Perché è importante il design di sicurezza del software

Quando scegliete un software HR online, è importante che vi documentiate sia sull’hosting che sul design applicativo. Un fornitore potrà scegliere di ospitare il proprio prodotto su un sistema di hosting internazionale beneficiando così di un’infrastruttura di sicurezza avanzata e di tutte le certificazioni.
Tuttavia, se il software non è stato costruito dalle fondamenta con un occhio di riguardo alla sicurezza, il sistema risulterà comunque vulnerabile, mettendo a rischio i tuoi dati.

Cezanne HR ha una lunga storia come fornitore di soluzioni software HR per clienti di qualunque settore e dimensione a livello internazionale. Sappiamo quindi cosa è necessario per fornire un sistema online robusto e sicuro. Oltre ad una progettazione attenta alla sicurezza, facciamo eseguire penetration test periodici da esperti di terze parti, per darvi la certezza che la nostra sicurezza sia validata in maniera indipendente e che il nostro sistema soddisfi tutti gli standard di sicurezza necessari per la gestione di dati HR.

Cyber Essentials LogoAmazon Web Services logoCezanne HR ISO logo number

Sicurezza ad ogni livello


Software HR e GDPR

Il nuovo regolamento di protezione dei dati personali introduce delle modifiche importanti al precedente regolamento europeo; tuttavia, i principi cardine restano i medesimi applicati già dall'introduzione nel 1995 di una legislazione basata sulle direttive Europee.

I principi base che stabiliscono le metodologie di gestione dei dati personali e le misure tecniche ed organizzative necessarie per proteggerli, non vengono modificati dal GDPR.

Abbiamo verificato le misure tecniche ed organizzative che utilizziamo in Cezanne HR per proteggere i dati personali gestiti da noi e dai nostri clienti e possiamo dichiarare di essere in linea con le misure di sicurezza prescritte dal GDPR, così come sottolineato dagli articoli 25 e 32.

Architettura

Cezanne HR è costruito su un'architettura multilivello, raccomandata per le applicazioni web-based. La struttura si basa su 3 livelli indipendenti tra loro: presentation layer (ui), business logic (application server) e data layer (database).

Il presentation layer non ha accesso diretto al database layer, ogni comunicazione passa attraverso il business layer che assicura controlli approfonditi prima di consentire l'accesso ai dati. In questo modo le richieste che arrivano dal browser web non hanno accesso diretto ai dati.

L'applicativo controlla il ruolo utente ad ogni richiesta, evitando che vi siano accessi da differenti indirizzi IP durante la stessa sessione di login.

Criptazione dei dati

Il servizio utilizza un robusto sistema di criptazione delle informazioni, tra cui l’utilizzo di certificati SSL. Si tratta del protocollo standard per l’interscambio sicuro di informazioni in rete. Il protocollo SSL utilizza sofisticate tecniche di crittografia delle informazioni al fine di garantirne l’integrità e la riservatezza. Avrai la certezza di aver creato un link SSL quando l’URL diventa verde, comincia con https:// e compare un lucchetto ad inizio e fine URL.

Autenticazione utente

Vengono utilizzati dei meccanismi di sicurezza per verificare l’identità degli utenti che tentano di accedere al sistema. Per effettuare l’accesso l’utente deve inserire uno username (indirizzo email) ed una password, oppure autenticarsi attraverso sistemi approvati di single sign-on (SSO). Puoi stabilire tu quali opzioni mettere a disposizione per il Single sign On (Google, Microsoft, Twitter, Facebook, Open ID…) . Solo gli identificativi certificati SSL possono essere utilizzati.

Le password vengono protette utilizzando sofisticate tecniche di hashing e salting. Cezanne HR non memorizza la password completa, ma un hash della stessa. Puoi impostare regole nel sistema per rinforzare la policy sulle password includendo:

  • Inserimento obbligatorio di almeno una lettera maiuscola ed una minuscola, un numero ed un simbolo.
  • Lunghezza minima e massima.
  • Data di scadenza della password con reminder.
  • Storico password utilizzate per evitare che vengano riutilizzate le stesse PW in un determinato periodo personalizzabile.
  • Numero massimo di tentati login falliti prima che l’account venga temporaneamente bloccato.

