Politica di sicurezza
Ultima modifica: 4 luglio 2023
Electrotechnik Pty Ltd ("ELEK") si impegna a fornire ai propri clienti software di protezione contro le minacce informatiche, a prevenire la perdita di dati e a soddisfare i requisiti di conformità.
Abbiamo adottato i principi della norma ISO/IEC 27001, lo standard più conosciuto al mondo per i sistemi di gestione della sicurezza delle informazioni (ISMS). Grazie a questo approccio, siamo in grado di gestire i rischi legati alla sicurezza dei dati posseduti e gestiti dalla nostra azienda, garantendo al contempo l'adozione delle migliori pratiche e dei principi per evitare potenziali impatti negativi dovuti alla criminalità informatica e alle nuove minacce che emergono costantemente.
Come garantiamo la sicurezza delle informazioni
Ci impegniamo a garantire la sicurezza delle informazioni per assicurare che siano in atto sistemi e controlli rigorosi per mantenere la sicurezza delle informazioni per la nostra azienda e i nostri clienti. Iniziamo con l'onboarding del nostro personale, che prevede processi e politiche aziendali che sottolineano l'importanza di garantire che tutti i dati degli utenti rimangano riservati e che l'accesso a tali dati avvenga solo per portare a termine i compiti legati al loro lavoro, compresa la fornitura di servizi ai nostri utenti. La nostra politica di sicurezza delle informazioni afferma anche l'importanza di mantenere la riservatezza dei dati degli utenti e i meccanismi di smaltimento appropriati di tutti i dati personali archiviati o stampati localmente.
I nostri dipendenti si impegnano a mantenere la riservatezza e la sicurezza delle informazioni come parte del loro contratto di lavoro e si sottopongono a una formazione sulla sicurezza informatica, con aggiornamenti regolari.
Oltre ai processi, alle politiche e alla formazione di ELEK, disponiamo di punti di ingresso rigorosi per accedere ai sistemi contenenti dati sensibili degli utenti. Per ulteriori informazioni, consultare la nostra Informativa sulla privacy.
Gestione dell'identità e degli accessi
Utilizziamo Microsoft come fornitore di identità aziendale e utilizziamo politiche di password altamente sicure. Tutti i dipendenti sono tenuti a utilizzare l'autenticazione a due fattori (2FA) per l'accesso.
L'accesso ai nostri servizi cloud in Amazon Web Services (AWS) è concesso con AWS Identity and Access Management (IAM) in base al ruolo con i principi need-to-know e least privilege.
Ogni trimestre viene effettuata una revisione dell'accesso degli utenti, in cui vengono rimossi gli accessi non più necessari. Quando i dipendenti cessano il loro rapporto di lavoro, tutti gli accessi ai sistemi vengono revocati immediatamente dopo l'uscita.
Protezione delle e-mail
Utilizziamo Microsoft 365 come provider di posta elettronica per il personale, Amazon Simple Email Service (SES) per l'invio di e-mail dall'interno della nostra applicazione e il sistema di ticketing per l'invio di e-mail di assistenza ai clienti. I domini di posta elettronica sono dotati di DMARC e SPF.
I dipendenti sono costantemente informati e istruiti sulle migliori pratiche per evitare il phishing.
Sicurezza di rete
Le postazioni di lavoro del nostro personale si trovano su una rete locale virtuale (VLAN) dedicata e riservata al solo personale.
Accesso ai dati dell'utente
Trattiamo tutti i dati inviati dagli utenti ai nostri servizi software, che vengono elaborati da noi esclusivamente per conto dell'utente, come una "scatola nera". Ciò significa che i dati dell'utente non sono generalmente accessibili per l'esecuzione del servizio e che trattiamo tutti i dati dell'utente inviati con il massimo livello di sicurezza e con sensibilità e riservatezza.
L'accesso ai dati dell'utente da parte del nostro personale è limitato in conformità alle nostre Condizioni d'uso o al rispettivo accordo con l'utente, caso per caso.
Gestione delle vulnerabilità
Eseguiamo regolarmente controlli di sicurezza del nostro sito web e della base di codice del software per trovare e risolvere le vulnerabilità note nelle dipendenze che potrebbero causare perdite di dati, interruzioni del servizio, accesso non autorizzato a informazioni sensibili o altri problemi di sicurezza. Tutte le vulnerabilità identificate vengono registrate in un registro di sviluppo e classificate in base alla nostra valutazione del loro impatto sulla riservatezza, l'integrità e la disponibilità del servizio e dei dati degli utenti. I nostri ingegneri eseguono le operazioni di correzione in base alla nostra politica interna di gestione delle patch.
Ciclo di vita dello sviluppo del software
Utilizziamo prodotti di issue tracking con un flusso di lavoro ben documentato che prevede un processo di revisione tra pari. Il nostro codice sorgente è protetto in repository privati e altamente sicuri per il controllo delle versioni e la sicurezza. Le modifiche alla nostra base di codice passano attraverso una serie di test automatici e manuali (con piani dettagliati). Le modifiche al codice che vengono approvate vengono prima inviate a un server di staging dove i nostri dipendenti possono testare le modifiche prima dell'eventuale invio ai server di produzione e alla nostra base di utenti. Il nostro processo di integrazione e distribuzione continua (CI/CD) è limitato da un processo di approvazione integrato.
Risposta agli incidenti
Prendiamo sul serio la gestione degli incidenti e disponiamo di una Procedura di risposta agli incidenti che definisce le modalità di gestione degli incidenti. Per incidente si intende un evento non pianificato come una violazione dei dati, un'interruzione del servizio o una riduzione della qualità di un servizio. Un incidente è anche un problema che è stato sollevato quando il servizio precedentemente funzionava e ora non funziona come previsto. La procedura descrive le modalità di valutazione, contenimento, valutazione, notifica, revisione e monitoraggio degli incidenti.
