Sicurezza dell'organizzazione

Abbiamo implementato un sistema di gestione della sicurezza delle informazioni (ISMS) che tiene conto dei nostri obiettivi di sicurezza, nonché dei rischi e delle relative riduzioni per tutte le parti interessate. Ci avvaliamo di criteri e procedure rigorose che includono la sicurezza, la disponibilità, l'elaborazione, l'integrità e la riservatezza dei dati dei clienti.

Verifiche sui precedenti dei dipendenti e collaboratori

Ogni dipendente o collaboratore è sottoposto a un processo di verifica del proprio passato. Ci avvaliamo di rinomate agenzie esterne per effettuare questo controllo per nostro conto. Lo facciamo per verificare i casellari giudiziari, le precedenti esperienze lavorative, se presenti, e i titoli di studio. Fino a quando non viene eseguito questo controllo, al dipendente o al collaboratore non vengono assegnate attività che possono comportare rischi per gli utenti.

Consapevolezza della sicurezza

Ogni dipendente o collaboratore, al momento dell'assunzione, firma un accordo di riservatezza e una politica di utilizzo accettabile, dopodiché partecipa alla formazione relativa alla sicurezza delle informazioni, alla privacy e alla conformità. Inoltre, valutiamo il livello di formazione del dipendente o del collaboratore attraverso test e quiz per determinare quali argomenti richiedono un ulteriore approfondimento. Forniamo formazione su aspetti specifici della sicurezza, dei quali il dipendente o il collaboratore potrebbe aver bisogno in base al proprio ruolo. Formiamo continuamente i nostri dipendenti e collaboratori in materia di sicurezza delle informazioni, privacy e conformità nella nostra community interna, alla quale i nostri dipendenti e collaboratori effettuano regolarmente l'accesso, per il costante aggiornamento personale sulle pratiche di sicurezza dell'organizzazione. Inoltre, organizziamo eventi interni per aumentare la consapevolezza e promuovere l'innovazione in termini di sicurezza e privacy.

Team dedicati alla sicurezza e alla privacy

Disponiamo di team dedicati alla sicurezza e alla privacy che implementano e gestiscono i nostri programmi di sicurezza e privacy. Questi team progettano e gestiscono i nostri sistemi di difesa, sviluppano processi di revisione per la sicurezza e monitorano costantemente le nostre reti per rilevare attività sospette. Forniscono servizi di consulenza e linee guida specifici per il dominio ai nostri team di progettazione.

Verifica interna e conformità

Disponiamo di un team dedicato alla conformità che esamina le procedure e le politiche adottate da Framework360 al fine di allinearle agli standard e determinare quali controlli, processi e sistemi sono necessari per soddisfare gli standard. Questo team effettua inoltre verifiche interne periodiche e facilita controlli e valutazioni indipendenti da parte di terzi. Per ulteriori dettagli, consulta il nostro portfolio di conformità.

Sicurezza degli endpoint

Tutte le postazioni di lavoro fornite ai dipendenti e ai collaboratori eseguono una versione aggiornata del sistema operativo e sono dotate di software antivirus. Sono configurate in modo da rispettare i nostri standard di sicurezza, che richiedono che tutte le postazioni di lavoro siano correttamente configurate, installate con le patch applicate e monitorate dalle soluzioni di gestione degli endpoint di Framework360. Queste postazioni di lavoro sono sicure per impostazione predefinita, in quanto sono configurate per crittografare i dati inattivi, dispongono di password complesse e si bloccano se inattive. I dispositivi mobili utilizzati per scopi aziendali sono registrati nel sistema di gestione dei dispositivi mobili, per garantire che soddisfino i nostri standard di sicurezza.

Sicurezza fisica nell'ambiente di lavoro

Controlliamo l'accesso alle nostre risorse (edifici, infrastrutture e strutture), che include il consumo, l'ingresso e l'utilizzo, tramite schede di accesso. Forniamo a dipendenti, appaltatori, fornitori e visitatori diverse schede di accesso che consentono l'accesso solo per gli scopi specifici di ingresso nelle strutture. Il team delle Risorse Umane stabilisce e gestisce scopi specifici per i ruoli. Manteniamo registri di accesso per individuare e risolvere le anomalie.