State-of-the-art hosting

Cezanne HR ha scelto di ospitare il proprio software nei data centres di Amazon AWS, best in class per sicurezza ed affidabilità; ha superato diverse certificazioni, tra cui ISO27001, SOC 1/SSAE 16, SOC 2 e molte altre. L’infrastruttura di AWS ha inoltre diverse caratteristiche di sicurezza interne tra cui protezione contro DDoS (distributed denial of service) e contro attacchi di password brute-force.

In più il nostro contratto con AWS determina che non possono spostare nessun contenuto al di fuori degli stati dell’Unione Europea senza prima notificarcelo. Se questo dovesse accadere, ci impegniamo ad informare tempestivamente i nostri clienti e ad agire affinché i dati restino all’interno dell’UE. Questo è particolarmente importante in funzione del regolamento del 6 ottobre 2015, con cui la Corte Europea di giustizia ha sancito l’inapplicabilità del precedente accordo US-UE Safe Harbor per il trasferimento di dati dall’area economica europea (EEA) agli Stati Uniti.

Per maggiori informazioni in merito alla normativa di protezione dei dati di AWS potete visitare questo link: https://aws.amazon.com/compliance/eu-data-protection/

Sistema interno di sicurezza

All’interno dell’ambiente AWS i sistemi sono ulteriormente salvaguardati da firewall tra layers, codici IP e restrizione delle porte, sottoreti private e restrizioni del network Routing.

Sicurezza del sistema operativo

I sistemi operativi ssi rafforzano, disabilitando o rimuovendo alcuni strumenti non essenziali, le utilities ed altre opzioni di amministrazione del sistema che potrebbero offrire potenziali accessi clandestini attraverso la disattivazione o rimozione di utenti, protocolli e processi non necessari. Le nostre procedure di installazione e configurazione sono basate su standard e strumenti riconosciuti ed accreditati.

Sicurezza nella gestione del server

Cezanne HR non ha accesso fisico al data centre né alle macchine, secondo i vincoli stabiliti da Amazon. Cezanne HR può però accedere ai server virtuali nei casi in cui si debba fare manutenzione, applicare aggiornamenti di sicurezza, monitorare e assicurare che i backup siano stati completati con successo. Questo è consentito solo al Team di Gestione del Servizio di Cezanne HR.

Resilienza

Quando acquisti una soluzione Software as a Service (SaaS), è essenziale che il servizio sia flessibile e affidabile. Per assicurarti la massima accessibilità il servizio Cezanne HR include:

  • Installazione in diversi data centres. Cezanne HR continua a funzionare se una macchina o un data centre si blocca.
  • Monitoraggio 24 ore su 24. L’accessibilità del Sistema è controllata continuamente e nel caso sopraggiunga un problema viene inviato tempestivamente un avviso al team di supporto.
  • Monitoraggio esterno da vari luoghi per avvisare Cezanne HR di inattività inattese o problemi DNS.
  • Monitoraggio delle risorse tra cui CPU, disco e memoria utilizzata così da poterle bilanciare quando necessario.

Si prega di notare: : Le informazioni contenute in questa pagina sono relative solo ai moduli sviluppati da Cezanne HR e non coprono moduli di terze parti che Cezanne HR commercializza e potrebbero avere un hosting ed un’architettura di sicurezza differenti.

L’utilizzo del software Cezanne HR è soggetto ai termini ed alle condizioni contenute nel contratto di Cezanne HR. Cezanne HR si riserva il diritto di modificare la propria infrastruttura di sicurezza in accordo con questo contratto. Si prega di contattarci qualora interessati a visualizzare il contratto.

Vuoi saperne di più?

Richiedi una demo