Dichiarazione di sicurezza di Rods&Cones

Rods&Cones mantiene un programma di sicurezza delle informazioni incentrato sulla sicurezza e sull'integrità dei dati dei clienti. Il programma di sicurezza delle informazioni comprende controlli amministrativi, tecnici e operativi adeguati alle dimensioni dell'azienda e ai tipi di informazioni trattate.

Monitoraggio
Rods&Cones monitora i propri sistemi registrando gli eventi relativi alla sicurezza, segnalando le attività sospette e conducendo ulteriori analisi sulle attività sospette.

Controllo dell'accesso logico
L'accesso ai dati dei clienti è limitato in base al principio del minor privilegio; l'accesso viene rilasciato tramite un processo di autorizzazione all'accesso documentato.

Revisione dell'accesso degli utenti
Valutiamo periodicamente l'accesso degli utenti durante l'intero ciclo di vita di un account, dalla creazione alla chiusura di un account utente, per garantire l'adeguatezza degli account utente. Ogni mese, l'applicazione Rods&Cones genera un rapporto con i diritti di accesso (ruolo), l'ora dell'ultimo accesso e la frequenza di accesso per ogni utente. Questo rapporto è disponibile per ogni account. Il responsabile delle operazioni della piattaforma Rods&Cones può modificare il ruolo o revocare l'accesso ai gestori degli account e agli utenti superamministratori il cui accesso è cambiato o non è più necessario. Gli Account Manager possono fare lo stesso per gli utenti dei loro account.

Sicurezza del personale
Rods&Cones si assicura di assumere professionisti qualificati che seguono la formazione sulla sicurezza e sulla privacy dei dati di Rods&Cones e firmano un accordo di riservatezza, un accordo sull'uso accettabile dei sistemi informatici e un codice di condotta. I trasferimenti di personale comportano modifiche alla gestione degli accessi in base al minor privilegio e al ruolo.

Gestione degli incidenti
Rods&Cones mantiene un programma di gestione degli incidenti di sicurezza delle informazioni che fornisce una risposta tempestiva e una notifica appropriata agli incidenti di sicurezza, al fine di proteggere le informazioni dei clienti in modo adeguato alle dimensioni dell'azienda.

Politica di continuità aziendale
Tutte le informazioni di proprietà di Rods&Cones sono archiviate in sistemi SAAS in cloud, dove le informazioni sono duplicate su più siti dai processori di dati. Per il ripristino dei dati, il team di Rods&Cones garantisce una sana politica di backup e ripristino.

Sicurezza del software

Processo di rilascio del software
Grazie all'architettura SaaS, esiste un'unica versione dell'infrastruttura cloud di Rods&Cones.
Il processo di sviluppo agile è strutturato per un ciclo bisettimanale per le minor release e trimestrale per le major release. Il processo coinvolge tutte le parti interessate dell'azienda, con il supporto degli strumenti più recenti.

Sicurezza della password
Le password degli utenti sono protette dalla crittografia SHA512, standard del settore. Applichiamo la verifica in due fasi. Il personale di Rods&Cones non ha accesso alle password degli utenti. Le credenziali di accesso sono sempre trasmesse in modo sicuro tramite HTTPS.

Sicurezza fisica
I dati e le applicazioni sono ospitati su Microsoft Azure, tutti ospitati nei Paesi Bassi. Queste piattaforme sono conformi ai più severi standard di sicurezza.

Top 10 di OWASP
Abbiamo verificato la nostra applicazione con la Top 10 di OWASP.

Crittografia
I dati vengono memorizzati utilizzando la crittografia AES a 256 bit e la decrittografia sul lato server.

Sicurezza di rete
Rods&Cones ha implementato controlli di sicurezza firewall, di rilevamento delle intrusioni e antivirus per proteggere i dati dei clienti da perdite o divulgazioni non autorizzate.

Backup e ripristino di emergenza
Implementiamo backup giornalieri dei filesystem che possono essere ripristinati in caso di disastro.

Comunicazioni
Tutte le connessioni web alle istanze client sono protette da una crittografia SSL a 128 bit di ultima generazione. La connessione utilizza TLS 1.2. La connessione è crittografata e autenticata con il cifrario AES_128_GCM.

Misure di sicurezza specifiche per la privacy
La piattaforma di Rods&Cones e quindi tutti i dati personali memorizzati sono ospitati e archiviati su Microsoft Azure, certificato ISO 27018. I dati sono fisicamente ospitati nei Paesi Bassi.

L'autenticazione e l'autorizzazione al controllo degli accessi si basano sulle credenziali della password di accesso, combinate con ulteriori restrizioni basate sull'indirizzo IP di origine e sul nome del dominio di destinazione. L'autorizzazione si basa su elenchi di controllo degli accessi collegati agli amministratori o agli utenti.

Al fine di soddisfare i vincoli descritti nell'articolo 32 del GDPR, Rods&Cones:

  • si affida a Microsoft Ireland Operations Limited per impedire a persone non autorizzate di accedere alle apparecchiature utilizzate per il trattamento dei dati personali (controllo dell'accesso alle apparecchiature);
  • si basa sui processi di autenticazione e autorizzazione descritti in precedenza per impedire la lettura, la copia, la modifica o la rimozione non autorizzata dei supporti di dati (controllo dei supporti di dati);
  • si affida a Microsoft Ireland Operations Limited e ai processi di autenticazione e autorizzazione appropriati descritti in precedenza per impedire l'inserimento non autorizzato di dati e l'ispezione, la modifica o la cancellazione non autorizzata dei dati personali memorizzati (controllo della memorizzazione);
  • si basa sui processi di autenticazione e autorizzazione descritti in precedenza per impedire l'utilizzo dei sistemi di elaborazione automatica dei dati da parte di persone non autorizzate che utilizzano apparecchiature per la comunicazione dei dati (controllo degli utenti);
  • si basa sui processi di autenticazione e autorizzazione descritti in precedenza per garantire che le persone autorizzate a utilizzare un sistema di elaborazione automatica dei dati abbiano accesso solo ai dati coperti dalla loro autorizzazione di accesso (controllo dell'accesso ai dati);
  • si basa sui processi di autenticazione e autorizzazione descritti in precedenza, combinati con i registri amministrativi e la crittografia delle comunicazioni, per garantire la possibilità di verificare e stabilire a quali organismi i dati personali sono stati o possono essere trasmessi o resi disponibili utilizzando apparecchiature di comunicazione (controllo delle comunicazioni);
  • si basa sui processi di autenticazione e autorizzazione descritti in precedenza, combinati con i dati raccolti lungo la catena di raccolta (come descritto in precedenza), per garantire che sia successivamente possibile verificare e stabilire quali dati personali sono stati immessi nei sistemi di elaborazione automatica dei dati e quando e da chi sono stati immessi (controllo dell'immissione);
  • si affida al trasporto criptato (HTTPS) e/o a file zip criptati per impedire la lettura, la copia, la modifica o la cancellazione non autorizzata di dati personali durante il trasferimento di dati personali o il trasporto di supporti di dati (controllo del trasporto);
  • si basa su processi di backup per garantire che i sistemi installati possano essere ripristinati in caso di interruzione (ripristino);
  • si basa su regolari test di regressione per garantire che le funzioni del sistema funzionino, che la comparsa di guasti nelle funzioni sia segnalata (affidabilità) e che i dati personali memorizzati non possano essere danneggiati da un malfunzionamento del sistema (integrità).