Sicurezza organizzativa
Programma di sicurezza delle informazioni
— Abbiamo un programma di sicurezza delle informazioni in atto che viene comunicato in tutta l'organizzazione. Il nostro programma di sicurezza delle informazioni segue i criteri stabiliti dal framework SOC 2. SOC 2 è una procedura di audit della sicurezza delle informazioni ampiamente conosciuta creata dall'American Institute of Certified Public Accountants.
Audit di terze parti
— La nostra organizzazione è sottoposta a valutazioni indipendenti di terze parti per testare i nostri controlli di sicurezza e conformità.
Penetration test di terze parti
— Eseguiamo un penetration test indipendente di terze parti almeno una volta all'anno per garantire che la postura di sicurezza dei nostri servizi non sia compromessa.
Ruoli e responsabilità
— I ruoli e le responsabilità relativi al nostro programma di sicurezza delle informazioni e alla protezione dei dati dei nostri clienti sono ben definiti e documentati. I membri del nostro team sono tenuti a rivedere e accettare tutte le politiche di sicurezza.
Formazione sulla consapevolezza della sicurezza
— I membri del nostro team sono tenuti a seguire una formazione sulla consapevolezza della sicurezza dei dipendenti che copre le pratiche standard del settore e argomenti relativi alla sicurezza delle informazioni come il phishing e la gestione delle password.
Riservatezza
— Tutti i membri del team sono tenuti a firmare e rispettare un accordo di riservatezza standard del settore prima del loro primo giorno di lavoro.
Verifiche dei precedenti
— Eseguiamo controlli sui precedenti di tutti i nuovi membri del team in conformità con le leggi locali.
Sicurezza del cloud
Sicurezza dell'infrastruttura cloud
— Tutti i nostri servizi sono ospitati con Amazon Web Services (AWS) e Google Cloud Platform (GCP). Impiegano un solido programma di sicurezza con molteplici certificazioni. Per ulteriori informazioni sui processi di sicurezza del nostro provider, visitare AWS Security e GCP Security.
Sicurezza dell'hosting dei dati
— Tutti i nostri dati sono ospitati su database Amazon Web Services (AWS) e Google Cloud Platform (GCP). Tutti questi database si trovano negli Stati Uniti. Fare riferimento alla documentazione specifica del fornitore sopra collegata per ulteriori informazioni.
Crittografia a riposo
— Tutti i database sono crittografati a riposo.
Crittografia in transito
— Le nostre applicazioni crittografano in transito solo con TLS/SSL.
Scansione delle vulnerabilità
— Eseguiamo la scansione delle vulnerabilità e monitoriamo attivamente le minacce.
Registrazione e monitoraggio
— Monitoriamo e registriamo attivamente vari servizi cloud.
Business Continuity e Disaster Recovery
— Utilizziamo i servizi di backup del nostro provider di hosting dati per ridurre qualsiasi rischio di perdita di dati in caso di guasto hardware. Utilizziamo servizi di monitoraggio per avvisare il team in caso di guasti che interessano gli utenti.
Risposta agli incidenti
— Abbiamo una procedura per la gestione degli eventi di sicurezza delle informazioni che include procedure di escalation, mitigazione rapida e comunicazione.
Sicurezza degli accessi
Autorizzazioni e autenticazione
— L'accesso all'infrastruttura cloud e ad altri strumenti sensibili è limitato ai dipendenti autorizzati che ne hanno bisogno per il loro ruolo. Ove disponibile, disponiamo di Single Sign-on (SSO), autenticazione a 2 fattori (2FA) e policy di password complesse per garantire che l'accesso ai servizi cloud sia protetto.
Controllo degli accessi con privilegio minimo
— Seguiamo il principio del privilegio minimo per quanto riguarda la gestione delle identità e degli accessi.
Revisioni trimestrali degli accessi
— Eseguiamo revisioni trimestrali degli accessi di tutti i membri del team con accesso a sistemi sensibili.
Requisiti password
— Tutti i membri del team sono tenuti a rispettare un insieme minimo di requisiti e complessità della password per l'accesso.
Gestori di password
— Tutti i laptop aziendali utilizzano un gestore di password per consentire ai membri del team di gestire le password e mantenere la complessità delle password.
Gestione dei fornitori e dei rischi
Valutazioni annuali del rischio
— Siamo sottoposti ad almeno valutazioni annuali del rischio per identificare potenziali minacce, comprese le considerazioni per le frodi.
Gestione del rischio del fornitore
— Il rischio del fornitore viene determinato e le opportune revisioni del fornitore vengono eseguite prima di autorizzare un nuovo fornitore.
Contattaci
In caso di domande, commenti o dubbi o se si desidera segnalare un potenziale problema di sicurezza, contattare security@joor.com.
