Sicurezza e conformità

Accesso senza attrito. Controllo zero-trust. Garanzia certificata.

Credenti l'accesso su desktop, dispositivi mobili e ambienti offline con autenticazione senza password, MFA resistente al phishing e supporto per GDPR, HIPAA, SOC 2 e altro ancora, su misura per le esigenze delle organizzazioni altamente regolamentate.

Il nostro impegno per la sicurezza

  • Crittografia end-to-end: crittografia AES-256 per i dati inattivi e TLS 1.2+ con certificato pinning per i dati in transito.
  • Isolamento degli utenti: i dati di ciascun cliente sono protetti con chiavi supportate da HSM e domini di crittografia isolati.
  • Protezione delle informazioni personali: controlli quali la minimizzazione dei dati, la registrazione degli accessi e l'accesso vincolato alle politiche garantiscono la salvaguardia delle informazioni di identificazione personale (PII).
  • Autenticazione resistente al phishing: passkey FIDO2 vincolate al dispositivo e dati biometrici per una verifica sicura dell'utente.
  • Fallback senza telefoni: abilita l'autenticazione a più fattori tramite smart card, prompt desktop o metodi basati su criteri, senza bisogno di telefoni o token.
  • Gestione dei segreti e delle chiavi: i segreti sono gestiti tramite AWS KMS o HashiCorp Vault con applicazione del ciclo di vita nativo di Kubernetes e accesso controllato da policy.
  • Rilevamento delle minacce in tempo reale: monitoraggio comportamentale e diagnostica continua per rilevare anomalie e applicare le politiche durante l'esecuzione.
  • Applicazione del modello Zero Trust: regole di policy dettagliate garantiscono l'accesso con privilegi minimi e l'autenticazione rafforzata dove necessario.

Certificazioni di sicurezza per la conformità dell'identità

Logo SOC dell'AICPA che rappresenta i controlli di sistema e organizzativi per le organizzazioni di servizi

SOC 1 Tipo II

Garantisce che i controlli interni sulla rendicontazione finanziaria siano sottoposti a revisione e convalida indipendenti. Credenti questo processo implementando un rigoroso controllo degli accessi, la registrazione delle attività di revisione e la delega basata sui ruoli in tutte le sue funzioni amministrative.

Utilizza questo link per scaricare una copia del rapporto di sintesi SOC 1. I clienti possono richiedere il rapporto completo sui controlli al proprio CSM o al proprio referente commerciale.

Logo SOC dell'AICPA che rappresenta i controlli di sistema e organizzativi per le organizzazioni di servizi

SOC 2 Tipo II

Conferma che i controlli relativi a sicurezza, disponibilità e riservatezza sono in atto e funzionano in modo efficace. Credenti questi principi attraverso flussi di dati crittografati, monitoraggio continuo e isolamento a livello di tenant.

Utilizza questo link per scaricare una copia del rapporto di sintesi SOC 2. I clienti possono richiedere un rapporto completo sui controlli al proprio CSM o al proprio referente commerciale.

Standard di conformità che supportiamo

TX-RAMP Livello 2:

Credenti certificata TX-RAMP Livello 2, soddisfacendo i requisiti del Dipartimento delle risorse informatiche del Texas (DIR) per i servizi cloud che gestiscono dati sensibili del settore pubblico. Questa certificazione convalida i controlli di sicurezza Credentiin materia di identità, autenticazione, crittografia, monitoraggio e gestione dei rischi, consentendo un approvvigionamento senza soluzione di continuità da parte delle agenzie statali e degli istituti di istruzione superiore del Texas.

Utilizza questo link per scaricare una copia del certificato TX-RAMP Livello 2.

ISO/IEC 27001:

Il Sistema di gestione della sicurezza delle informazioni (ISMS) Credentiregola la suite unificata Credenti fornita come piattaforma Software-as-a-Service (SaaS). L'ambito di applicazione comprende lo sviluppo sicuro di software, le operazioni relative all'infrastruttura e al cloud, l'elaborazione dei dati e le attività di assistenza clienti. L'ISMS è implementato in conformità con la Dichiarazione di applicabilità Credenti(Versione 1.0) ed è progettato per garantire l'allineamento con i requisiti di sicurezza legali, normativi e contrattuali applicabili.

