SICUREZZA

Disponibilità 99,99%

Tutti i nostri servizi si basano su piattaforme informatiche e tecnologiche che ospitano tutte le applicazioni aziendali in ambienti di testing, pre-produzione e produzione.

La nostra infrastruttura adottata offre ai servizi degli utenti latenza ridotta e disponibilità hardware garantita, per assicurare un servizio stabile nel tempo.

Integrità dei dati personali

Per assicurare la disponibilità dei dati, a fronte di malfunzionamenti dell’hardware, per i server più critici sono previste copie di backup con cadenza minima giornaliera. Tali dati vengono salvati su sistemi installati in un backup site dedicato. Manteniamo una copia di backup dei database per il tempo necessario specificato nella policy di data retention e poi vengono cancellati automaticamente.

Tali backup vengono verificati periodicamente, sono organizzati in maniera tale da garantire la separazione dei dati per ciascun cliente e sono criptati in maniera sicura, per garantire la massima confidenzialità dei dati.

Tecniche di mitigazione

L’infrastruttura è progettata per risultare resiliente agli attacchi di tipo DDoS (Distributed Denial of Service) attraverso sistemi di mitigazione DDoS in grado di rilevare e filtrare automaticamente il traffico in eccesso inserendo scalabilità per gestire volumi imprevisti di traffico utilizzando appositi bilanciatori di carico.

Prevenzione della perdita dei dati (DLP)

Crediamo che le funzioni di prevenzione della perdita dei dati sono di importanza critica in quanto impediscono che le informazioni sensibili vengano condivise senza autorizzazione. I dati di un’organizzazione sono fondamentali per il suo successo, essi devono essere immediatamente disponibili per consentire l’elaborazione di decisioni, ma allo stesso tempo devono essere protetti per impedire che vengano condivisi con destinatari non autorizzati ad accedervi.

Per questo motivo abbiamo implementato una serie di misure organizzative e tecniche che ci permettono di poter garantire ai nostri clienti non solo la prevenzione da accessi non autorizzati, ma anche una sicurezza adeguata – in relazione alla classificazione del dato trattato – per tutti gli accessi autorizzati.

Valutazione di vulnerabilità

Eseguiamo ciclicamente test di vulnerabilità su tutti i sistemi dell’infrastruttura e sui client collegati ad essa. Eseguiamo regolarmente test di penetrazione della sicurezza, utilizzando diversi fornitori.

I test prevedono test di penetrazione dei server ad alto livello, test approfonditi per le vulnerabilità all’interno dell’applicazione e esercitazioni di ingegneria sociale.

Protezione dalle minacce

Impieghiamo sistemi avanzati per la ricerca di virus nella posta elettronica (sia in entrata che in uscita), di spoofing (utilizzo di mittenti contraffatti) e abbiamo una chiara policy antispam. Strumenti di analisi anti-phishing e protezione avanzata dalle minacce avanzate come spear phishing. Identificazione e blocco file dannosi nella nostra rete interna grazie all’utilizzo di sistemi antivirus e proxy.

Verifichiamo regolarmente e automaticamente che tutti i nostri server siano aggiornati e abbiano le ultime patch di sicurezza installate.

Gestione degli incidenti

Abbiamo un rigoroso processo di gestione degli incidenti (incident management) per eventi di sicurezza che possono influire sulla riservatezza, integrità o disponibilità di sistemi o dati.

Se si verifica un incidente, il team di sicurezza registra e stabilisce la priorità in base alla gravità. Gli eventi che hanno un impatto diretto sui clienti hanno la priorità più alta.

Tracciamento e smaltimento dell’hardware

Il controllo parte all’acquisizione, segue l’installazione, fino alla dismissione ed eventuale distruzione. Per lo smaltimento dell’hardware ci affidiamo a fornitori altamente qualificati ed esperti che garantiscono la distruzione del disco e l’eliminazione del dato a fronte di un documento di avvenuta distruzione.