1.1. Governance e Evoluzione

Questa Politica è stata creata in stretta collaborazione con e approvata dagli esecutivi di 4Safe. Almeno annualmente, viene esaminata e modificata secondo necessità per garantire chiarezza, sufficiente copertura di ambito, attenzione agli interessi dei clienti e del personale, e rispondenza generale al panorama della sicurezza in evoluzione e alle migliori pratiche del settore.

1.2. Team della Sicurezza

Il team della sicurezza di 4Safe supervisiona l'attuazione di questa Politica, inclusi:

• l'approvvigionamento, la fornitura, la manutenzione, il ritiro e il recupero delle risorse informatiche aziendali,
• tutti gli aspetti dello sviluppo e del funzionamento del servizio relativi alla sicurezza, alla privacy, all'accesso, alla affidabilità e alla sopravvivenza,
• valutazione continua del rischio, gestione delle vulnerabilità, risposta agli incidenti e
• controlli delle risorse umane relativi alla sicurezza e formazione del personale.

1.3. Framework di Gestione dei Rischi

Il team della sicurezza mantiene un Framework di Gestione dei Rischi derivato da NIST SP 800-39 - "Gestione dei Rischi per la Sicurezza dell'Informazione: Vista dell'Organizzazione, Missione e Sistema" e NIST SP 800-30 - "Guida per la Conduzione delle Valutazioni dei Rischi". Gli esercizi di valutazione del rischio informano la prioritizzazione per miglioramenti continui alla posizione della sicurezza di 4Safe, che potrebbero includere modifiche a questa stessa Politica.

Il nostro Framework di Gestione dei Rischi incorpora quanto segue:

• Identificazione delle minacce rilevanti potenziali.
• Uno schema per valutare la solidità dei controlli implementati.
• Uno schema per valutare i rischi attuali e valutarne la gravità.
• Uno schema per rispondere ai rischi.

2.1. Comportamenti sul Lavoro

La prima linea di difesa nella sicurezza dei dati è costituita dal comportamento informato del personale, che svolge un ruolo significativo nel garantire la sicurezza di tutti i dati, indipendentemente dal formato. Tali comportamenti includono quelli elencati in questa sezione, nonché eventuali requisiti aggiuntivi specificati nel manuale dell'utente, nei processi di sicurezza specifici e in altri codici di condotta applicabili.

Formazione
Tutti i dipendenti e i collaboratori devono completare i programmi di formazione sulla consapevolezza della sicurezza e sul trattamento dei dati di 4Safe almeno una volta all'anno.

Persone non Riconosciute e Visitatori
È responsabilità di tutto il personale adottare misure positive per mantenere la sicurezza fisica. Rilevare chiunque si trovi in un luogo di lavoro restritto e non sia riconosciuto. Qualsiasi persona rilevata che non risponda adeguatamente deve essere segnalata immediatamente al personale di supervisione e al team di sicurezza. Tutti i visitatori degli uffici di 4Safe devono essere registrati come tali o accompagnati da un dipendente di 4Safe.

Scrivania Pulita
Il personale dovrebbe mantenere gli spazi di lavoro liberi da materiali sensibili o confidenziali e fare attenzione a liberare tali materiali alla fine di ogni giornata lavorativa.

Dispositivi Non Sorvegliati
I dispositivi non sorvegliati devono essere bloccati. Tutti i dispositivi devono avere una funzione di blocco automatico dello schermo impostata per attivarsi automaticamente dopo non più di quindici minuti di inattività.

Utilizzo di Risorse Aziendali
I sistemi devono essere utilizzati per scopi aziendali nell'interesse dell'azienda, dei nostri clienti e partner nel corso delle normali operazioni aziendali. Il personale è responsabile di esercitare un buon giudizio riguardo alla ragionevolezza dell'uso personale dei sistemi. Sono consentiti solo hardware e software gestiti da 4Safe da collegare o installare su attrezzature o reti aziendali e utilizzati per accedere ai dati di 4Safe. L'hardware e il software gestiti da 4Safe includono quelli di proprietà di 4Safe o di personale di 4Safe ma iscritti a un sistema di gestione dei dispositivi di 4Safe. Solo il software approvato da 4Safe per uso aziendale può essere installato sulle attrezzature aziendali. Tutto il personale deve leggere e comprendere l'elenco delle attività vietate descritte in questa Policy. Le modifiche o le configurazioni non sono consentite senza il consenso scritto esplicito del team di sicurezza di 4Safe.

