Questo articolo descrive alcune delle tecniche e delle procedure che abbiamo messo in atto.
In Easy LMS, la sicurezza dei vostri dati è la nostra massima priorità. Cerchiamo costantemente di violare i nostri sistemi di sicurezza per identificare i punti deboli.
Architettura del software
Easy LMS è costruito sulla base del nostro sistema di gestione dei contenuti (CMS). Questo sistema è sviluppato sulla base del framework open-source Yii PHP. Yii utilizza un'architettura basata su model-view-controller (MVC), che consente di ottenere un codice strutturato, pulito e manutenibile. Yii è considerato solido, veloce e sicuro.
Struttura Yii
Utilizziamo molte delle funzioni di sicurezza integrate in Yii, come la crittografia dei dati, la prevenzione XSS e la sanitizzazione dei dati. I dati inseriti dall'utente vengono sempre convalidati sul server, anche se viene utilizzata la convalida lato client.
Autenticazione
Autorizzazione dei ruoli
Abbiamo diversi tipi di utenti che possono accedere al sistema, come si può vedere nel diagramma seguente. Per ogni livello di sicurezza, ogni ruolo ha accesso a parti specifiche del sistema e ai dati. A partire dal livello di supporto utilizziamo un tipo di login diverso da quello del cliente come ulteriore livello di sicurezza.
Domande frequenti
Di seguito è riportato un elenco di domande sulla sicurezza che riceviamo spesso.
Dove si trovano i vostri server?
Easy LMS viene eseguito su un cloud di Amazon Web Services, o AWS in breve. I server e i database si trovano fisicamente a Francoforte, in Germania.
Come proteggete i miei dati?
Proteggiamo i vostri dati in diversi modi:
Tutti i dati sono archiviati in un database completamente crittografato. Ciò significa che i dati contenuti nel database possono essere recuperati solo con modalità specifiche.
I dati personali che richiediamo vengono memorizzati nel database con un ulteriore livello di crittografia. Ciò significa che anche se il database è compromesso, un aggressore non sarebbe in grado di leggere i dati senza la chiave per decifrarli.
Le password sono memorizzate con un algoritmo di hashing altamente sicuro. A differenza di altri dati, è impossibile recuperare la password originale dal suo hash.
Le password non vengono mai inviate a nessuno in alcun modo.
Tutte le comunicazioni tra il client (l'utente) e il server avvengono attraverso una connessione criptata.
Chi ha accesso ai miei dati?
Voi, in ogni momento. Noi possiamo accedere ad alcuni dei vostri dati, ad esempio per l'assistenza e le fatture. Non condividiamo mai i vostri dati senza il vostro consenso.
Chi ha accesso al database?
Il nostro database è accessibile solo agli utenti autorizzati. L'autorizzazione è gestita da un sistema separato, quindi nessun account Easy LMS ha accesso diretto al database. Questo sistema è raggiungibile solo dalla nostra rete interna.
Trattate e memorizzate dati personali?
Chiediamo solo i dati di cui abbiamo bisogno, ad esempio per la fatturazione. Questi dati vengono memorizzati in modo criptato nel nostro database.
Avete una procedura in caso di fuga di dati?
Sì. Se viene rilevata una fuga di dati, interverremo immediatamente per riparare la perdita e disabilitare l'accesso esterno. Informeremo le parti interessate entro 48 ore dal rilevamento di una fuga di dati.
Che tipo di crittografia utilizzate?
La comunicazione avviene tramite HTTPS (TLS 1.2).
Tutti i dati sono crittografati con AES-256.
Le password sono memorizzate con bcrypt-hashing.
I dati personali sono memorizzati con crittografia CBC o ECB (a seconda del tipo e dell'utilizzo).
Supportate il single sign-on (SSO)?
Sì. Potete leggere i metodi SSO che supportiamo.
Avete dei backup?
Sì, li abbiamo. Eseguiamo snapshot giornalieri del database con un periodo di conservazione di 35 giorni.
Che tipo di assistenza avete?
Potete contattarci attraverso il nostro sito web. Il nostro servizio di assistenza è disponibile dalle 08:30 alle 16:30 (CET), dal lunedì al venerdì. I nostri consulenti parlano olandese, inglese, tedesco e polacco. Forniamo assistenza in tutte le altre lingue utilizzando la traduzione automatica.
