Con l’obiettivo di essere trasparenti e di soddisfare le esigenze di sicurezza dei nostri clienti, condividiamo le pratiche di sicurezza che attuiamo in AB Tasty attraverso questa politica. Qui troverete anche le nostre risposte alle domande più frequenti sulla sicurezza.
Riservatezza
Accesso ai dati
Gestione degli accessi
Applichiamo il principio del minor privilegio, il che significa che solo un numero limitato di persone può accedere ai dati dei nostri clienti. Queste persone sono identificate per nome e viene conservata sistematicamente una traccia del loro accesso.
L’accesso ai dati dei clienti è consentito solo se necessario per la manutenzione dei nostri servizi o per scopi di assistenza ai clienti.
Inoltre, i diritti di accesso concessi vengono aggiornati e rivisti regolarmente e tutto il nostro personale è soggetto a una clausola di riservatezza.
Conservazione
I dati vengono eliminati automaticamente 25 mesi dopo la raccolta. Oggi non è possibile personalizzare il periodo di conservazione direttamente nella soluzione.
Rimozione
Al termine dei contratti, cancelliamo automaticamente gli account degli utenti dalla nostra piattaforma e sospendiamo le campagne.
L’utente ha la possibilità di richiedere la rimozione dei dati all’indirizzo bounty@abtasty.com.
Recupero
La soluzione di AB Tasty offre la possibilità di recuperare i dati delle campagne di test in qualsiasi momento grazie alla funzione di esportazione dei dati .csv.
Autenticazione
I nostri utenti hanno diverse possibilità per autenticarsi sulla nostra piattaforma:
Autenticazione semplice
L’utente si autentica utilizzando una combinazione di login e password.
La password deve rispettare le seguenti condizioni di complessità:
- Essere composto da almeno 12 caratteri
- Contengono almeno 1 carattere maiuscolo, 1 minuscolo, 1 numero o carattere speciale
- Essere cambiato alla prima connessione
La password viene memorizzata nel nostro database in un formato hash e salato, cioè non viene mai memorizzata in chiaro.
Autenticazione a più fattori
Oltre alla coppia login/password, l’utente inserisce un codice inviato via SMS per collegarsi alla piattaforma.
Federazione di identità
La nostra piattaforma è conforme a SAML v2, quindi è possibile utilizzare la propria soluzione di federazione delle identità per l’autenticazione.
Gestione dei permessi
Le autorizzazioni all’interno della soluzione sono concesse secondo il modello di autorizzazione RBAC (Role Based Access Control).
Esistono diversi ruoli utente.
Crittografia
I dati raccolti sono criptati in transito (HTTPS/TLS 1.2+).
Monitoriamo costantemente il mercato e applichiamo i più recenti standard di crittografia per garantire la migliore protezione ai nostri utenti.
Separazione degli ambienti dei clienti
I dati raccolti sui siti dei nostri clienti vengono archiviati in un database dedicato per evitare accessi non autorizzati.
Integrità
Gestione delle modifiche
AB Tasty vuole offrire il miglior prodotto possibile ai propri clienti. Per questo motivo la nostra piattaforma è in continua evoluzione e distribuiamo regolarmente nuove versioni.
Per evitare di introdurre bug o vulnerabilità durante questi sviluppi, tutte le modifiche alla nostra piattaforma sono strettamente controllate.
Abbiamo adottato un approccio automatizzato all’integrazione e al rilascio continuo. Ogni volta che uno sviluppatore modifica il codice sorgente della piattaforma, questo viene rivisto da un peer. Una serie di test unitari e funzionali viene eseguita sistematicamente in un ambiente di staging e di pre-produzione prima del rilascio in produzione.
Checksum
Le nostre soluzioni consentono di modificare e personalizzare facilmente l’interfaccia grafica dei siti.
Per Ab Tasty, queste modifiche vengono salvate in un file chiamato Tag.js, che viene poi memorizzato in uno spazio sicuro.
Per migliorare ulteriormente la sicurezza di Tag.js, è possibile verificarne l’integrità confrontando il suo checksum con quello calcolato quando è stato depositato nel nostro spazio di archiviazione utilizzando la nostra API pubblica.
Disponibilità
Centro dati
La nostra intera infrastruttura IT (applicazioni, rete e storage) si basa su fornitori di servizi cloud (AWS e Google Cloud) che soddisfano i migliori standard di mercato e sono certificati ISO 27001 e SOC 2.
