Sicurezza dell'organizzazione

Abbiamo implementato un sistema di gestione della sicurezza delle informazioni (ISMS)
Tenendo conto dei nostri obiettivi di sicurezza, nonché dei rischi e delle relative mitigazioni per tutte le parti interessate, ci avvaliamo di criteri e procedure rigorose che includono:

• Sicurezza
• Disponibilità
• Elaborazione
• Integrità
• Riservatezza
  dei dati dei clienti.

Verifiche sui precedenti dei dipendenti e collaboratori

• Ogni individuo è sottoposto a un controllo del passato tramite agenzie esterne.
• Verifichiamo:
  • Casellari giudiziari
  • Precedenti esperienze lavorative
  • Titoli di studio
• Fino all’esito del controllo, non vengono assegnate attività a rischio.

Consapevolezza della sicurezza

1. Accordo di riservatezza e politica di utilizzo accettabile firmati al momento dell’assunzione.
2. Formazione obbligatoria su sicurezza delle informazioni, privacy e conformità.
3. Valutazione continua tramite test e quiz per individuare ulteriori necessità formative.
4. Formazione specifica per ruolo, con aggiornamenti costanti in community interne ed eventi dedicati.

Team dedicati alla sicurezza e alla privacy

• Gestiscono i programmi di sicurezza e privacy.
• Progettano sistemi di difesa e processi di revisione.
• Monitorano reti e forniscono linee guida ai team di progettazione.

Verifica interna e conformità

• Team dedicato alla conformità per allineare procedure e politiche agli standard.
• Verifiche interne periodiche e facilitazione di audit indipendenti.
• Portfolio di conformità disponibile su richiesta.

Sicurezza degli endpoint

• Workstation con SO aggiornato e antivirus installato.
• Crittografia dei dati a riposo, password complesse e blocco automatico.
• Dispositivi mobili registrati e conforme ai nostri standard tramite MDM.

Sicurezza fisica nell’ambiente di lavoro

• Accesso controllato a edifici e infrastrutture tramite badge differenziati.
• Registri di accesso per individuare anomalie.

Monitoraggio

• Sorveglianza tramite CCTV in tutte le sedi e data center.
• Archiviazione backup delle riprese per il periodo previsto dalle normative locali.

Sicurezza dell’infrastruttura e rete

1. Firewall per bloccare accessi non autorizzati.
2. Reti segmentate per dati sensibili e ambienti di test vs. produzione.
3. Controllo quotidiano delle modifiche al firewall e revisione trimestrale.
4. Monitoraggio NOC con notifiche automatiche per anomalie.

Ridondanza di rete

• Architettura distribuita con componenti ridondanti (switch, router, gateway).
• Garantita disponibilità continua in caso di guasti.

Prevenzione degli attacchi DDoS

• Soluzioni di mitigazione DDoS di fornitori affidabili.
• Protezione continua di siti, API e applicazioni.

Protezione avanzata dei server

• Hardening delle istanze di test (chiusura porte, rimozione account predefiniti).
• Immagini OS potenziate e coerenti tra tutti i server.

Rilevamento e prevenzione delle intrusioni

• IDS/IPS basati su host e su rete.
• Logging di accessi amministrativi e chiamate di sistema.
• WAF proprietario con regole whitelist/blacklist.
• Scrubbing e filtraggio multilivello lato ISP.

Sicurezza dei dati

Sicurezza fin dalla progettazione

• Policy di gestione delle modifiche per ogni nuova funzione.
• SDLC conforme a linee guida OWASP, analyzer di codice e revisione manuale.

Isolamento dei dati

• Spazi cloud logicamente separati tra clienti.
• Dati di tua proprietà, non condivisi senza consenso.

Crittografia

• In transito: TLS 1.2/1.3 obbligatorio, PFS, HSTS e cookie sicuri.
• A riposo: AES‑256 bit, gestione chiavi via KMS interno, master key separate.

Conservazione e smaltimento dei dati

• Conservazione attiva fino alla chiusura dell’account, poi pulizia semestrale.
• Backup eliminati dopo 1 mese.
• Smaltimento dispositivi tramite fornitore autorizzato, con cancellazione sicura.

Gestione delle vulnerabilità

• Scansioni automatiche con tool certificati e penetration test manuali.
• Monitoraggio attivo di minacce e mailing list.
• Prioritizzazione e tracciamento fino alla risoluzione.

