Documento»

Principi di sicurezza

1. Generale

Condizioni generali
Informazioni legali
Politica di riservatezza

3. Sicurezza

Principi di sicurezza

4. Moduli

Modulo di contatto
Creazione dell'account utente
Caricamento delle risorse
v1.4 - 29 dicembre 2024

Questo documento descrive come Signitic soddisfa i principi di sicurezza presentati dal documento del National Cyber Security Center (NCSC) e dall'ANSSI SecNumCloud, inclusa la responsabilità di Signitic (il fornitore di servizi) e qual è la responsabilità del cliente.

PROTEZIONE DEI DATI IN TRANSITO

Tutti i dati trasmessi tra i servizi Signitic vengono trasmessi utilizzando protocolli di crittografia avanzati. Signitic supporta le più recenti suite di crittografia sicura consigliate per crittografare tutto il traffico in transito, incluso l'uso dei protocolli TLS 1.2, della crittografia AES256 e delle firme SHA2 ove possibile.

PROTEZIONE E RESILIENZA DEGLI ASSET

Tutti i dati dei clienti risiedono interamente nel nostro ambiente di produzione AWS.

La posizione dei dati è eu-west-3a, eu-west-3b e eu-west-3c a Parigi (FRANCIA).

Signitic fornisce servizi in conformità con le leggi ad essa applicabili in qualità di fornitore di servizi.

I clienti stipulano un contratto con Signitic SAS, una società francese.

Le seguenti categorie di dati dei clienti verranno archiviate in un data center situato in Francia:

  • File (immagini)
  • Dati (utenti, modelli, ecc.)
  • Dati utilizzati per l'analisi e la misurazione della qualità del servizio, ad esempio i giornali (giornali igienizzati).

Tutti i dati dei clienti risiedono interamente nel nostro ambiente di produzione AWS. Le protezioni fisiche sono completamente fornite da AWS, che dispone di un'ampia gamma di certificazioni e autorizzazioni di sicurezza per la sua sicurezza fisica. Ulteriori dati sulla sicurezza dei data center AWS sono disponibili qui.

Per impostazione predefinita, Signitic protegge i dati dei clienti come parte dei suoi principali controlli di sicurezza. Signitic definisce politiche e standard che richiedono che i supporti vengano puliti correttamente dopo che non sono più in uso.

L'host Significtic è responsabile dell'eliminazione dei dati dai dischi allocati per l'uso di Signitic prima che vengano riutilizzati.

Gli host significativi devono garantire che l'hardware venga smaltito in modo responsabile.

Signitic utilizza i servizi implementati dal suo provider di hosting per distribuire le operazioni di produzione su tre siti fisici distinti. Questi tre siti si trovano nella stessa area geografica, ma proteggono il servizio di Signitic da perdite di connettività, infrastrutture elettriche e altri guasti comuni specifici di ciascun sito. Meno

le transazioni di produzione vengono replicate tra questi siti distinti al fine di proteggere la disponibilità del servizio Signitic in caso di un evento catastrofico specifico del luogo.

Signitic mantiene inoltre una copia di backup completa dei dati di produzione in una posizione remota molto lontana dalla posizione dell'ambiente operativo principale. I backup completi vengono registrati in questa postazione remota almeno una volta al giorno e le transazioni vengono registrate continuamente. Signitic verifica i backup almeno trimestralmente per garantire che possano essere ripristinati correttamente. Una resilienza fisica aggiuntiva è fornita dai nostri provider di hosting.

SEPARAZIONE TRA UTENTI

Signitic è ospitato in un Virtual Private Cloud (VPC) di Amazon Web Services. È una soluzione multi-tenant in cui i dati sono separati logicamente. Ogni chiamata API a tutti i livelli dello stack tecnologico utilizza un AccountID come chiave primaria. Quando un utente accede a Signitic, le credenziali vengono verificate nel nostro database utenti. Ciò garantisce che tutte le chiamate degli utenti siano indirizzate all'account corretto. La separazione logica garantisce che i clienti possano accedere solo ai propri dati e a quelli di nessun altro.

