Ritorno

I nostri dati sono sicuri?

Utilizziamo i protocolli standard del settore e le migliori pratiche per proteggere i vostri dati e la vostra privacy.
Nell'ambiente complesso e regolamentato di oggi, i nostri utenti ci affidano la protezione dei loro dati utilizzando strumenti e pratiche conformi agli standard del settore. Questa pagina offre una panoramica degli sforzi compiuti da Netatoo per soddisfare tali requisiti.

Nell'ambiente complesso e regolamentato di oggi, i nostri utenti ci affidano la protezione dei loro dati utilizzando strumenti e pratiche conformi agli standard del settore. Questa pagina offre una panoramica degli sforzi compiuti da Netatoo per soddisfare tali requisiti.

Sicurezza del database e degli accessi

Per cominciare, proteggiamo il nostro livello di persistenza limitando l'accesso al nostro database dell'applicazione primaria al livello dell'applicazione e a un insieme fisso di indirizzi IP noti appartenenti a Netatoo. Questa limitazione dell'accesso viene realizzata attraverso una combinazione di regole di firewall, meccanismi di autenticazione (richiedendo agli utenti di dimostrare la loro identità) e autorizzazione tramite permessi basati sui ruoli.

Backup e ripristino dei dati

Affrontiamo la possibilità di una perdita catastrofica dei dati dell'applicazione (ad esempio a seguito di un disastro naturale) creando automaticamente backup del database con un approccio geo-ridondante.

  • Creiamo backup completi e differenziali, ciascuno dei quali è crittografato con l'algoritmo AES-256.
  • I backup completi dei database avvengono ogni poche ore, mentre i backup differenziali avvengono generalmente ogni ora, infine i backup dei log delle transazioni avvengono generalmente ogni 10-15 minuti.
  • In caso di perdita di dati, siamo in grado di ripristinare i dati a un momento specifico per minimizzare la perdita di informazioni. L'integrità dei backup viene verificata in modo semi-automatico e regolare per garantire che i dati memorizzati siano conformi.
  • I backup vengono conservati per 90 giorni, quindi distrutti.

Audit di sicurezza e rilevamento delle minacce

Per aiutarci a mantenere la conformità normativa, comprendere l'attività del database e comprendere meglio le discrepanze e le anomalie che potrebbero indicare presunte violazioni della sicurezza (un altro aspetto del GDPR dell'UE), abbiamo implementato un audit avanzato che consente il rilevamento delle minacce sui nostri server. Questi servizi rilevano le minacce potenziali man mano che si verificano (ad es. connessioni anomale ai database, vulnerabilità di iniezione SQL) e avvisano immediatamente il nostro team affinché possa intraprendere le azioni necessarie. Nel caso particolare del GDPR, questo servizio costituisce un elemento chiave della macchina tecnica che ci consente di rilevare le violazioni dei dati e notificare le autorità di controllo nell'improbabile caso in cui si verifichi una tale situazione.

Sicurezza delle connessioni e protocollo HTTPS

A livello del livello applicativo, forziamo tutte le richieste in entrata a utilizzare connessioni sicure HTTPS (HTTP su TLS). A seconda del dispositivo client, la connessione può utilizzare TLS 1.0, TLS 1.1.1 o TLS 1.2. Vietiamo le connessioni che utilizzano i protocolli obsoleti e vulnerabili SSL 2 e SSL 3.

Intestazioni di sicurezza HTTP avanzate

Le connessioni TLS accettate sono crittografate utilizzando un certificato SSL che utilizza lo standard web più forte. Nell'ambito di tutte le risposte HTTPS, i nostri server includono una serie di intestazioni di sicurezza avanzate. Queste includono in particolare:

  • X-XSS-Protection ordina ai browser moderni di interrompere le comunicazioni quando rilevano attacchi XSS (Cross-site Scripting) riflessi.
  • Content-Security-Policy richiede ai browser di adottare misure rigorose per prevenire il cross-site scripting (XSS), il clickjacking e altri attacchi di iniezione di codice risultanti dall'esecuzione di contenuti dannosi nel contesto di una pagina web affidabile.
  • Strict-Transport-Security, noto anche come HSTS. Richiede ai browser di accedere a ballejaune.com / openresa.com solo utilizzando HTTPS (cioè di non utilizzare mai HTTP). Abbiamo implementato questa intestazione con una lunga durata.
  • Expect-CT richiede a un client/browser web di applicare i requisiti di trasparenza dei certificati (cioè verificare che i certificati del nostro sito appaiano nei registri CT pubblici), il che aiuta a prevenire l'uso di certificati Netatoo errati.
  • Referrer-Policy ci consente di controllare il valore dell'intestazione "referer" (sic) per i link al di fuori delle nostre pagine. Nel nostro caso, specifichiamo che l'intestazione "referer" non deve essere impostata quando la navigazione porta a un downgrade da HTTPS a HTTP.

