Sicurezza

Infrastruttura sicura

I nostri servizi sono ospitati sull’infrastruttura di Amazon Web Services (AWS). Non ospitiamo né gestiamo router, bilanciatori di carico, server DNS o server fisici di nostra proprietà. I data center di Amazon sono dotati di sicurezza presidiata 24 ore su 24, controllo degli accessi biometrico, videosorveglianza e serrature fisiche. Tutti i sistemi, i dispositivi collegati in rete e i circuiti sono costantemente monitorati. Le strutture AWS sono accreditate secondo ISO 27001, SOC 1 e SOC 2/SSAE 16/ISAE 3402 (precedentemente SAS 70 Tipo II), PCI Livello 1, FISMA Moderate e Sarbanes-Oxley (SOX). Per saperne di più sulla sicurezza AWS.

Ospitato negli Stati Uniti o nell’Unione Europea: a voi la scelta

Stati Uniti – serviti da data center e sub-responsabili del trattamento situati negli Stati Uniti, con i nostri servizi principali ospitati nella Virginia settentrionale; e l’Unione Europea – servita da data center e sub-responsabili del trattamento situati esclusivamente in paesi membri dell’UE, con i nostri servizi principali ospitati a Francoforte, in Germania.

Sempre crittografato

Crittografia durante il trasferimento – Tutti i dati inviati da o verso la nostra infrastruttura vengono crittografati durante il trasferimento secondo le migliori pratiche del settore, utilizzando il protocollo Transport Layer Security (TLS 1.2 o 1.3). La nostra configurazione SSL ha ottenuto un punteggio di sicurezza A+ da Qualys SSL Labs.

Crittografia dei dati inattivi – Tutti i dati dei nostri utenti vengono crittografati nei nostri database utilizzando l’algoritmo di crittografia AES-256, di comprovata efficacia.

Pagamenti sicuri

La nostra piattaforma è conforme allo standard PCI DSS, garantendo una gestione sicura dei dati di pagamento grazie a misure di protezione e conformità all’avanguardia nel settore. Non ci occupiamo della gestione né dell’archiviazione dei numeri delle carte di credito: i dati della Sua carta vengono acquisiti direttamente e archiviati in modo sicuro da Braintree (una società di PayPal), il nostro fornitore di servizi di pagamento. Braintree è certificata conforme allo standard PCI Livello 1 ed è elencata come Visa® Global Compliant Provider e MasterCard® Compliant Provider (SDP). Per saperne di più sulla sicurezza e conformità di Braintree.

Monitoraggio della sicurezza delle applicazioni

• Utilizziamo una soluzione di monitoraggio della sicurezza per ottenere una visione d’insieme della sicurezza delle nostre applicazioni, individuare gli attacchi e reagire tempestivamente in caso di violazione dei dati.
• Utilizziamo tecnologie per monitorare le eccezioni e i log e per individuare eventuali anomalie nelle nostre applicazioni.
• Raccogliamo e archiviamo registri completi al fine di fornire una traccia di controllo delle attività delle nostre applicazioni. I nostri registri vengono esaminati regolarmente dal nostro team di sicurezza per individuare eventuali anomalie.
• Gli eventi di sicurezza vengono registrati e, in caso di attacchi critici, vengono inviate notifiche per consentire un intervento tempestivo.

Protezione della sicurezza delle applicazioni

• Utilizziamo Amazon Web Application Firewall per proteggere i nostri utenti da un’ampia gamma di vulnerabilità. AWS WAF integra protezioni contro le categorie di attacchi più critiche, quali le iniezioni SQL e il cross-site scripting. Blocca gli attacchi in tempo reale e ci avvisa quando gli hacker iniziano a mettere sotto pressione le nostre applicazioni.
• Utilizziamo le intestazioni di sicurezza per proteggere i nostri utenti dagli attacchi. I nostri servizi hanno ottenuto un punteggio A+ da SecurityHeaders.io.