QUADRO DI GOVERNANCE

Il Significtic Security Team, guidato dal nostro responsabile tecnico, è responsabile dell'implementazione e della gestione del nostro programma di sicurezza. Il responsabile tecnico è supportato dai membri del Security Team di Signitic e dagli specialisti della sicurezza della società madre, che si concentrano sull'architettura di sicurezza, sulla sicurezza dei prodotti, sulle operazioni di sicurezza aziendale, sulle operazioni di sicurezza della produzione, sul rischio e sulla conformità.

Signitic ha anche un responsabile della protezione dei dati (DPO). Per contattare il nostro responsabile della protezione dei dati, invia un'email a dpo@signitic.com.

Signitic monitora, verifica e migliora costantemente la progettazione e l'efficacia operativa dei suoi controlli di sicurezza. Queste attività vengono eseguite regolarmente da valutatori terzi accreditati e dal team interno di Signitic.

SICUREZZA OPERATIVA

Lo strumento di gestione Github viene utilizzato per gestire centralmente i server di produzione di Signitic durante il loro ciclo di vita e per garantire che le configurazioni di sicurezza di base siano applicate in modo coerente a tutti i server.

Il team valuterà i rischi e l'impatto della vulnerabilità appena segnalata sull'ambiente di produzione Signitic e determinerà di conseguenza le strategie di riparazione appropriate, in conformità con la politica di gestione delle vulnerabilità di Signitic.

L'host di Signitic, Amazon Web Services (AWS), è responsabile dell'applicazione di patch e correzione dei difetti dell'infrastruttura, nonché del mantenimento della configurazione dell'infrastruttura. Per ulteriori informazioni, consulta il modello di responsabilità condivisa di AWS.

Signitic mantiene un programma interno di gestione delle vulnerabilità per identificare e correggere i problemi. Signitic esegue scanner di vulnerabilità che prendono di mira gli endpoint interni ed esterni.

Signitic monitora server, workstation e dispositivi mobili per mantenere e analizzare una visione completa dello stato di sicurezza della propria infrastruttura aziendale e di produzione. Gli accessi amministrativi, l'uso di comandi privilegiati e le chiamate di sistema su tutti i server della rete di produzione Signitic vengono registrati. L'analisi dei log è automatizzata, ove possibile, per rilevare potenziali problemi e avvisare. Tutti i registri di produzione sono archiviati in una rete separata il cui accesso è limitato al personale interessato.

Signitic ha stabilito politiche e procedure per rispondere a potenziali incidenti. Le procedure definiscono i tipi di eventi che devono essere gestiti attraverso il processo di risposta agli incidenti e li classificano in base alla loro gravità. In caso di incidente, i clienti interessati vengono avvisati via e-mail dal nostro team. Le procedure di risposta agli incidenti vengono testate e aggiornate almeno una volta all'anno.

SVILUPPO E SICUREZZA DEL TEAM

Signitic assicura che i controlli dei precedenti siano completati per tutti coloro che lavorano in Signitic prima che inizino a lavorare. Queste attività vengono svolte entro i limiti legali della giurisdizione locale.

L'accesso ai dati dei clienti è limitato a un gruppo selezionato di ingegneri. In caso di licenziamento o partenza di un dipendente, Signitic revoca tutti gli accessi al sistema il prima possibile (sempre entro 24 ore).

I clienti sono responsabili del reclutamento e della formazione del proprio personale, nonché dell'assegnazione dei ruoli corretti agli utenti.

La sicurezza operativa di Signitic inizia con il nostro ciclo di vita di sviluppo sicuro, che garantisce che tutte le nuove funzionalità rilasciate vengano riviste prima del rilascio in produzione. Signitic esegue test di intrusione in scatole bianche, grigie e nere su base annuale.

