Politica di Sicurezza delle Informazioni

Versione: 1.1

Data: 2024-12-04

Email: [email protected]

Introduzione

In GearTracker.net, ci impegniamo a mantenere la riservatezza, l’integrità e la disponibilità della nostra piattaforma SaaS, che supporta la gestione e l’ispezione delle vostre attrezzature. Questa politica di sicurezza informatica delinea le misure tecniche e organizzative che implementiamo per proteggere i nostri sistemi e i dati a noi affidati dai nostri clienti.

Ambito di applicazione

Questa politica si applica a:

  • La piattaforma e l’infrastruttura SaaS di GearTracker.net.
  • Tutti i dati elaborati, inclusi i dati degli account dei clienti e i dati di inventario caricati.
  • Dipendenti, subappaltatori e sistemi coinvolti nello sviluppo e nel funzionamento della piattaforma.

Sicurezza dell’Infrastruttura e dell’Hosting

Hosting su Cloud

La nostra infrastruttura è ospitata su Heroku, situato nell’Unione Europea. È conforme al Regolamento Generale sulla Protezione dei Dati (GDPR), garantendo la privacy e la protezione dei dati personali dei clienti dell’Unione Europea.

Questo fornitore di hosting è conforme agli standard ISO 27001, SOC 2 e GDPR.

Sicurezza della Rete

Tutto il traffico di rete è protetto a monte da Cloudflare, che fornisce:

  • Protezione DDoS
  • Filtraggio intelligente delle richieste tramite il suo Web Application Firewall (WAF)
  • Crittografia end-to-end con TLS 1.2+ o superiore È certificato ISO 27001:2013 e conforme a SOC 2 Type II.

I nostri ambienti di produzione sono ospitati su Heroku (Salesforce Platform).

L’infrastruttura fisica di Heroku è ospitata e gestita all’interno dei data center sicuri di Amazon e utilizza la tecnologia Amazon Web Service (AWS). Amazon gestisce continuamente i rischi e si sottopone a valutazioni ricorrenti per garantire la conformità agli standard del settore. Le operazioni dei data center di Amazon sono state accreditate secondo:

  • ISO 27001
  • SOC 1 e SOC 2/SSAE 16/ISAE 3402 (precedentemente SAS 70 Type II)
  • PCI Level 1
  • FISMA Moderate
  • Sarbanes-Oxley (SOX)

L’accesso ai sistemi di produzione è strettamente controllato:

  • Solo tramite connessioni crittografate
  • Limitato ad account autorizzati che utilizzano l’autenticazione a più fattori (MFA)
  • Basato sul principio del privilegio minimo

Backup e Ripristino

Implementiamo le seguenti misure di backup e ripristino:

  • Backup giornalieri di tutti i sistemi critici e dei database.
  • Backup crittografati e archiviati in posizioni geograficamente ridondanti.
  • Test di ripristino regolari eseguiti per garantire l’integrità dei backup.

Sicurezza delle Applicazioni

Requisiti Generali di Sicurezza

Seguiamo i requisiti di sicurezza OWASP ASVS Livello 2 (https://owasp.org/www-project-application-security-verification-standard/) per lo sviluppo delle nostre applicazioni.

Migliori Pratiche di Sviluppo

Sviluppato in TypeScript (Strict Mode) con uno stack moderno: React (frontend), NestJS (backend), Prisma ORM. Revisioni del codice richieste per tutte le fusioni in produzione. Tutto il codice è archiviato in un repository GitHub privato. Test automatizzati (unitari e di integrazione) for tutte le funzionalità critiche. Le dipendenze vengono scansionate regolarmente per le vulnerabilità utilizzando npm audit.

Pratiche di Codifica Sicura

Adesione alle linee guida OWASP Top Ten e al livello 2. Validazione e sanificazione dell’input per tutti gli input dell’utente. Uso di istruzioni preparate e ORM per prevenire l’iniezione SQL. Protezioni contro Cross-Site Scripting (XSS) e Cross-Site Request Forgery (CSRF) implementate.