Risultati degli audit di sicurezza indipendenti

Netatoo riceve un punteggio "A" dal servizio indipendente securityheaders.io che consente di verificare i diversi elementi implementati. È possibile eseguire il test su richiesta per ballejaune.com e openresa.com e visualizzare il rapporto da soli. Vi incoraggiamo anche a confrontare il test con altri siti web che utilizzate o che intendete utilizzare.

I server di hosting delle applicazioni Netatoo ricevono anche un punteggio "A+" dal test del server indipendente Qualys SSL Labs, standard del settore. È possibile eseguire il test su richiesta e visualizzare il rapporto da soli. Il rapporto rileva che non siamo vulnerabili ad alcune delle vulnerabilità più recenti come BEAST, POODLE e Heartbleed. Ancora una volta, vi incoraggiamo a confrontare il test con altri siti web che utilizzate o che intendete utilizzare.

Prevenzione degli attacchi e sicurezza dei cookie

Per aiutare a prevenire gli attacchi a dizionario, il nostro meccanismo di accesso utilizza inoltre la funzionalità di blocco dell'account se una password di accesso errata viene inserita più volte.

I cookie inviati dal server al client a fini di autenticazione e verifica delle richieste sono sempre contrassegnati con gli attributi "HttpOnly" e "Secure", e i loro valori di dominio e percorso sono impostati in modo appropriato per l'uso con ballejaune.com / openresa.com.

Sicurezza dei pagamenti online

Per quanto riguarda i pagamenti online, Netatoo è conforme allo standard PCI. Nella pratica, tutti i pagamenti vengono elaborati direttamente con il gateway di pagamento scelto (PayPal, Paybox Verifone). In quanto tale, nessun dettaglio di pagamento sensibile entra in contatto con i sistemi di proprietà di Netatoo (invece, viene reindirizzato in modo trasparente al vostro gateway e poi gestito tramite un approccio basato su token).

Sicurezza delle e-mail transazionali

Le e-mail transazionali inviate dai nostri servizi utilizzano le ultime funzionalità di sicurezza per la validazione delle e-mail. Queste includono politiche valide di SPF, DKIM e DMARC. Nel caso della DMARC, la nostra politica pubblicata richiede ai server dei destinatari di mettere in quarantena tutti i messaggi che non superano il test DMARC. Queste funzionalità sono strumenti avanzati che aiutano a prevenire lo spamming, lo spoofing e gli attacchi di phishing. Naturalmente, includiamo anche link di cancellazione su tutte le e-mail che inviamo, e abbiamo implementato un sistema di limitazione della velocità per aiutare a prevenire gli attacchi di bombardamento di e-mail.

Pratiche di sicurezza interne presso Netatoo

A livello organizzativo, i dipendenti di Netatoo hanno accesso limitato ai dati secondo i principi di sicurezza del "bisogno di sapere" e del "minimo privilegio". I sistemi di sviluppo e test sono distribuiti su una rete interna che non è accessibile dall'esterno. Il codice sorgente dell'applicazione è gestito in un repository privato e non contiene informazioni sensibili (come chiavi API, password o stringhe di connessione).

Monitoraggio della disponibilità dei servizi

In caso di incidenti (ad es. interruzioni delle applicazioni, prestazioni degradate o altro), è possibile monitorare lo stato dei nostri servizi tramite Pingdom al seguente indirizzo: http://stats.pingdom.com/rn0d9ch52vnj/1678478

Aggiornamenti e buone pratiche continue

Infine, prestiamo particolare attenzione ad aggiornare regolarmente i nostri server e sistemi interni per fornire gli ultimi aggiornamenti di sicurezza. Cambiamo le nostre password ogni 60 giorni e utilizziamo l'autenticazione a due fattori sulla quasi totalità delle applicazioni e dei servizi di terze parti che utilizziamo nel nostro lavoro.

Conclusione

Speriamo che queste informazioni vi abbiano aiutato a comprendere i principali meccanismi di sicurezza implementati da Netatoo per proteggere i vostri dati. Rivediamo continuamente le nostre procedure di sicurezza, quindi queste informazioni potrebbero cambiare in futuro man mano che reagiamo all'evoluzione del panorama della sicurezza.

Contattaci

Indirizzo postale:
Netatoo SAS - BP 43606 - 54016 NANCY CEDEX FRANCE

Email:
support@openresa.com

Aggiornato il giovedì 12 giugno 2025
Condizioni & politica sulla privacy
Italia (IT)