Supporti Rimovibili, Nessun Backup, Utilizzo di Archiviazione Cloud
L'uso di supporti rimovibili come le chiavette USB è vietato. Il personale non può configurare i dispositivi di lavoro per effettuare backup o copie dei dati al di fuori delle politiche aziendali. Invece, ci si aspetta che il personale operi principalmente “nel cloud” e tratti lo storage locale sui dispositivi informatici come effimero. I dati di 4Safe devono essere salvati in uno storage cloud sicuro approvato dall'azienda (ad es. Google Docs) per garantire che anche in caso di smarrimento, furto o danneggiamento di un dispositivo aziendale, tali artefatti siano immediatamente recuperabili su un dispositivo di sostituzione.

Attività Vietate
Le seguenti attività sono vietate. In determinate condizioni e con il consenso scritto esplicito del team di sicurezza, il personale può essere esentato da determinate di queste restrizioni durante lo svolgimento delle proprie legittime responsabilità lavorative (ad es. test di penetrazione pianificati, il personale amministrativo di sistema potrebbe avere la necessità di disabilitare l'accesso di rete di un host se tale host sta disturbando i servizi di produzione).

L'elenco seguente non è esaustivo, ma cerca di fornire un quadro delle attività che rientrano nella categoria di uso non accettabile.

• In nessun caso il personale di 4Safe è autorizzato a impegnarsi in attività illegali ai sensi della legge locale, statale, federale o internazionale utilizzando risorse di proprietà di 4Safe.
• Violazioni dei diritti di qualsiasi persona o azienda protetti da copyright, segreto industriale, brevetto o altre leggi o regolamenti sulla proprietà intellettuale, o simili, compresa, ma non solo, l'installazione o la distribuzione di prodotti software "pirata" o di altri prodotti software non opportunamente autorizzati per l'uso da parte di 4Safe.
• È severamente vietato violare o tentare di violare i termini d'uso o l'accordo di licenza di qualsiasi prodotto software utilizzato da 4Safe.
• La copia non autorizzata di materiale protetto da copyright, compresa, ma non solo, la digitalizzazione e la distribuzione di fotografie da riviste, libri o altre fonti protette da copyright, musica protetta da copyright e l'installazione di qualsiasi software protetto da copyright per il quale 4Safe o l'utente finale non dispongono di una licenza attiva è severamente vietata.
• L'esportazione di software, informazioni tecniche, software di crittografia o tecnologia può comportare una violazione delle leggi internazionali o regionali sul controllo delle esportazioni. La direzione appropriata dovrebbe essere consultata prima di esportare qualsiasi materiale che è in questione.
• Rivelare la propria password dell'account ad altri o consentire l'uso del proprio account da parte di altri. Ciò include colleghi, nonché familiari e altri membri del nucleo familiare quando si lavora a casa.
• Fare offerte fraudolente di prodotti, articoli o servizi originari da qualsiasi account di 4Safe.
• Fare dichiarazioni sulla garanzia, esplicitamente o implicitamente, a meno che non faccia parte dei normali compiti lavorativi e solo nella misura in cui le garanzie siano conformi alle garanzie autorizzate di 4Safe.
• Introdurre programmi maligni nella rete o nel server (ad esempio, virus, worm, cavalli di Troia, bombe e-mail, ecc.).
• Compromettere la sicurezza o interrompere le comunicazioni di rete. Le violazioni della sicurezza includono, ma non sono limitate a, l'accesso a dati a cui l'utente non è destinatario previsto o l'accesso a un server o a un account a cui l'utente non è espressamente autorizzato ad accedere. Ai fini di questa sezione, "interruzione" include, ma non si limita a, lo sniffing di rete, i ping flood, lo spoofing dei pacchetti, il denial of service e l'invio di informazioni di routing contraffatte a fini maliziosi o illegali.
• Salvo che sotto diretta supervisione del team di sicurezza, scansione delle porte o scansione della sicurezza, o altri software progettati per sfruttare o individuare vulnerabilità informatiche, software o di rete.
• Esecuzione di qualsiasi forma di monitoraggio della rete che intercetterà dati non destinati all'host dell'utente, a meno che quest'attività non faccia parte del normale lavoro/dovere dell'utente.
• Circumventare l'autenticazione dell'utente o la sicurezza di qualsiasi host, rete o account o tentare di violare una risorsa informativa o di aggirare una funzione di sicurezza. Questo include l'esecuzione di programmi di cracking delle password o programmi sniffer e il tentativo di aggirare i permessi di file o di altre risorse.
• Tentativo di interferire o negare il servizio a qualsiasi altro utente.
• Fornire informazioni su, o elenchi di, personale di 4Safe a parti esterne a 4Safe.
• Installazione di software che installa o include qualsiasi forma di malware, spyware o adware come definito dal team di sicurezza.
• Far crashare un sistema informativo. Far crashare deliberatamente un sistema informativo è severamente vietato. Gli utenti potrebbero non rendersi conto di aver causato il crash di un sistema, ma se viene dimostrato che il crash è avvenuto a seguito di un'azione dell'utente, una ripetizione dell'azione da parte di tale utente potrebbe essere considerata un atto deliberato.
• Tentativi di sottoporre a tecnologie utilizzate per configurare il sistema dispositivi aziendali gestiti dall'azienda (ad es. MDM) o dispositivi personali utilizzati volontariamente per scopi aziendali (ad es. Profili di lavoro mobili).

