Sicurezza di dati e informazioni in Assent

Crittografia

Dati in transito: le comunicazioni Internet sono crittografate attraverso HTTPS, SFTP, e TLS.

Dati a riposo: i dati dei clienti vengono protetti con AES.

Ambienti separati (DEV, QA, Staging, UAT, PROD): ambienti di sviluppo, testing e staging separati dall’ambiente di produzione, sia fisicamente che logicamente.

Segregazione dei dati: tutti i dati dei clienti sono segregati con controlli di sicurezza all’avanguardia, accessibili solo da personale designato con credenziali e privilegi esclusivi. Inoltre, vengono create directory SFTP a parte per ogni cliente, in modo da consentire il trasferimento dei dati ad Assent.

Testing della penetrazione: ogni anno vengono eseguiti da un soggetto terzo indipendente test di penetrazione del web e della rete sull’ambiente di produzione. Il team interno esegue test ogni sei mesi.

Scansione della vulnerabilità dell’applicazione: per ogni codice rilasciato viene condotta una scansione dell’applicazione prima che questo venga diffuso agli ambienti UAT. Solo i codici che superano la scansione passano alla fase di produzione.

Fornitore di servizi

L’ambiente di hosting di Assent e i relativi servizi vengono forniti da AWS. Questo fornitore ha grande esperienza nel campo della sicurezza dei dati e viene utilizzato da leader di settore come Verizon e Capital One. Inoltre detiene numerose certificazioni, tra cui SOC 2 e ISO 9001:2015.

Sedi

Assent ha due sedi disponibili per l’hosting:

• Nord America: AWS U.S. East — Virginia del Nord.
• UE: AWS — Francoforte, Germania

La struttura e la sicurezza di rete di Assent sono componenti chiave delle misure costantemente adottate da Assent per la sicurezza dei dati. I clienti possono contare sulle seguenti funzionalità:

Prevenzione e rilevamento delle intrusioni: i potenziali eventi di sicurezza vengono mitigati con sistemi di prevenzione e rilevamento delle intrusioni (rispettivamente IPS e IDS). Questi vengono collocati nei punti di ingresso e uscita dalle reti per prevenire violazioni.

Prevenzione della perdita di dati: Assent punta su un approccio stratificato per la prevenzione della perdita di dati, integrando strumenti di nuova generazione e processi tradizionali.

Architettura: i dati dei clienti vengono tenuti isolati rispetto al traffico di rete edge attraverso un’architettura appositamente sviluppata che segue prassi di topologia ed elevata disponibilità.

Scansione della vulnerabilità di rete: la sicurezza di rete e degli endpoint viene sottoposta a regolari e ampie scansioni della vulnerabilità per garantirne la costante efficienza.

Security Incident Event Management (SIEM): i potenziali eventi di sicurezza vengono monitorati, analizzati e comunicati al team di sicurezza di Assent attraverso una soluzione di gestione degli incidenti di sicurezza.

Accesso alla rete: la rete di Assent limita l’accesso a utenti e dispositivi autorizzati.

Indipendentemente da dove si trovano i dati, Assent predispone misure efficaci di protezione e conservazione dei dati in caso di emergenza. Ogni settimana vengono effettuati backup completi e ogni ora vengono eseguiti log e backup differenziali per minimizzare la perdita di dati in caso di eventi imprevisti.

Allo stesso modo, Assent ha predisposto procedure di disaster recovery (DR) per proteggere i dati. I dati dei clienti nell’ambiente di produzione vengono sincronizzati con il sito DR quasi in tempo reale. In caso di disastri, la perdita di dati prevista sarà di circa un’ora, con un margine di 30 minuti. Il piano di disaster recovery viene testato a cadenza annuale.

Salvo casi estremi, si preveda una finestra di quattro ore per il ritorno alle operazioni standard, qualora fosse necessario ricorrere al sito DR.

Il sito di disaster recovery di Assent per gli Stati Uniti è AWS U.S.-West (Oregon), mentre quello per l’Unione Europea è AWS Ireland.

Risposta agli incidenti di sicurezza: Assent dispone di un piano documentato di risposta agli incidenti, che viene testato annualmente e copre ogni aspetto dell’incidente, dal rilevamento all’analisi post-incidente.

Gestione dei cambiamenti: i cambiamenti di produzione sono soggetti a test, convalida e approvazione.

Autenticazione a due fattori: l’autenticazione a due fattori viene utilizzata per l’amministrazione dell’ambiente di produzione e per l’accesso remoto alla rete Assent.

Monitoraggio continuo: prestazioni e capacità di tutti i sistemi vengono monitorate 24 ore su 24, 7 giorni su 7.

Team di sicurezza dedicato: tutti i membri del team di sicurezza Assent sono dotati di adeguate certificazioni e autorizzazioni di sicurezza.

Politiche: Assent ha predisposto un set completo di politiche di sicurezza, sulla base del quadro di riferimento ISO 27001, che vengono sottoposte a riesame annuale. Queste politiche vengono messe a disposizione di tutto il personale che abbia accesso al patrimonio informativo di Assent.

Formazione: prima di avere accesso alla rete tutti i dipendenti frequentano corsi di formazione sulla sicurezza, da ripetere annualmente. Inoltre, il personale viene regolarmente sottoposto a corsi di formazione e test di simulazione sul phishing per prepararsi ad affrontare le minacce più nuove sul fronte degli attacchi cibernetici.

Controllo dei precedenti personali: Assent si occupa di controllare i precedenti personali e penali su tutti i nuovi collaboratori.

Accordi di riservatezza: tutti i nuovi collaboratori sono tenuti a firmare accordi di riservatezza.