SICUREZZA INFORMATICA

 

Scopo

Fornire una descrizione dei criteri adottati da Clik App per la gestione della sicurezza informatica della piattaforma Toduba®.

Questo documento è emesso dalla Direzione di Clik App ed è parte integrante di un percorso continuo di certificazione e di miglioramento dei propri servizi. 

La minaccia informatica per Toduba ®

Premessa

La piattaforma Toduba® si compone di una infrastruttura di dati incapsulata in servizi, di interfacce web, di connessioni M2M (API) e di una applicazione mobile che utilizza l’infrastruttura, secondo lo schema funzionale riportato nella figura a fondo pagina. 

La complessità della struttura comporta che la “sicurezza” informatica coinvolga diversi elementi:

  • Dispositivi autorizzati per l’accesso alla struttura per sviluppo, assistenza e manutenzione.
  • Software utilizzato sui dispositivi autorizzati.
  • Architettura cloud su cui è in funzione Toduba®.
  • Personale autorizzato e regolamento.
  • Valutazione delle vulnerabilità
  • Difese contro virus e malware
  • Copie di sicurezza
  • Protezione dei dati

Dispositivi autorizzati

L’accesso alla struttura per sviluppo, assistenza e manutenzione è fatto solo con dispositivi hardware (PC) fissi collocati presso la sede operativa di Clik App o con dispositivi mobili (notebook) attraverso tunnel crittografati punto-punto con autenticazione a due fattori dell’utente (architettura zero-trust).

I dispositivi sono mantenuti aggiornati attraverso specifici contratti di assistenza e:

  1. Hanno sistema operativo IOS Apple o MS Windows.
  2. Hanno installato ed aggiornato software antivirus ed antimalware.
  3. Hanno installato ed aggiornato un plugin per il monitoraggio in cloud delle vulnerabilità.
  4. Sono catalogati, identificati ed enumerati nella tabella degli Asset di Clik App.
  5. Ogni dispositivo è assegnato ad uno ed un solo utente dipendente o collaboratore di Clik App.
  6. Esiste un addetto interno autorizzato alle attività di amministratore (aggiornamenti ed installazioni).

Software autorizzato

Il software utilizzato ed installato appartiene alla lista di prodotti autorizzati dalla Direzione e sono finalizzati alle attività aziendali di sviluppo, assistenza e mantenimento della piattaforma ed alle attività accessorie:

  • Amministrazione (software di contabilità)
  • Grafica e design
  • Suite office

Tutto il software utilizzato è regolarmente licenziato, aggiornato ed enumerato come collegato ad ogni specifico dispositivo. 

Architettura in cloud

I componenti in cloud sono:

  • Strutture dati su server in cloud
    • Database SQL
    • Blockchain pubblica (software open source) in rete privata e riservata
    • Database di profondità noSQL
  • API e moduli in servizi container dockerizzati attraverso Kubernetes
  • Servizi specializzati esterni (server auth, servizi dell’Agenzia delle Entrate, servizi interbancari)

I server ed i componenti sono residenti in server farm della comunità europea gestiti attraverso un nostro partner con SLA 99,9% e servizi di monitoraggio ed assistenza h24x7. 

Personale

Il personale di Clik App è formato ed è cosciente delle regole di sicurezza necessarie per l’adeguata gestione dei servizi di Toduba. Questo si concretizza attraverso:

  • Regolamento interno
  • Formazione con aggiornamento tecnico ed addestramento alla consapevolezza delle proprie attività per la corretta protezione di dati e strutture
  • Processi di sviluppo e di rilascio del software e di accesso ai dati

Valutazione delle vulnerabilità

Il monitoraggio continuo sulle vulnerabilità del perimetro della piattaforma di Toduba® è fatto attraverso una società partner ed una infrastruttura dedicata garantita dai software ACSIA XDR Plus e CRA di Dectar, che forniscono rispettivamente un servizio di incident detection e response e un servizio di cyber risk assessment nei confronti di società partner.

Difese contro virus e malware

La piattaforma ACSIA XDR utilizza moduli software installati su tutti i dispositivi fissi, mobili ed in cloud per verificare lo stato di funzionamento ed il livello di protezione di ogni componente.

Le comunicazioni di eventuali attacchi sono gestite da servizi software che possono intervenire isolando il componente e/o comunicando ai responsabili della stessa struttura natura e dimensione del problema (mailing list).

Copie di sicurezza

L’intera piattaforma di Toduba® è ridondata su due server farm e l’accesso è gestito da un load balancer.

I database SQL ed il software sono anche copiati integralmente con profondità settimanale, mentre le strutture noSQL sono copiate giornalmente in automatico dai servizi gestiti in cloud.

La blockchain è garantita dalla presenza di tre server core e un horizon (è previsto il passaggio a cinque core e due horizon nel secondo trimestre 2024).

 

Protezione dei dati

I dati del sistema transazionale basato su blockchain sono anonimizzati attraverso l’uso di chiavi pubbliche.

I dati delle anagrafiche sono contenuti nei database SQL incapsulati in endpoint con accesso riservato.

 

immagine infrastuttura sicurezza clikapp toduba