In HALO, la sicurezza e la privacy dei dati sono le nostre massime priorità. Lo sviluppo del software e l’erogazione dei servizi si basano su solide politiche di sicurezza e protezione dei dati. Offrendo un servizio incentrato su questi principi, siamo in grado di garantire elevata disponibilità, riservatezza e integrità dei vostri dati.

‍

È politica di HALO sensibilizzare l’intera organizzazione e la rete di fornitori sull’importanza di garantire la sicurezza delle informazioni, indipendentemente dalla forma in cui queste si presentino. Raggiungeremo questo obiettivo, in parte, attraverso programmi regolari di formazione e sensibilizzazione in materia di sicurezza delle informazioni (I.S.).

Rimanere all’avanguardia negli sviluppi relativi al sistema informativo (I.S.). A tal fine, presteremo costante attenzione al contesto in continua evoluzione del sistema informativo, promuovendo una cultura del miglioramento continuo (C.I.). Affronteremo in modo approfondito eventuali non conformità relative al sistema informativo. A tal fine, garantiremo il raggiungimento di questo obiettivo mantenendo un solido sistema di segnalazione delle non conformità, che sarà sottoposto a revisione periodica.

‍

Fornire le risorse necessarie e proporzionate al fine di adempiere ai nostri obblighi in materia di sicurezza dell’informazione. Garantiremo la disponibilità di risorse adeguate attraverso la misurazione e il monitoraggio periodici del nostro Sistema di gestione della sicurezza dell’informazione (I.S.M.S.).

‍

Crittografare i dati e i dispositivi ogni volta che sia possibile e mantenere un sistema pragmatico di classificazione delle informazioni.

Adotteremo un approccio basato sul rischio in materia di sistemi informativi. A tal fine, provvederemo a mantenere aggiornato un piano di valutazione e gestione dei rischi, che sarà sottoposto a revisione almeno una volta all'anno.

‍

Fissare ogni anno gli obiettivi S.M.A.R.T. relativi al Sistema Informativo (I.S.) e riesaminarli regolarmente, anche in occasione delle riunioni di revisione della gestione del Sistema Informativo. Tali obiettivi saranno comunicati a tutti i dipendenti attraverso i nostri programmi di formazione e sensibilizzazione.

‍

Il nostro fornitore di servizi di hosting sicuro

Tutte le applicazioni cloud HALO sono implementate su Amazon Web Services (AWS), leader del settore nella fornitura di infrastrutture cloud altamente sicure e scalabili.

‍

Sicurezza fisica

AWS è all’avanguardia nella realizzazione di data center all’avanguardia. L’accesso fisico è rigorosamente limitato al solo personale necessario in loco e viene revocato non appena non è più richiesto. Il personale addetto alla sicurezza utilizza una combinazione di telecamere di sorveglianza e tesserini identificativi, con diversi livelli di autenticazione a due fattori. Ogni accesso concesso è limitato in base al ruolo della persona e all’area pertinente del data center. I Centri operativi di sicurezza AWS monitorano costantemente eventuali accessi non autorizzati tramite registri di accesso, videosorveglianza e sistemi di rilevamento delle intrusioni.

AWS aggiorna e continua a migliorare i propri rapporti SOC e le certificazioni, tra cui SOC, PCI, ISO e molte altre. Ulteriori dettagli sono disponibili nella sezione "Conformità" del sito web di AWS.

‍

Continuità operativa

Tutti i data center AWS sono situati in posizioni strategiche per mitigare i rischi ambientali, quali inondazioni, condizioni meteorologiche estreme e attività sismica. I data center sono dotati di sistemi automatici di rilevamento e spegnimento di incendi e allagamenti. HALO utilizza sei regioni AWS: Londra, Virginia del Nord, Francoforte, Montréal, Città del Capo e Sydney. Ciascuna regione dispone di più zone di disponibilità, fisicamente separate l’una dall’altra, a garanzia di un’elevata disponibilità.

Il clima e la temperatura sono controllati con precisione dal personale e dai sistemi per garantire prestazioni ottimali dei server e delle altre apparecchiature hardware. Tutti i sistemi e le apparecchiature sono monitorati e sottoposti a manutenzione preventiva per garantirne il funzionamento continuo.

‍

Sicurezza ambientale

L'infrastruttura di Amazon garantisce un elevato livello di disponibilità e offre ai clienti le funzionalità necessarie per implementare un'architettura IT resiliente. AWS ha progettato i propri sistemi in modo che siano in grado di tollerare guasti di sistema o hardware con un impatto minimo sui clienti. La gestione della continuità operativa dei data center presso AWS è sotto la direzione dell'Amazon Infrastructure Group.

Le applicazioni principali vengono distribuite in una configurazione N+1, in modo che, in caso di guasto di un data center, vi sia capacità sufficiente per consentire il bilanciamento del carico verso i siti rimanenti.

‍

Realizzazione sicura del prodotto

Responsabilità sul prodotto

Tutti i prodotti di HALO hanno un responsabile che si occupa della consegna e dello sviluppo sicuro dell'applicazione. Il responsabile esamina regolarmente la roadmap del prodotto e stabilisce di conseguenza le priorità relative alle correzioni di sicurezza.

