La presente Politica di sicurezza illustra le misure, le procedure e le linee guida seguite da Guardey per garantire la sicurezza dei dati e dei sistemi. Questa politica si applica a tutti i dipendenti, appaltatori e terzi che hanno accesso ai sistemi e ai dati di Guardey.
Guardey mira a:
- Proteggere la riservatezza, l'integrità e la disponibilità dei dati.
- Prevenire l'accesso non autorizzato e le minacce.
- Rispettare le leggi, le normative e gli standard del settore.
- Privilegio minimo: L'accesso è concesso solo ai dati e ai sistemi necessari.
- Responsabilità: Ogni persona all'interno di Guardey è responsabile del rispetto delle misure di sicurezza.
- Identificazione e autenticazione: Tutti gli utenti devono autenticarsi tramite autenticazione a più fattori (2FA) utilizzando l'e-mail. Per semplificare e rendere più sicuro l'accesso, viene utilizzato anche il Single Sign-On (SSO) tramite Microsoft.
- Autorizzazione: Guardey utilizza un modello di controllo degli accessi basato sui ruoli (RBAC) che regola le unità organizzative, gli account utente e i gruppi di utenti.
- Gestione degli account: La creazione, la manutenzione e l'eliminazione degli account seguono procedure rigorosamente definite.
- Crittografia: Tutti i dati in transito sono protetti da TLS.
- Classificazione dei dati: I dati vengono classificati in base alla sensibilità e gestiti di conseguenza.
- Backup: Vengono eseguiti backup giornalieri del database, che vengono archiviati in modo criptato in più regioni del nostro hosting. In caso di perdita dei dati di produzione, questi backup possono essere utilizzati per ripristinare i dati.
- Firewall: Guardey utilizza il Web Application Firewall (WAF) di Cloudflare per proteggere le applicazioni dagli attacchi.
- Segmentazione della rete: Viene mantenuto un ambiente di produzione dedicato, per garantire che i dati dei clienti non vengano mai memorizzati o elaborati in sistemi non di produzione.
- Rilevamento delle intrusioni: Monitoraggio e registrazione continui dell'infrastruttura di rete per rilevare e prevenire gli accessi non autorizzati.
- Linee guida per lo sviluppo: Gli sviluppatori seguono le linee guida di sicurezza e le migliori pratiche per una codifica sicura.
-Sviluppo sicuro dell'applicazione: Tutte le nostre modifiche al codice vengono controllate da un secondo sviluppatore e tramite CI per verificare la qualità, i bug e le vulnerabilità.
Quindi le modifiche vengono nuovamente controllate in un ambiente di pre-produzione. Se tutto funziona correttamente, uno dei nostri amministratori può approvare la modifica, dopodiché viene eseguito un roll-out automatico della modifica nell'ambiente di produzione.
-Gestione delle vulnerabilità: Scansioni e aggiornamenti regolari per identificare e risolvere le vulnerabilità.
-Test di sicurezza: Test di penetrazione periodici e revisioni del codice.
- Centri dati: I dati di Guardey sono conservati in centri dati sicuri situati nei Paesi Bassi (UE) per rispettare le normative sulla protezione dei dati e sulla privacy dell'UE. Questi centri dati utilizzano restrizioni di accesso fisico, sistemi di sorveglianza e protezioni ambientali.
-Accesso alle sedi fisiche: Solo il personale autorizzato ha accesso alle sedi sensibili.
- Piano di risposta agli incidenti: Procedure dettagliate per la segnalazione e la gestione degli incidenti di sicurezza.
-Comunicazione: Protocolli di comunicazione interni ed esterni definiti durante gli incidenti.
-Forensics: Indagine e analisi degli incidenti per determinare le cause e gli impatti.
- Strumenti di monitoraggio: Guardey utilizza vari strumenti di monitoraggio per controllare e gestire le modifiche alla sua infrastruttura.
-Registrazione: Tutte le modifiche e le azioni all'interno dell'ambiente Guardey vengono registrate meticolosamente. Vengono generati avvisi in base alla gravità o all'impatto potenziale delle modifiche.
- Cancellazione dei dati: I clienti sono responsabili dei loro dati e possono chiedere a Guardey di cancellare tutti i loro dati in conformità con le leggi vigenti, a meno che le normative non impongano di conservarli.
- Laboratori Qualys SSL: Guardey ha una qualifica di grado A.
-Conformità normativa: Guardey garantisce che tutte le misure di sicurezza siano conformi alle leggi e ai regolamenti pertinenti, come il GDPR.
- Revisione e aggiornamenti: Questa politica viene rivista e aggiornata regolarmente per garantire che rimanga in linea con l'evoluzione delle minacce e delle tecnologie.
-Monitoraggio e applicazione: Guardey monitora e applica la conformità a questa politica a tutte le parti coinvolte.
Noi di Guardey mettiamo in pratica ciò che predichiamo. In quanto azienda che offre formazione su security awareness attraverso sessioni settimanali di nano learning, ci assicuriamo che tutti i nostri dipendenti siano rigorosamente formati utilizzando i nostri prodotti. Questo non solo mantiene il nostro team aggiornato sulle ultime pratiche di sicurezza, ma dimostra anche il nostro impegno per la sicurezza dall'interno. I nostri dipendenti partecipano a queste sessioni di formazione coinvolgenti e informative, assicurando che security awareness sia sempre al centro dell'attenzione.