Gestione delle Vulnerabilità

Le patch di sicurezza vengono applicate entro 24 ore per le vulnerabilità critiche. Capacità di distribuire hotfix preparati in produzione entro 5 minuti senza tempi di inattività.

Autenticazione e Autorizzazione

  • Google OAuth 2.0 / autenticazione stateless basata su token (JWT) per l’autenticazione dell’utente.
  • Controllo degli Accessi Basato sui Ruoli (RBAC) per limitare l’accesso alle funzionalità.

Protezione dei Dati e Privacy

Crittografia

Dati sensibili come le password vengono archiviati utilizzando AES-256 e salt.

Conformità al GDPR

Si prega di fare riferimento alla Politica sulla Privacy e Protezione dei Dati Personali per i dettagli su come gestiamo i dati personali.

Gestione degli Accessi

Principio del privilegio minimo applicato in tutta l’organizzazione.

  • Tutti gli accessi amministrativi vengono registrati e monitorati.
  • L’accesso ai sistemi di produzione è limitato solo al personale autorizzato.
  • Tutti i dipendenti e gli appaltatori si sottopongono a controlli dei precedenti prima di ottenere l’accesso a sistemi sensibili.

Gestione dei Dispositivi

Tutti i dispositivi utilizzati per accedere ai sistemi di produzione e/o ai dati critici sono gestiti e protetti.

  • Hanno una password o un blocco biometrico abilitato.
  • Richiedono l’autenticazione 2FA per accedere ai sistemi di produzione.

Monitoraggio e Risposta agli Incidenti

Monitoraggio

Monitoraggio in tempo reale 24/7 dell’infrastruttura e delle prestazioni delle applicazioni. Avvisi configurati per attività sospette, anomalie di utilizzo e degrado delle prestazioni.

Piano di Risposta agli Incidenti

Procedura di Risposta agli Incidenti (IRP) definita e testata. I clienti vengono notificati entro 24 ore da qualsiasi violazione che colpisca i loro dati. Email dedicata: [email protected] per la segnalazione di incidenti.

Compromissione del Dispositivo del Cliente

Non gestiamo i dispositivi utilizzati dai clienti per accedere all’applicazione. Raccomandiamo a tutti i clienti di proteggere i propri dispositivi (PC, smartphone, tablet) utilizzando sistemi di blocco con password o biometrici, nonché software antivirus aggiornato.

Abbiamo la possibilità di disabilitare un account utente in caso di compromissione del dispositivo di un cliente. Raccomandiamo inoltre di cambiare la password dell’account utente interessato.

Sicurezza Fisica

Il nostro principale fornitore di infrastrutture mantiene:

  • Data center monitorati 24/7.
  • Controlli di accesso biometrici.
  • Sistemi antincendio e di alimentazione ridondanti.

Per ulteriori informazioni, vedere: https://aws.amazon.com/security

Miglioramento Continuo

Rivediamo e miglioriamo continuamente la nostra postura di sicurezza informatica:

  • Revisioni annuali di questa politica.
  • Il feedback dei clienti e degli audit viene integrato nella nostra roadmap.

Contatti e Divulgazione Responsabile

Tutti i dipendenti di geartracker.net sono formati sulla consapevolezza della sicurezza e sulle migliori pratiche. Incoraggiamo la divulgazione responsabile delle vulnerabilità di sicurezza internamente ed esternamente. Accogliamo con favore la segnalazione di vulnerabilità di sicurezza: [email protected].

Gestione del Rischio

Abbiamo implementato un processo di gestione del rischio per identificare, valutare e mitigare i rischi legati alla sicurezza delle informazioni.
Conduciamo regolari valutazioni del rischio per identificare potenziali minacce e vulnerabilità nella nostra infrastruttura e nelle nostre applicazioni.
Implementiamo misure di mitigazione appropriate per ridurre i rischi identificati a un livello accettabile.
Manteniamo i seguenti documenti e i relativi processi:

  • Politica di Sicurezza delle Informazioni (questo documento)
  • Registro dei Rischi e delle Opportunità (interno)
  • Piano di Risposta agli Incidenti (IRP, interno)
  • Piano di Continuità Operativa (BCP, interno)