Questo articolo è disponibile anche in:
Questo articolo descrive alcune delle tecniche e delle procedure che abbiamo in atto.

In Easy LMS, la sicurezza dei vostri dati è la nostra priorità assoluta. Cerchiamo costantemente di rompere i nostri sistemi di sicurezza per identificare i punti deboli.

Architettura software

Easy LMS si basa sul nostro sistema di gestione dei contenuti (CMS). Questo sistema è sviluppato in aggiunta al framework open-source Yii PHP. Yii utilizza un'architettura basata su model-view-controller (MVC) che permette di avere codice strutturato, pulito e manutenibile. Yii è considerato solido, veloce e sicuro.



Yii Framework

Utilizziamo molte delle funzioni di sicurezza integrate di Yii, come la crittografia dei dati, la prevenzione XSS e la sanificazione dei dati. I dati inseriti dagli utenti sono sempre convalidati sul server, anche se viene utilizzata anche la convalida lato client.

L'autenticazione

Autorizzazione di ruolo

Abbiamo diversi tipi di utenti che possono accedere al sistema, come si può vedere nel diagramma sottostante. Per ogni livello di sicurezza, ogni ruolo ha accesso a parti extra del sistema e ai dati. Dal livello di supporto in su utilizziamo un tipo di login che si differenzia dal login di un cliente come livello di sicurezza aggiuntivo.



Domande frequenti

Di seguito è riportato un elenco di domande sulla sicurezza che spesso riceviamo.

Dove si trovano i vostri server?

Easy LMS funziona su un cloud Amazon Web Services, o AWS in breve. I server e i database si trovano fisicamente a Francoforte, Germania. I vostri dati sono protetti dal Privacy Shield. Per saperne di più su Amazon hosting, privacy e norme UE, clicca qui. Se hai un account Enterprise Owl e desideri poter archiviare i dati in un altro luogo, contattaci per maggiori informazioni.

Come proteggete i miei dati?

Proteggiamo i vostri dati in diversi modi:

I dati personali da noi richiesti vengono memorizzati nel database mediante crittografia. Ciò significa che anche se la banca dati è compromessa, un aggressore non sarebbe in grado di leggere i dati senza la chiave per decifrarli.
Le password sono memorizzate con un algoritmo di hashing altamente sicuro. A differenza di altri dati, è impossibile recuperare la password originale dal suo hash.
Le password non vengono mai inviate a nessuno in alcun modo.
Tutte le comunicazioni tra il client (voi) e il server passano attraverso una connessione criptata.

Chi ha accesso ai miei dati?

Lo fai, in ogni momento. Possiamo accedere ad alcuni dei vostri dati, ad esempio per scopi di supporto e per le fatture. Non condividiamo mai i vostri dati senza il vostro consenso.

Chi ha accesso al database?

Il nostro database è raggiungibile solo da utenti autorizzati. Questa autorizzazione è gestita da un sistema separato, quindi nessun account Easy LMS ha accesso diretto al database. Questo sistema è raggiungibile solo dall'interno della nostra rete interna.

Tratta e memorizza i dati personali?

Chiediamo solo i dati di cui abbiamo bisogno, ad esempio per la fatturazione. Memorizziamo questi dati criptati nel nostro database.

Avete una procedura in caso di fuga di dati?

Sì. Se viene rilevata una perdita di dati, interveniamo immediatamente per riparare la perdita e disattivare l'accesso esterno. Informeremo le parti interessate entro 48 ore dal rilevamento di una perdita di dati.

Che tipo di crittografia usate?

La comunicazione passa attraverso https (SSL, TLS 1.2)
Le password sono memorizzate utilizzando bcrypt-hashing
I dati personali vengono memorizzati utilizzando la crittografia CBC o ECB (a seconda del tipo e dell'utilizzo)

Come si usa la crittografia per i dati sensibili?

Le password vengono cancellate tramite blowfish
Gli indirizzi e-mail sono criptati tramite aes-128-ecb
Altre informazioni personali sono criptate tramite aes-128-cbc

Appoggiate il Single sign-on?

Sì, sosteniamo i seguenti metodi di SSO:

Azzurro d.C.
CAS
OKTA
AFAS Live
OAuth
SAML

Avete dei backup?

Sì, è vero. Facciamo istantanee giornaliere del nostro database con un periodo di conservazione di 35 giorni.

Quali piattaforme software utilizzate?