‍

Controllo delle versioni

Per la gestione del codice viene utilizzato un repository centrale, il cui accesso è basato sui ruoli. Il repository è integrato con l'ambiente di sviluppo e i sistemi di controllo delle versioni. Viene conservata una registrazione di ogni modifica apportata al codice, che è a disposizione del cliente sotto forma di note di rilascio.

‍

QA

Ogni versione viene sottoposta a una rigorosa procedura di controllo qualità, che ne verifica la funzionalità, le prestazioni, la configurazione, l'esperienza utente e la stabilità. Solo dopo aver superato questi test, la versione viene resa disponibile per l'uso.

‍

Architettura

Backup dei dati

I test mensili di ripristino dei backup garantiscono che il processo di ripristino funzioni come previsto e che i backup siano stati eseguiti correttamente. Questi includono: backup orari del database transazionale, backup completi giornalieri e backup completi mensili, conservati rispettivamente per 3 giorni, 2 settimane e 3 mesi. I backup sono archiviati in diversi data center Amazon.

‍

Scalabilità automatica

Distribuisci automaticamente il traffico delle applicazioni su più zone di disponibilità, garantendo alta disponibilità, scalabilità automatica e sicurezza avanzata.

‍

Gestione degli incidenti

Procedure solide di gestione degli incidenti che consentono di segnalare gli incidenti e di seguirne l'iter fino alla risoluzione. In linea con il framework ITIL, agli incidenti viene assegnata una priorità e viene effettuato il monitoraggio degli SLA.

‍

Certificazione e conformità

Halo si impegna a fornire una soluzione sicura dal punto di vista informatico, oltre a garantire il rispetto dei protocolli e degli standard corretti a livello interno.

Halo Service Solutions ha ottenuto la certificazione Cyber Essentials.

Halo Service Solutions Ltd è conforme allo standard SOC 2 Tipo 2; ulteriori dettagli possono essere forniti su richiesta.

Halo Service Solutions Ltd è conforme alla norma ISO 27001; ulteriori dettagli possono essere forniti su richiesta.

Per ulteriori informazioni, inviate un’e-mail all’indirizzo security@imaginehalo.com.

In alternativa, è possibile accedere tramite il nostro portale fiduciario: https://trust.usehalo.com/

Dichiarazione sulla divulgazione delle vulnerabilità

Finalità

Halo Service Solutions si impegna a garantire la sicurezza e l'integrità della propria piattaforma, dei propri prodotti e dei propri servizi. Accogliamo con favore la segnalazione responsabile delle vulnerabilità di sicurezza e ci proponiamo di gestire tutte le segnalazioni in modo trasparente, tempestivo e coordinato

‍

Ambito di applicazione

La presente politica si applica a tutte le piattaforme Halo, tra cui:

• Applicazioni SaaS e API
• Componenti di terze parti integrati
• Infrastruttura ospitata nel cloud
• Implementazioni presso la sede del cliente
• Sistemi interni a supporto della piattaforma

Come segnalare un caso

Si prega di segnalare eventuali vulnerabilità tramite e-mail o tramite il nostro portale di assistenza

Includi una descrizione del problema, i passaggi per riprodurlo ed eventuali prove pertinenti. Se sono coinvolti dati sensibili, richiedi la nostra procedura di invio sicuro

‍

Accoglienza e valutazione iniziale

Rispondiamo a tutte le segnalazioni entro 3 giorni lavorativi

I segnalazioni vengono sottoposte a triage e classificate in base alla gravità secondo modelli standard di valutazione del rischio

‍

Coordinamento e bonifica

• I responsabili del rischio e i product owner vengono coinvolti sin dall'inizio
• Le patch e le misure di mitigazione vengono classificate in base alla gravità:
  Grave/Elevata: i clienti vengono avvisati entro 48 ore dalla conferma dell'impatto
  Media/Bassa: risolta nella successiva patch programmata o nel prossimo bollettino di sicurezza
• I clienti con soluzioni on-premise ricevono misure di mitigazione temporanee e indicazioni qualora non fosse possibile applicare immediatamente le patch

Coordinamento con soggetti terzi

Quando le vulnerabilità riguardano componenti di terze parti, coordiniamo la divulgazione con i fornitori, concordiamo le date di divulgazione pubblica e coinvolgiamo le autorità competenti

‍

Informativa pubblica

Gli avvisi al pubblico vengono emessi dopo l'implementazione di correzioni coordinate

Se agisci in buona fede e rispetti la presente politica di divulgazione, Halo non intraprenderà alcuna azione legale nei tuoi confronti. Non accedere ai dati dei clienti, non interrompere i servizi né sfruttare le vulnerabilità al di là dei test di prova (proof-of-concept).

‍

Contatti

E-mail: security@imaginehalo.com

CISO / Responsabile della sicurezza: autorità finale in materia di divulgazione al pubblico e comunicazione esterna

‍

Rassegna e aggiornamenti

La presente politica viene rivista annualmente o a seguito di incidenti significativi, al fine di garantire il costante allineamento con le migliori pratiche in materia di sicurezza

‍