Politica di sicurezza

Ambito di applicazione

La presente Politica di sicurezza si applica a tutti i sistemi Credenti, inclusi SaaS e implementazioni on-premise, app mobili, API e infrastrutture di supporto. Regola le azioni di dipendenti, appaltatori e partner terzi coinvolti nella fornitura, nella manutenzione o nel supporto dei servizi di gestione delle identità e degli accessi.

Titolarità della politica

La presente politica viene rivista e aggiornata almeno una volta all'anno o in seguito a modifiche significative a livello di architettura o di normativa. Il Responsabile della sicurezza informatica (CISO) è responsabile dell'attuazione, della supervisione e della manutenzione della presente politica.

Credenti soluzioni di identità senza password e resistenti al phishing, supportate da pratiche di sicurezza leader nel settore. Il nostro programma di sicurezza è strutturato attorno a controlli fisici, tecnici e amministrativi per proteggere le identità degli utenti, l'integrità della piattaforma e i dati dei clienti.

Misure tecniche di sicurezza

Crittografia e protezione dei dati

  • Crittografia AES-256 per i dati inattivi tramite AWS KMS
  • TLS 1.2/1.3 con certificato pinning per i dati in movimento
  • Isolamento delle chiavi per tenant tramite KMS supportato da HSM
  • Rotazione automatica delle chiavi e gestione del ciclo di vita

Gestione dei segreti

  • Nessun segreto hardcoded nel codice o nella configurazione
  • Segreti gestiti tramite i controller Kubernetes e AWS KMS
  • Controlli segreti del ciclo di vita per la creazione, la rotazione e la revoca
  • Audit trail e rilevamento delle anomalie tramite AWS CloudTrail

Sicurezza delle piattaforme e delle applicazioni

  • Ospitato su AWS con WAF, Shield e Firewall Manager
  • Limitazione della velocità e mitigazione degli attacchi DDoS su più livelli
  • Segregazione logica dei dati a livello di tenant
  • I dati di produzione e le chiavi di crittografia non sono accessibili ai team interni.

Sviluppo sicuro e DevOps

  • Pipeline CI/CD con scansioni SCA sulle dipendenze
  • Test di sicurezza statici delle applicazioni (SAST) integrati nelle pipeline di compilazione per individuare tempestivamente le vulnerabilità a livello di codice
  • Test dinamici di sicurezza delle applicazioni (DAST) eseguiti su applicazioni e API in esecuzione
  • Infrastruttura come codice con scansione di sicurezza (ad esempio, Amazon Inspector)
  • Accesso amministrativo protetto tramite jump box e whitelist IP
  • Test di penetrazione interni ed esterni

Pratiche di sviluppo sicuro e di test di sicurezza

  • Ciclo di vita formale dello sviluppo sicuro del software (SSDLC) in linea con le migliori pratiche OWASP e le linee guida OWASP Top 10 per la mitigazione dei rischi, con controlli costantemente verificati rispetto alle più recenti categorie dell'OWASP Top 10
  • Modellizzazione delle minacce effettuata durante le fasi di progettazione per identificare e mitigare i rischi architetturali
  • Esercitazioni periodiche di red teaming per simulare scenari di attacco reali e verificare l'efficacia dei controlli di sicurezza
  • Test di sicurezza continui integrati in tutti gli ambienti di sviluppo, staging e produzione
  • Revisioni del codice tra pari incentrate sulla sicurezza per componenti e funzionalità ad alto rischio

Monitoraggio e osservabilità

  • Monitoraggio continuo dello stato di salute e delle prestazioni del sistema
  • Avvisi in tempo reale per anomalie ed errori
  • Percorsi di audit completi per gli accessi e le azioni amministrative
  • Registrazione compatibile con SIEM per l'integrazione aziendale

