Sicurezza certificata

Esaminiamo regolarmente i nostri sistemi per identificare nuovi rischi e valutare le misure di mitigazione implementate, effettuando un'analisi approfondita almeno una volta all'anno o nei seguenti casi:

• Quando ci sono modifiche alle informazioni
• Quando ci sono modifiche ai servizi
• Se si verifica un grave incidente di sicurezza
• Se vengono rilevati problemi significativi di non conformità durante le nostre verifiche interne o esterne
• In considerazione di cambiamenti legislativi
• Se emergono nuovi requisiti di qualità

• Il nostro team di sicurezza si mantiene aggiornato sulle ultime vulnerabilità e patch per mantenere la nostra infrastruttura protetta da attacchi, come i recenti attacchi ai protocolli SSL.
• Nell'ambito del nostro processo di sviluppo sicuro, durante la fase di integrazione continua, vengono analizzate tutte le vulnerabilità recentemente identificate dalle principali comunità di sicurezza applicativa, come OWASP e SANS.
• Grazie a un monitoraggio costante, possiamo anticipare la rilevazione delle vulnerabilità e informare i nostri clienti con una notifica formale.
• Inoltre, disponiamo di un canale dedicato per segnalare eventuali incidenti, sia internamente che da parte dei clienti (tramite il nostro canale di supporto o all'indirizzo security@bizneo.com).

• Tutto il team di Bizneo HR deve conoscere e seguire la nostra Politica di Sicurezza delle Informazioni. Organizziamo sessioni di sensibilizzazione ogni anno e offriamo formazione continua in materia di sicurezza.

• Ogni dipendente firma un accordo di riservatezza all'inizio del rapporto lavorativo con Bizneo HR.

• Valutiamo inoltre i nostri fornitori per garantire che soddisfino i nostri standard e chiediamo loro di firmare un accordo di conformità agli stessi.

• Limitiamo e controlliamo l'accesso ai nostri sistemi e dati. Definiamo chi si può accedere alle risorse e in che misura, assicurandoci che solo il personale autorizzato abbia i permessi necessari per svolgere i propri compiti.
• Il Sistema di Sicurezza delle Informazioni implementato in Bizneo HR segue il Principio del Minimo Privilegio, secondo il quale agli utenti del sistema vengono assegnati solo i livelli (o permessi) di accesso minimi necessari per svolgere le loro funzioni. L'obiettivo è limitare l'accesso alle informazioni e alle risorse esclusivamente a ciò che è strettamente necessario per completare un compito specifico.
• Questo principio garantisce che ogni entità (che si tratti di un processo, un utente o un programma) possa accedere solo a ciò che è essenziale per il suo scopo legittimo, evitando privilegi superflui.
• Limitando i privilegi, riduciamo l'esposizione agli attacchi informatici ed evitiamo l'accumulo di privilegi.

• Disponiamo di un sistema di autoscaling automatico tramite Kubernetes, che ci consente di rispondere in pochi secondi a richieste elevate di traffico aumentando rapidamente il numero di server. L'autoscaling è implementato sia sui server dell'applicazione sia su quelli dedicati all'elaborazione delle informazioni dei nostri clienti.

• Con queste e altre misure, raggiungiamo un tasso di disponibilità superiore al 99,5%; negli ultimi mesi è stato praticamente del 100%.

• Le applicazioni offerte da Bizneo S.L come SaaS sono interamente eseguite e ospitate sui servizi Amazon Web Services (AWS).

• I servizi AWS utilizzati sono certificati secondo gli standard ISO 27001, PCI-DSS Compliance, SOC 1 e SOC 2/SSAE, tra gli altri. Clicca qui per maggiori informazioni sulla sicurezza di AWS.

• Bizneo HR si basa su sistemi informativi. Per questo motivo, adottiamo misure adeguate per proteggerli da danni accidentali o intenzionali che potrebbero compromettere la disponibilità, l'integrità, la riservatezza, l'autenticità o la tracciabilità delle informazioni trattate e dei servizi forniti.

• SSono state sviluppate procedure adeguate e una politica per la gestione e il trattamento delle informazioni, implementando misure di crittografia e protezione per garantire la sicurezza delle informazioni in ogni momento, durante il loro archiviazione e trasporto.

• Dati a riposo: Le nostre basi di dati sono protette da controlli di riservatezza e integrità utilizzando algoritmi di crittografia AES-256 GCM.

• Dati in transito: Tutti i dati in transito sono crittografati tramite HTTPS utilizzando i protocolli SSL corrispondenti (TLS 1.2 e TLS 1.3).

• Gestione delle chiavi: Utilizziamo il servizio gestito AWS KMS. Durante la generazione delle chiavi, si utilizza un modulo di sicurezza hardware (HSM) che comprende un generatore di bit casuali deterministico (DRBG convalidato da FIPS) alimentato da un generatore di numeri casuali reali (TRNG) nel modulo hardware HSM conforme ai requisiti SP800-90B. È una fonte di entropia di alta qualità in grado di produrre 20 Mb/s di entropia per HSM.

