Adeguamento al GDPR

Scritto da Alessandra De Rosa on . Postato in Prodotti, Sicurezza, Sicurezza

Il GDPR è un Regolamento europeo sul trattamento dei dati personali che ha come obiettivo quello uniformare il trattamento dei dati a livello europeo e di rendere più semplice, trasparente e sicuro il trattamento dei dati delle persone fisiche. Il GDPR non si applica solo alle grandi società.

Le nuove normative privacy si applicano anche alle piccole e piccolissime aziende. Le aziende, infatti, sono chiamate a rivedere i propri sistemi di gestione dei dati all’interno dell’organizzazione, prevenire la perdita dei dati e mettersi a norma.

 

Cosa facciamo:

  • Attivazione archivi
  • Supporto alla compilazione
  • Formiamo il titolare sui principi e sulle regole fondamentali del GDPR con un video corso e un questionario finale.
  • Aiutiamo a verificare la situazione della tua attività suggerendo gli interventi e aiutandoti ad effettuarli.
  • Test/attestazione di convalida della formazione
  • Attestazione assessment
  • Forniamo i moduli e i modelli base documentali pre-compilati con i tuoi dati, pronti per essere integrati.
  • Produzione documenti informativi e comunicazioni
  • Documento di registro attività di trattamento online e disponibile per il download
  • Gestione del registro atività di trattamento
  • Documento di avvenuti adempimenti alla compliance GDPR, certificando che hai svolto tutte queste attività, utile in caso di controllo della Pubblica Autorità.

 

Certificati di sicurezza

Scritto da Alessandra De Rosa on . Postato in Sicurezza, Sicurezza

Cos’è un certificato TSL/SSL?

TLS/SSL server certificato

Il TLS (precedentemente noto come SSL), è un server richiesto per presentare un certificato come parte della configurazione iniziale della connessione.

Un client che si connette a tale server eseguirà l’algoritmo di convalida del percorso di certificazione:

  • L’oggetto del certificato corrisponde al nome host a cui il client cerca di connettersi
  • Il certificato è firmato da un’autorità di certificazione attendibile.

Il nome host principale (nome di dominio del sito) viene elencato come Nome comune nel campo Oggetto del certificato. Un certificato può essere valido per più nomi host (più siti web). Tali certificati sono comunemente denominati certificati SAN (Subject Alternative Name) o certificati di comunicazione unificata (certificati UCC). Se alcuni dei nomi host contengono un asterisco (*), un certificato può anche essere chiamato un certificato wildcard.

Un server TLS può essere configurato con un certificato auto-firmato. In questo caso, i client non saranno in genere in grado di verificare il certificato e terminano la connessione a meno che il controllo dei certificati non sia disattivato.

TLS/SSL client certificato

I certificati client sono meno comuni dei certificati server e vengono utilizzati per autenticare il client che si connette a un servizio TLS, ad esempio per fornire un controllo di accesso. Poiché la maggior parte dei servizi fornisce l’accesso agli individui, piuttosto che ai dispositivi, la maggior parte dei certificati client contengono un indirizzo email o un nome personale piuttosto che un nome host. Inoltre, poiché l’autenticazione è di solito gestita dal provider di servizi, i certificati client non vengono generalmente rilasciati da una CA pubblica che invece fornisce certificati server. I certificati client sono supportati da molti browser Web, ma la maggior parte dei servizi utilizza password e cookie per autenticare gli utenti, anziché i certificati client.I certificati client sono più comuni nei sistemi RPC, in cui vengono utilizzati per autenticare i dispositivi per garantire che solo dispositivi autorizzati possano effettuare chiamate RPC.

 

Come funziona il TSL/SSL?

Alcune applicazioni sono già in grado di ricevere connessioni tramite l’utilizzo di ‘SSL, tra queste troviamo i web browser come Internet Explorer e Firefox, programmi di gestione della posta come Outlook, Mozilla Thunderbird, Apple Mail app, e programmi SFTP (Secure File Transfer Protocol).
Per stabilire una connessione sicura tramite TSL/SSL, è necessario che la tua applicazione abbia una chiave di protezione, chiave che deve essere assegnata da un’Authority preposta che la rilascierà sotto forma di certificato.

