Sicurezza del software

Perché è importante il design di sicurezza del software

Quando scegliete un software HR online, è importante che vi documentiate sia sull’hosting che sul design applicativo. Un fornitore potrà scegliere di ospitare il proprio prodotto su un sistema di hosting internazionale beneficiando così di un’infrastruttura di sicurezza avanzata e di tutte le certificazioni. Tuttavia, se il software non è stato costruito dalle fondamenta con un occhio di riguardo alla sicurezza, il sistema risulterà comunque vulnerabile, mettendo a rischio i tuoi dati.

Cezanne HR ha una lunga storia come fornitore di soluzioni software HR per clienti di qualunque settore e dimensione a livello internazionale. Sappiamo quindi cosa è necessario per fornire un sistema online robusto e sicuro. Oltre ad una progettazione attenta alla sicurezza, facciamo eseguire penetration test periodici da esperti di terze parti, per darvi la certezza che la nostra sicurezza sia validata in maniera indipendente e che il nostro sistema soddisfi tutti gli standard di sicurezza necessari per la gestione di dati HR.

Sicurezza ad ogni livello

Architettura

Cezanne HR è costruito su di un’architettura multi-livello, raccomandata per applicativi web-based. La struttura si basa su 3 livelli indipendenti: presentation layer (u.i.), business logic (application server) e data layer (database).

Il presentation layer non ha un accesso diretto al database layer, ogni comunicazione passa attraverso il business layer che assicura ulteriori controlli prima di permettere l’accesso ai dati. Questo evita che le richieste dal web browser arrivino direttamente al database.

L’applicativo verifica ad ogni richiesta il ruolo utente, evitando che vi siano accessi da differenti indirizzi IP in una stessa sessione di login.

Criptazione dei dati

Il servizio utilizza un robusto sistema di criptazione delle informazioni, tra cui l’utilizzo di certificati SSL. Si tratta del protocollo standard per l’interscambio sicuro di informazioni in rete. Il protocollo SSL utilizza sofisticate tecniche di crittografia delle informazioni al fine di garantirne l’integrità e la riservatezza. Avrai la certezza di aver creato un link SSL quando l’URL diventa verde, comincia con https:// e compare un lucchetto ad inizio e fine URL.

Autenticazione utente

Vengono utilizzati dei meccanismi di sicurezza per verificare l’identità degli utenti che tentano di accedere al sistema. Per effettuare l’accesso l’utente deve inserire uno username (indirizzo email) ed una password, oppure autenticarsi attraverso sistemi approvati di single sign-on (SSO). Puoi stabilire tu quali opzioni mettere a disposizione per il Single sign On (Google, Microsoft, Twitter, Facebook, Open ID…) . Solo gli identificativi certificati SSL possono essere utilizzati.

Le password vengono protette utilizzando sofisticate tecniche di hashing e salting. Cezanne HR non memorizza la password completa, ma un hash della stessa. Puoi impostare regole nel sistema per rinforzare la policy sulle password includendo:

  • Inserimento obbligatorio di almeno una lettera maiuscola ed una minuscola, un numero ed un simbolo.
  • Lunghezza minima e massima.
  • Data di scadenza della password con reminder.
  • Storico password utilizzate per evitare che vengano riutilizzate le stesse PW in un determinato periodo personalizzabile.
  • Numero massimo di tentati login falliti prima che l’account venga temporaneamente bloccato.

State-of-the-art hosting

Cezanne HR ha scelto di ospitare il proprio software nei data centres di Amazon AWS, best in class per sicurezza ed affidabilità; ha superato diverse certificazioni, tra cui ISO27001, SOC 1/SSAE 16, SOC 2 e molte altre. L’infrastruttura di AWS ha inoltre diverse caratteristiche di sicurezza interne tra cui protezione contro DDoS (distributed denial of service) e contro attacchi di password brute-force.

In più il nostro contratto con AWS determina che non possono spostare nessun contenuto al di fuori degli stati dell’Unione Europea senza prima notificarcelo. Se questo dovesse accadere, ci impegniamo ad informare tempestivamente i nostri clienti e ad agire affinché i dati restino all’interno dell’UE. Questo è particolarmente importante in funzione del regolamento del 6 ottobre 2015, con cui la Corte Europea di giustizia ha sancito l’inapplicabilità del precedente accordo US-UE Safe Harbor per il trasferimento di dati dall’area economica europea (EEA) agli Stati Uniti.

Per maggiori informazioni in merito alla normativa di protezione dei dati di AWS potete visitare questo link: https://aws.amazon.com/compliance/eu-data-protection/

Sistema interno di sicurezza

All’interno dell’ambiente AWS i sistemi sono ulteriormente salvaguardati da firewall tra layers, codici IP e restrizione delle porte, sottoreti private e restrizioni del network
Routing.

