1. Sistema di gestione della sicurezza
Come impegno, il nostro Fornitore, in qualità di hosting provider, ha implementato una policy di sicurezza altamente strutturata. I Servizi offerti sono a loro volta regolati da sistemi di gestione della sicurezza delle informazioni.
2. Conformità e certificazione
Per valutare le prestazioni dei propri sistemi e infrastruttura, il nostro Fornitore si impegna affinché siano eseguiti regolarmente audit di sicurezza.
Esistono vari tipi di audit:
a) Audit tecnici (test di intrusione, scansioni di vulnerabilità, revisioni del codice, effettuati da auditor interni)
b) Audit delle attività svolte da terzi
c) Audit dei datacenter (effettuati da auditor esterni, la cui natura e frequenza dipendono dal fornitore dei servizi)
Quando si identifica una falla di sicurezza, è identificata la modalità più corretta per risolverla e successivamente pianificato il piano di rientro. Tutte queste sono soggette ad una verifica periodica per riesaminarne l’efficacia.
3. Gestione dei rischi
Ci assicurarsi che le misure di sicurezza messe in atto dal nostro Fornitore siano adeguate agli eventuali rischi relativi all’utilizzo dell’infrastruttura.
Il Fornitore applica un metodo di gestione del rischio che viene valutato costantemente, sia nel caso di trattamento di dati personali che di informazioni sensibili.
Alla fine di ogni verifica eseguita correttamente, viene messo in atto un piano di trattamento del rischio identificato. Ogni misura è soggetta a ripetuti controlli periodica per riesaminarne l’efficacia.
4. Policy di sviluppo dei sistemi e delle applicazioni
I processi destinati del Fornitore seguono il principio di un processo di sviluppo sicuro, le misure di “privacy by design”, nonché una code review policy (rilevamento di vulnerabilità, trattamento degli errori, gestione degli accessi e delle entrate, protezione dello storage e delle comunicazioni).
Vengono eseguite regolarmente code review, riletture sistematiche indipendenti e verifiche delle nuove funzionalità del codice prima del rilascio. Infine se necessario, vengono eseguiti test nell’ambiente di convalida.
5. Monitoraggio dei servizi e delle infrastrutture
Tutti i servizi offerti dal Fornitore sono monitorati da un’apposita infrastruttura, con i seguenti obiettivi:
a) Individuare gli incidenti di produzione e di sicurezza
b) Monitorare le funzioni critiche attraverso l’inoltro di alert al sistema di supervisione
c) Avvisare i responsabili e avviare le procedure di controllo necessarie
d) Assicurare la continuità del servizio nello svolgimento delle operazioni automatizzate
e) Garantire l’integrità delle risorse monitorate
6. Gestione delle vulnerabilità
Il nostro Fornitore, in qualità di hosting provider, si impegna, attraverso il suo team tecnico, a garantire un controllo tecnologico sulle nuove vulnerabilità tramite:
a) Siti d’informazione pubblica
b) Alert dei costruttori e degli editori delle soluzioni messe in atto
c) Le osservazioni segnalate dai team operativi, da terzi o dai clienti
d) Scansioni di vulnerabilità interne ed esterne eseguite regolarmente
e) Audit tecnici, nonché code and configuration review
In caso di rilevazione di una vulnerabilità, i team dedicati eseguono un’analisi per determinare l’impatto sui sistemi e i potenziali scenari operativi. Vengono immediatamente implementate delle azioni per risolvere tali vulnerabilità e, se necessario, viene definito un piano correttivo.
Tutte le misure sono soggette a una revisione periodica per riesaminarne l’efficacia.
7. Gestione della continuità operativa
Il Fornitore garantisce la continuità operativa delle infrastrutture (dispositivi, applicazioni e processi operativi), adottando i seguenti meccanismi:
a) La continuità del datacenter
b) La gestione dei server e dei sistemi sotto responsabilità diretta
c) Il supporto tecnico del servizio
d) La ridondanza dei dispositivi e dei server utilizzati per l’amministrazione dei sistemi
Parallelamente, altri meccanismi, come il backup delle configurazioni e dei device di rete, garantiscono il ripristino in caso di incidente.
Tutti i sistemi e i dati necessari alla continuità operativa, alla ricostruzione del sistema informativo, o all’analisi successiva agli incidenti, sono memorizzati.
Le frequenze, i tempi di memorizzazione e i metodi di archiviazione dei backup sono definiti in base alle esigenze di ciascuna risorsa memorizzata; la realizzazione dei backup è soggetta a un monitoraggio e a una gestione degli alert e degli errori riscontrati, tutto questo per garantirti la migliore esperienza utilizzando il nostro sito internet.