Questo articolo è disponibile anche in:
Questo articolo è tradotto usando un traduttore automatico. Potrebbe contenere alcuni errori o traduzioni che suonano strane. Pensiamo lo stesso che possa esserti utile leggere questo articolo nella tua lingua madre. Facci sapere se ti è stato di aiuto, o facci avere il tuo feedback, in fondo all'articolo.

Questo articolo descrive alcune delle tecniche e procedure che abbiamo in atto.

In Easy LMS, la sicurezza dei tuoi dati è la nostra massima priorità. Cerchiamo costantemente di rompere i nostri sistemi di sicurezza per identificare i punti deboli.

Architettura del software

Easy LMS è costruito sopra il nostro Content Management System (CMS). Questo sistema è sviluppato sopra il framework open-source Yii PHP. Yii usa un'architettura basata su model-view-controller (MVC) che permette un codice strutturato, pulito e mantenibile. Yii è considerato solido, veloce e sicuro.



Yii Framework

Utilizziamo molte delle caratteristiche di sicurezza incorporate in Yii, come la crittografia dei dati, la prevenzione XSS e la sanitizzazione dei dati. I dati inseriti dall'utente sono sempre convalidati sul server, anche se viene utilizzata la convalida lato client.

Autenticazione

Autorizzazione dei ruoli

Abbiamo diversi tipi di utenti che possono accedere al sistema, come puoi vedere nel diagramma qui sotto. Per ogni livello di sicurezza, ogni ruolo ha accesso a parti extra del sistema e dei dati. Dal livello di supporto in su usiamo un tipo di login che differisce dal login del cliente come un ulteriore livello di sicurezza.



Domande frequenti

Di seguito è riportato un elenco di domande sulla sicurezza che riceviamo spesso.

Dove si trovano i vostri server?

Easy LMS funziona su un cloud Amazon Web Services, o AWS in breve. I server e i database sono fisicamente situati a Francoforte, in Germania.

Come proteggete i miei dati?

Proteggiamo i tuoi dati in diversi modi:

Tutti i dati sono memorizzati nel database che è completamente criptato. Questo significa che i dati nel database possono essere recuperati solo in modi specifici.
I dati personali che chiediamo sono memorizzati nel database utilizzando un ulteriore livello di crittografia. Questo significa che anche se il database è compromesso, un attaccante non sarebbe in grado di leggere i dati senza la chiave per decifrarli.
Le password sono memorizzate utilizzando un algoritmo di hashing altamente sicuro. A differenza di altri dati, è impossibile recuperare la password originale dal suo hash.
Le password non vengono mai inviate a nessuno in nessun modo.
Tutte le comunicazioni tra il client (tu) e il server avvengono su una connessione criptata.

Chi ha accesso ai miei dati?

Tu, in ogni momento. Noi possiamo accedere ad alcuni dei tuoi dati, per esempio per scopi di supporto e fatture. Non condividiamo mai i tuoi dati senza il tuo consenso.

Chi ha accesso al database?

Il nostro database è raggiungibile solo dagli utenti autorizzati. Questa autorizzazione è gestita da un sistema separato, quindi nessun account Easy LMS ha accesso diretto al database. Questo sistema è raggiungibile solo dalla nostra rete interna.

Elaborate e memorizzate dati personali?

Chiediamo solo i dati di cui abbiamo bisogno, per esempio per la fatturazione. Memorizziamo questi dati criptati nel nostro database.

Avete una procedura in caso di fuga di dati?

Sì. Se viene rilevata una fuga di dati, ci attiviamo immediatamente per riparare la perdita e disabilitare l'accesso esterno. Informeremo le parti interessate entro 48 ore dal rilevamento di una fuga di dati.

Che tipo di crittografia utilizzate?

La comunicazione avviene tramite HTTPS (TLS 1.2).
Tutti i dati sono criptati usando AES-256.
Le password sono memorizzate usando bcrypt-hashing.
I dati personali sono memorizzati utilizzando la crittografia CBC o ECB (a seconda del tipo e dell'uso).

Come usiamo la crittografia per i dati sensibili?

Le password sono sottoposte a hashing tramite bcrypt
I dati personali, diversi dagli indirizzi email, sono criptati con AES-128-CBC

Supportate il Single sign-on?

Sì. Puoi leggere quali metodi SSO supportiamo in questo articolo.

Hai dei backup?

Sì, li abbiamo. Facciamo snapshot giornalieri del nostro database con un periodo di conservazione di 35 giorni.