Monitoraggio

Monitoriamo tutti i movimenti in entrata e uscita in tutte le nostre sedi, in tutti i nostri business center e data center tramite telecamere a circuito chiuso distribuite in conformità alle normative locali. Una copia di backup delle riprese è disponibile per un determinato periodo di tempo, a seconda dei requisiti specifici della struttura.

Sicurezza dell'infrastruttura sicurezza della rete

Le nostre tecniche di sicurezza e monitoraggio della rete sono progettate per fornire più livelli di protezione e difesa. Utilizziamo i firewall per impedire gli accessi non autorizzati alla nostra rete e il traffico indesiderato. I nostri sistemi sono suddivisi in reti separate per proteggere i dati sensibili. I sistemi che supportano le attività di test e sviluppo sono ospitati su una rete separata rispetto ai sistemi che supportano l'infrastruttura di produzione di Framework360. Monitoriamo l'accesso al firewall con una pianificazione rigorosa e regolare. Un tecnico di rete esamina ogni giorno tutte le modifiche apportate al firewall. Inoltre, ogni tre mesi queste modifiche vengono analizzate per aggiornare e rivedere le regole. Il team dedicato del nostro Network Operations Center monitora l'infrastruttura e le applicazioni per rilevare eventuali discrepanze o attività sospette. Tutti i parametri critici sono costantemente monitorati tramite il nostro strumento proprietario e le notifiche vengono attivate in qualsiasi caso di attività anomala o sospetta nel nostro ambiente di produzione.

Ridondanza di rete

Tutti i componenti della nostra piattaforma sono ridondanti. Utilizziamo un'architettura di rete distribuita per proteggere il nostro sistema e i nostri servizi da possibili errori dei server. In tal caso, gli utenti possono continuare a lavorare come di consueto perché i loro dati e i servizi Framework360 saranno comunque disponibili. Inoltre, utilizziamo più switch, router e gateway di sicurezza per garantire la ridondanza a livello di dispositivo. In questo modo, si evitano guasti in singoli punti della rete interna.

Prevenzione degli attacchi DDoS

Utilizziamo tecnologie di fornitori di servizi consolidati e affidabili per prevenire gli attacchi DDoS ai nostri server. Queste tecnologie offrono molteplici funzionalità di mitigazione degli attacchi DDoS, per evitare interruzioni causate dal traffico dannoso, consentendo al contempo il traffico buono. In questo modo, i nostri siti web, le nostre applicazioni e le nostre API sono sempre disponibili e performanti.

Protezione avanzata dei server

Tutti i server sottoposti a provisioning per le attività di sviluppo e test vengono rafforzati (disattivando le porte e gli account inutilizzati, rimuovendo le password predefinite, ecc.). L'immagine del sistema operativo (OS) di base è dotata di un potenziamento del server integrato e l'immagine di questo sistema operativo viene fornita nei server per garantire la coerenza tra i server.

Rilevamento e prevenzione delle intrusioni

Il nostro meccanismo di rilevamento delle intrusioni prende nota dei segnali basati su host su singoli dispositivi e segnali basati sulla rete, provenienti da punti di monitoraggio all'interno dei nostri server. L'accesso amministrativo, l'uso di comandi privilegiati e le chiamate di sistema su tutti i server della nostra rete di produzione vengono registrati. Le regole e l'intelligenza delle macchine basate su questi dati forniscono ai tecnici della sicurezza avvisi di possibili incidenti. A livello di applicazione, abbiamo il nostro WAF proprietario che opera su regole di whitelist e blacklist. A livello di provider di servizi Internet (ISP), è stato implementato un approccio di sicurezza multilvello con scrubbing, routing di rete, limitazione della velocità e filtraggio per contrastare gli attacchi a tutti i livelli, dalla rete all'applicazione. Questo sistema garantisce traffico pulito, servizio proxy affidabile e segnalazione immediata degli eventuali attacchi. 

