Sicurezza e protezione dei dati

OPEN SOURCE A SUPPORTO DELLA SICUREZZA

Riteniamo strategico affidarci a componenti software Open Source ampiamente manutenuti e consolidati, evitando ove possibile soluzioni custom difficili da manutenere e non ampiamente testate. Gli approcci “not invented here” e “security through obscurity” non fanno parte della nostra cultura, prima ancora che dei nostri sistemi.

BEST-PRACTICE INFRASTRUTTURALI E APPLICATIVE

Affidabilità, scalabilità e sicurezza sono state le motivazioni che ci hanno portato a scegliere il Cloud Provider leader di mercato come partner di riferimento per i nostri sistemi Cloud. La sicurezza degli applicativi rilasciati su AWS è garantita dall’adozione delle best-practice consigliate dal medesimo Cloud Provider, dalla cifratura del dato (a livello di database in primis, come poi su object storage ed in qualsiasi altro supporto dati “at rest”) alla comunicazione tra servizi (sempre su VPC interne, e rigorosamente su canale SSL sicuro), fino all’autenticazione degli utenti (tramite standard OAuth 2.0 per gli utenti del sistema, e Single Sign-on aziendale con multi-factor authentication per il dipendente che interviene sull’infrastruttura).

INFRASTRUCTURE-AS-CODE E RESILIENZA

L’intera infrastruttura è gestita attraverso un “approccio dichiarativo” nella definizione delle risorse e nella loro configurazione: questo abilità procedure automatiche di “disaster recovery” robuste, che permettono di ridurre al minimo Recovery Time Objective (RTO) e Recovery Point Objective (RPO) in caso di failure distribuito. Tendiamo a testare periodicamente tali procedure per assicurarci che siano aggiornate e corrette, commissionando assessment periodici a consulenti di Cyber Security esterni all’organizzazione, per validare le scelte tecnologiche e le misure messe in atto a difesa del perimetro della piattaforma.

TUTELA DEL PERIMETRO AZIENDALE

La sicurezza dei computer e dei dispositivi aziendali è garantita tramite cifratura del disco, identificazione biometrica del dipendente e gestione remota completa della flotta dei dispositivi. L’autenticazione del personale per l’accesso a servizi interni ed esterni all’azienda avviene, ove tecnicamente fattibile, tramite Single Sign-On (SSO) via Google Suite Business: questo ci garantisce un unico punto di accesso alle comunicazioni aziendali ed ai sistemi, con policy stringenti sul rinnovo delle password ed identificazione a più fattori. Le chiavi di accesso a sistemi che non supportano l’integrazione con il nostro Provider SSO sono condivise tramite un servizio di gestione segreti apposito, a sua volta accessibile unicamente tramite SSO aziendale.

PARTIZIONAMENTO DATI E GESTIONE DEI SEGRETI

Gli ambienti di produzione e di sviluppo sono fisicamente e logicamente indipendenti, permettendoci di limitare fortemente l’accesso a dati reali degli utenti al solo personale strettamente autorizzato ad attività di manutenzione applicativa ed infrastrutturale. Il codice applicativo ed i segreti necessari per l’accesso ai sistemi sono sempre gestiti in maniera indipendente, utilizzando procedure automatiche per la riconciliazione dei riferimenti ai segreti durante le fasi di rilascio del software nei rispettivi ambienti. L’utilizzo di un servizio di gestione segreti affidabile (basato su un’architettura “zero knowledge”) e centralizzato ci permette di automatizzare la gestione delle chiavi di accesso e la loro rotazione periodica.

AUDITING & LOGGING DISTRIBUITO

Qualsiasi attività degli utenti nel sistema viene tracciata tramite log applicativi e di sistema: da una parte, il tracciamento delle attività può aiutare in fase di risoluzione dei problemi, fornendo una cronistoria precisa delle attività effettuate e delle rispettive responsabilità di sviluppatori, amministratori di sistema e/o utenti finali; dall’altra, garantire la compliance della nostra piattaforma con le più recenti norme imposte dalla GDPR.

CONSIDERAZIONI ULTERIORI SUL TEMA GDPR

Tutte le attività fin qui descritte vanno a garantire gli standard di sicurezza richiesti dalla General Data Protection Regulation (GDPR) in qualsiasi fase dello sviluppo e tenuta in opera del sistema. Oltre alle scelte tecniche volte alla minimizzazione del rischio, il trattamento del dato è garantito rispetto ai principi di liceità enunciati nel Regolamento, in particolare:

Limitazione di scopo: al login, l’utente accetta le condizioni di utilizzo dei dati e acconsente al trattamento; in caso di successivi aggiornamenti riguardanti lo scopo del trattamento, è possibile chiedere la ri-sottomissione del form di approvazione all’utente; il form è specifico per impianto, dal momento che il cliente di Sofia si configura come Titolare del Trattamento, ed elegge Sofia come Responsabile del Trattamento;
Minimizzazione dei dati: raccogliamo solo i dati rilevanti degli utenti (i.e., nome, cognome, email);
Accuratezza: i processi di auditing e logging descritti garantiscono completa visibilità su come il dato viene modificato, e da chi;
Integrità e riservatezza: questo è garantito dalle attività discusse nella sezione Partizionamento dati e gestione dei segreti;
Limitazione della conservazione: per garantire all’utente il cosiddetto “diritto all’oblio”, l’utente può richiedere la rimozione dei dati personali di cui è Proprietario dalla piattaforma in qualsiasi momento. Eventuali dati derivanti da questi (e.g., log di accesso, di attività ed eventi connessi) risulteranno “pseudonimizzati”, non avendo più un riferimento valido per risalire all’identità della persona fisica. I log applicativi vengono rimossi entro i 90 giorni (periodo di “log rotation”), così come i backup: questo garantisce la rimozione completa dei suddetti dati anche in sistemi di storage “derivati” dalla produzione entro i termini di legge;
Equo e trasparente: il cliente di Sofia rimane il titolare del dato, mentre termini e condizioni d’uso garantiscono la trasparenza sulle finalità del trattamento, nelle modalità descritte nel primo punto di questo elenco.