Sicurezza Organizzativa
Programma di Sicurezza delle Informazioni
Abbiamo un Programma di Sicurezza delle Informazioni in atto che viene comunicato in tutta l'organizzazione. Il nostro Programma di Sicurezza delle Informazioni segue i criteri stabiliti dal Framework SOC 2. SOC 2 è una procedura di audit sulla sicurezza delle informazioni ampiamente conosciuta creata dall'American Institute of Certified Public Accountants.
Audit di Terze Parti
La nostra organizzazione si sottopone a valutazioni indipendenti di terze parti per testare i nostri controlli di sicurezza e conformità.
Test di Penetrazione di Terze Parti
Effettuiamo un test di penetrazione di terze parti almeno annualmente per garantire che la postura di sicurezza dei nostri servizi non sia compromessa.
Ruoli e Responsabilità
I ruoli e le responsabilità legati al nostro Programma di Sicurezza delle Informazioni e alla protezione dei dati dei nostri clienti sono ben definiti e documentati. I membri del nostro team sono tenuti a rivedere e accettare tutte le politiche di sicurezza.
Formazione sulla Consapevolezza della Sicurezza
I membri del nostro team sono tenuti a seguire la formazione sulla consapevolezza della sicurezza dei dipendenti che copre le pratiche standard del settore e argomenti sulla sicurezza delle informazioni come phishing e gestione delle password.
Riservatezza
Tutti i membri del team devono firmare e rispettare un accordo di riservatezza standard del settore prima del loro primo giorno di lavoro.
Verifica delle Informazioni
Effettuiamo verifiche dei precedenti su tutti i nuovi membri del team in conformità con le leggi locali.
Sicurezza Cloud
Sicurezza dell'Infrastruttura Cloud
Tutti i nostri servizi e l'archiviazione dei dati sono ospitati su Google Cloud Platform (GCP) e MUX. Entrambi adottano un programma di sicurezza robusto con molteplici certificazioni. Per ulteriori informazioni sui processi di sicurezza dei nostri fornitori, visitare GCP Security e MUX
Sicurezza dell'Hosting dei Dati
Tutti i nostri dati sono ospitati sui database GCP e MUX. Questi database si trovano tutti negli Stati Uniti. Fare riferimento alla documentazione specifica del fornitore collegata sopra per ulteriori informazioni.
Crittografia a Riposo
Tutti i database sono crittografati a riposo.
Crittografia in Transito
Le nostre applicazioni crittografano in transito solo con TLS/SSL.
Registrazione e Monitoraggio
Monitoriamo attivamente e registriamo vari servizi cloud.
Continuità Operativa e Ripristino di Emergenza
Utilizziamo i servizi di backup del nostro fornitore di hosting dei dati per ridurre eventuali rischi di perdita di dati in caso di guasto hardware. Utilizziamo servizi di monitoraggio per avvisare il team in caso di guasti che influenzano gli utenti.
Risposta agli Incidenti
Abbiamo un processo per gestire gli eventi di sicurezza delle informazioni che include procedure di escalation, mitigazione rapida e comunicazione.
IA
Utilizziamo sistemi di intelligenza artificiale che richiedono dati per l'analisi, ma disabilitiamo tutti i permessi di addestramento dati su quei dati. Configuriamo tutte le impostazioni sulla privacy per proteggere i dati dei clienti. Per ulteriori dettagli consultare le politiche dei fornitori seguenti: OpenAI Enterprise, OpenAI Trust e VertexAI
Isolamento dei Dati
Utilizziamo una Virtual Private Cloud (VPC) per tutti i servizi e i dati che gestiamo, isolandoli dagli altri utenti del nostro fornitore cloud e dall'intero internet.
All'interno della nostra VPC, siamo strutturati come un ambiente multi-tenant condiviso. I dati di più clienti possono essere combinati in un singolo database o account di archiviazione cloud e processati su una risorsa di calcolo condivisa.
Per l'accesso dei clienti tramite la nostra applicazione, l'architettura di accesso ai dati del nostro servizio garantisce che i dati inviati al di fuori della nostra VPC siano limitati solo a quelli cui l'utente autenticato è autorizzato ad accedere, in base ai ruoli RBAC concessi dal cliente.
Sicurezza degli Accessi
Autorizzazioni e Autenticazione
L'accesso all'infrastruttura cloud e ad altre strumenti sensibili è limitato ai dipendenti autorizzati che ne hanno bisogno per il loro ruolo.
Dove disponibile, utilizziamo l'autenticazione a due fattori (2FA) e politiche di password robuste per garantire che l'accesso ai servizi cloud sia protetto.
Controllo degli Accessi al Minimo Necessario
Seguiamo il principio del controllo degli accessi minimi relativamente all'identità e alla gestione degli accessi.
Revisioni degli Accessi Trimestrali
Effettuiamo revisioni degli accessi trimestrali di tutti i membri del team con accesso a sistemi sensibili.
Requisiti delle Password
Tutti i membri del team devono rispettare un insieme minimo di requisiti e complessità delle password per l'accesso.
Gestori di Password
Tutti i laptop emessi dall'azienda utilizzano un gestore di password per consentire ai membri del team di gestire le password e mantenere la complessità delle password.
Gestione dei Fornitori e dei Rischi
Valutazioni dei Rischi Annuali
Ci sottoponiamo ad almeno valutazioni annuali dei rischi per identificare eventuali minacce potenziali, inclusa la considerazione della frode.
Gestione dei Rischi dei Fornitori
Il rischio dei fornitori viene valutato e vengono eseguite le opportune revisioni dei fornitori prima di autorizzare un nuovo fornitore.
Contattaci
Se hai domande, commenti o preoccupazioni o se desideri segnalare un potenziale problema di sicurezza, ti preghiamo di contattare [email protected]