Sicurezza dei dati Sicurezza fin dalla progettazione

Tutte le modifiche e le nuove funzioni sono regolamentate da una policy di gestione delle modifiche, per garantire che tutte le modifiche alle applicazioni siano autorizzate prima dell'implementazione nell'ambiente di produzione. Il nostro ciclo di sviluppo del software (SDLC) impone la conformità alle linee guida sulla codifica sicura, nonché lo screening delle modifiche al codice per potenziali problemi di sicurezza con i nostri strumenti di analisi dei codici, gli scanner per le vulnerabilità e i processi di revisione manuale. Il nostro solido framework di sicurezza basato sugli standard OWASP, implementato a livello di applicazione, fornisce funzionalità per ridurre minacce quali SQL injection, Cross-Site Scripting e attacchi DOS a livello di applicazione.

Isolamento dei dati

Il nostro framework distribuisce e mantiene lo spazio sul cloud per i nostri clienti. I dati relativi all'assistenza di ciascun cliente sono separati in modo logico rispetto ai dati di altri clienti utilizzando una serie di protocolli sicuri nel framework. Ciò garantisce che nessuno dei dati relativi all'assistenza dei clienti sarà accessibile a un altro cliente. I dati relativi all'assistenza vengono memorizzati sui nostri server quando utilizzi i nostri servizi. I tuoi dati sono di tua proprietà e non di Marketing Studio. Non condividiamo questi dati con terze parti senza il tuo consenso.

Crittografia In transito: tutti i dati dei clienti trasmessi ai nostri server su reti pubbliche sono protetti da rigorosi protocolli di crittografia. Imponiamo l'utilizzo della crittografia Transport Layer Security (TLS 1.2/1.3) con chiavi di crittografia complesse a tutte le connessioni ai nostri server, tra cui accesso Web, accesso API, app per dispositivi mobili e accesso a client e-mail IMAP/POP/SMTP. Questo garantisce una connessione sicura consentendo l'autenticazione di entrambe le parti coinvolte nella connessione e la crittografia dei dati da trasferire. Inoltre, per la posta elettronica, i nostri servizi utilizzano per impostazione predefinita il TLS opportunistico. TLS crittografa e recapita la posta elettronica in modo sicuro, riducendo l'intercettazione tra i server di posta in cui i servizi peer supportano questo protocollo. Disponiamo del supporto completo per Perfect Forward Secrecy (PFS) con le nostre connessioni crittografate, il che ci garantisce che, anche in caso di compromissione futura, nessuna comunicazione precedente verrebbe decifrata. Abbiamo abilitato l'intestazione HTTP Strict Transport Security (HSTS) in tutte le nostre connessioni Web. Questa indica a tutti i browser moderni di connettersi a noi solo tramite una connessione crittografata, anche se sul nostro sito viene inserito l'URL di una pagina non sicura. Inoltre, sul Web, tutti i nostri cookie di autenticazione sono contrassegnati come sicuri.

A riposo: i dati sensibili inattivi dei clienti vengono crittografati mediante Advanced Encryption Standard (AES) a 256 bit. I dati crittografati a riposo variano in base ai servizi che scegli. Possediamo e gestiamo le chiavi tramite il nostro servizio di gestione delle chiavi (KMS) interno. Forniamo ulteriori livelli di sicurezza crittografando le chiavi di crittografia dei dati mediante chiavi master. Le chiavi master e le chiavi di crittografia dei dati sono fisicamente separate e memorizzate in server diversi con accesso limitato.

Conservazione e smaltimento dei dati

Conserviamo i dati nel tuo account per l'arco di tempo per cui scegli di utilizzare Framework360. Dopo che avrai chiuso il tuo account utente Framework360, i tuoi dati saranno eliminati dal database attivo durante la successiva pulizia, che viene eseguita una volta ogni 6 mesi. I dati eliminati dal database attivo saranno eliminati dai backup dopo 1 mese. Un fornitore verificato e autorizzato esegue lo smaltimento dei dispositivi inutilizzabili. Fino a quel momento, li classificheremo e li conserveremo in un luogo sicuro. Qualsiasi informazione contenuta all'interno dei dispositivi viene eliminata prima dello smaltimento.