Quali piattaforme software utilizzate?

Ubuntu ≥ 18.04
Alpine ≥ 3.12
Apache ≥ 2.4
PHP ≥ 7.4
MariaDB ≥ 10.4

Eseguite revisioni del codice?

Sì, tutte le modifiche al codice richiedono una revisione del codice. Una modifica non può entrare in produzione senza l'approvazione di almeno due sviluppatori.

Che tipo di supporto avete?

Puoi raggiungerci attraverso il nostro sito web. Il nostro dipartimento di supporto è disponibile dalle 08:30 alle 23:00 (CET), dal lunedì al venerdì. I nostri consulenti di supporto parlano olandese, inglese, tedesco, francese, portoghese e spagnolo. Forniamo supporto per tutte le altre lingue con l'aiuto della traduzione automatica.

Quanto tempo ci vuole per rispondere a una richiesta?

Dipende dal tipo di richiesta, ma in genere entro 48 ore. In media rispondiamo entro 67 minuti.

Eseguite test di penetrazione?

Stiamo esaminando questo aspetto. Alcuni dei nostri clienti eseguono i propri pen test sul nostro sistema e condividono i loro risultati. Va da sé che tutti i problemi che emergono ricevono la nostra immediata attenzione.

Posso eseguire un test di penetrazione?

Ti invitiamo a farlo, anche molti altri nostri clienti lo hanno fatto. Ti chiediamo di farcelo sapere in anticipo in modo che sappiamo che potrebbe esserci una pressione extra sui nostri server.

Quanto spesso aggiornate il software?

Continuamente. Lavoriamo costantemente su miglioramenti alla sicurezza del software e su nuove funzionalità. Ogni volta che c'è una correzione per un bug o un problema di sicurezza, la distribuiamo immediatamente.

Come testate il vostro software?

Testiamo il nostro software sia manualmente che automaticamente. Prima di ogni distribuzione, il nostro sistema passa attraverso diverse fasi. Una di queste è la fase di test. Durante questa fase, un sistema automatizzato esegue migliaia di test automatici, come test unitari, funzionali e di integrazione. Questo assicura che qualsiasi modifica apportata al nostro software non rompa altre funzionalità o misure di sicurezza. Anche se un solo test fallisce, la build viene rifiutata e rimandata allo sviluppo per la correzione.

Tutti i dipendenti incaricati dell'elaborazione dei dati si sono impegnati a rispettare la segretezza dei dati?

Sì, ognuno dei nostri dipendenti firma una dichiarazione in cui si impegna a non condividere mai nessuna informazione con persone non coinvolte.

Avete dei processi di hardening in atto?

Sì, ce l'abbiamo:

Tutte le patch di sicurezza dei nostri sistemi operativi sono installate.
Abbiamo antivirus e antispyware installati su tutti i nostri sistemi.
Abbiamo la protezione degli endpoint in atto.
Tutte le credenziali di accesso, sia sulle nostre workstation che nella piattaforma, devono essere forti. Usiamo l'autenticazione a due fattori quando è appropriato.
Blocchiamo automaticamente tutti i PC quando qualcuno lascia la sua postazione di lavoro.
Abbiamo un firewall in atto.

Come viene applicata la separazione tra la rete aziendale con le sue credenziali e l'ambiente di produzione?

Le credenziali della rete aziendale sono diverse da quelle dell'ambiente di produzione. Non permettiamo l'accesso all'ambiente di produzione usando una forma di SSO dalla nostra rete aziendale. Quindi l'accesso all'ambiente di produzione funziona con credenziali diverse, che sono disponibili solo a devops e sysadmin. I registri di accesso sono mantenuti.

Come è organizzata la vostra gestione degli accessi e delle chiavi?

Il CTO è responsabile della gestione degli accessi e delle chiavi e dell'assegnazione delle autorizzazioni. Assegniamo l'accesso solo se necessario per il lavoro del dipendente.

Siete conformi al GDPR?

Il GDPR è entrato in vigore il 25 maggio, 2018. Siamo lieti di confermare che Easy LMS è pienamente conforme al GDPR. Abbiamo aggiornato la nostra Informativa sulla privacy, Termini e condizioni e le operazioni secondo il GDPR. Se hai bisogno di un accordo sul trattamento dei dati con noi, faccelo sapere e ti invieremo un documento digitale da firmare. Maggiori informazioni sul GDPR e su ciò che comporta possono essere trovate qui.

È stato utile questo articolo?
Annulla
Grazie!