2.2. Configurazione dei Sistemi del Personale, Proprietà e Privacy

Configurazione Centralizzata del Sistema
I dispositivi del personale e la loro configurazione software sono gestiti a distanza dai membri del team della sicurezza tramite tecnologia di enforcement della configurazione, nota anche come software MDM. Tale tecnologia può essere utilizzata per scopi tra cui l'audit/l'installazione/la rimozione di applicazioni software o servizi di sistema, la gestione della configurazione di rete, l'applicazione delle policy sulla password, la cifratura dei dischi, il wipe & recovery remoto, la copia di file dati da/a dispositivi del personale, e qualsiasi altra interazione consentita per garantire che i dispositivi del personale siano conformi a questa Policy.

Crittografia dei Dati e dei Dispositivi
Tutti i dispositivi devono utilizzare una moderna crittografia del disco completo per proteggere i dati nel caso di smarrimento del dispositivo. Un esempio di crittografia del disco completo valida è Apple FileVault 2 che utilizza la crittografia XTS-AES-128 con una chiave a 256 bit. Questo è imposto utilizzando il software MDM.

Heartbeat e Wipe Remoto del Dispositivo
I dispositivi devono supportare la capacità di segnalare il proprio stato e di essere cancellati a distanza. Questo è imposto utilizzando il software MDM.

Prevenzione dello Storage Rimovibile
I dispositivi devono impedire l'uso dello storage rimovibile. Questo è imposto utilizzando il software MDM.

I dispositivi devono installare e configurare automaticamente il software antivirus fornito da 4Safe per la protezione dell'endpoint. Il software configurato segnalerà lo stato e le minacce potenziali, consentendo l'amministrazione e la segnalazione remota da parte del team della sicurezza. Questo è imposto utilizzando il software MDM.

Mantenimento della Proprietà
Tutti i programmi software, i dati e la documentazione generati o forniti dal personale durante la fornitura dei servizi a 4Safe o a beneficio di 4Safe sono di proprietà di 4Safe a meno che non siano diversamente disciplinati da un accordo contrattuale.

