PERCHÉ ABBIAMO SCELTO I GESTIONALI ERP EDISOFTWARE

Per tutti i settori il GDPR ha rappresentato un’evoluzione epocale, obbligando di fatto a revisionare tutte le logiche di gestione del “Sistema Azienda”; il Regolamento infatti parte dalla valutazione della part più fisica, l’infrastruttura hardware ed i server, fino all’entità più astratta, che si identifica nel Trattamento.

Up2 vanta una notevole esperienza nella protezione dalle minacce, nella tutela della privacye nella conformità alle diverse normative.

Ogni giorno rispettiamo l’impegno dei nostri principi, cercando di trasmettere il senso di fiducia nel cloud, nella protezione e nella sicurezza dei dati ai nostri clienti, ed ai clienti dei nostri clienti.

PER QUESTO LE BASI SU CUI OPERIAMO SONO MOLTEPLICI:

  • Impegni contrattuali: i rapporti con Up2 sono supportati da impegni contrattuali per i nostri servizi, inclusi standard di sicurezza, supporto e notifiche tempestive in conformità con i nuovi requisiti GDPR.
  • Condivisione della nostra esperienza: condivideremo le informazioni che raccogliamo attraverso varie autorità per la protezione dei dati e altre organizzazioni rispettabili, in modo da poter adattare ciò che abbiamo appreso ed evolvere i sistemi di protezione.
  • Affidabilità dei partner: ci rivolgiamo esclusivamente a partner che possono garantire lo stesso livello di protezione che noi garantiamo, per poter essere certi di non promettere senza poter mantenere.

Questo è quello che possiamo fare…
e anche di più

Come previsto dal regolamento la nostra infrastruttura e le politiche di sicurezza sono state oggetto di una valutazione di adeguatezza e di impatto preliminare sulla protezione dei dati. Queste valutazioni continueranno ad essere effettuare regolarmente per stare sempre al passo con i più alti standard di conformità in materia di protezione dei dati.

Data Center localizzato in Europa

Data Loss Prevention (DLP)

Up2 crede che le funzioni di prevenzione della perdita dei dati sono di importanza massima; infatti impediscono che le informazioni, sensibili o comunque importanti, vengano condivise senza autorizzazione.

I dati di un’azienda sono fondamentali, devono essere immediatamente disponibili per consentire l’elaborazione di decisioni, ma allo stesso tempo devono essere protetti per impedire che vengano condivisi con destinatari non autorizzati.

Per questo abbiamo implementato una serie di misure organizzative e tecniche che ci permettono di poter garantire non solo la prevenzione da accessi non autorizzati, ma anche una sicurezza adeguata  per tutti gli accessi autorizzati.

Tecniche di mitigazione

L’infrastruttura è progettata per risultare resiliente agli attacchi di tipo DDoS (Distributed Denial of Service) attraverso sistemi di mitigazione DDoS in grado di rilevare e filtrare automaticamente il traffico in eccesso inserendo scalabilità per gestire volumi imprevisti di traffico utilizzando appositi bilanciatori di carico. Inoltre sono supportati livelli di ridondanza ANSI/TIA RATING 4 (il massimo livello) per eventuali problemi al datacenter, come da documento allegato sopra.

Crittografia

  • A livello fisico proteggiamo i nostri dati attraverso una metodologia che, in caso di furto di supporti di memoria fisici, non permette l’estrazione di dati sensibili. La tecnologia utilizzata per la memorizzazione di dati su supporti fisici ha lo scopo di aumentare le performance, rendere il sistema resiliente alla perdita di uno o più dischi e poter rimpiazzare i supporti senza interrompere il servizio.
  • A livello applicativo, abbiamo la possibilità di mettere al sicuro i dati contenuti nei database clienti con un criptaggio di dati a riposo.
  • A livello di trasporto, i dati sono vulnerabili agli accessi non autorizzati mentre viaggiano attraverso Internet o all’interno delle reti. Per questo motivo, la protezione dei dati in transito possiede un’alta priorità.
  • Utilizziamo i protocolli crittografici TLS / SSLche utilizzano la crittografia simmetrica basata su una chiave condivisa per fornire la sicurezza nella comunicazione garantendo l’integrità dei dati sulla rete.

Per essere ancora più sicuri utilizziamo all’interno del TLS / SSL un algoritmo di cifratura a blocchi chiamato AES-256(Advanced Encryption Standard) che sostituisce la tecnologia di crittografia a chiave pubblica DES (Data Encryption Standard) e RSA 2048.

Threat Protection

  • Impieghiamo sistemi avanzati per la ricerca di virus nella posta elettronica (sia in entrata che in uscita), di spoofing (utilizzo di mittenti contraffatti) e abbiamo una chiara policy antispam.
  • Strumenti di analisi anti-phishing e protezione avanzata dalle minacce avanzate come spear phishing e qualsiasi Zero Day Attack.
  • Identificazione e blocco file dannosi nella nostra rete interna grazie all’utilizzo di sistemi antivirus e proxy.
  • Verifichiamo regolarmente e automaticamente che tutti i nostri server siano aggiornati e abbiano le ultime patch di sicurezza installate.