Backup: Bizneo HR mantiene un sistema di backup per migliorare la sicurezza di tutte le configurazioni e i dati dei nostri clienti, oltre a ridurre al minimo i tempi di reazione in caso di problemi. Questo sistema di backup presenta le seguenti caratteristiche principali:

• Periodicità e durata: Sono configurati backup completi giornalieri automatici. Inoltre, viene mantenuto un backup del database per almeno 1 anno.

• Tipo di Backup: Snapshot di AWS, dump giornalieri eseguiti di notte e archiviati in spazi di archiviazione a lungo termine con crittografia a riposo. Recupero Point In Time. Non archiviamo mai file nei database. I file sono salvati in S3, che offre già supporto e backup specifici per i file. Tutti i file sono archiviati in bucket S3 con la configurazione adeguata per il backup e la replica. In pratica, i dati e i file sono separati.

• Test di ripristino: Settimanalmente, queste copie di backup vengono distribuite in ambienti controllati per verificarne l'affidabilità.

• Piattaforma di backup e protezione: Il backup completo è gestito all'interno di AWS, dove è crittografato sia a riposo (AES-256) che in transito (HTTPS con TLS 1.2 e 1.3).

Recupero: L'azienda ha stabilito una procedura per affrontare le interruzioni dell'attività aziendale e proteggere i processi critici dagli effetti di guasti importanti nei sistemi informativi, garantendone l'immediato ripristino. A tale scopo, è stato implementato un piano di continuità aziendale per ridurre l'impatto sull'infrastruttura di Bizneo HR, e quindi sull'azienda, e per consentire il recupero degli asset informativi (che si tratti di incidenti, guasti alle apparecchiature, atti deliberati, ecc.), in modo tale che i processi dipartimentali raggiungano un livello accettabile di continuità tramite misure di recupero correttive e preventive.

• L'azienda ha condotto un'analisi completa dei rischi ottenendo risultati che hanno permesso di definire la gestione di questi ultimi. Questa analisi consente di valutare l'impatto della perdita di disponibilità degli asset, determinandone la criticità e la probabilità che una minaccia si concretizzi sfruttando vulnerabilità tecniche o procedurali, identificando anche le loro dipendenze reciproche.

• In base a questi risultati, vengono prese in considerazione le situazioni che potrebbero causare un'interruzione della continuità aziendale e vengono delineati diversi scenari, con una scala di effetti. Sono definite azioni di risposta tenendo conto dei controlli esistenti per risolvere l'interruzione, ove possibile.

• Tra le altre caratteristiche, la nostra infrastruttura può essere distribuita in qualsiasi regione d'Europa. Il nostro backup giornaliero potrebbe essere ripristinato in un'altra istanza AWS in meno di 1 giorno (in caso di disastro sulla nostra istanza principale: EU-WEST-1).

• La metodologia di sviluppo utilizzata da Bizneo HR è il S-SDLC (Secure Software Development Life Cycle), che si basa sull'integrazione dei requisiti di sicurezza in tutte le fasi dello sviluppo software, dalla definizione fino alla verifica prima del rilascio in produzione.

• Questo garantisce che le misure preventive per garantire la sicurezza delle informazioni e dei sistemi siano considerate fin dalle prime fasi dello sviluppo, riducendo la frizione e i costi di implementazione delle stesse.

• I punti chiave di questa metodologia sono l'attenzione ai dettagli, l'identificazione precoce delle vulnerabilità (monitorando le ultime pubblicazioni delle principali comunità di sicurezza come OWASP) e il miglioramento continuo durante l'intero ciclo di sviluppo.

• Bizneo HR, in materia di sicurezza, rispetta gli standard stabiliti a livello internazionale, come dimostrano le nostre certificazioni ISO 27001 e ENS.

• Inoltre, per verificare e fornire ulteriori prove di conformità, ci sottoponiamo almeno una volta all'anno a un pentest esterno. I risultati vengono analizzati meticolosamente per intraprendere tutte le azioni necessarie in un settore in continua evoluzione come la cybersicurezza.

• Siamo anche aperti al fatto che i nostri clienti possano effettuare i propri test di pentesting su Bizneo HR, se necessario. In tal caso, si consiglia di avvisare preventivamente Bizneo HR per evitare che le connessioni vengano inizialmente bloccate, poiché potrebbero essere identificate come un attacco.

Siamo pienamente impegnati a sviluppare, implementare, mantenere e migliorare continuamente la nostra Politica di Sicurezza e il Sistema di Gestione della Sicurezza delle Informazioni (SGSI), garantendo un costante miglioramento delle nostre pratiche di sicurezza.