Gestione delle vulnerabilità

Disponiamo di un processo dedicato per la gestione delle vulnerabilità, che esegue la scansione attiva delle minacce alla sicurezza utilizzando una combinazione di strumenti di scansione certificati di terze parti e strumenti interni, con attività automatizzate ed esecuzione di penetration test manuali. Inoltre, il nostro team addetto alla sicurezza esamina attivamente i report sulla sicurezza in entrata e monitora mailing list pubbliche, post di blog e wiki per individuare gli incidenti di sicurezza che potrebbero influire sull'infrastruttura aziendale. In caso di identificazione di una vulnerabilità da correggere, questa viene registrata e le vengono assegnati una priorità in base alla gravità e un proprietario. Identifichiamo ulteriormente i rischi associati e monitoriamo la vulnerabilità fino alla sua risoluzione, applicando patch ai sistemi vulnerabili o controlli pertinenti.

Protezione da malware e spam

Eseguiamo la scansione di tutti i file utente con il nostro sistema di scansione automatizzato, progettato per impedire la diffusione di malware nell'ecosistema Framework360. Il nostro motore anti-malware personalizzato riceve aggiornamenti periodici da fonti esterne di intelligence sulle minacce ed esegue la scansione dei file alla ricerca di firme in blacklist e schemi pericolosi. Inoltre, il nostro motore di rilevamento proprietario, in combinazione con le tecniche di apprendimento automatico, garantisce la protezione dei dati dei clienti contro il malware. Framework360 supporta il protocollo DMARC (Domain-based Message Authentication, Reporting, and Conformance) come metodo per evitare lo spam. DMARC utilizza SPF e DKIM per verificare che i messaggi siano autentici. Utilizziamo anche il nostro motore di rilevamento proprietario per identificare l'abuso dei servizi Framework360, ad es. attività di phishing e spam. Inoltre, disponiamo di un team anti-spam dedicato per il monitoraggio dei segnali provenienti dal software e la gestione dei reclami di abuso.

Backup

Eseguiamo backup incrementali giornalieri e backup completi settimanali dei nostri database per i data center (DC) di Framework360. I dati di backup nel DC vengono memorizzati nella stessa posizione e crittografati utilizzando l'algoritmo AES a 256 bit. I dati vengono archiviati in formato tar.gz. Tutti i dati di backup vengono conservati per 1 mese. Se un cliente richiede il ripristino dei dati nel periodo di conservazione, ripristineremo i dati e li renderemo disponibili con accesso sicuro. Le tempistiche di ripristino dei dati dipendono dalle dimensioni e dalla complessità dei dati stessi. Per garantire la sicurezza dei dati di backup, nei server di backup viene utilizzato un array ridondante di dischi indipendenti (RAID). Tutti i backup vengono pianificati e monitorati regolarmente. In caso di errore, viene avviata una nuova esecuzione e il problema viene immediatamente risolto. Consigliamo vivamente di pianificare backup regolari dei dati esportandoli dai rispettivi servizi Framework360 e memorizzandoli a livello locale nella propria infrastruttura.

Ripristino di emergenza e continuità del servizio

I dati delle applicazioni vengono memorizzati su un archivio resiliente che viene replicato nei data center. I dati nel DC primario vengono replicati in quello secondario quasi in tempo reale. In caso di guasto del DC primario, il DC secondario assume il controllo e le operazioni vengono eseguite in modo fluido, con una perdita di tempo minima o nulla. Entrambi i centri sono dotati di più ISP. Disponiamo di sistemi di back-up dell'alimentazione, di controllo della temperatura e di prevenzione antincendio, oltre a misure fisiche per garantire la continuità aziendale. Queste misure ci aiutano a garantire la resilienza. Oltre alla ridondanza dei dati, abbiamo un piano di continuità aziendale per le nostre operazioni principali, come il supporto e la gestione dell'infrastruttura.