Gestione degli incidenti

I presunti incidenti di sicurezza, comprese eventuali violazioni della sicurezza logica e fisica, vengono registrati, monitorati e risolti in conformità con la nostra politica e le nostre procedure di risposta agli incidenti. Laddove richiesto dalla normativa vigente, ivi inclusa la legge UE sulla resilienza informatica (Cyber Resilience Act), notifichiamo alle autorità competenti (come l’ENISA) gli incidenti di sicurezza significativi entro i termini previsti. Se ha domande o sospetta che si sia verificato un incidente, la preghiamo di contattare security@teamretro.com.

Segnalazione dei tempi di inattività

I clienti aziendali possono scegliere di ricevere una notifica via e-mail in caso di eventuali problemi. La nostra piattaforma di hosting consente solitamente di evitare tempi di inattività quando apportiamo modifiche ai nostri servizi. Tuttavia, informeremo i clienti via e-mail con almeno 24 ore di anticipo in caso di eventuali interruzioni programmate.

La vostra privacy è al sicuro

I Suoi dati rimangono di Sua proprietà e sono accessibili solo alle persone con cui decide di condividerli. TeamRetro (e il team di GroupMap Technology) può accedere ai Suoi dati solo in circostanze limitate, ad esempio quando richiesto dalla legge o per fornire assistenza tecnica. Maggiori dettagli sono disponibili nell’Informativa sulla privacy di TeamRetro.

Conservazione e cancellazione dei dati

Conserviamo i dati dei nostri utenti per un periodo di 365 giorni dalla scadenza del loro periodo di prova o abbonamento. Successivamente, tutti i dati vengono completamente eliminati dall’applicazione. Gli utenti possono richiedere la cancellazione dei dati in qualsiasi momento cancellando il proprio account o contattando l’assistenza di TeamRetro. Per ulteriori informazioni sulle nostre impostazioni sulla privacy, consulti la nostra Informativa sulla privacy.

Continuità operativa e ripristino di emergenza

Eseguiamo il backup di tutte le nostre risorse critiche e proviamo regolarmente a ripristinare il backup per garantire un rapido recupero in caso di emergenza. Effettuiamo un backup completo dei dati dei clienti ogni 24 ore. I backup vengono crittografati in modo sicuro e conservati per 30 giorni, dopodiché vengono distrutti in modo sicuro. Abbiamo definito piani di continuità operativa e di ripristino di emergenza e li rivediamo annualmente.

Programmazione sicura

I nostri sviluppatori sono tenuti ad attenersi alla nostra Politica sulla sicurezza delle applicazioni, formalmente documentata, e a seguire le migliori pratiche e i framework di sicurezza (OWASP Top 10, SANS Top 25). Adottiamo le seguenti migliori pratiche per garantire il massimo livello di sicurezza nel nostro software:

• Gli sviluppatori partecipano a corsi di formazione periodici sulla sicurezza per conoscere le vulnerabilità e le minacce più comuni
• Verifichiamo il nostro codice alla ricerca di vulnerabilità di sicurezza
• Aggiorniamo regolarmente le nostre dipendenze e ci assicuriamo che nessuna di esse presenti vulnerabilità note
• Utilizziamo il test statico di sicurezza delle applicazioni (SAST) per individuare le vulnerabilità di sicurezza di base nel nostro codice
• Utilizziamo il Dynamic Application Security Testing (DAST) per eseguire la scansione delle nostre applicazioni
• Grazie all’utilizzo di Datadog siamo in grado di risolvere in modo più efficiente le vulnerabilità individuate tramite test di sicurezza, audit o programmi di segnalazione delle vulnerabilità. Inoltre, riceviamo un avviso quando in produzione vengono utilizzati componenti applicativi con vulnerabilità note (dipendenze).