Privacy del Personale
Sebbene l'amministrazione della rete di 4Safe desideri garantire un ragionevole livello di privacy, gli utenti devono essere consapevoli che i dati che creano sui sistemi aziendali rimangono di proprietà di 4Safe. A causa della necessità di proteggere la rete di 4Safe, la direzione non intende garantire la privacy delle informazioni personali del personale memorizzate su qualsiasi dispositivo di rete di 4Safe. Il personale è responsabile di esercitare un buon giudizio riguardo all'uso personale come la navigazione web generale o l'email personale. In caso di incertezza, il personale dovrebbe consultare il team della sicurezza o il proprio responsabile.

Il personale dovrebbe strutturare tutte le comunicazioni elettroniche con il riconoscimento del fatto che il contenuto potrebbe essere monitorato e che qualsiasi comunicazione elettronica potrebbe essere inoltrata, intercettata, stampata o memorizzata da altri.

4Safe si riserva il diritto, a sua discrezione, di esaminare i file o le comunicazioni elettroniche del personale per quanto necessario per garantire che tutti i media e i servizi elettronici siano utilizzati in conformità con tutte le leggi e i regolamenti applicabili nonché con le politiche aziendali.

4Safe si riserva il diritto di ispezionare reti e sistemi su base periodica per garantire la conformità a questa policy. Per scopi di sicurezza e manutenzione della rete, individui autorizzati all'interno di 4Safe possono monitorare attrezzature, sistemi e traffico di rete in qualsiasi momento.

2.3. Pratiche delle Risorse Umane

Controlli sui Precedenti
Sono condotti controlli sui precedenti per il personale con accesso all'infrastruttura di produzione prima della data di inizio. Le conseguenze dei risultati problematici dei controlli sui precedenti possono variare da una limitazione dei privilegi di sicurezza, alla revoca dell'offerta di lavoro, fino al licenziamento.

Formazione
Il team di sicurezza gestisce un programma di sensibilizzazione alla sicurezza a livello aziendale erogato a tutto il personale almeno annualmente. Il programma copre la consapevolezza della sicurezza, le politiche, i processi e la formazione per garantire che il personale sia sufficientemente informato per adempiere ai propri obblighi. Coloro che sono più responsabili del mantenimento della sicurezza presso 4Safe, compreso il team di sicurezza stesso oltre al personale chiave di ingegneria/operazioni, seguono una formazione continua più tecnica.

Separazione
Nel caso di cessazione del rapporto di lavoro o dimissioni del personale, il team di sicurezza collabora con le risorse umane per implementare un processo di separazione standardizzato al fine di garantire che tutti gli account, le credenziali e gli accessi dei dipendenti uscenti vengano disabilitati in modo affidabile.

2.4. Ambiente Fisico dell'Ufficio

L'accesso agli uffici di 4Safe è mediato da un front office con personale e da un accesso controllato delle porte programmabile. Tutte le porte devono rimanere chiuse a chiave o presidiate nelle normali condizioni aziendali. Il team di sicurezza può fornire l'approvazione per sbloccare le porte per brevi periodi al fine di soddisfare esigenze particolari di accesso fisico.
Le telecamere di sicurezza basate su Internet sono posizionate per registrare video con timestamp di ingresso/uscita, che vengono archiviati esternamente.

2.5. Rete dell'Ufficio

L'accesso a Internet sarà fornito ai dispositivi tramite cavo Ethernet e wifi WPA2. Sarà istituito un firewall di rete che bloccherà tutto il traffico proveniente dalla WAN. I servizi di rete accessibili dalla WAN non saranno ospitati all'interno dell'ambiente dell'ufficio.

3.1. Account Utenti e Autenticazione

Ogni individuo che ha accesso a qualsiasi sistema controllato da 4Safe lo fa tramite un account utente G Suite che denota la loro identità nel sistema. Tali account utente devono avere un nome utente univoco, una password forte univoca di almeno 8 caratteri.

Accesso ai Sistemi 4Safe
Gli accessi del personale possono provenire solo da dispositivi gestiti da 4Safe. . I tentativi di autenticazione ripetuti falliti possono comportare il blocco o la revoca dell'account utente responsabile.

