Abbiamo un Programma di Sicurezza delle Informazioni in atto che viene comunicato in tutta l'organizzazione. Il nostro Programma di Sicurezza delle Informazioni segue i criteri stabiliti dal Framework SOC 2. SOC 2 è una procedura di audit sulla sicurezza delle informazioni ampiamente conosciuta creata dall'American Institute of Certified Public Accountants.

La nostra organizzazione si sottopone a valutazioni indipendenti di terze parti per testare i nostri controlli di sicurezza e conformità.

Effettuiamo un test di penetrazione di terze parti almeno annualmente per garantire che la postura di sicurezza dei nostri servizi non sia compromessa.

I ruoli e le responsabilità legati al nostro Programma di Sicurezza delle Informazioni e alla protezione dei dati dei nostri clienti sono ben definiti e documentati. I membri del nostro team sono tenuti a rivedere e accettare tutte le politiche di sicurezza.

I membri del nostro team sono tenuti a seguire la formazione sulla consapevolezza della sicurezza dei dipendenti che copre le pratiche standard del settore e argomenti sulla sicurezza delle informazioni come phishing e gestione delle password.

Tutti i membri del team devono firmare e rispettare un accordo di riservatezza standard del settore prima del loro primo giorno di lavoro.

Effettuiamo verifiche dei precedenti su tutti i nuovi membri del team in conformità con le leggi locali.

Tutti i nostri servizi e l'archiviazione dei dati sono ospitati su Google Cloud Platform (GCP) e MUX. Entrambi adottano un programma di sicurezza robusto con molteplici certificazioni. Per ulteriori informazioni sui processi di sicurezza dei nostri fornitori, visitare GCP Security e MUX

Tutti i nostri dati sono ospitati sui database GCP e MUX. Questi database si trovano tutti negli Stati Uniti. Fare riferimento alla documentazione specifica del fornitore collegata sopra per ulteriori informazioni.

Tutti i database sono crittografati a riposo.

Le nostre applicazioni crittografano in transito solo con TLS/SSL.

Monitoriamo attivamente e registriamo vari servizi cloud.

Utilizziamo i servizi di backup del nostro fornitore di hosting dei dati per ridurre eventuali rischi di perdita di dati in caso di guasto hardware. Utilizziamo servizi di monitoraggio per avvisare il team in caso di guasti che influenzano gli utenti.

Abbiamo un processo per gestire gli eventi di sicurezza delle informazioni che include procedure di escalation, mitigazione rapida e comunicazione.

Utilizziamo sistemi di intelligenza artificiale che richiedono dati per l'analisi, ma disabilitiamo tutti i permessi di addestramento dati su quei dati. Configuriamo tutte le impostazioni sulla privacy per proteggere i dati dei clienti. Per ulteriori dettagli consultare le politiche dei fornitori seguenti: OpenAI Enterprise, OpenAI Trust e VertexAI

Utilizziamo una Virtual Private Cloud (VPC) per tutti i servizi e i dati che gestiamo, isolandoli dagli altri utenti del nostro fornitore cloud e dall'intero internet.

All'interno della nostra VPC, siamo strutturati come un ambiente multi-tenant condiviso. I dati di più clienti possono essere combinati in un singolo database o account di archiviazione cloud e processati su una risorsa di calcolo condivisa.

Per l'accesso dei clienti tramite la nostra applicazione, l'architettura di accesso ai dati del nostro servizio garantisce che i dati inviati al di fuori della nostra VPC siano limitati solo a quelli cui l'utente autenticato è autorizzato ad accedere, in base ai ruoli RBAC concessi dal cliente.

L'accesso all'infrastruttura cloud e ad altre strumenti sensibili è limitato ai dipendenti autorizzati che ne hanno bisogno per il loro ruolo.

Dove disponibile, utilizziamo l'autenticazione a due fattori (2FA) e politiche di password robuste per garantire che l'accesso ai servizi cloud sia protetto.

Seguiamo il principio del controllo degli accessi minimi relativamente all'identità e alla gestione degli accessi.

Effettuiamo revisioni degli accessi trimestrali di tutti i membri del team con accesso a sistemi sensibili.

Tutti i membri del team devono rispettare un insieme minimo di requisiti e complessità delle password per l'accesso.

Tutti i laptop emessi dall'azienda utilizzano un gestore di password per consentire ai membri del team di gestire le password e mantenere la complessità delle password.

Ci sottoponiamo ad almeno valutazioni annuali dei rischi per identificare eventuali minacce potenziali, inclusa la considerazione della frode.

Il rischio dei fornitori viene valutato e vengono eseguite le opportune revisioni dei fornitori prima di autorizzare un nuovo fornitore.