Sicurezza senza compromessi per le vostre esigenze di compliance

Sicurezza

Archiviazione dei Dati

Conservazione Fisica

AWS (Amazon Web Services) è responsabile della gestione della sicurezza fisica dell'infrastruttura. AWS è stato costruito non solo per consentire soluzioni cloud realmente scalabili, ma anche per soddisfare le più alte aspettative di sicurezza.

I dati vengono archiviati su server da una struttura che è ISO 27001, ISO 27017, ISO 27018 e SOC 1, SOC 2 & SOC 3 , -certificato. Per avere una panoramica completa dei programmi di compliance, Clicca qui

Ubicazione

Tutti i dati e i backup sono archiviati presso AWS a Francoforte. I backup sono archiviati in diverse zone di disponibilità per garantire la disponibilità dei dati.

Conoscere il livello perimetrale dei centri dati, il livello dell'infrastruttura, il livello dei dati e il livello ambientale, Clicca qui

Crittografia

Tutti i dati sono crittografati sia in transito che a riposo. Questo garantisce l'integrità dei dati, che non possono essere corrotti o modificati durante il trasferimento, la privacy, in quanto i dati non possono essere intercettati da terzi, e l'autenticazione, in quanto il cliente finale può essere sicuro che il sito a cui si sta collegando sia effettivamente il nostro.

In Transito

I dati in transito sono crittografati mediante TLS (Transport layer security). Sono supportate solo le versioni di TLS uguali o superiori alla 1.2; tutte le altre versioni sono bloccate.

A Riposo

Ogni volta che i dati vengono memorizzati su un disco rigido, ad esempio i dati memorizzati in un database, vengono crittografati utilizzando AES (256 bit). Ciò impedisce la lettura dei dati in caso di furto di un disco rigido fisico in un centro dati.

Gestione delle Patch

Noi di Formalize diamo priorità alla sicurezza e all'alta disponibilità, sfruttando, ove possibile, i servizi gestiti da AWS. Questi servizi sono sottoposti a patch e manutenzione continua da parte di AWS. Tuttavia, per alcuni servizi non gestiti da AWS, implementiamo rigorosi processi di gestione delle patch per garantire che la sicurezza rimanga intatta.

Backup dei Dati

Frequenza dei Backup

Vengono effettuati backup periodici per garantire che i dati dei clienti non vadano persi. I backup vengono eseguiti a intervalli giornalieri (scadono dopo 35 giorni) e settimanali (scadono dopo 85 giorni).

Per i servizi non gestiti da AWS, come la nostra Jump Box, le patch vengono scansionate e applicate quotidianamente. Inoltre, la nostra Jump Box è protetta da una rete privata che richiede l'autenticazione a due fattori per l'accesso e registra tutte le connessioni per un migliore monitoraggio.

Alcuni servizi, come i nostri Servizi Web, sono gestiti congiuntamente da AWS e Formalize. Questi sono sottoposti a scansioni e patch continue per mantenere la sicurezza e le prestazioni.

Sicurezza del Backup

Tutti i backup sono archiviati in diverse zone di disponibilità per evitare la perdita di dati. Una zona di disponibilità è costituita da uno o più data center separati con alimentazione, rete e connettività ridondanti. Tutti i backup sono protetti secondo gli stessi standard dell'ambiente di produzione.

Registrazione

Formalize prende sul serio il logging e dispone di un ampio logging in tutta la nostra applicazione, che stiamo continuamente migliorando. La registrazione avviene a quattro livelli diversi: eventi di login, errori di convalida, registrazione degli errori, log dei flussi DNS, ecc.

Monitoraggio del Sistema e Rilevamento delle Intrusioni

Utilizziamo AWS GuardDuty, un servizio intelligente di rilevamento delle minacce che monitora continuamente le attività dannose o non autorizzate nella nostra rete. Funge da sistema primario di rilevamento delle intrusioni di rete (NIDS). Anche i registri delle attività amministrative e delle query DNS vengono registrati e analizzati per individuare eventuali abusi. Per saperne di più su GuardDuty Qui.