Protezione da malware e spam

• Scansione file utente con motore anti-malware e AI.
• Supporto DMARC, SPF e DKIM.
• Team anti-spam dedicato per reclami e monitoraggio.

Backup

• Backup incrementali giornalieri e completi settimanali, crittografati AES‑256.
• Conservazione per 1 mese, RAID sui server di backup.
• Ripristino on demand con tempi variabili in base ai dati.

Ripristino di emergenza e continuità del servizio

• Replica quasi in tempo reale tra data center primario e secondario.
• Alimentazione, controllo temperatura, antincendio e piani di continuità.

Gestione degli incidenti e notifica

1. Segnalazione: team dedicato informa prontamente gli utenti interessati.
2. Prove: raccolta e fornitura di log e verifiche, implementazione di controlli correttivi.
3. Notifica violazioni: entro 72 h all’autorità GDPR e ai clienti, secondo ruoli.

Gestione fornitori e terze parti

• Valutazione iniziale, accordi di riservatezza e controlli periodici.
• Revisione delle misure di sicurezza e delle performance contrattuali.

Controlli per la sicurezza del cliente

Come cliente, puoi:

• Scegliere e proteggere password uniche e complesse.
• Attivare l’autenticazione a più fattori.
• Aggiornare browser, SO e app mobili.
• Adottare precauzioni nella condivisione dati.
• Classificare e etichettare le informazioni sensibili.
• Monitorare dispositivi, sessioni e accessi terzi.
• Prestare attenzione a phishing e malware.

Conclusione

La sicurezza dei tuoi dati è un diritto e una missione senza fine per Marketing Studio.
Per domande: assistenza@marketingstudio.it

1. Infrastruttura EC2

Descrizione
Server virtuali per frontend e operazioni pianificate (cron).

Misure di Sicurezza

1. AMI sicure e aggiornate
2. Accesso basato su IAM
3. Chiavi SSH per accesso sicuro
4. PHP sempre aggiornato
5. SSH con porta sbloccata solo per 1 IP alla volta
6. Firewall dedicati per cron e frontend

2. Load Balancer

Descrizione
Distribuisce il traffico tra le istanze auto‑scaling.

Misure di Sicurezza

1. SSL/TLS per cifrare le connessioni
2. WAF abilitato
3. Restrizione accessi con security group

3. Gruppo Auto‑scaling

Descrizione
Regola automaticamente il numero di istanze EC2.

Misure di Sicurezza

1. Regole di scaling basate su metriche
2. IAM roles per risorse
3. Monitoraggio CloudWatch

4. Gruppi di Sicurezza

Descrizione
Regole di traffico in entrata/uscita per risorse AWS.

Misure di Sicurezza

1. Limitazione IP
2. Porte specifiche per servizi
3. Aggiornamenti regolari delle regole

5. Amazon EFS

Descrizione
File system condiviso per instance EC2.

Misure di Sicurezza

1. Cifratura a riposo e in transito
2. Accesso tramite IAM

6. RDS

Descrizione
Database relazionale gestito.

Misure di Sicurezza

1. Cifratura a riposo
2. Backup automatici
3. Accesso tramite security group
4. Escaping di tutte le query MySQL
5. Accesso esclusivo da risorse AWS interne

7. ElastiCache

Descrizione
Caching gestito per migliorare le prestazioni.

Misure di Sicurezza

1. Security group dedicati
2. Cifratura in transito

8. S3

Descrizione
Storage di oggetti per file statici.

Misure di Sicurezza

• Bucket policies restrittive
• Versionamento oggetti
• Logging accessi
• Upload esclusivo su S3

9. CloudFront

Descrizione
CDN per bassa latenza.

Misure di Sicurezza

• HTTPS obbligatorio
• Regole WAF

10. Lambda (Generazione .webp)

Descrizione
Ottimizzazione immagini ai bordi della rete.

Misure di Sicurezza

• IAM roles per accesso
• Limiti di risorse per funzione

11. SNS

Descrizione
Notifiche real‑time su eventi critici AWS.

Misure di Sicurezza

• Notifiche per riavvii, uso banda elevato e altri eventi critici

12. Backup

Descrizione
Piano di backup completo.

Misure di Sicurezza

• Backup giornalieri di S3, EFS, RDS via AWS Backup
• Conservazione 30 giorni

13. Accesso ai Servizi AWS

Descrizione
Controllato tramite portale AWS.

Misure di Sicurezza

• Autenticazione a due fattori (MFA)