Revoca e Audit degli Account Utente
Gli account utente vengono revocati (cioè disabilitati ma non eliminati) immediatamente al momento della separazione del personale. Come ulteriore precauzione, tutti gli account utente vengono sottoposti ad audit almeno trimestralmente e gli account utente inattivi vengono revocati.

3.2. Gestione degli Accessi

4Safe aderisce al principio del privilegio minimo, e ogni azione tentata da un account utente è soggetta a controlli di accesso.

Controllo degli Accessi Basato sui Ruoli
4Safe utilizza un modello di controllo degli accessi basato sui ruoli (RBAC) utilizzando strutture fornite da Google come unità organizzative, account utente, gruppi di utenti e controlli di condivisione.

Browser Web ed Estensioni
4Safe può richiedere l'uso di browser web specifici per l'uso aziendale normale e per l'accesso ai dati aziendali come l'email. Per determinati ruoli specifici come lo sviluppo software e il design web, le attività lavorative al di là di quelle menzionate sopra richiedono l'uso di una varietà di browser, e tali ruoli possono farlo secondo necessità per tali attività.

Qualsiasi browser che è autorizzato ad accedere ai dati aziendali come l'email è soggetto a una restrizione basata su whitelist su quali estensioni del browser possono essere installate.

Accesso Amministrativo
L'accesso alle operazioni amministrative è strettamente limitato ai membri del team di sicurezza e ulteriormente limitato in base all'anzianità e al principio del privilegio minimo.

Revisione Regolare
Le politiche di controllo degli accessi sono regolarmente revisionate con l'obiettivo di ridurre o raffinare l'accesso quando possibile. I cambiamenti nella funzione lavorativa del personale innescano anche una revisione degli accessi.

3.3. Cessazione

Alla cessazione del personale, sia volontaria che involontaria, il team di sicurezza seguirà la procedura di uscita del personale di 4Safe, che include la revoca dell'account utente associato e il recupero dei dispositivi di proprietà dell'azienda, chiavi d'ufficio o badge di accesso e tutto l'altro equipaggiamento e le proprietà aziendali prima del giorno finale di impiego.

4.1. Sviluppo del Software

4Safe archivia il codice sorgente e i file di configurazione in repository privati su GitHub. I team di sicurezza e sviluppo conducono revisioni del codice e eseguono uno strumento di analisi statica del codice su ogni commit. I revisori verificano la conformità alle convenzioni e allo stile di 4Safe, potenziali bug, possibili problemi di prestazioni e che il commit sia vincolato solo al suo scopo previsto.

Le revisioni di sicurezza devono essere condotte su ogni commit di codice ai moduli sensibili alla sicurezza. Tali moduli includono quelli che riguardano direttamente l'autenticazione, l'autorizzazione, il controllo degli accessi, l'audit e la crittografia.

Tutti i principali componenti incorporati di librerie e strumenti open source devono essere esaminati per robustezza, stabilità, prestazioni, sicurezza e manutenibilità.

I team di sicurezza e sviluppo devono stabilire e attenersi a un processo formale di rilascio del software.

I dati sensibili che non hanno bisogno di essere decriptati (ad esempio, le password) vengono salted e hashed utilizzando funzioni approvate come Bcrypt.

I dati sensibili che devono essere decriptati (ad esempio, i token) devono utilizzare un provider di crittografia approvato per le funzioni HSM, come KMS.

4.2. Configurazione e Gestione dei Cambiamenti

I team di sicurezza e sviluppo di 4Safe devono documentare la configurazione di tutti i sistemi e servizi adottati, che siano ospitati da 4Safe o da terze parti. Le migliori pratiche del settore e le linee guida specifiche dei fornitori devono essere identificate e incorporate nelle configurazioni di sistema. Tutte le configurazioni devono essere riesaminate almeno annualmente. Eventuali modifiche alle configurazioni devono essere approvate da individui designati e documentate tempestivamente.