SICUREZZA DELLA CATENA DI FORNITURA

I subappaltatori significativi (fornitori esterni che elaborano i dati dei clienti) vengono valutati dal team di rischio e conformità di Signitic per garantire che stiano utilizzando controlli di sicurezza adeguati nei rispettivi ambienti. Nel caso in cui Signitic integri un altro subappaltatore, il personale Signitic effettua revisioni di sicurezza come parte del processo di due diligence. Signitic effettua valutazioni annuali del rischio dei subappaltatori secondari per garantire che mantengano adeguatamente le loro posizioni in materia di sicurezza e conformità.

IDENTITÀ E AUTENTICAZIONE

Signitic fornisce ai clienti i controlli per gestire i propri utenti e gli utenti amministratori.

I clienti che contattano il nostro team di assistenza clienti (assistenza) vengono identificati automaticamente.

I clienti sono responsabili dell'integrazione e della gestione del proprio provider di identità (per il single sign-on e il provisioning) e dell'assegnazione dei ruoli in Signitic.

Signitic utilizza il controllo degli accessi basato sui ruoli e ogni ruolo ha il proprio livello di autorizzazioni e accesso.

I clienti sono responsabili della gestione degli account amministratore utilizzati per installare le applicazioni connesse a Signitic.

I clienti sono responsabili dell'integrazione e della gestione del proprio provider di identità (per il single sign-on e il provisioning), nonché dell'integrazione e dell'esclusione degli utenti (membri e ospiti).

Il single sign-on (SSO) basato su SAML consente ai membri di accedere a Signitic tramite un provider di identità.

Per gli utenti che si autenticano tramite SSO, il provider di identità è responsabile dell'applicazione della politica delle password.

Per gli utenti che si autenticano tramite un indirizzo e-mail, la password deve contenere almeno otto caratteri, uno maiuscolo, uno minuscolo, un numero, un carattere speciale. La protezione dagli attacchi di «forza bruta» viene applicata a ogni tentativo di accesso con password (divieto temporaneo e poi permanente).

PROTEZIONE DELL'INTERFACCIA ESTERNA

Signitic imposta tutte le liste di controllo degli accessi (ACL), i gruppi di sicurezza e le porte/protocolli/servizi per negare tutto per impostazione predefinita e consentire in caso di eccezione. Ciò garantisce che Signitic esponga solo le interfacce appropriate necessarie ai nostri clienti per utilizzare il servizio, senza espandere inutilmente la superficie di attacco. Utilizziamo scanner e strumenti automatici per verificare che queste risorse siano adeguatamente protette.

I clienti sono responsabili dell'integrazione e della gestione del proprio provider di identità (per single sign-on e provisioning), dell'imbarco e dello sbarco degli utenti (membri e ospiti) e dell'assegnazione dei ruoli in Signitic.

AMMINISTRAZIONE SICURA DEI SERVIZI

Il concetto di privilegio minimo viene applicato a tutti i sistemi Signitic, in quanto sono tutti in grado di estendere le autorizzazioni in base a un profilo definito. Signitic utilizza un modello di controllo degli accessi basato sui ruoli (RBAC) per assegnare l'accesso agli utenti del sistema.

I dipendenti Signitic con accesso all'ambiente di produzione, agli strumenti interni e ai dati dei clienti vengono esaminati semestralmente per garantire che il loro accesso sia appropriato in base ai loro ruoli e responsabilità professionali. Qualsiasi anomalia (gli utenti non devono più accedere) viene trattata di conseguenza.

L'accesso all'ambiente di produzione Signitic richiede agli utenti di connettersi a un host utilizzando chiavi SSH e autenticazione a due fattori.

I clienti sono responsabili della gestione degli account di amministratore e della comunicazione dei termini di servizio relativi all'accesso ai propri utenti.

Signitico+39.011.7653100hello@signitic.com
Registra un account
Italiano
Soluzioni
Per l'ITPer il marketingPer le vendite
Integrazioni
Google WorkspaceMicrosoft 365Marketplace
Risorse
vCardEventiScopri il gruppoAlternativeConfrontiPrezziSicurezza
Informazioni legali
|
Condizioni generali
|
Cookies
|
DPA
|
Politica di riservatezza
|
Statuto