Analisi delle vulnerabilità

TeamRetro viene sottoposto a scansione su base mensile, nonché in seguito a rilasci significativi, da parte di intruder.io al fine di individuare potenziali vulnerabilità a livello di infrastruttura, piattaforma e applicazioni. Eventuali vulnerabilità individuate vengono valutate e mitigate in conformità con le nostre politiche di sicurezza delle applicazioni.

Test di penetrazione

Periodicamente commissioniamo test di penetrazione indipendenti per verificare la sicurezza della piattaforma TeamRetro. Risolviamo tutti i problemi critici entro 48 ore e quelli di grave entità entro 7 giorni.

Valutazioni dei rischi

Viene condotta una valutazione annuale dei rischi al fine di individuare minacce e vulnerabilità dei sistemi TeamRetro. Sulla base dei risultati di tale valutazione vengono elaborate strategie di mitigazione.

Rafforzamento della sicurezza del sistema

CONTAINERIZZAZIONE DEI SERVER – TeamRetro utilizza la containerizzazione del sistema operativo tramite AWS Fargate per garantire che l’accesso ai dati e al codice di TeamRetro sia adeguatamente limitato. Tutti i servizi di TeamRetro vengono eseguiti su risorse di elaborazione dedicate, isolate all’interno della propria rete virtuale.

SISTEMI DI FILE EFFIMERI DEI SERVER – I server di TeamRetro funzionano con un sistema di file effimero, che viene ripristinato con una copia aggiornata del codice implementato più di recente almeno una volta al giorno, oppure ogni volta che viene implementata una nuova versione.

AGGIORNAMENTI DI SISTEMA – Gli aggiornamenti a livello di piattaforma (sistema operativo, librerie di sistema e servizi) dei server applicativi e di database di TeamRetro vengono effettuati su base continuativa.

AGGIORNAMENTO DELLE APPLICAZIONI – L’aggiornamento delle applicazioni (librerie applicative ecc.) viene effettuato da TeamRetro su base continuativa.

COMPUTER – Tutte le risorse del team (come i portatili e i computer fissi utilizzati per lo sviluppo) dispongono di sistemi di archiviazione crittografati e sono protette da software antivirus aggiornati.

Registrazione completa

Conserviamo registri completi di ogni transazione effettuata sul sistema, con registrazioni specifiche relative ai tentativi di accesso. I nostri registri vengono esaminati regolarmente dal nostro team di sicurezza al fine di individuare eventuali tentativi di accesso non autorizzato.

L’accesso del nostro team

• La nostra rigorosa procedura interna impedisce a qualsiasi dipendente o amministratore di accedere ai dati degli utenti. Possiamo accedere ai Suoi dati solo in circostanze limitate, ad esempio quando richiesto dalla legge o per fornire assistenza tecnica. Maggiori dettagli sono disponibili nella nostra Informativa sulla privacy.
• I nostri dipendenti e collaboratori firmano un accordo di non divulgazione e riservatezza al fine di proteggere le informazioni sensibili dei nostri clienti.
• I nostri dipendenti e collaboratori esterni vengono sottoposti a controlli da parte di un servizio leader nel settore della verifica dei precedenti personali.
• Il livello di accesso di ciascuno dei nostri dipendenti viene stabilito in base alle necessità, rivisto periodicamente e revocato qualora non fosse più necessario. Applichiamo l’autenticazione a più fattori per tutti i sistemi critici di TeamRetro.
• Per l’accesso amministrativo è richiesta l’autenticazione a due fattori.

Segnalazione responsabile

Invitiamo tutti coloro che adottano una politica di divulgazione responsabile e rispettano le nostre politiche e i nostri termini di servizio a partecipare al nostro programma di segnalazione delle vulnerabilità. Si prega di evitare i test automatizzati ed eseguire i test di sicurezza solo con i propri dati. Si prega di non divulgare alcuna informazione relativa alle vulnerabilità fino a quando non le avremo risolte. I premi vengono assegnati a nostra discrezione in base alla criticità della vulnerabilità segnalata. Per saperne di più sul programma di segnalazione responsabile di TeamRetro.