Le configurazioni di sistema devono affrontare i seguenti controlli in base al rischio e in conformità con il resto di questa politica:

• crittografia per la protezione dei dati a riposo
• protezione dei dati in transito per riservatezza, autenticità e integrità dei dati in entrata e in uscita
• integrità dei dati e dei file
• rilevamento e risoluzione del malware
• acquisizione dei registri eventi
• autenticazione degli utenti amministrativi
• applicazione del controllo degli accessi
• rimozione o disabilitazione di software e configurazioni non necessari
• allocazione di risorse hardware sufficienti per supportare carichi attesi almeno dodici mesi nel futuro.
• i dati di produzione non vengono utilizzati nei sistemi di sviluppo o di test.

4.3. Servizi di Terze Parti

Per ogni servizio di terze parti o sottoprocesso che 4Safe adotta, il team di conformità deve riesaminare il servizio e il fornitore, su base annuale, per ottenere l'assicurazione che la loro postura di sicurezza sia coerente con quella di 4Safe per il tipo e la sensibilità dei dati che il servizio memorizzerà o accederà.

5.1. Classificazione dei Dati

4Safe mantiene i seguenti Livelli di Confidenzialità dei Dati:

• Riservato - Informazioni disponibili solo per ruoli specifici all'interno dell'organizzazione. I dati devono essere crittografati a riposo e in transito. L'accesso ai dati richiede l'autenticazione a due fattori (2FA/MFA).
• Limitato - Accesso limitato a ruoli specifici all'interno dell'organizzazione e a terze parti autorizzate. I dati devono essere crittografati a riposo e in transito. L'accesso ai dati richiede l'autenticazione a due fattori (2FA/MFA).
• Interno - Le informazioni sono disponibili a tutti i dipendenti e alle terze parti autorizzate. I dati devono essere crittografati a riposo e in transito.
• Pubblico - Le informazioni sono disponibili al pubblico.

La Confidenzialità dei Dati è determinata da:

• Il valore delle informazioni, basato sugli impatti identificati durante il processo di valutazione del rischio.
• Sensibilità e criticità delle informazioni, basate sul rischio più elevato calcolato per ogni elemento di dati durante la valutazione del rischio.
• Obblighi di policy, legali, regolamentari e contrattuali.

Inoltre, i dati possono essere separati in classificazioni dei tipi di dati per applicare regole di elaborazione per i dati dei clienti. Per ciascuna classe di dati, i team di sicurezza e sviluppo di 4Safe possono prevedere e dedicare specifici sistemi informativi per memorizzare ed elaborare dati di quella classe, e solo dati di quella classe, a meno che diversamente specificato. Per tutte le classi di dati dei clienti, i dati devono essere crittografati a riposo e in transito. I sistemi corrispondenti possono memorizzare ed elaborare elementi di dati necessari per mantenere correttamente segmentati i dati di ciascun cliente, come identificatori di cliente 4Safe.

Dati dell'Account Utente del Cliente - Questi sono dati relativi agli account di accesso per l'interfaccia web del cliente www.4Safe.Online, utilizzati dagli agenti clienti 4Safe. Le credenziali degli account utente devono essere crittografate in modo tale che le password in chiaro non possano essere recuperate.

Dati di Contatto del Cliente - Questi sono dati di contatto sui clienti 4Safe e gli agenti clienti.

Dati delle Preferenze del Cliente - Questi sono dati relativi alle preferenze e configurazioni specifiche del cliente del servizio 4Safe effettuate dagli agenti clienti.

Dati Registrati del Cliente - Questi sono dati che il servizio 4Safe raccoglie durante la registrazione della sessione.

Metadati della Transazione degli Eventi del Cliente - Questi sono metadati sulle transazioni effettuate su tutte le altre classi di dati dei clienti. Questo include l'organizzazione del cliente e gli identificatori degli utenti, i dati standard del syslog relativi agli utenti del cliente e le istanze dei Dati di Contatto del Cliente e dei Dati delle Preferenze del Cliente. Questa classe non include i Dati Registrati del Cliente.

I Dati di Contatto del Cliente, i Dati delle Preferenze del Cliente e i Metadati della Transazione degli Eventi del Cliente possono essere memorizzati ed elaborati in sistemi ospitati in diversi ambienti, come approvato dal team di sicurezza.

