Politica di sicurezza

Versione 2.1 – Maggio 2025

Cronologia delle revisioni:

  • Versione 2.0 - Ottobre 2024 (Pubblicazione iniziale della politica combinata)
  • Versione 2.1 - Maggio 2025 (Aggiornata per includere considerazioni relative a TLS 1.3, gestione specifica dei segreti Kubernetes, chiarimenti sulla frequenza dei test di penetrazione interni e aggiunta di un riferimento alla politica di conservazione dei dati).

Ambito di applicazione

La presente Politica di sicurezza si applica a tutti i sistemi Credenti, inclusi SaaS e implementazioni on-premise, app mobili, API e infrastrutture di supporto. Regola le azioni di dipendenti, appaltatori e partner terzi coinvolti nella fornitura, nella manutenzione o nel supporto dei servizi di gestione delle identità e degli accessi.

Titolarità della politica

La presente politica viene rivista e aggiornata almeno una volta all'anno o in risposta a modifiche significative dell'architettura o della normativa. Il Responsabile della sicurezza informatica (CISO) è responsabile dell'attuazione, della supervisione e del mantenimento della presente politica.

Credenti soluzioni di identità senza password e resistenti al phishing, supportate da pratiche di sicurezza leader nel settore. Il nostro programma di sicurezza è strutturato attorno a controlli fisici, tecnici e amministrativi per proteggere le identità degli utenti, l'integrità della piattaforma e i dati dei clienti.

Misure tecniche di sicurezza

Crittografia e protezione dei dati

  • Crittografia AES-256 per i dati inattivi tramite AWS KMS
  • TLS 1.2/1.3 con certificato pinning per i dati in movimento
  • Isolamento delle chiavi per tenant tramite KMS supportato da HSM
  • Rotazione automatica delle chiavi e gestione del ciclo di vita

Gestione dei segreti

  • Nessun segreto hardcoded nel codice o nella configurazione
  • Segreti gestiti tramite controller Kubernetes (ad esempio, External Secrets Operator) e AWS KMS
  • Controlli segreti del ciclo di vita per la creazione, la rotazione e la revoca
  • Audit trail e rilevamento delle anomalie tramite AWS CloudTrail

Sicurezza delle piattaforme e delle applicazioni

  • Ospitato su AWS con WAF, Shield e Firewall Manager
  • Limitazione della velocità e mitigazione degli attacchi DDoS su più livelli
  • Segregazione logica dei dati a livello di tenant
  • I dati di produzione e le chiavi di crittografia non sono accessibili ai team interni.

Sviluppo sicuro e DevOps

  • Pipeline CI/CD con scansioni SCA sulle dipendenze
  • Infrastruttura come codice con scansione di sicurezza (ad esempio, Amazon Inspector)
  • Accesso amministrativo protetto tramite jump box e whitelist IP
  • Test di penetrazione interni (trimestrali) ed esterni (annuali)

Monitoraggio e osservabilità

  • Monitoraggio continuo dello stato di salute e delle prestazioni del sistema
  • Avvisi in tempo reale per anomalie ed errori
  • Percorsi di audit completi per gli accessi e le azioni amministrative
  • Registrazione compatibile con SIEM per l'integrazione aziendale

Gestione delle vulnerabilità

  • Scansione continua tramite Amazon Inspector e analisi CI/CD integrata
  • Rimedio tempestivo basato sui punteggi CVSS, sull'exploitabilità e sull'impatto sul business
  • Dipendenze di terze parti e open source tracciate e revisionate
  • Test di penetrazione interni mensili e annuali effettuati da terzi

Controlli di sicurezza in loco

  • Tutti i dati dei clienti rimangono all'interno della rete del cliente, garantendo la sovranità dei dati.
  • I clienti mantengono la piena proprietà dei dati e dei registri di controllo.
  • Opzione per configurare cluster Kubernetes (K8s) separati per sotto-organizzazioni o unità aziendali
  • Best practice per un accesso sicuro a Kubernetes:
    • Autenticazione da dispositivi gestiti dall'azienda
    • Integrazione con provider di identità (ad esempio Entra, Okta) per SSO
    • Applicare l'autenticazione a più fattori (MFA) utilizzando token hardware (ad esempio YubiKey)
    • Gestisci l'accesso tramite soluzioni PAM
    • Richiedere server di salto rinforzati o host bastion
    • Ruota le credenziali SSH (in modo automatico tramite accesso basato su certificato) e registra tutti i tentativi di accesso.

Misure di sicurezza amministrative

Conformità e governance

  • SOC 2 Tipo II, SOC 1 Tipo II
  • GDPR, PCI , CFR Parte 11
  • Certificato ISO 27001
  • Progettato per l'allineamento con HIPAA, GDPR e NIST SP 800-63
  • Opzioni di hosting regionale per la residenza dei dati

Politiche e controllo degli accessi

  • Controlli di accesso basati sui ruoli (RBAC)
  • Ciclo di vita dello sviluppo software sicuro (SSDLC)
  • Gestione dei cambiamenti e revisioni trimestrali degli accessi

Consapevolezza e formazione in materia di sicurezza

  • Formazione obbligatoria per tutti i dipendenti
  • Applicazione dell'accesso basato sui ruoli
  • Simulazioni regolari di phishing
  • Controlli dei precedenti personali effettuati per i dipendenti che ricoprono ruoli sensibili

Risposta agli incidenti

  • Operazioni di sicurezza 24 ore su 24, 7 giorni su 7
  • Piano di risposta agli incidenti (IRP) documentato e testato
  • SLA per rilevamento, risposta e comunicazione

Continuità del servizio e ripristino di emergenza

  • Infrastruttura AWS multiregione e multi-AZ
  • Piano DR con RTO/RPO definiti
  • Backup crittografati e test di failover
  • DR convalidato da audit SOC 2 e ISO

Audit e azioni correttive

  • Registri di controllo per eventi di autenticazione e amministrazione
  • Piena tracciabilità delle modifiche al sistema
  • Audit interni con azioni correttive
  • Integrazione SIEM e supporto all'audit
  • Definizione delle politiche di conservazione dei dati relativi ai clienti e dei registri di audit

Gestione dei rischi dei fornitori

  • Due diligence di sicurezza e conformità per tutti i fornitori
  • Accordi sulla protezione dei dati (DPA)
  • Revisioni trimestrali dell'accesso dei fornitori
  • Conformità di AWS con FedRAMP, ISO 27001, SOC 2

Misure di sicurezza fisica

Sicurezza dei data center e delle infrastrutture

  • Ospitato sul cloud AWS
  • Sorveglianza 24 ore su 24, 7 giorni su 7, accesso biometrico e controlli ambientali
  • Conformità: SOC 1/2/3, ISO 27001, FedRAMP, FIPS 140-2
  • Regolato dal modello di responsabilità condivisa AWS

Protezione degli endpoint e dei dispositivi

  • Crittografia del disco su tutti i laptop aziendali
  • MFA per sistemi interni
  • Gestione dei dispositivi mobili (MDM) e controlli di integrità

Controlli dell'ufficio e delle risorse

  • Accesso alla struttura tramite badge
  • Wi-Fi segmentato per aziende e ospiti
  • Smaltimento sicuro di hardware/supporti multimediali

Trasparenza e contatti

Credenti ai clienti visibilità in tempo reale sugli eventi della piattaforma, sulle azioni amministrative e sui registri di accesso.

Per richiedere documentazione o segnalare un problema:

📧credenti