Tutti gli incidenti vengono registrati nel Registro di risposta agli incidenti e gli insegnamenti tratti dagli incidenti vengono utilizzati per migliorare i processi, le procedure, i sistemi e gli strumenti nell'ambito del nostro impegno per il miglioramento continuo.
Disaster recovery e continuità aziendale
Manteniamo un piano di continuità operativa per affrontare i disastri che colpiscono la nostra sede fisica (dove non viene conservata alcuna parte della nostra infrastruttura di produzione).
Inoltre, manteniamo un piano di ripristino di emergenza (Disaster Recovery Plan, DRP) per affrontare i disastri che colpiscono il nostro ambiente di produzione, valutati come eventi critici non pianificati nell'ambito del processo di risposta agli incidenti, che comprende il ripristino delle funzionalità principali del servizio da un'altra sede. Il nostro centro dati principale è ospitato su AWS a Sydney (Australia), con ridondanza nella stessa regione AWS. In caso di perdita di un singolo centro dati AWS, le procedure di ripristino porterebbero al ripristino dei nodi di un altro centro dati senza alcun intervento umano. I test vengono condotti almeno una volta all'anno. Il nostro test di DR può assumere la forma di un walk-through, di un finto disastro o di un test dei componenti.
Conservazione e smaltimento dei dati
Conservazione dei dati
Conserviamo informazioni limitate sull'utente che controlliamo esclusivamente per lo scopo e il periodo necessari a soddisfare le finalità descritte nella nostra Informativa sulla privacy. I dati in possesso dei nostri sistemi per conto dei nostri utenti saranno conservati in conformità alle nostre Condizioni d'uso e ad altri accordi commerciali con tali clienti.
Forniamo sia prodotti software basati su cloud che prodotti software basati su PC installati in modo nativo. Con i nostri prodotti software basati su cloud, i dati dei clienti sono archiviati nei nostri sistemi sicuri basati su cloud (descritti nel presente documento). Con i nostri prodotti software basati su PC, invece, i dati dei clienti sono archiviati localmente nella loro infrastruttura IT.
Cancellazione dei dati
I nostri clienti mantengono il pieno controllo dei dati inviati e possono modificarli, esportarli o eliminarli in qualsiasi momento utilizzando i mezzi disponibili attraverso il nostro software o contattandoci.
Al termine di un account, gli utenti possono richiedere la cancellazione dei propri dati nell'ambito della procedura di chiusura dell'account. I dati dell'utente saranno eliminati entro 90 giorni dalla richiesta, che comprende un periodo di 30 giorni per consentire il rollback e altri 60 giorni per procedere con il processo di eliminazione.
In alternativa, gli utenti possono scegliere di mantenere i dati dell'account nella piattaforma, nel qual caso possiamo continuare a conservarli, ma possiamo anche cancellarli in qualsiasi momento a nostra discrezione.
Distruzione dei dati
I nostri servizi cloud sono ospitati su AWS, che implementa strategie sicure di distribuzione ed eliminazione dei dati per consentire l'archiviazione sicura di dati sensibili in un ambiente multi-tenant. La disattivazione dei supporti di archiviazione viene eseguita da AWS in conformità alla norma NIST 800-88.
Monitoraggio
Raccogliamo e monitoriamo i registri di rete utilizzando i registri del traffico dalle postazioni edge e dai bilanciatori di carico, i registri a livello di applicazione per il tracciamento e la verifica degli eventi e i registri a livello di sistema per la verifica degli accessi e delle operazioni ad alto privilegio. Tutti i registri vengono archiviati in modo sicuro in Amazon S3 o Amazon CloudWatch e conservati.
Monitoriamo l'utilizzo della capacità delle risorse infrastrutturali per garantire che l'erogazione del servizio corrisponda agli accordi sui livelli di servizio. Inoltre:
- I servizi Amazon sono utilizzati per attivare la messaggistica automatica basata sugli eventi per gli avvisi di infrastrutture critiche.
- Utilizziamo un servizio proprietario di registrazione e tracciamento degli errori con messaggistica automatizzata basata su eventi per gli avvisi delle applicazioni.
La privacy
Consultare la nostra Informativa sulla privacy.
Sicurezza in ufficio
L'accesso ai nostri uffici e agli ascensori è limitato da tessere di accesso. La sicurezza dell'edificio dispone di diverse procedure per monitorare regolarmente l'accesso all'edificio e ai piani. Il sistema di sicurezza incorporato in ogni piano tiene traccia dell'utilizzo delle porte e può essere richiesto un rapporto sugli accessi alla sicurezza dell'edificio. Gli spazi della scrivania sono sorvegliati da telecamere a circuito chiuso 24 ore su 24 e i locali sono inoltre dotati di guardie di sicurezza itineranti in tutto il distretto. Le registrazioni video delle telecamere a circuito chiuso vengono archiviate e conservate per 18 mesi. Il Chief Commercial Officer è responsabile dell'aggiornamento del Building Management Team in merito a qualsiasi modifica apportata ai dipendenti per ottenere o revocare l'accesso a una carta di accesso all'edificio.
Sicurezza dei centri dati
Ci affidiamo ai controlli del centro dati AWS, come la selezione del sito, la ridondanza, la disponibilità e la pianificazione della capacità, per mantenere un livello di sicurezza adeguato. Non ospitiamo alcun server proprio.
Aggiornamenti politici
La presente Politica può essere modificata di tanto in tanto ed è disponibile sul nostro sito web www.elek.com.
Contatto
Per ulteriori informazioni o per contattarci, visitate la nostra pagina dei contatti.