Le risorse devono mantenere politiche precise di marcatura della classificazione dei dati per l'intero ciclo di vita, compresa la decommissione o quando vengono temporaneamente rimossi dal servizio.

5.2. Accesso dei dipendenti di 4Safe ai dati dei clienti

I dipendenti di 4Safe possono accedere ai dati dei clienti solo nelle seguenti condizioni:

• Dai dispositivi gestiti.
• Per scopi di risposta agli incidenti o supporto clienti.
• Per il tempo strettamente necessario per adempiere allo scopo dell'accesso.
• In modo tracciabile.
• I dati dei clienti non vengono utilizzati nei sistemi di sviluppo o di test.
• I metadati sull'uso del prodotto possono essere utilizzati per analisi, monitoraggio delle prestazioni e miglioramento del servizio/feature.

5.3. Accesso dei clienti

4Safe fornisce interfacce utente web (UI), interfacce di programmazione delle applicazioni (API) e strumenti di esportazione dati per consentire ai clienti di accedere ai propri dati.

5.4. Casi eccezionali

Il team della sicurezza insieme alla direzione esecutiva può approvare eccezioni di emergenza a una qualsiasi delle regole sopra elencate, in risposta a incidenti di sicurezza, interruzioni del servizio o cambiamenti significativi nell'ambiente operativo di 4Safe, quando si ritiene che tali eccezioni gioveranno e proteggeranno la sicurezza e la missione di 4Safe, dei clienti di 4Safe e dei visitatori dei siti web dei clienti di 4Safe.

5.5. Crittografia dei dati

4Safe protegge tutti i dati in transito con TLS 1.2 e tutti i dati a riposo con crittografia AES-256. Le chiavi crittografiche sono assegnate a ruoli specifici in base all'accesso con il principio del privilegio minimo e le chiavi vengono ruotate automaticamente ogni anno. L'uso delle chiavi viene monitorato e registrato.

Le risorse devono mantenere la crittografia dei dati a riposo e in transito per l'intero ciclo di vita, compresa la dismissione o quando vengono temporaneamente rimossi dal servizio.

5.6. Conservazione dei dati

Ogni cliente è responsabile delle informazioni che crea, utilizza, archivia, elabora e distrugge.

Alla scadenza dei servizi, i clienti possono istruire 4Safe di eliminare tutti i dati del cliente dai sistemi di 4Safe nel rispetto della legge applicabile non appena ragionevolmente possibile, a meno che la legge o i regolamenti applicabili non lo richiedano diversamente.

5.7. Sanitizzazione dei dati e smaltimento sicuro

4Safe utilizza Amazon Web Services per tutta l'infrastruttura. AWS fornisce le seguenti linee guida riguardo le politiche del ciclo di vita dei dati:

I dispositivi di archiviazione dei supporti utilizzati per memorizzare i dati dei clienti sono classificati da AWS come Critici e trattati di conseguenza, come ad alto impatto, durante tutto il loro ciclo di vita. AWS ha standard rigorosi su come installare, servire e infine distruggere i dispositivi quando non sono più utili. Quando un dispositivo di archiviazione ha raggiunto la fine della sua vita utile, AWS decommissiona i supporti utilizzando tecniche dettagliate nel NIST 800-88. I supporti che memorizzavano dati dei clienti non vengono rimossi dal controllo di AWS fino a quando non sono stati decommissionati in modo sicuro.

6.1. Rilevamento e Risposta alle Vulnerabilità

Il team di sicurezza e sviluppo di 4Safe utilizzerà tutte le seguenti misure per rilevare le vulnerabilità che potrebbero insorgere nei sistemi informativi di 4Safe.

• Verifica incrociata dei database delle vulnerabilità con tutti i sistemi e i pacchetti software che supportano i servizi critici di 4Safe.
• Scanner automatizzati del codice sorgente su ogni commit del codice.
• Revisioni del codice su ogni commit del codice sensibile alla sicurezza.
• Scansione delle vulnerabilità sui servizi di 4Safe.
• Mantenimento di un programma di bug bounty.
• Test di penetrazione annuali.