Debian ≥ Jessie
Apache ≥ 2,4
PHP ≥ 7.2
MariaDB ≥ 10.2

Eseguite recensioni di codici?

Sì, tutte le modifiche del codice richiedono una revisione del codice. Una modifica non può entrare in produzione senza l'approvazione di almeno due sviluppatori.

Che tipo di supporto avete?

Potete raggiungerci attraverso il nostro sito web. Il nostro reparto di supporto è disponibile dalle 09:30 alle 23:00 (CET). I nostri consulenti di supporto parlano olandese, inglese, francese, portoghese, spagnolo. Forniamo supporto a tutte le altre lingue con l'aiuto della traduzione automatica.

Quanto tempo ci vuole per rispondere a una richiesta?

Questo dipende dal tipo di richiesta, ma tipicamente entro 48 ore. In media vi rispondiamo entro 67 minuti.

Eseguite test di penetrazione?

Ci stiamo occupando di questo. Alcuni dei nostri clienti eseguono i propri test con la penna sul nostro sistema e ne condividono i risultati. Va da sé che ogni problema che si presenta attira la nostra immediata attenzione.

Posso eseguire un test di penetrazione?

Vi invitiamo a farlo, come molti altri nostri clienti. Vi chiediamo di farcelo sapere in anticipo, in modo che sappiamo che potrebbe esserci un po' di pressione in più sui nostri server.

Con quale frequenza aggiornate il software?

Continuamente. Lavoriamo costantemente al miglioramento della sicurezza del software e a nuove funzionalità. Ogni volta che c'è una soluzione per un bug o per un problema di sicurezza, la mettiamo in atto immediatamente.

Come si prova il software?

Testiamo il nostro software sia manualmente che automaticamente. Prima di ogni implementazione il nostro sistema passa attraverso diverse fasi. Una di queste è la fase di test. Durante questa fase un sistema automatizzato esegue migliaia di test automatizzati, come test unitari e test funzionali. In questo modo ci assicuriamo che qualsiasi modifica apportiamo al nostro software non infranga altre funzionalità o misure di sicurezza. Anche se solo un test fallisce, la costruzione viene respinta e rispedita allo sviluppo per essere riparata.

Utilizzate Adobe Flash?

No, non lo facciamo e non lo faremo mai.

Tutti i collaboratori incaricati dell'elaborazione dei dati sono stati vincolati alla segretezza dei dati?

Sì, ognuno dei nostri dipendenti firma una dichiarazione in cui dichiara che non condividerà mai alcuna informazione con soggetti che non sono coinvolti.

Hai qualche processo di indurimento in atto?

Sì, è vero:

Tutte le patch di sicurezza dei nostri sistemi operativi sono installate.
Abbiamo installato antivirus e antispyware su tutti i nostri sistemi.
Abbiamo la protezione degli endpoint.
Tutte le credenziali di accesso, sia sulle nostre postazioni di lavoro che sulla piattaforma, devono essere forti. Utilizziamo l'autenticazione a due fattori quando appropriato.
Blocchiamo tutti i PC automaticamente quando qualcuno lascia la sua postazione di lavoro.
Abbiamo un firewall in posizione.

Come viene attuata la separazione tra la rete aziendale con le sue credenziali e l'ambiente di produzione?

Le credenziali della rete aziendale sono diverse da quelle dell'ambiente di produzione. Non permettiamo l'accesso all'ambiente di produzione utilizzando una forma di SSO dalla nostra rete aziendale. Quindi l'accesso all'ambiente di produzione funziona con credenziali diverse, che sono disponibili solo per gli sviluppatori e i sysadmin.

Come è organizzata la gestione degli accessi e delle chiavi?

Il CTO si occupa della gestione degli accessi e delle chiavi e dell'assegnazione delle autorizzazioni. Assegniamo l'accesso solo se necessario per il lavoro del dipendente.

Sei conforme al GDPR?

Il GDPR è entrato in vigore il 25 maggio 2018. Siamo lieti di confermare che Easy LMS è pienamente conforme al GDPR. Abbiamo aggiornato la nostra Privacy Policy, Termini e Condizioni e le operazioni secondo la GDPR. Se avete bisogno di un Accordo di elaborazione con noi, fatecelo sapere e vi invieremo un documento digitale da firmare. Ulteriori informazioni riguardanti il GDPR e ciò che comporta possono essere trovate qui.

È stato utile questo articolo?
Annulla
Grazie!