Quanto tempo occorre per rispondere a una richiesta?
Dipende dal tipo di richiesta, ma in genere entro 24 ore.
Eseguite test di penetrazione?
Stiamo valutando questa possibilità. Alcuni dei nostri clienti eseguono i loro pen-test sul nostro sistema e ne condividono i risultati. Va da sé che ogni problema che si presenta riceve la nostra attenzione immediata.
Posso eseguire un test di penetrazione?
Vi invitiamo a farlo, come hanno fatto altri clienti. Vi chiediamo di comunicarcelo in anticipo, in modo da poter anticipare eventuali pressioni aggiuntive sui nostri server.
Con quale frequenza aggiornate il software?
Continuamente. Lavoriamo costantemente per migliorare la sicurezza del software e aggiungere nuove funzionalità. Ogni volta che viene risolta una soluzione per un bug o un problema di sicurezza, la distribuiamo immediatamente.
Come testate il vostro software?
Testiamo il nostro software sia manualmente che automaticamente. Prima di ogni distribuzione, il nostro sistema passa attraverso diverse fasi. Una di queste è la fase di test. Durante questa fase, un sistema automatizzato esegue migliaia di test automatici, come test unitari, test funzionali e test di integrazione. In questo modo ci assicuriamo che qualsiasi modifica apportata al nostro software non comprometta altre funzionalità o misure di sicurezza. Anche se un solo test fallisce, la build viene rifiutata e rimandata allo sviluppo per la correzione.
Tutti i dipendenti incaricati del trattamento dei dati si sono impegnati a rispettare la segretezza dei dati?
Sì, ognuno dei nostri dipendenti firma una dichiarazione in cui si impegna a non condividere alcuna informazione con persone non coinvolte.
Avete messo in atto dei processi di hardening?
Sì, li abbiamo:
Tutte le patch di sicurezza dei nostri sistemi operativi sono installate.
Abbiamo installato antivirus e antispyware su tutti i nostri sistemi.
Abbiamo una protezione degli endpoint.
Tutte le credenziali di accesso, sia sulle nostre postazioni che nella piattaforma, devono essere forti. Utilizziamo l'autenticazione a due fattori quando è opportuno.
Blocchiamo automaticamente tutti i PC quando qualcuno lascia la propria postazione di lavoro.
Abbiamo un firewall.
Come viene applicata la separazione tra le credenziali della rete aziendale e l'ambiente di produzione?
Le credenziali della rete aziendale differiscono da quelle dell'ambiente di produzione, aggiungendo un ulteriore livello di sicurezza. Le credenziali dell'ambiente di produzione sono disponibili solo per DevOps e SysAdmins. Vengono mantenuti i registri di accesso.
Come è organizzata la gestione degli accessi e delle chiavi?
Ogni sistema ha un proprietario responsabile dell'accesso e della gestione delle chiavi. Assegniamo l'accesso solo se necessario per il lavoro del dipendente e tutte le richieste di accesso vengono registrate e monitorate.
Siete conformi al GDPR?
Il GDPR è entrato in vigore il 25 maggio 2018. Siamo lieti di confermare che Easy LMS è pienamente conforme al GDPR. Abbiamo aggiornato la nostra Informativa sulla privacy, i Termini e condizioni e le operazioni in base al GDPR. Il nostro Accordo sul trattamento dei dati è disponibile sul nostro sito web e fa parte dei nostri Termini e condizioni. Per saperne di più sul GDRP e su ciò che comporta.
Siete certificati ISO 27001?
Sì! Siamo certificati ISO 27001. Ciò significa che disponiamo di un sistema di gestione della sicurezza delle informazioni (ISMS) conforme agli standard internazionali per garantire la sicurezza dei vostri dati. Inoltre, ci aiuta a migliorare continuamente la nostra sicurezza e il modo in cui gestiamo i potenziali incidenti.
Fornite l'autenticazione a due fattori per gli amministratori?
Sì! Ogni amministratore può impostare l'autenticazione a due fattori (2FA) nel proprio profilo. Ogni amministratore deve impostare la 2FA autonomamente. Questa funzione non può essere applicata da un amministratore globale o dal proprietario dell'account. Per saperne di più sull'impostazione della 2FA.