Perché è importante il design di sicurezza del software


Quando scegliete un software HR online, è importante che vi documentiate sia sull’hosting che sul design applicativo. Un fornitore potrà scegliere di ospitare il proprio prodotto su un sistema di hosting internazionale beneficiando così di un’infrastruttura di sicurezza avanzata e di tutte le certificazioni.
Tuttavia, se il software non è stato costruito dalle fondamenta con un occhio di riguardo alla sicurezza, il sistema risulterà comunque vulnerabile, mettendo a rischio i tuoi dati.

Cezanne HR ha una lunga storia come fornitore di soluzioni software HR per clienti di qualunque settore e dimensione a livello internazionale. Sappiamo quindi cosa è necessario per fornire un sistema online robusto e sicuro. Oltre ad una progettazione attenta alla sicurezza, facciamo eseguire penetration test periodici da esperti di terze parti, per darvi la certezza che la nostra sicurezza sia validata in maniera indipendente e che il nostro sistema soddisfi tutti gli standard di sicurezza necessari per la gestione di dati HR.

Cyber Essentials LogoAmazon Web Services logoCezanne HR ISO logo number


Sicurezza ad ogni livello


HR and GDPR software

The new General Data Protection Regulation introduces an important revision to the previous European data protection regulation; however, the key principles are the same as those applied since the introduction in 1995 of legislation based on European directives.

The basic principles that establish the methods for managing personal data and the necessary technical and organizational measures are not actually modified by the GDPR.

Having reviewed the technical and organizational data protection measures we use in Cezanne HR to protect the personal data processed by us and our customers, we can declare that the substance of these measures is in line with the security requirements of the GDPR, such as emphasized in Articles 25 and 32.

Architecture

Cezanne HR is built on a multi-level architecture, recommended for web-based applications. The structure is based on 3 independent levels: presentation layer (ui), business logic (application server) and data layer (database).

The presentation layer does not have direct access to the database layer, every communication passes through the business layer which ensures further checks before allowing access to the data. This prevents requests from the web browser from reaching the database directly.

The application checks the user role at each request, avoiding that there are accesses from different IP addresses in the same login session.

Criptazione dei dati

Il servizio utilizza un robusto sistema di criptazione delle informazioni, tra cui l’utilizzo di certificati SSL. Si tratta del protocollo standard per l’interscambio sicuro di informazioni in rete. Il protocollo SSL utilizza sofisticate tecniche di crittografia delle informazioni al fine di garantirne l’integrità e la riservatezza. Avrai la certezza di aver creato un link SSL quando l’URL diventa verde, comincia con https:// e compare un lucchetto ad inizio e fine URL.

Autenticazione utente

Vengono utilizzati dei meccanismi di sicurezza per verificare l’identità degli utenti che tentano di accedere al sistema. Per effettuare l’accesso l’utente deve inserire uno username (indirizzo email) ed una password, oppure autenticarsi attraverso sistemi approvati di single sign-on (SSO). Puoi stabilire tu quali opzioni mettere a disposizione per il Single sign On (Google, Microsoft, Twitter, Facebook, Open ID…) . Solo gli identificativi certificati SSL possono essere utilizzati.

Le password vengono protette utilizzando sofisticate tecniche di hashing e salting. Cezanne HR non memorizza la password completa, ma un hash della stessa. Puoi impostare regole nel sistema per rinforzare la policy sulle password includendo:

  • Inserimento obbligatorio di almeno una lettera maiuscola ed una minuscola, un numero ed un simbolo.
  • Lunghezza minima e massima.
  • Data di scadenza della password con reminder.
  • Storico password utilizzate per evitare che vengano riutilizzate le stesse PW in un determinato periodo personalizzabile.
  • Numero massimo di tentati login falliti prima che l’account venga temporaneamente bloccato.


State-of-the-art hosting

Cezanne HR ha scelto di ospitare il proprio software nei data centres di Amazon AWS, best in class per sicurezza ed affidabilità; ha superato diverse certificazioni, tra cui ISO27001, SOC 1/SSAE 16, SOC 2 e molte altre. L’infrastruttura di AWS ha inoltre diverse caratteristiche di sicurezza interne tra cui protezione contro DDoS (distributed denial of service) e contro attacchi di password brute-force.

In più il nostro contratto con AWS determina che non possono spostare nessun contenuto al di fuori degli stati dell’Unione Europea senza prima notificarcelo. Se questo dovesse accadere, ci impegniamo ad informare tempestivamente i nostri clienti e ad agire affinché i dati restino all’interno dell’UE. Questo è particolarmente importante in funzione del regolamento del 6 ottobre 2015, con cui la Corte Europea di giustizia ha sancito l’inapplicabilità del precedente accordo US-UE Safe Harbor per il trasferimento di dati dall’area economica europea (EEA) agli Stati Uniti.

Per maggiori informazioni in merito alla normativa di protezione dei dati di AWS potete visitare questo link: https://aws.amazon.com/compliance/eu-data-protection/

Sistema interno di sicurezza

All’interno dell’ambiente AWS i sistemi sono ulteriormente salvaguardati da firewall tra layers, codici IP e restrizione delle porte, sottoreti private e restrizioni del network Routing.

Operating System Security

I sistemi operativi ssi rafforzano, disabilitando o rimuovendo alcuni strumenti non essenziali, le utilities ed altre opzioni di amministrazione del sistema che potrebbero offrire potenziali accessi clandestini attraverso la disattivazione o rimozione di utenti, protocolli e processi non necessari. Le nostre procedure di installazione e configurazione sono basate su standard e strumenti riconosciuti ed accreditati.

Server Management Security

Cezanne HR non ha accesso fisico al data centre né alle macchine, secondo i vincoli stabiliti da Amazon. Cezanne HR può però accedere ai server virtuali nei casi in cui si debba fare manutenzione, applicare aggiornamenti di sicurezza, monitorare e assicurare che i backup siano stati completati con successo. Questo è consentito solo al Team di Gestione del Servizio di Cezanne HR.

Resilience

Quando acquisti una soluzione Software as a Service (SaaS), è essenziale che il servizio sia flessibile e affidabile. Per assicurarti la massima accessibilità il servizio Cezanne HR include:

  • Installazione in diversi data centres. Cezanne HR continua a funzionare se una macchina o un data centre si blocca.
  • Monitoraggio 24 ore su 24. L’accessibilità del Sistema è controllata continuamente e nel caso sopraggiunga un problema viene inviato tempestivamente un avviso al team di supporto.
  • Monitoraggio esterno da vari luoghi per avvisare Cezanne HR di inattività inattese o problemi DNS.
  • Monitoraggio delle risorse tra cui CPU, disco e memoria utilizzata così da poterle bilanciare quando necessario.

Si prega di notare: : Le informazioni contenute in questa pagina sono relative solo ai moduli sviluppati da Cezanne HR e non coprono moduli di terze parti che Cezanne HR commercializza e potrebbero avere un hosting ed un’architettura di sicurezza differenti.

L’utilizzo del software Cezanne HR è soggetto ai termini ed alle condizioni contenute nel contratto di Cezanne HR. Cezanne HR si riserva il diritto di modificare la propria infrastruttura di sicurezza in accordo con questo contratto. Si prega di contattarci qualora interessati a visualizzare il contratto.

Iscriviti alla Newsletter

I dati personali forniti non saranno comunicati ad altre aziende o utilizzati per scopi non autorizzati.
Per maggiori informazioni, si prega di leggere il nostro impegno per la Privacy.