Misure di sicurezza

Ultimo aggiornamento: dicembre 18, 2021

Sicurezza del personale

  • riservatezza – Il personale di Appointlet è tenuto a sottoscrivere un accordo di riservatezza e deve confermare la ricezione e il rispetto delle politiche interne di Appointlet.
  • Educazione alla sicurezza e formazione sulla consapevolezza – Al momento dell'assunzione e in seguito annualmente, il personale di Nomina è tenuto a partecipare a corsi di formazione sulla sicurezza e sulla privacy.

Sicurezza organizzativa

  • Controlli di accesso – Appointlet implementa il provisioning dell'accesso basato sul principio del privilegio minimo e controlli di rimozione dell'accesso prontamente al termine. Questi controlli vengono riesaminati a livello aziendale due volte all'anno.
  • Autenticazione a più fattori (MFA) – Appointlet utilizza l'autenticazione a più fattori per l'accesso attraverso il nostro ambiente di produzione e i sistemi interni contenenti i dati del cliente.
  • Le password – Appointlet richiede e applica requisiti di complessità delle password in cui le password vengono utilizzate per l'autenticazione (ad es. login alle workstation). Questi requisiti includono restrizioni sul riutilizzo della password e una sicurezza sufficiente della password.
  • Informazioni Di Sicurezza - Il personale di Appointlet è tenuto a riconoscere e rispettare le politiche e gli standard di sicurezza delle informazioni di Appointlet. Il mancato rispetto è soggetto ad azione disciplinare, fino al licenziamento compreso.
  • Monitoraggio e risposta agli incidenti – Appointlet mantiene le capacità di rilevamento degli incidenti e un programma di risposta agli incidenti documentato. In caso di incidente, Appointlet adotterà prontamente misure ragionevoli per ridurre al minimo i danni e proteggere i dati del cliente.

Hosting di dati e pratiche

  • Crittografia standard del settore – I dati in transito vengono crittografati utilizzando TLS 1.2+ e i dati inattivi vengono crittografati utilizzando AES-256. Appointlet esegue l'hashing delle password degli utenti con PBKDF2 prima di memorizzarle in un database crittografato.
  • Conservazione e cancellazione – Appointlet conserva i dati di backup per un massimo di 7 giorni dopo che i dati sono stati eliminati da un utente finale. Trascorso tale periodo i dati vengono eliminati definitivamente.
  • Storage - Appointlet archivia i dati in un ambiente multi-tenant ospitato su server AWS e isola logicamente i dati del cliente.
  • data Center – Appointlet ospita i dati su Amazon Web Services (AWS), che mantiene certificazioni e report di conformità di livello mondiale riconosciuti a livello internazionale. AWS mantiene pratiche di sicurezza leader del settore, offre protezione ambientale e fisica all'avanguardia per i servizi e le infrastrutture che compongono l'ambiente operativo di Appointlet.
  • I backup – Appointlet esegue backup periodici del database. I backup vengono conservati per 7 giorni durante il normale corso delle operazioni.
  • replicazione – Appointlet replica anche database e backup di database in zone di disponibilità alternative. Eseguiamo backup regolari e test di ripristino.
  • Ridondanza – L'infrastruttura di Appointlet è stata progettata per eliminare i singoli punti di guasto e ridurre al minimo l'impatto dei rischi ambientali previsti. Questo design consente ad Appointlet di eseguire la manutenzione e il miglioramento dell'infrastruttura con un impatto minimo sui sistemi di produzione.

Protezione della rete

  • firewall – Appointlet configura i firewall in base alle best practice del settore e le porte e i protocolli non necessari vengono bloccati configurando AWS Security Groups e NACL (Network Access Control Lists). Le configurazioni vengono monitorate regolarmente utilizzando strumenti di gestione automatizzata della posizione di sicurezza del cloud.
  • Monitoraggio, registrazione e avvisi – Appointlet registra i registri delle applicazioni per monitorare eventuali attività sospette. Questo viene fatto utilizzando uno strumento SIEM (Security Incident and Event Management). Tutti gli avvisi vengono valutati dal team di sicurezza di Appointlet e viene generato un incidente di sicurezza dopo l'introspezione del registro.

Subresponsabili

  • riservatezza – Appointlet adotta le misure appropriate per garantire che la nostra posizione di sicurezza sia mantenuta stabilendo accordi che richiedono ai subprocessori e alle organizzazioni di servizi di aderire agli impegni di riservatezza.

Certificazioni e rapporti di sicurezza

  • Test di penetrazione – Appointlet collabora con società terze indipendenti per condurre test di penetrazione a livello di applicazione e di rete almeno una volta all'anno. I risultati di questi test vengono condivisi con il senior management, valutati, classificati in base alle priorità e corretti in modo tempestivo.
  • Programma di divulgazione della sicurezza indipendente – Appointlet gestisce un programma "Bug Bounty" per revisori della sicurezza indipendenti progettato per consentire ai professionisti della sicurezza di rivelare problemi di sicurezza attraverso i canali appropriati in modo da poterli risolvere prontamente. Maggiori informazioni possono essere trovate qui.