Politica di sicurezza
In Finance Active prendiamo molto sul serio la sicurezza delle informazioni. Siamo orgogliosi di essere coinvolti il più possibile quando la sfida è proteggere i dati che i nostri clienti ci affidano. Vogliamo quindi chiarire il nostro approccio alla sicurezza.
Riepilogo:
Come si inquadra il nostro approccio alla sicurezza delle informazioni?
Come viene garantita la riservatezza dei dati degli utenti?
Come viene controllato il livello di sicurezza del nostro sistema informativo?
In che modo i dipendenti sono consapevoli della nostra politica di sicurezza?
Quali sono i nostri impegni riguardo alla disponibilità delle nostre applicazioni?
Cosa viene messo in atto per proteggere l'accesso alle nostre applicazioni?
Quali tecnologie utilizziamo per la crittografia dei dati?
Come ci proteggiamo da malware e vulnerabilità?
Cosa viene messo in atto per proteggere la nostra rete informatica?
Come viene garantita la sicurezza fisica della nostra infrastruttura?
Come viene inquadrato il nostro approccio alla sicurezza delle informazioni?
Abbiamo definito una politica di sicurezza dei sistemi informativi e un sistema di gestione della sicurezza delle informazioni in linea con lo standard ISO/IEC 27001. Inoltre, è stata implementata una classificazione delle informazioni in base al loro livello di riservatezza. Con l'obiettivo di definire una risposta adeguata e misurata ai rischi legati alle informazioni manipolate, tutti i documenti che produciamo sono classificati secondo questa scala. Una serie di misure di sicurezza viene applicata a ciascun livello di riservatezza, durante tutto il ciclo di vita del supporto informativo. Garantiamo inoltre che la sicurezza del nostro sistema informativo sia presa in considerazione in tutte le fasi dei nostri progetti, dalle fasi di progettazione e specifica del sistema fino alla sua messa fuori servizio.
Come viene garantita la riservatezza dei dati degli utenti?
Imponiamo severi controlli sull'accesso da parte dei nostri dipendenti ai dati che ci affidi. Ci assicuriamo che questi dati non siano accessibili a chiunque non abbia un accesso legittimo ad essi. Il funzionamento dei nostri servizi, tuttavia, richiede che alcuni dipendenti abbiano accesso a sistemi che archiviano ed elaborano i dati dei clienti. Ad esempio, per poter analizzare un problema che stai riscontrando, il nostro team di supporto potrebbe dover accedere ai tuoi dati. Tutti i nostri dipendenti sono tenuti a rispettare le nostre regole di sicurezza e la nostra azienda tratta questi temi con la massima attenzione: è vietato l'uso di account generici e viene effettuata regolarmente una revisione dei diritti di accesso dei dipendenti per garantire che i processi di cambiamento hanno funzionato correttamente in caso di cambiamento nella situazione del nostro personale.
Come viene controllato il livello di sicurezza del nostro sistema informativo?
Per garantire il miglior livello di sicurezza, chiediamo regolarmente a fornitori di servizi qualificati di svolgere missioni di audit sul nostro sistema informativo. In modo non esaustivo, queste missioni sono condotte per verificare la conformità allo standard ISO/IEC 27001 sul nostro perimetro certificato, o per eseguire test di penetrazione black box e grey box sui nostri sistemi SaaS.
Il perimetro certificato ISO/IEC 27001 di Finance Active
Lo standard ISO/IEC 27001 definisce i requisiti per l'impostazione di un Sistema di Gestione della Sicurezza delle Informazioni (ISMS). L’ISMS individua le misure di sicurezza per garantire la protezione del patrimonio Finance Active . L'obiettivo è proteggere le funzioni e le informazioni da qualsiasi furto, smarrimento o alterazione e i sistemi informatici da qualsiasi intrusione o disastro.
Finance Active è certificata secondo lo standard ISO/IEC 27001 nel seguente ambito:
Edizione software, integrazione, supporto ed erogazione in modalità SaaS delle soluzioni Fairways per la gestione del debito, delle garanzie e del rischio di cambio.
Finance Active si impegna a proteggere la tua privacy. Per la protezione dei dati personali, Finance Active ha nominato un Data Protection Officer (DPO) che garantisce che la sicurezza dei dati personali sia rispettata e che i processi siano conformi alle leggi europee (incluso GDPR). I dati che raccogliamo vengono utilizzati principalmente dai servizi Finance Active e in nessun caso vengono ceduti a terzi, salvo rigorosi requisiti di esecuzione del contratto. Tutti i fornitori selezionati da Finance Active rispettano la normativa in materia di protezione dei dati personali.
Subresponsabile del trattamento | Scopo | Posizione |
|---|---|---|
Equinix | Ospitando | Francia |
Aut0 | Autenticazione utente | Unione Europea |
Zendesk | Gestione delle richieste di supporto | Unione Europea |
Salesforce | CRM | Unione Europea |
Microsoft (Ufficio 365) | IT aziendale collaborativo | Unione Europea |
Servizi Web di Amazon | Conservazione del backup | Unione Europea |
In che modo i dipendenti sono consapevoli della nostra politica di sicurezza?