Operating System Security

I sistemi operativi ssi rafforzano, disabilitando o rimuovendo alcuni strumenti non essenziali, le utilities ed altre opzioni di amministrazione del sistema che potrebbero offrire potenziali accessi clandestini attraverso la disattivazione o rimozione di utenti, protocolli e processi non necessari. Le nostre procedure di installazione e configurazione sono basate su standard e strumenti riconosciuti ed accreditati.

Server Management Security

Cezanne HR non ha accesso fisico al data centre né alle macchine, secondo i vincoli stabiliti da Amazon. Cezanne HR può però accedere ai server virtuali nei casi in cui si debba fare manutenzione, applicare aggiornamenti di sicurezza, monitorare e assicurare che i backup siano stati completati con successo. Questo è consentito solo al Team di Gestione del Servizio di Cezanne HR.

Resilience

Quando acquisti una soluzione Software as a Service (SaaS), è essenziale che il servizio sia flessibile e affidabile. Per assicurarti la massima accessibilità il servizio Cezanne HR include:

  • Installazione in diversi data centres. Cezanne HR continua a funzionare se una macchina o un data centre si blocca.
  • Monitoraggio 24 ore su 24. L’accessibilità del Sistema è controllata continuamente e nel caso sopraggiunga un problema viene inviato tempestivamente un avviso al team di supporto.
  • Monitoraggio esterno da vari luoghi per avvisare Cezanne HR di inattività inattese o problemi DNS.
  • Monitoraggio delle risorse tra cui CPU, disco e memoria utilizzata così da poterle bilanciare quando necessario.

Cezanne HR e GDPR

Il nuovo Regolamento generale sulla protezione dei dati introduce una importante revisione al precedente regolamento europeo di protezione dati; tuttavia, i principi chiave sono gli stessi che vengono applicati sin dall’introduzione nel 1995 della legislazione basata sulle direttive europee.

I principi base che stabiliscono le modalità di gestione dei dati personali e le misure tecniche ed organizzative necessarie non vengono di fatto modificati dal GDPR.

Avendo rivisto le misure tecniche ed organizzative di protezione dei dati che utilizziamo in Cezanne HR per proteggere i dati personali processati da noi e dai nostri clienti, possiamo dichiarare che la sostanza di queste misure è in linea con le richieste di sicurezza previste dal GDPR, come sottolineato negli articoli 25 e 32.

Tuttavia, il GDPR introduce una serie di normative volte ad assicurare che la sostanza della protezione dei dati non sia vanificata da pratiche non sufficientemente formalizzate. Da questo punto di vista Cezanne HR sta lavorando alla propria conformità secondo diverse modalità.

  • Nel rispetto delle disposizioni dell’articolo 28.3, stiamo lavorando ad un accordo standard di gestione dei dati (DPA) da siglare con ogni nostro cliente, che definisce in dettaglio “natura e scopo del processo, la tipologia di dati personali e le categorie di dati soggette a obblighi e diritti della normativa”.
  • Per ottemperare alle disposizioni dell’articolo 28.4, stiamo rivedendo gli accordi con tutti i fornitori che possono essere ritenuti fornitori d’opera nella gestione dei dati personali per conto dei nostri clienti, per assicurarci che siano stati stabiliti accordi adeguati.
  • Per ottemperare alle disposizioni dell’articolo 37 stiamo valutando di designare un responsabile della protezione dei dati, interno alla nostra organizzazione.
  • Per assicurarci che la sicurezza dei processi sia basata su policy e procedure adeguatamente documentate, come prescritto nell’articolo 32, stiamo rivedendo tutta la documentazione relativa ai nostri processi interni.

Nessuna di queste nuove disposizioni cambia nella sostanza i livelli di sicurezza da sempre mantenuti da Cezanne HR, ma una maggiore formalizzazione aumenterà il livello di tranquillità per tutti i soggetti coinvolti. I nostri clienti possono stare tranquilli, certi che saremo totalmente conformi al GDPR prima che entri in vigore ufficialmente a Maggio 2018 e che monitoriamo e rivediamo costantemente tutti gli aspetti della sicurezza dei dati per essere ogni giorno più sicuri.

Si prega di notare: : Le informazioni contenute in questa pagina sono relative solo ai moduli sviluppati da Cezanne HR e non coprono moduli di terze parti che Cezanne HR commercializza e potrebbero avere un hosting ed un’architettura di sicurezza differenti.

L’utilizzo del software Cezanne HR è soggetto ai termini ed alle condizioni contenute nel contratto di Cezanne HR. Cezanne HR si riserva il diritto di modificare la propria infrastruttura di sicurezza in accordo con questo contratto. Si prega di contattarci qualora interessati a visualizzare il contratto.

Richiedi una demo

Senza alcun impegno, inviaci i tuoi riferimenti attraverso il seguente form e ti contatteremo

I dati personali forniti non saranno comunicati ad altre aziende o utilizzati per scopi non autorizzati. Per maggiori informazioni, si prega di leggere la nostra Policy della Privacy.