introduzione
Questo documento delinea le misure e gli sforzi di PlanRadar per fornire standard moderni ed elevati per la sicurezza dei dati, la privacy e la disponibilità del servizio per il nostro software.
Infrastruttura/Hosting
Whitepaper e informazioni su AWS Informazione
Gestione della configurazione
Seguiamo i principi dell'infrastruttura immutabile e dell'infrastruttura come codice. In caso di errore/guasto il sistema può essere rigenerato in base ai suoi modelli e al codice sorgente. Utilizziamo Kubernetes e Argocd per gestire la nostra infrastruttura.
Elevata disponibilità/scalabilità
AWS rende il nostro sistema reattivo a picchi di carico elevati e fornirà automaticamente più risorse se necessario. I nostri clienti non subiranno impatti sulle prestazioni.
Protezione DDOS/vulnerabilità Web
La nostra applicazione web è schermata e protetta con il sistema proxy web cloudflare.
Sviluppo software
Implementazione
Il nostro sistema si basa su una tecnologia open source moderna, robusta e comprovata. La nostra applicazione web è sviluppata con Ruby on Rails utilizzando una versione aggiornata supportata da patch di sicurezza. I nostri client mobili sono sviluppati in Java, Objective-C e .NET.
Tutti i trasferimenti di dati vengono effettuati tramite HTTPS/TLS e i dati vengono crittografati quando sono inattivi. (Nel nostro database relazionale e nel nostro storage di oggetti). Tutte le immagini, i piani e le risorse documentali vengono archiviate nel sistema di archiviazione Amazon S3 altamente durevole.
OWASP
Nella nostra implementazione seguiamo il principio di sicurezza fin dalla progettazione.
TDD
Tutte le nostre funzionalità principali sono implementate con la metodologia dello sviluppo basato sui test.
Misure di sicurezza dell'applicazione
L'applicazione è protetta da più proxy e bilanciatori di carico. Abbiamo la possibilità di accesso federato con autenticazione a più fattori con SAMl, politiche di password personalizzate, tentativi di accesso limitati, blocchi utente su tentativi di accesso errati e una configurazione dettagliata delle autorizzazioni dell'utente.
Processi
Dipendenti
Tutti i nostri dipendenti, ma soprattutto quelli del supporto e dell'ingegneria, sono consapevoli della privacy/sicurezza dei dati e ricevono corsi di formazione e SOP per il trattamento responsabile dei dati dei nostri clienti. Tutti i dipendenti ottengono solo l’accesso minimo necessario ai nostri sistemi IT. I dati dei clienti sono accessibili solo da dipendenti selezionati.
Gestione degli incidenti
Gli incidenti relativi alla sicurezza e alla privacy vengono raccolti su ogni punto di contatto e quindi inoltrati all'unità organizzativa responsabile. I nostri sistemi di registrazione rilevano anomalie nell'utilizzo del sistema e, se necessario, inviano allarmi automatizzati. Abbiamo procedure scritte per il ripristino di emergenza e il ripristino del backup.
Accesso
L'accesso ai sistemi amministrativi è limitato a determinate VPN e protetto da autenticazione a 2 fattori.
Certificazione ISO/IEC 27001 sulla gestione della sicurezza delle informazioni
Possediamo una certificazione ISO che può essere vista qui:
Commenti
0 commenti
Accedi per aggiungere un commento.