Per migliorare le nostre difese, utilizziamo AWS WAF. Questo servizio aiuta a monitorare e contrastare le richieste web dannose, offrendo un ulteriore livello di protezione contro i tentativi di hacking. Per maggiori dettagli Clicca qui.

Ciclo di Vita di uno Sviluppo Sicuro

Il ciclo di vita dello sviluppo sicuro (SDLC) è un processo che ci aiuta a garantire che la sicurezza sia integrata nel software fin dall'inizio. Il nostro SDLC comprende varie attività di sicurezza che vengono eseguite in ogni fase del processo di sviluppo. Queste attività ci aiutano a trovare e risolvere potenziali vulnerabilità di sicurezza e a prevenire l'introduzione di nuove vulnerabilità.

Vengono eseguite diverse attività chiave del ciclo di vita, tra cui la creazione e il rilascio in piccoli incrementi, il debito tecnico, la politica dei pacchetti di terze parti, la scansione dei segreti trapelati, il controllo delle versioni, la verifica delle vulnerabilità, gli standard di crittografia, le metriche e la registrazione, la formazione degli sviluppatori, i test e la separazione degli ambienti.

Gestione della Vulnerabilità

In Formalize prendiamo sul serio la sicurezza, impiegando solide pratiche di gestione delle vulnerabilità per proteggere la nostra infrastruttura e migliorare continuamente.

Evitare la Vulnerabilità

Per ridurre al minimo la nostra superficie di attacco, manteniamo un unico punto di ingresso pubblico alla nostra API, che è protetto da un Web Application Firewall (WAF). Questo firewall blocca efficacemente le minacce più comuni, come il Cross-Site Scripting (XSS) e il Remote Code Execution (RCE). La nostra infrastruttura è basata su Alpine Linux, che garantisce un'impronta minima e sicura del sistema operativo. Inoltre, i nostri server web sono progettati per funzionare come contenitori di sola lettura che vengono aggiornati ogni 15 minuti o durante le implementazioni, garantendo che il malware non possa persistere nel nostro ambiente.

Oltre a queste misure preventive, ci affidiamo a servizi gestiti per migliorare la sicurezza e ridurre il rischio di errori di configurazione. Questi servizi gestiti forniscono patch automatiche, rafforzando ulteriormente l'integrità della nostra infrastruttura. L'accesso al database è strettamente controllato, richiedendo l'autenticazione a due fattori (2FA) e limitando l'accesso esclusivamente agli utenti autorizzati all'interno della nostra rete.

Scansione della vulnerabilità

In Formalize utilizziamo pratiche complete di scansione delle vulnerabilità per identificare e affrontare in modo proattivo i potenziali rischi per la sicurezza nei nostri sistemi. Le nostre attività di scansione comprendono le dipendenze del codice, i container e i server, nonché l'infrastruttura e la rete più ampie.

Le scansioni di vulnerabilità delle dipendenze del codice vengono effettuate quotidianamente. Si utilizzano quattro strumenti diversi: CVE pubblici, database privato delle vulnerabilità, dipendenze open source con XSS (Cross-site scripting) e dipendenze open source con RCS (Remote code execution).

Le scansioni dei container e dei server vengono condotte continuamente e ogni volta che viene rilasciato del codice. Queste scansioni si concentrano sul rilevamento delle vulnerabilità nei pacchetti del sistema operativo all'interno del nostro ambiente basato su Alpine Linux. Per la scansione vengono utilizzati CVE pubblici e database di vulnerabilità privati. Ad esempio, possono identificare versioni non aggiornate di OpenSSL che potrebbero comportare rischi di buffer overflow o RCE (remote code execution).

Le nostre scansioni dell'infrastruttura e della rete vengono effettuate ogni 18 ore e rispettano standard rigorosi, tra cui i requisiti CIS (Center of Internet Security), PCI DSS v3.2.1 (Payment Card Industry Data Security Standard) e le best practice di sicurezza fondamentali del nostro provider di hosting. Queste scansioni sono progettate per identificare configurazioni errate, come code non criptate o l'assenza di autenticazione a due fattori per gli utenti amministrativi.