 

Validazioni

Validazione attraverso l’autenticazione del dominio:
Il processo di autenticazione verifica che il richiedente abbia i permessi di amministratore per il dominio per cui si richiede il certificato.

Validazione attraverso l’autenticazione dell’azienda:
la validazione include la verifica dell’azienda, la verifica del dominio e che il contatto che richiede il certificato per conto dell’azienda o dell’organizzazione sia effettivamente un dipendente dell’azienda stessa.

Autenticazione tramite Extended Validation (EV): 
questo è il più alto livello di autenticazione disponibile per un certificato SSL (E’ necessario un accordo firmato tra il contatto e l’azienda per cui verrà emesso il certificato).
Con l’EV, i visitatori che utilizzano un browser che gestisce l’high-security potranno vedere la barra degli indirizzi di colore verde, un segno visibile che il sito è autenticato con procedure di validazione avanzate. Prima che l’utente inserisca dati di carte di credito e informazioni personali sensibili vogliono essere sicuri di essere nel sito corretto e che le loro informazioni siano protette. Inoltre nella barra degli indirizzi viene visualizzato il nome dell’azienda certificata e dell’ente che ha rilasciato il certificato. Queste informazioni sono visibili immediatamente e trasmettono all’utente la fiducia necessaria per completare le loro transazioni.

 

Penetration test

Scritto da Alessandra De Rosa on . Postato in Sicurezza, Sicurezza

Il Penetration Test consiste nella simulazione di un’azione dannosa di attacco ad un sistema IT e viene svolto in condizioni reali.

Un test di questo tipo è molto più di un semplice controllo o di una scansione automatica: le vulnerabilità rilevate vengono sfruttate (ovviamente senza cagionare alcun danno) per stabilire i livelli di rischio del sistema analizzato.

La resistenza  dell’infrastruttura viene messa alla prova con attacchi basati su internet.

 

Collaboriamo con partners specializzati, titolari di certificazioni ed accreditamenti a garanzia del più alto livello di efficacia possibile.

 

Ogni test sottintende la firma di un accordo di riservatezza nel quale vengono enumerate le azioni da intraprendere.

Il test può essere eseguito su:

  • Siti web ed applicazioni;
  • Infrastruttura esterna
  • Penetrazione interna
  • Valutazione dei firewall
  • Valutazione della sicurezza dei dispositivi mobili
  • Test VPN/VOIP

É possibile eseguire scansioni PCI DSS, obbligatorie per i siti web che prevedono pagamenti con carte di credito, oltre a test di attacchi di social engineering.

 

In cosa consiste il penetration test?

  • La prima fase è quella di definizione dell’ambito e degli obiettivi del test, nonchè il suo punto di partenza.
  • La seconda fase consiste nell’esecuzione dei tentativi di intrusione con identificazione delle vulnerabilità.
  • La terza fase è quella di sfruttamento delle vulnerabilità per stabilire i rischi ad esse associati, con la creazione di un rapporto.
  • Nell’ultima fase viene stilato un rapporto dettagliato delle vulnerabilità, con osservazioni e suggerimenti. Questo è un rapporto dettagliato che tiene conto degli elementi che sono importanti anche per il team di sviluppo.

Valutazione di vulnerabilità

Scritto da Alessandra De Rosa on . Postato in Sicurezza, Sicurezza

I servizi di valutazione delle vulnerabilità sono volti ad ottenere un riscontro sulla presenza di eventuali vulnerabilità o minacce alla sicurezza nell’infrastruttura, nei sistemi e nelle applicazioni della tua azienda.

  • Scansione degli indirizzi IP interni e pubblici – garanzia di conformità alla normativa PCI DSS
  • Scansione URL delle applicazioni, basata su metodologie OWASP, SCAP
  • Reportistica personalizzabile
  • Rapida valutazione delle vulnerabilità, con rimozione dei falsi positivi e risoluzione dei problemi
  • Analisi continua a garanzia di sicurezza

 

Google+