Misure di sicurezza

Di seguito le misure tecniche adottate dal Fornitore per la protezione dei dati processati nei servizi cloud:

Firewall

I dati personali sono protetti contro il rischio di intrusione mediante sistemi firewall, mantenuti aggiornati in relazione alle migliori tecnologie disponibili.

Protezione da malware

I sistemi sono protetti contro i malware mediante l’utilizzo di anti-malware mantenuti costantemente aggiornati.

Credenziali di autenticazione

I sistemi sono configurati con modalità atte a consentirne l’accesso unicamente a soggetti dotati di credenziali di autenticazione univoche (username e password).

Parola chiave

La password ha le seguenti caratteristiche di base: obbligo di modifica al primo accesso, lunghezza minima, regole di complessità, scadenza, history, valutazione contestuale della robustezza, archiviazione dell’hash.

Logging

I sistemi sono configurati con modalità che consentono il tracciamento degli accessi e, ove appropriato, delle attività svolte in capo alle diverse tipologie di utenze e protetti da adeguate misure di sicurezza che ne garantiscono l’integrità, la riservatezza e la disponibilità. Il Fornitore, se richiesto, mette a disposizione dei clienti i log degli applicativi

da loro prodotti nell’utilizzo dei servizi dei dati relativi al solo richiedente.

Backup & Restore

Sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici. È posto in uso un piano di continuità operativa e di disaster recovery; essi garantiscono la disponibilità e l’accesso ai sistemi anche nel caso di eventi avversi di portata rilevante.

Vulnerability Assessment & Penetration Test

Il Fornitore effettua periodicamente attività di analisi delle vulnerabilità tecniche e rileva lo stato di esposizione alle vulnerabilità note, sia in relazione agli ambiti infrastrutturali sia a quelli applicativi. Ove ritenuto appropriato in relazione ai potenziali rischi identificati, tali verifiche sono integrate periodicamente con Penetration Test, mediante simulazioni

di intrusione che utilizzano diversi scenari di attacco. I risultati delle verifiche sono puntualmente e dettagliatamente esaminati per identificare e porre in essere le migliorie necessarie a garantire il livello di sicurezza atteso.

Amministratori di Sistema

Relativamente a tutti gli utenti che operano in qualità di Amministratori di Sistema, le cui funzioni attribuite sono opportunamente definite in appositi atti di nomina, è gestito un sistema di log management finalizzato al puntuale tracciamento degli accessi effettuati ed alla conservazione di tali dati con modalità inalterabili idonee a consentirne ex post il monitoraggio.

Data Center

L’accesso fisico al Data Center è limitato ai soli soggetti autorizzati. Per il dettaglio delle misure di sicurezza adottate con riferimento ai servizi di data center erogati dal subfornitore si fa rinvio alle misure di sicurezza indicate descritte dai medesimi e rese disponibili nei relativi siti istituzionali.

Sicurezza delle comunicazioni

Per quanto di propria competenza, sono adottati dal Fornitore protocolli di comunicazione sicuri e in linea con quanto la tecnologia rende disponibile. In particolare i flussi dati da e verso i sistemi in cloud esposti su internet sono protetti utilizzando un canale sicuro TLS in modo da assicurare:

• Autenticazione del server (chiave RSA da 2048 bit)

• Cifratura della sessione con algoritmo di cifratura simmetrico, considerato ragionevolmente sicuro alla data, con una chiave di sessione di almeno 128 bit

Crittografia

Il Fornitore adotta le tecniche di crittografia di ultima generazione sui dati presenti nei database al fine di renderli inutilizzabili a chi non è autorizzato a visionarli. La cifratura è applicata anche nelle comunicazioni da e verso i sistemi del fornitore.

Hardening

Sono in essere apposite attività di hardening finalizzate a prevenire il verificarsi di eventi avversi minimizzando le debolezze architetturali dei sistemi operativi, delle applicazioni e degli apparati di rete

Sviluppo sicuro

L’ambiente di sviluppo software del Fornitore è accessibile esclusivamente al personale che opera coding e test. Il processo di sviluppo del Fornitore segue linee guida di sviluppo sicuro finalizzate a garantire il rispetto dei principi di Security by Design. I test del codice segue un processo predefinito finalizzato a valutare sia la funzionalità del codice

sia la presenza di vulnerabilità gravi. Il passaggio in produzione avviene in modo manuale e le modifiche vengono opportunamente tracciate. Gli ambienti di sviluppo, test e produzione sono logicamente separati.

Cookie	Durata	Descrizione
elementor	never	This cookie is used by the website's WordPress theme. It allows the website owner to implement or change the website's content in real-time.
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.

Misure di sicurezza

i nostri prodotti

i nostri contatti