Sicurezza organizzativa
Programma di sicurezza delle informazioni
- Disponiamo di un programma di sicurezza delle informazioni che viene comunicato a tutta l'organizzazione. Il nostro programma di sicurezza informatica segue i criteri stabiliti dal SOC 2 Framework. SOC 2 è una procedura di verifica della sicurezza delle informazioni ampiamente conosciuta, creata dall'American Institute of Certified Public Accountants.
Audit di terze parti
- La nostra organizzazione si sottopone a valutazioni di terze parti indipendenti per verificare i nostri controlli di sicurezza e conformità.
Test di penetrazione di terze parti
- Eseguiamo una penetrazione di terze parti indipendenti almeno una volta all'anno per garantire che la sicurezza dei nostri servizi non venga compromessa.
Ruoli e responsabilità
- I ruoli e le responsabilità relativi al nostro Programma di sicurezza informatica e alla protezione dei dati dei nostri clienti sono ben definiti e documentati. I membri del nostro team sono tenuti a rivedere e accettare tutte le politiche di sicurezza.
Formazione sulla consapevolezza della sicurezza
- I membri del nostro team sono tenuti a seguire una formazione sulla consapevolezza della sicurezza dei dipendenti che copre le pratiche standard del settore e argomenti di sicurezza informatica come il phishing e la gestione delle password.
Riservatezza
- Tutti i membri del team sono tenuti a firmare e ad aderire a un accordo di riservatezza standard del settore prima del loro primo giorno di lavoro.
Controlli sul passato
- Effettuiamo controlli sul passato di tutti i nuovi membri del team in conformità alle leggi locali.
Sicurezza in-the-cloud
Sicurezza dell'infrastruttura cloud
- Tutti i nostri servizi sono ospitati da Amazon Web Services (AWS) e Google Cloud Platform (GCP). Questi servizi impiegano un robusto programma di sicurezza con diverse certificazioni. Per ulteriori informazioni sui processi di sicurezza dei nostri provider, visitate AWS Security e GCP Security.
Sicurezza dell'hosting dei dati
- Tutti i nostri dati sono ospitati su database di Amazon Web Services (AWS) e Google Cloud Platform (GCP). Questi database sono tutti situati negli Stati Uniti. Per ulteriori informazioni, fare riferimento alla documentazione specifica del fornitore sopra citata.
Crittografia a riposo
- Tutti i database sono crittografati a riposo.
Crittografia in transito
- Le nostre applicazioni vengono crittografate in transito solo con TLS/SSL.
Scansione delle vulnerabilità
- Eseguiamo scansioni delle vulnerabilità e monitoriamo attivamente le minacce.
Registrazione e monitoraggio
- Monitoriamo e registriamo attivamente vari servizi cloud.
Business Continuity e Disaster Recovery
- Utilizziamo i servizi di backup del nostro provider di hosting dati per ridurre il rischio di perdita di dati in caso di guasto hardware. Utilizziamo servizi di monitoraggio per avvisare il team in caso di guasti che interessano gli utenti.
Risposta agli incidenti
- Disponiamo di un processo per la gestione degli eventi di sicurezza delle informazioni che comprende procedure di escalation, mitigazione rapida e comunicazione.
Sicurezza dell'accesso
Permessi e autenticazione
- L'accesso all'infrastruttura cloud e ad altri strumenti sensibili è limitato ai dipendenti autorizzati che lo richiedono per il loro ruolo. Ove disponibili, disponiamo di Single Sign-on (SSO), autenticazione a due fattori (2FA) e politiche di password forti per garantire l'accesso ai servizi cloud.
Controllo degli accessi con il minimo privilegio
- Seguiamo il principio del minimo privilegio per quanto riguarda la gestione delle identità e degli accessi.
Revisioni trimestrali degli accessi
- Eseguiamo revisioni trimestrali degli accessi di tutti i membri del team che hanno accesso a sistemi sensibili.
Requisiti per le password
- Tutti i membri del team sono tenuti a rispettare una serie minima di requisiti e complessità delle password per l'accesso.
Gestori di password
- Tutti i computer portatili in dotazione all'azienda utilizzano un gestore di password per consentire ai membri del team di gestire le password e mantenerne la complessità.
Gestione dei fornitori e dei rischi
Valutazioni annuali del rischio
- Eseguiamo almeno valutazioni annuali del rischio per identificare qualsiasi minaccia potenziale, comprese le considerazioni sulle frodi.
Gestione del rischio dei fornitori
- Il rischio dei fornitori viene determinato e vengono effettuate le opportune verifiche prima di autorizzare un nuovo fornitore.
Contatti
In caso di domande, commenti o dubbi o se si desidera segnalare un potenziale problema di sicurezza, contattare security@joor.com.
