomalie, attività insolite e tentativi di accesso non autorizzato ai dati dei clienti. Per garantire un controllo centralizzato, nonché la disponibilità e la sicurezza dei log, li archiviamo in un server sicuro e isolato dal resto del sistema.
Gestione delle vulnerabilità
Disponiamo di un processo dedicato alla gestione delle vulnerabilità che esegue la scansione delle minacce alla sicurezza utilizzando una combinazione di strumenti interni e test di penetrazione automatizzati e manuali, effettuati annualmente anche da terze parti specializzate. Il nostro team esamina costantemente gli avvisi di sicurezza, monitorando canali ufficiali di cybersecurity nazionali e internazionali, mailing list, post di blog e wiki per individuare incidenti che potrebbero influenzare i nostri sistemi.
Quando viene identificata una vulnerabilità che necessita di intervento, questa viene registrata, classificata in base alla gravità e assegnata a un responsabile. Valutiamo i rischi associati e monitoriamo la vulnerabilità fino alla sua risoluzione, applicando patch ai sistemi impattati.
Protezione da malware e spam
Per impedire la diffusione di malware, eseguiamo la scansione di tutti i file con il nostro sistema antivirus che riceve regolari aggiornamenti da fonti esterne e qualificate.
Supportiamo l’autenticazione, il reporting e la conformità dei messaggi basati su dominio (DMARC) per prevenire lo spam. DMARC utilizza SPF e DKIM per verificare l’autenticità dei messaggi.
Backup
Eseguiamo backup completi giornalieri dei nostri sistemi. I dati di backup vengono archiviati nella stessa posizione e crittografati utilizzando l’algoritmo AES a 256 bit. Tutti i dati sottoposti a backup vengono conservati per un periodo massimo di 35 giorni.
Per garantire la sicurezza dei dati sottoposti a backup una copia degli stessi viene salvata in un data center geograficamente separato. Tutti i backup sono pianificati e monitorati regolarmente.
Da parte tua, ti consigliamo vivamente di pianificare backup regolari dei tuoi dati esportandoli dai rispettivi servizi e archiviandoli localmente nella tua infrastruttura.
Disaster recovery e Business continuity
I dati delle applicazioni vengono archiviati su uno storage resiliente replicato nei data center. In caso di guasto del DC primario, subentra il DC secondario e le operazioni vengono eseguite senza problemi con una perdita di tempo minima.
Oltre alla ridondanza dei dati, disponiamo di un piano di continuità aziendale per le nostre operazioni principali come il supporto e la gestione dell’infrastruttura.
Gestione degli incidenti
Segnalazione
Abbiamo implementato un processo strutturato per la gestione degli incidenti. Ti notifichiamo prontamente in caso di incidenti che riguardano il nostro sistema e che possono avere un impatto sull’erogazione dei tuoi servizi, fornendoti istruzioni adeguate sulle azioni che potresti dover intraprendere. Tracciamo, prendiamo in carico e risolviamo gli incidenti che si verificano applicando le necessarie azioni correttive. Quando è richiesto, identifichiamo e raccogliamo tutte le informazioni utili a documentare l’accaduto in un report di dettaglio dell’incidente che ha influenzato i tuoi e i nostri servizi. Inoltre, implementiamo misure preventive per evitare il ripetersi di situazioni simili.
Per gli incidenti generali, informeremo i clienti tramite e-mail e forniremo aggiornamenti sulla nostra pagina di riepilogo dello stato dei servizi. In caso di incidenti specifici che coinvolgono una singola organizzazione, avviseremo la parte interessata tramite e-mail utilizzando l’indirizzo di posta del referente registrato nel nostro sistema.
Prendiamo in carico e rispondiamo agli incidenti di sicurezza o privacy segnalati all’indirizzo security@toctoc.me.
Notifica di violazione
In qualità di titolari del trattamento, comunichiamo una violazione all’Autorità Garante per la Protezione dei Dati interessata entro 72 ore dal momento in cui ne veniamo a conoscenza, ai sensi del Regolamento generale sulla protezione dei dati (GDPR). A seconda delle esigenze specifiche, avvisiamo anche i clienti, quando necessario.
In qualità di responsabili del trattamento, informiamo i titolari del trattamento interessati senza ingiustificato ritardo e secondo quanto definito contrattualmente.
Gestione dei fornitori terzi
Valutiamo e qualifichiamo i nostri fornitori in base alla nostra politica di gestione dei fornitori. Inseriamo nuovi fornitori solo dopo aver compreso i loro processi tecnici e organizzativi e aver eseguito la valutazione del rischio. Stabiliamo accordi che impongono ai nostri fornitori di aderire agli impegni di riservatezza, disponibilità e integrità assunti nei confronti dei nostri clienti. Monitoriamo l’effettivo funzionamento dei processi e delle misure di sicurezza dell’organizzazione effettuando revisioni periodiche.
Cosa puoi fare tu per garantire la tua sicurezza
Finora abbiamo discusso di cosa facciamo per offrire sicurezza ai nostri clienti su vari fronti. Ecco le cose che tu, come cliente, puoi fare per garantire la tua sicurezza:
- Scegli una password unica e complessa e proteggila.
- Utilizza l’autenticazione a più fattori
- Utilizza le versioni più recenti del browser, del sistema operativo mobile e delle applicazioni mobili aggiornate per assicurarti che siano dotate di patch contro le vulnerabilità e per utilizzare le funzionalità di sicurezza più recenti
- Esercita ragionevoli precauzioni durante la condivisione dei dati dal nostro ambiente cloud.
- Monitora i dispositivi collegati al tuo account, le sessioni web attive e l’accesso di terze parti per individuare anomalie nelle attività sul tuo account e gestire ruoli e privilegi sul tuo account.
- Fai attenzione alle minacce di phishing e malware verificando e-mail, siti web e collegamenti sconosciuti che potrebbero acquisire le informazioni che gli fornisci spacciandosi per fornitori di cui ti fidi.
Forniamo un’analisi approfondita sul modello di responsabilità condivisa e su come i nostri clienti possono collaborare e assumersi la responsabilità individuale nei confronti della sicurezza e della privacy del cloud.