Backup – Replica
Eseguiamo backup delle istanze del vostro database con un periodo di conservazione di 3 giorni.
I dati raccolti vengono replicati in tempo reale in diverse zone, assicurandone la disponibilità in qualsiasi momento. I dati raccolti vengono sempre archiviati nella regione relativa al cliente.
Piano di disaster recovery
I backup e la ridondanza della nostra infrastruttura IT in diversi data center dei nostri fornitori di servizi cloud ci permettono di garantire la disponibilità dei nostri servizi in caso di disastro.
Testiamo il nostro piano di ripristino d’emergenza almeno una volta all’anno per garantire che le procedure di ripristino e l’organizzazione definita funzionino correttamente.
Accordo sul livello di servizio (SLA)
Garantiamo contrattualmente la disponibilità dei nostri servizi. I livelli di servizio garantiti possono essere consultati in appendice alle condizioni generali di servizio.
Potete controllare lo stato dei nostri servizi in tempo quasi reale su una pagina web dedicata.
Tracciabilità
Registrazione
Teniamo traccia di tutti gli accessi ai dati. Le informazioni minime registrate sono la data, l’ora, l’origine dell’azione (l’utente o la risorsa) e il tipo di operazione (inserimento, aggiornamento, cancellazione, ecc.).
L’accesso ai registri è limitato al minimo indispensabile per preservarne l’integrità e per poterli utilizzare come elementi di indagine in caso di incidenti di sicurezza o come prove in eventuali procedimenti legali.
Controlli di sicurezza
Risorse umane
Prima di entrare a far parte di AB Tasty, tutti i nostri dipendenti sono stati sottoposti a un rigoroso processo di assunzione. I loro trascorsi sono stati controllati e ci assicuriamo che abbiano le competenze giuste per il lavoro che stanno per svolgere.
Tutti i nostri dipendenti sono soggetti a una clausola di riservatezza che permane anche dopo la scadenza del contratto di lavoro.
AB Tasty presenta a tutti i nuovi assunti una carta per il corretto utilizzo delle risorse informatiche. Questa carta è allegata al regolamento interno ed è quindi applicabile a tutti i dipendenti. Chi non rispetta le regole di sicurezza può essere soggetto a misure disciplinari.
Sicurezza fisica
L’accesso agli edifici di AB Tasty, sia per i dipendenti che per i visitatori, è strettamente controllato da dispositivi di sicurezza come la videosorveglianza, gli allarmi anti-intrusione e i badge elettronici di accesso.
Ci impegniamo a rispettare la riservatezza delle informazioni sia all’interno che all’esterno delle nostre strutture. Non lasciamo alcun documento o informazione riservata in bella vista.
L’intera infrastruttura IT è ospitata dai nostri fornitori di servizi cloud certificati ISO 27001.
Sorveglianza, audit e correzione delle vulnerabilità
Oltre ai controlli di sicurezza eseguiti internamente dai team di AB Tasty, come la revisione periodica delle autorizzazioni, ci rivolgiamo regolarmente a fornitori di sicurezza indipendenti per verificare i nostri servizi.
Ogni anno eseguiamo un test di penetrazione per scoprire eventuali vulnerabilità e falle nella sicurezza. Quando tali vulnerabilità vengono scoperte, forniamo le necessarie patch di sicurezza il prima possibile.
Dispositivi di protezione e sicurezza
Tutti i nostri sistemi sono protetti da dispositivi di sicurezza come antivirus, antimalware o firewall.
L’accesso ai nostri server e al nostro ambiente di produzione è protetto dall’implementazione di una forte autenticazione e da un bastione di amministrazione dedicato, accessibile tramite VPN.
La configurazione del server viene rafforzata. I servizi e le porte aperte sono ridotti al minimo indispensabile per minimizzare la superficie di attacco e limitare l’esposizione alle minacce informatiche.
Incidente di sicurezza
Informiamo i nostri clienti di qualsiasi incidente di sicurezza che potrebbe avere un impatto diretto o indiretto su di loro. Abbiamo definito una procedura di gestione degli incidenti di sicurezza per prepararci al meglio a questa eventualità.
È possibile segnalare qualsiasi evento o anomalia che possa influire sulla sicurezza dei dati al seguente indirizzo e-mail: bounty@abtasty.com