Multi-Factor Authentication e firewall

  • L’infrastruttura aziendale è protetta da diversi firewall di rete integrati.
  • Vi sono inoltre firewall per applicazioni web e dispositivi IDS(Intrusion Detection System) che vengono utilizzati per il monitoraggio delle risorse informatiche (pattern). Anche grazie a puntuali analisi del traffico dati svolte dal nostro personale altamente specializzato è possibile rilevare attacchi alla rete o ai computer dove gli Intrusion Detection System fungono da “antifurto”.
  • L’autenticazione multi-fattore è un metodo di autenticazione che richiede più di un metodo di verifica e con il quale viene aggiunto almeno un secondo livello di sicurezza per accessi e transazioni degli utenti. Questo metodo è utilizzato dagli amministratori di sistema e sui servizi Google e Amazon.

Monitoraggio e controllo accessi

  • Opzioni di aggregazione dei log per ottimizzare le indagini e la reportistica di conformità.
  • Definizione, applicazione e gestione di policy di accesso degli utenti su tutti i servizi.
  • Il monitoraggio degli accessi sospetti consente di rilevare possibili intrusioni mediante funzioni di machine learning molto solide.
  • Notifiche di avviso programmabili in caso di superamento soglie o verifica di eventi.
  • I diritti e i livelli di accesso dei dipendenti si basano sulla mansione e sul ruolo lavorativo che hanno, utilizzando i principi del “least-privilege” e “need-to-know”, in funzione delle responsabilità definite per il dipendente.
  • Le richieste di ulteriore accesso seguono un processo formale che prevede l’approvazione da parte del proprietario dei dati o del sistema oppure da parte di responsabili o altri dirigenti, a seconda dei criteri di sicurezza stabiliti

Vulnerability Assessment

  • Up2 esegue ciclicamente test di vulnerabilità su tutti i sistemi dell’infrastruttura e sui client collegati ad essa.
  • Eseguiamo regolarmente test di penetrazione della sicurezza, formando anche il personale per contrastare gli attacchi basati su Social Engineering.
  • Su richiesta, è possibile autorizzare un vulnerability assessment da parte di terzi.

Incident Management

  • Abbiamo un rigoroso processo di gestione degli incidenti (incident management) per eventi di sicurezza che possono influire sulla riservatezza, integrità o disponibilità di sistemi o dati.
  • Se si verifica un incidente, il team di sicurezza registra e stabilisce la priorità in base alla gravità. Gli eventi che hanno un impatto diretto sui clienti hanno la priorità più alta.

Sicurezza fisica dei data center

  • I data center sono monitorati 24/7 da telecamere interne ed esterne ad alta risoluzione, in grado di rilevare e monitorare gli intrusi. I registri di accesso, i registri delle attività e le riprese della telecamera sono disponibili nel caso si verifichi un incidente.
  • I centri dati sono anche regolarmente sorvegliati da guardie di sicurezza esperte, che hanno ricevuto rigorosi controlli di background e addestramento.
  • Avvicinandosi al data center, aumentano anche le misure di sicurezza. L’accesso al data center è regolato dall’utilizzo di un badge di sicurezza personale e solo dipendenti approvati con ruoli specifici possono accedere.
  • Non bisogna dimenticare che avanzati sistemi di raffreddamento mantengono una temperatura operativa costante per server e altri hardware, riducendo il rischio di interruzioni del servizio. Le apparecchiature di rilevamento e soppressione degli incendi aiutano a prevenire danni all’hardware. Calore, fuoco e rilevatori di fumo attivano allarmi udibili e visibili nella zona interessata, nelle console per le operazioni di sicurezza e negli sportelli di monitoraggio remoto.

Disponibilità e integrità dei dati personali

Per assicurare la disponibilità dei dati, a fronte di malfunzionamenti dell’hardware, per i server critici sono previste copie di backup con cadenza minima giornaliera. Tali dati vengono salvati su sistemi installati in un backup site dedicato.

Up2 mantiene una copia di backup dei database caricati dai clienti per il tempo necessario specificato nella policy di data retention e poi vengono cancellati automaticamente.
Tali backup vengono verificati periodicamente, sono organizzati in maniera tale da garantire la separazione dei dati per ciascun cliente e sono criptati in maniera sicura, per garantire la massima confidenzialità dei dati.

Tracciamento e smaltimento dell’hardware

Il controllo parte all’acquisizione, segue l’installazione, fino alla dismissione ed eventuale distruzione.

Hai bisogno di un software gestionale per la tua azienda? Contattaci!

031 53 75 052