Visualizza la certificazione ISO/IEC 27001 (IAF CertSearch)
Sigillo della Securities and Exchange Commission degli Stati Uniti che attesta la conformità finanziaria SOX

Sarbanes-Oxley (SOX):

Credenti la conformità SOX applicando rigorosi controlli di accesso, registrazioni di audit dettagliate e responsabilità degli utenti in linea con i requisiti di integrità della rendicontazione finanziaria. Assicura che i controlli interni sulla rendicontazione finanziaria siano sottoposti a revisione e convalida indipendenti. Credenti questo processo implementando un rigoroso controllo degli accessi, registrazioni di audit e deleghe basate sui ruoli in tutte le sue funzioni amministrative.

Logo PCI DSS che simboleggia gli standard relativi ai dati del settore delle carte di pagamento

PCI DSS:

Credenti la conformità allo standard PCI DSS proteggendo l'accesso ai sistemi che gestiscono i dati di pagamento con autenticazione a più fattori, crittografia avanzata e registri di accesso dettagliati. Verifica che i controlli di sicurezza, disponibilità e riservatezza siano in atto e funzionino in modo efficace. Credenti questi principi attraverso flussi di dati crittografati, monitoraggio continuo e isolamento a livello di tenant.

Logo GDPR che simboleggia le normative sulla privacy e la protezione dei dati nell'Unione Europea

GDPR:

Credenti la conformità al GDPR aiutando le organizzazioni a proteggere le informazioni di identificazione personale (PII) attraverso la minimizzazione dei dati, la gestione del consenso degli utenti e i registri di accesso pronti per la revisione per tutte le interazioni degli utenti.

Logo NIST 800-53/63 che rappresenta i quadri federali di sicurezza informatica e controllo degli accessi

NIST 800-63B:

Credenti livelli di garanzia dell'identità e linee guida per l'autenticazione sicura, tra cui l'autenticazione a più fattori (MFA) resistente al phishing, come definito dallo standard NIST 800-63B.

Logo HIPAA che rappresenta la privacy e la sicurezza delle informazioni sanitarie

HIPAA:

Credenti i requisiti HIPAA con flussi di lavoro di accesso sicuro, audit trail e controlli di accesso per le informazioni sanitarie protette in formato elettronico (ePHI).

Sigillo CCPA che rappresenta i diritti alla privacy dei dati dei consumatori in California

CCPA:

Credenti la conformità al CCPA facilitando i diritti degli utenti quali l'accesso ai dati, la cancellazione e la trasparenza in materia di autenticazione dell'identità e utilizzo dei dati.

Logo NIS2 che rappresenta la direttiva UE sulla sicurezza informatica per le infrastrutture critiche

Direttiva NIS2:

Credenti i requisiti NIS2 incentrati sull'identità con la governance degli accessi e l'applicazione dello zero trust per i fornitori di infrastrutture critiche.

Logo PSD2 che rappresenta l'autenticazione forte del cliente per i servizi finanziari nell'UE

PSD2:

Credenti i servizi finanziari a soddisfare i requisiti di autenticazione forte del cliente (SCA) previsti dalla PSD2 con flussi di accesso multifattoriali e metodi di autenticazione sicuri legati al dispositivo.

FDA 21 CFR Parte 11:

Supporta la conformità per i registri elettronici e le firme digitali nei settori delle scienze della vita e della sanità. Credenti l'autenticazione biometrica, audit trail con timestamp e la responsabilità degli utenti per tutte le azioni.

Opzioni di implementazione conformi ai requisiti normativi

  • SaaS (AWS): ospitato nelle regioni degli Stati Uniti e dell'Unione Europea con sicurezza nativa AWS, monitoraggio e supporto alla conformità regionale.
  • Cloud privato: hosting specifico per regione con KMS e IAM dedicati
  • On-Premise: distribuzioni offline o air-gapped per dati riservati o sensibili
  • Isolamento a livello di organizzazione: Credenti ambienti isolati per sotto-organizzazioni, dipartimenti o agenzie, consentendo una separazione rigorosa delle politiche di identità e accesso all'interno di un'infrastruttura condivisa.

Documenti e politiche sulla sicurezza

Test e controlli esterni

  • Test di penetrazione annuali condotti da società terze certificate
  • Scansioni SAST/DAST per i livelli di codice e applicazione
  • Audit trail per tutti gli eventi relativi all'autenticazione e alle politiche
  • Log immutabili esportabili su piattaforme SIEM