Tutto il nostro personale partecipa, durante le proprie attività, per conto dell'organizzazione, ad azioni di sensibilizzazione e formazione adatte al proprio profilo e alle proprie missioni. Ciò ci consente di garantire che le buone pratiche di sicurezza siano diffuse tra i diversi team.
Quali sono i nostri impegni riguardo alla disponibilità delle nostre applicazioni?
La nostra strategia per garantire la disponibilità delle nostre applicazioni e dei dati dei nostri clienti si basa su una serie di elementi complementari:
Distribuzione dei server di produzione e di backup in due data center che rispondono alle buone pratiche di gestione aziendale
Duplicazione dei dati su questi due data center
Utilizzo di storage con tolleranza hardware
Backup regolare del sistema informativo:
Backup giornaliero conservato per 2 settimane
Backup settimanale mantenuto per 2 mesi
Backup mensile conservato per 2 anni
Backup annuale conservato per 10 anni
Tranne nei casi di forza maggiore, Nostro:
Il Recovery Point Objective, ovvero il periodo massimo previsto in cui i dati potrebbero andare persi, è di 24 ore
Il Recovery Time Objective, ovvero il periodo di tempo previsto in cui la nostra applicazione deve essere ripristinata, è di 4 ore lavorative
Cosa viene messo in atto per proteggere l'accesso alle nostre applicazioni?
Tutti gli accessi alle applicazioni e ai servizi offerti da Finance Active sono soggetti all'autenticazione dell'utente. Deleghiamo la gestione dell'autenticazione degli utenti a fornitori specializzati che implementano i seguenti standard:
Delega dell'autorizzazione: OAuth 2.0 (RFC 6749 e RFC 6750)
Scambio sicuro di token di autorizzazione: token Web JSON (RFC 7519)
A livello applicativo ad ogni richiesta viene effettuata una verifica dell'autenticazione dell'utente e dei diritti di accesso ai dati. Gli utenti possono accedere al proprio spazio e ai propri dati solo dallo spazio a cui è collegato il proprio account.
Quali tecnologie utilizziamo per la crittografia dei dati?
Gli scambi tra le postazioni di lavoro degli utenti e le nostre applicazioni sono completamente crittografati dal tuo browser ai nostri server utilizzando HyperText Transfer Protocol Secure (RFC 2818).
Le suite crittografiche sono implementazioni riconosciute come standard di mercato e l'autenticazione dei nostri servizi rivolti a Internet si basa su certificati firmati da un'autorità di certificazione pubblica riconosciuta.
Come ci proteggiamo da malware e vulnerabilità?
I sistemi operativi e il software che utilizziamo sono gestiti saldamente dal loro editore, da una comunità attiva (per il software open source) o da un fornitore di servizi. Per ridurre la superficie di attacco, sui nostri server vengono installati solo i servizi e le applicazioni necessari. Inoltre, vengono distribuiti sistematicamente importanti aggiornamenti e aggiornamenti di sicurezza.
Monitoriamo inoltre l'identificazione di nuove vulnerabilità seguendo i flussi di rilascio di diversi CERT, come CERT-FR o CERT-US, e assicuriamo che tutte le macchine all'interno del nostro sistema informativo siano protette da un sistema di prevenzione malware (antivirus, ecc.) adeguatamente mantenuto.
Cosa viene messo in atto per proteggere la nostra rete informatica?
La nostra rete informatica è segmentata secondo aree di sicurezza omogenee. Viene effettuato un filtraggio dei flussi in entrata e in uscita da ciascuna area. Qualsiasi interconnessione tra la nostra rete e una rete esterna (rete di terzi, Internet, ecc.) è crittografata e passa attraverso un'infrastruttura dedicata che include gli opportuni elementi di sicurezza (firewall, ecc.).
Come viene garantita la sicurezza fisica della nostra infrastruttura?
Banca dati
I nostri server sono ospitati in data center europei all'avanguardia per la sicurezza fisica e il controllo degli accessi. Ci assicuriamo che:
Le aziende selezionate per ospitare i nostri server sono certificate ISO/IEC 27001.
L'organizzazione in corridoi freddi/corridoi caldi è rispettata.
E' presente l'impianto autonomo di rilevazione ed estinzione incendi.
La ridondanza dell'alimentazione è presente.
Vengono eseguiti il monitoraggio e il filtraggio dell'accesso fisico.
Viene utilizzato il controllo degli accessi multifattore.
Controllo degli accessi fisici presso le sedi di Finance Active
La fornitura dell'accesso fisico ai nostri locali segue un processo atto a garantire l'identità della persona. I badge di accesso sono personali e non cedibili. Il personale diverso da quello esplicitamente autorizzato ma chiamato a intervenire in aree sensibili (manutenzione o riparazione di edifici, apparecchiature non informatiche, visitatori, ecc.), interviene sistematicamente e imperativamente sotto sorveglianza.
L'accesso ai locali è soggetto a videosorveglianza e i locali sono custoditi al di fuori dell'orario di lavoro.