Welliba Group Security Statement
Ultima revisione 15 febbraio 2023
Welliba Group si impegna verso la protezione dei dati del cliente e dell'utente, che considera una questione di primaria importanza.
Sicurezza aziendale
Programma di sicurezza informatica
Abbiamo implementato un Programma di sicurezza informatica di cui è a conoscenza tutta l’organizzazione. Il nostro Programma di sicurezza informatica rispetta i criteri stabiliti dal Framework SOC 2. SOC 2 è una procedura di auditing di sicurezza informatica ampiamente nota creata dall’American Institute of Certified Public Accountants.
Audit di terze parti
La nostra organizzazione è soggetta a valutazioni di terze parti indipendenti per testare i controlli di sicurezza e conformità.
Penetration Test di terza parte
Effettuiamo un penetration test di terza parte indipendente almeno una volta l’anno per assicurare che il livello di sicurezza dei nostri servizi non sia stato compromesso.
Ruoli e responsabilità
I ruoli e le responsabilità correlati al nostro Programma di sicurezza informatica e alla protezione dei dati dei nostri clienti e utenti sono ben definiti e documentati. I membri del team sono tenuti a esaminare e accettare tutte le policy in materia di sicurezza.
Formazione in materia di sensibilizzazione sulla sicurezza
I membri del team sono tenuti a seguire un percorso formativo di sensibilizzazione sulla sicurezza che tratta pratiche standard di settore e argomenti in materia di sicurezza informatica come phishing e gestione delle password.
Riservatezza
Tutti i membri del team sono tenuti a firmare e ad aderire a un accordo di riservatezza standard di settore prima del loro primo giorno di lavoro.
Sicurezza del cloud
Sicurezza dell’infrastruttura cloud
Tutti i nostri servizi sono ospitati su Microsoft Azure e utilizzano un robusto programma di sicurezza con molteplici certificazioni. Per maggiori informazioni sulle procedure di sicurezza del nostro provider visitare Azure Security.
Sicurezza dell’hosting di dati
Tutti i nostri dati sono ospitati sui database di Microsoft Azure, i quali hanno tutti sede nei Paesi Bassi. Fare riferimento alla documentazione specifica del suddetto fornitore per maggiori informazioni.
Crittografia dei dati a riposo
Tutti i database sono crittografati a riposo.
Crittografia dei dati in transito
Le nostre applicazioni effettuano la crittografia in transito solo con TLS/SSL.
Scansione delle vulnerabilità
Eseguiamo la scansione delle vulnerabilità e monitoriamo attivamente le minacce.
Registrazione e monitoraggio
Monitoriamo attivamente e registriamo vari servizi cloud.
Business continuity e ripristino di emergenza
Ci avvaliamo dei servizi di backup del nostro provider di hosting di dati per ridurre ogni rischio di perdita di dati in caso di un guasto hardware. Utilizziamo servizi di monitoraggio per avvisare il team in caso di eventuali guasti che interessino gli utenti.
Risposta agli incidenti
Abbiamo implementato un processo per la gestione degli eventi di sicurezza informatica che include procedure di escalation, rapida mitigazione e comunicazione.
Sicurezza degli accessi
Permessi e autenticazione
Gli accessi a infrastrutture cloud e ad altri strumenti sensibili sono limitati ai dipendenti autorizzati che lo richiedono in virtù del loro ruolo.
Se disponibile abbiamo implementato il Single Sign-on (SSO), l’autenticazione a 2 fattori (2FA) e politiche di password forti per assicurare che gli accessi ai servizi cloud siano protetti.
Controllo degli accessi con privilegio minimo
Per quanto riguarda la gestione dell’identità e dell’accesso, ci atteniamo al principio del privilegio minimo.
Verifiche trimestrali degli accessi
Eseguiamo verifiche trimestrali degli accessi di tutti i membri del team che hanno accesso a sistemi sensibili.
Requisiti delle password
Tutti i membri del team sono tenuti ad aderire a un set minimo di requisiti delle password e di complessità per l’accesso.
Password Manager
Tutti i laptop dell’azienda utilizzano un password manager per permettere ai membri del team di gestire le password e garantirne la complessità.
Gestione dei fornitori e dei rischi
Valutazioni annuali dei rischi
Almeno una volta all’anno eseguiamo valutazioni dei rischi al fine di identificare eventuali potenziali minacce, incluse considerazioni su frodi.
Gestione dei rischi del fornitore
Prima di autorizzare un nuovo fornitore viene determinato il rischio del fornitore e vengono effettuate adeguate verifiche dello stesso.
Contatti
In caso di domande, commenti o dubbi o se desideri riferire un potenziale problema di sicurezza, contattaci inviando un’email all’indirizzo security@welliba.com.