Gestione degli incidenti Segnalazione

Disponiamo di un team dedicato alla gestione degli incidenti. Ti informiamo degli incidenti nel nostro ambiente che ti riguardano, indicandoti le azioni che potresti dover intraprendere. Monitoriamo e risolviamo gli incidenti con le opportune azioni correttive. Se applicabile, ci impegniamo a identificare, raccogliere, acquisire e fornire le prove necessarie sotto forma di registri delle applicazioni e delle verifiche per gli incidenti che ti riguardano. Inoltre, implementiamo controlli per evitare che si ripetano situazioni simili. Rispondiamo con la massima priorità agli incidenti di sicurezza o privacy segnalati dagli utenti all'indirizzo assistenza@marketingstudio.it. In caso di incidenti generici, avviseremo gli utenti tramite i nostri blog, forum e social media. In caso di incidenti specifici di un singolo utente o di un'organizzazione, avviseremo la parte interessata tramite e-mail (utilizzando il suo indirizzo e-mail principale o dell'amministratore dell'organizzazione registrato sul nostro sistema).

Notifica di violazione

In qualità di titolari del trattamento dei dati, comunichiamo all'autorità competente in materia di protezione dei dati una violazione entro 72 ore dal suo rilevamento, ai sensi del Regolamento generale sulla protezione dei dati (GDPR). A seconda dei requisiti specifici, avvisiamo anche i clienti, se necessario. In qualità di responsabili del trattamento dei dati, informiamo i titolari del trattamento dei dati interessati senza ritardi ingiustificati.

Gestione di fornitori e provider di terze parti

Valutiamo e qualifichiamo i nostri fornitori in base alla nostra policy di gestione dei fornitori. Integriamo nuovi fornitori dopo aver compreso i loro processi di fornitura del servizio e aver eseguito le valutazioni dei rischi. Adottiamo le misure appropriate per garantire il mantenimento della nostra posizione di sicurezza, stabilendo accordi che impongano ai fornitori di rispettare gli impegni di riservatezza, disponibilità e integrità che abbiamo preso nei confronti dei nostri clienti. Monitoriamo l'effettivo funzionamento dei processi e delle misure di sicurezza dell'organizzazione effettuando revisioni periodiche dei controlli.

Controlli per la sicurezza del cliente

Finora, abbiamo descritto ciò che facciamo per garantire ai nostri clienti la sicurezza su vari fronti. Di seguito sono indicate le cose che puoi fare come cliente per garantire la sicurezza:

  • Scegli una password univoca complessa e proteggila.
  • Utilizza l'autenticazione a più fattori.
  • Utilizza le versioni più recenti dei browser e dei sistemi operativi mobili e applicazioni mobili aggiornate, per garantire che siano applicate le patch per la protezione contro le vulnerabilità e che siano utilizzate le funzioni di sicurezza più recenti.
  • Adotta ragionevoli precauzioni durante la condivisione dei dati dal nostro ambiente cloud.
  • Classifica le tue informazioni in dati personali o sensibili ed etichettali di conseguenza.
  • Monitora i dispositivi collegati al tuo account, le sessioni Web attive e l'accesso di terze parti per individuare anomalie nelle attività del tuo account e gestire ruoli e privilegi corrispondenti.
  • Sii consapevole delle minacce di phishing e malware, presta attenzione a indirizzi e-mail, siti Web e collegamenti sconosciuti che potrebbero sfruttare le tue informazioni sensibili spacciandosi per Framework360 o per altri servizi di cui ti fidi.

Conclusione

La sicurezza dei tuoi dati è un tuo diritto e una missione senza fine per Marketing Studio. Continueremo a lavorare sodo per tenere al sicuro i tuoi dati, come abbiamo sempre fatto. Per ulteriori domande su questo argomento, scrivici all'indirizzo assistenza@marketingstudio.it.