Il team di sicurezza di 4Safe valuterà la gravità di ogni vulnerabilità rilevata in termini di probabilità e impatto potenziale di uno sfruttamento e svilupperà di conseguenza strategie e piani di mitigazione. Le mitigazioni appropriate includono la completa risoluzione o l'implementazione di controlli compensativi.

6.2. Rilevamento e Risposta agli Incidenti

Il team di sicurezza di 4Safe mantiene una Policy di Risposta agli Incidenti interna che contiene passaggi per la preparazione, identificazione, contenimento, investigazione, eradicazione, ripristino e follow-up/postmortem.

Il team di sicurezza di 4Safe utilizzerà tutte le seguenti misure per rilevare gli incidenti di sicurezza.

• Monitoraggio continuo del traffico di rete e dei carichi di lavoro di AWS per attività maliziose o non autorizzate.
• Monitoraggio continuo dei log per rilevare attività potenzialmente dannose o non autorizzate.
• Conduzione di revisioni sulle cause di eventuali interruzioni del servizio.
• Rispondere a segnalazioni di possibili incidenti da parte di dipendenti, collaboratori o parti esterne.

Il team di sicurezza di 4Safe effettuerà una valutazione per determinare se ogni indicatore sia rappresentativo di un effettivo incidente di sicurezza. La gravità, la portata e la causa radice di ogni incidente saranno valutate, e ogni incidente sarà risolto in modo e tempi commisurati alla gravità e alla portata.

Nel caso in cui sia stato rilevato una violazione dei dati che coinvolge un cliente, 4Safe manterrà la comunicazione con il cliente riguardo alla gravità, alla portata, alla causa radice e alla risoluzione della violazione.

7.1 Disponibilità e Resilienza

I servizi di 4Safe devono essere configurati in modo tale da resistere a interruzioni a lungo termine dei singoli server, zone di disponibilità e regioni geografiche. L'infrastruttura e i dati di 4Safe sono replicati in più regioni geografiche per garantire questo livello di disponibilità. Le informazioni sulla disponibilità e lo stato di 4Safe possono essere trovate su status.4Safe.online.

7.2 Recupero da Disastro

4Safe mira a un Obiettivo di Punto di Recupero dei Dati (RPO) di 24 ore per almeno 7 giorni.

A causa della natura distribuita dei servizi di 4Safe, gli Obiettivi di Tempo di Recupero (RTO) sono quasi nulli per i disastri geografici. Il RTO per i disastri sistemici che coinvolgono il recupero dei dati è fissato a 48 ore.

4Safe testa i processi di backup e ripristino almeno su base trimestrale.

7.3 Continuità Operativa

Valutazione dei Rischi Aziendali e Analisi dell'Impatto Aziendale
Il comitato di valutazione dei rischi di 4Safe includerà una valutazione dei rischi aziendali e un'analisi dell'impatto aziendale per ogni Sistema Aziendale Chiave utilizzato dall'organizzazione. Il risultato delle valutazioni dei rischi in corso aggiornerà o creerà piani di ripristino per i Sistemi Aziendali Chiave e aggiornerà la priorizzazione dei sistemi rispetto ad altri sistemi chiave.

Distribuzione, Ri-localizzazione, e Lavoro Remoto
4Safe dà priorità a politiche, strumenti ed equipaggiamento che consentono il lavoro remoto indipendente e distribuito per tutto il personale in caso di emergenze o disastri. Se il sito di lavoro primario dell'organizzazione non è disponibile, il personale può lavorare da casa o da un sito di lavoro alternativo designato dalla direzione.

Notifiche e Comunicazioni
4Safe ha stabilito comunicazioni interne utilizzando fornitori sicuri e distribuiti che utilizzano protocolli di sicurezza standard del settore. Il personale e la direzione saranno notificati tramite i canali esistenti durante qualsiasi evento di emergenza, o quando viene avviato o disattivato qualsiasi piano di recupero dati.