Politica di sicurezza

Shared Contacts for Gmail® tratta informazioni di contatto, che molto spesso contengono dati personali, la cui manipolazione è severamente regolamentata.

Prendiamo molto sul serio la sicurezza dei dati e, in qualità di Google Premium Partner, siamo tenuti a rispettare numerose regole di sicurezza. Inoltre, i nostri clienti includono istituzioni finanziarie, ospedali e aziende Fortune 500 che ci chiedono di fornire processi di sicurezza al top della gamma.

L’approccio generale alla sicurezza segue la metodologia EBIOS (il metodo principale utilizzato in Francia)

L’approccio per prevenire l’accesso non autorizzato ai dati dei nostri clienti si basa sui seguenti principi:

Fonti di rischio

Vengono prese in considerazione 3 fonti di rischio principali:

  • Persone interne: Dipendenti e collaboratori
  • Soggetti esterni: Fornitori, concorrenti, terze parti autorizzate…
  • Fonti non umane: Virus, disastri naturali, materiali infiammabili…

Attività

Hardware

I dati sono ospitati esclusivamente su server protetti, forniti da Google Cloud(Google Compute Platform Infrastructure) e non transitano mai su altri tipi di hardware (USB, CD, telefoni cellulari, computer locali ecc.).

Banche dati

I database che ospitano i dati dei nostri clienti sono protetti da password all’interno della rete. Solo i manager/team leader hanno accesso ai dati in tempo reale. Gli sviluppatori lavorano sui dati di staging e non hanno la possibilità di accedere ai dati live.

Le password dei database e dei gateway sono protette in un file di crittografia rigida memorizzato su un server separato e utilizzato una sola volta dal server live a ogni distribuzione.


Software

Utilizziamo un numero minimo di strumenti di terze parti (Mongo DB, Zabbix, ecc.) e ogni installazione di un nuovo software deve essere sottoposta a una rigorosa verifica di sicurezza, compresi trojan o spyware. Come per il database, solo gli utenti che devono accedere a questi software hanno le credenziali e l’autorizzazione per utilizzarli.

Rete

La nostra rete è esclusivamente web-based su architettura Google. Abbiamo un dipendente assegnato a tempo pieno alla gestione della sicurezza e dei permessi di accesso.
L’accesso all’infrastruttura (ad esempio FTP) è protetto da 4 livelli di restrizioni:

  • Account Google (solo gli ID di posta elettronica Google approvati possono accedere alla piattaforma GCP)
  • Autenticazione in 2 fasi dell’account Google: Gli utenti che accedono all’infrastruttura GCP devono confermare la propria identità tramite l’autenticazione via SMS.
  • Indirizzi IP: solo un insieme di indirizzi IP elencati. Gli utenti che lavorano da casa devono comunicare ogni giorno il proprio indirizzo IP.
  • Un sistema aggiuntivo di autenticazione interna a due fasi, che utilizza l’algoritmo Time-based One-time Password (TOTP; specificato in RFC 6238) e l’algoritmo HMAC-based One-time Password (HOTP; specificato in RFC 4226), per l’autenticazione degli utenti.
  • Sono inoltre in atto misure per prevenire DDos o iniezioni SQL.
  • I nostri dipendenti sono anche addestrati a evitare il phishing o i virus “basati sul cloud” (che richiederebbero loro di accedere al proprio account Google per aprire un file, ad esempio).

Persone

  • Tutti i dipendenti e gli appaltatori vengono sottoposti a controlli prima dell’assunzione. I dipendenti firmano un NDA e vengono regolarmente informati sulle misure di sicurezza e di tutela della privacy e sui rischi e le sanzioni connessi alla violazione dei dati.
  • Il numero di utenti che accedono ai dati dei clienti è strettamente limitato al personale di sicurezza e di gestione.
  • I team di sviluppo e assistenza possono impersonare gli utenti e accedere ai loro contatti solo per la risoluzione dei problemi e l’assistenza.
  • Tutte le attività sui server e sulle piattaforme vengono registrate e monitorate. Qualsiasi attività anomala verrà immediatamente rilevata (ad esempio un dipendente che impersona diversi utenti dello stesso dominio in un breve periodo di tempo senza un motivo evidente) e dovrà giustificare tale attività.