Gestione delle vulnerabilità

  • Scansione continua tramite Amazon Inspector e analisi CI/CD integrata
  • Interventi tempestivi basati sui punteggi CVSS e sulla vulnerabilità
  • Dipendenze di terze parti e open source tracciate e revisionate
  • Test di penetrazione interni mensili e annuali effettuati da terzi

Controlli di sicurezza in loco

  • Tutti i dati dei clienti rimangono all'interno della rete del cliente, garantendo la sovranità dei dati.
  • I clienti mantengono la piena proprietà dei dati e dei registri di controllo.
  • Opzione per configurare cluster Kubernetes (K8s) separati per sotto-organizzazioni o unità aziendali
  • Best practice per un accesso sicuro a Kubernetes:
    • Autenticazione da dispositivi gestiti dall'azienda
    • Integrazione con provider di identità (ad esempio Entra, Okta) per SSO
    • Applicare l'autenticazione a più fattori (MFA) utilizzando token hardware (ad esempio YubiKey)
    • Gestisci l'accesso tramite soluzioni PAM
    • Richiedere server di salto rinforzati o host bastion
    • Aggiornare periodicamente le credenziali SSH e registrare tutti i tentativi di accesso

Misure di sicurezza amministrative

Conformità e governance

  • SOC 2 Tipo II, SOC 1 Tipo II
  • GDPR, PCI , CFR Parte 11
  • Certificato ISO 27001
  • Progettato per l'allineamento con HIPAA, GDPR e NIST SP 800-63
  • Opzioni di hosting regionale per la residenza dei dati

Politiche e controllo degli accessi

  • Controlli di accesso basati sui ruoli (RBAC)
  • Ciclo di vita dello sviluppo software sicuro (SSDLC)
  • Gestione dei cambiamenti e revisioni trimestrali degli accessi

Consapevolezza e formazione in materia di sicurezza

  • Formazione obbligatoria per tutti i dipendenti
  • Applicazione dell'accesso basato sui ruoli
  • Simulazioni regolari di phishing

Risposta agli incidenti

  • Operazioni di sicurezza 24 ore su 24, 7 giorni su 7
  • Piano di risposta agli incidenti (IRP) documentato e testato
  • SLA per rilevamento, risposta e comunicazione

Continuità del servizio e ripristino di emergenza

  • Infrastruttura AWS multiregione e multi-AZ
  • Piano DR con RTO/RPO definiti
  • Backup crittografati e test di failover
  • DR convalidato da audit SOC 2 e ISO

Audit e azioni correttive

  • Registri di controllo per eventi di autenticazione e amministrazione
  • Piena tracciabilità delle modifiche al sistema
  • Audit interni con azioni correttive
  • Integrazione SIEM e supporto all'audit

Gestione dei rischi dei fornitori

  • Due diligence di sicurezza e conformità per tutti i fornitori
  • Accordi sulla protezione dei dati (DPA)
  • Revisioni trimestrali dell'accesso dei fornitori
  • Conformità di AWS con FedRAMP, ISO 27001, SOC 2

Misure di sicurezza fisica

Sicurezza dei data center e delle infrastrutture

  • Ospitato sul cloud AWS
  • Sorveglianza 24 ore su 24, 7 giorni su 7, accesso biometrico e controlli ambientali
  • Conformità: SOC 1/2/3, ISO 27001, FedRAMP, FIPS 140-2
  • Regolato dal modello di responsabilità condivisa AWS

Protezione degli endpoint e dei dispositivi

  • Crittografia del disco su tutti i laptop aziendali
  • MFA per sistemi interni
  • Gestione dei dispositivi mobili (MDM) e controlli di integrità

Controlli dell'ufficio e delle risorse

  • Accesso alla struttura tramite badge
  • Wi-Fi segmentato per aziende e ospiti
  • Smaltimento sicuro di hardware/supporti multimediali

Trasparenza e contatti

Credenti ai clienti visibilità in tempo reale sugli eventi della piattaforma, sulle azioni amministrative e sui registri di accesso.

Per richiedere documentazione o segnalare un problema:

📧credenti