Standard di sicurezza

Protocolli di sicurezza e policy standard.

Nelle attività di fornitura servizi hosting, server managed/unmanaged, produzione software e gestione infrastrutturale, seguiamo i seguenti standard e policy di sicurezza.

VIRTUAL SERVER SECURITY & EMPLOYEE ACCESS

La sicurezza dei virtual server e la data integrity sono fra le priorità di SocialCities. Per garantire la massima sicurezza, nessuna persona all’interno della nostra organizzazione ha accesso in alcun modo al sistema di hypervisor dei virtual server ed ai sistemi NAS/SAN dedicati allo storage dei dati dove risiedono gli snapshot ed i backup.

Tali sistemi garantiscono il funzionamento della infrastruttura informatica e solamente personale tecnico altamente specializzato ha accesso a tale infrastruttura. In nessun caso tale personale tecnico potrà essere a conoscenza dei dati contenuti in un determinato server (server anonimi).

PHYSICAL SECURITY

Tutta l’infrastruttura SocialCities risiede in co-locazione presso datacenter enterprise-grade / premiere-infrastructure. Le facilities di nostro utilizzo includono primariamente 18 regioni afferenti a Google Cloud Platform (https://cloud.google.com/about/locations/).

In ognuna di queste strutture è attivo uno staff 24/7/365 con sistemi di sicurezza onsite per la protezione di accessi non autorizzati nei locali server.

I sistemi di sicurezza onsite includono camere di monitoraggio delle facilities premises e di tutte le aree interne del datacenter. Gli accessi avvengono tramite autorizzazione biometrica e autenticazione a due fattori.

I server sono unmarked e la loro posizione specifica è riservata.

CREDIT CARD SECURITY

Tutti i processi che coinvolgono transazioni finanziarie avvengono attraverso l’utilizzo del gateway Stripe. Il gateway garantisce transazioni online per migliaia di attività aziendali e piattaforme SaaS. Viene garantita piena aderenza agli standard PCI per lo storage e l’handling delle informazioni di transazione.

COMMUNICATIONS

Tutte le comunicazioni interne ed esterne ai datacenter avvengono attraverso SSL (HTTPS) sia per i servizi pubblici web che per le interfacce API. L’accesso ai server avviene attraverso tecnologia SSH con chiavi a crittografia asimmetrica.

SNAPSHOT AND BACKUP SECURITY

Gli snapshot ed i backup (images) sono salvati in uno spazio interno non pubblicamente accessibile. I server NAS/SAN devono sottostare a specifiche policy di accesso e sono isolati dalla rete Internet. Gli snapshot sono inoltre inviati a più regioni geografiche in modo da aumentare la ridondanza geografica dei file.

SOFTWARE SECURITY

Tutti i nostri software godono di vari sistemi di sicurezza, quali:

esclusione virus e malware tramite certificazione a chiave asimmetrica del software

sistemi anti brute-force

filtraggio degli IP e banning istantaneo

crittografia dei dati sensibili attraverso algoritmi avanzati di hashing

Cross site request forgery (CSRF) protection

SQL injection protection

Clickjacking protection

Host header validation

Session security

VARIE

I datacenter sono inoltre dotati delle seguenti tecnologie di sicurezza:

sorveglianza video ed umana 24/7/365

sistema rilevamento particelle di fumo

ridondanza nei sistemi elettrici

alternatori da 250 KVA

gruppi elettrogeni con autonomia 48h

collegamento di rete ridondato

sale rete gemelle

certificazione ISO 27001:2005, certificazione ISO 27002, certificazione ISO 27005

certificazione SOC 1 – SOC 2 tipo II

sale server a bassa climatizzazione con watercooling e aircooling

PUE compreso fra 1 e 1.2

rilevatori di movimento perimetrali ed indoor

porte blindate

sistema antincendio e porte antifuoco APSAD R4 conformità N4

banda passante di 3Tbps in Europa, 8000 Gpbs in America del nord con connessione a 33 punti di peering in 3 continenti

server con doppia alimentazione e doppia scheda di rete

datacenter disgiunti geograficamente

protezione anti-DDoS da 160Gbps con filtraggio fino a 480Gpbs

nel più piccolo dei datacenter in utilizzo:

N° 73 controlli anti-intrusione

n° 19 sensori volumetrici

n° 24 telecamere di cui 16 a 24h

n° 29 rilevatori di presenza

n° 31 rilevatori di temperatura

n° 8 barriere infrarossi

Centralina esterna meteo in domotica, vari sensore antifumo

Impianto antincendio

2 sensori anti allagamento interni

2 allarmi con sirena per superamento livello di sicurezza (- 7 mt dal suolo del DataCenter) acque piovane;

4 sensori controllo umidità e CO2 interna

CASI CONCRETI

Gestione server AWS con tecnologia anti intrusione, anti manomissione, data retention a 2 anni, modalità dinamica di isolamento in caso di attacco in corso

per infrastruttura server enterprise class, superato il penetration test X-Force Red di IBM

memorizzazione big data ed analisi in tempo reale di informazioni riservate di consumo

HORECA: gestione di VPS per un totale di +500 alberghi

LocalJob: 0.000% di downtime dal 2013 al 2020 (anno di dismissione), ad esclusione degli interventi di manutenzione programmata

50+ server attualmente up and running con downtime dello 0,0000% negli ultimi 365 giorni, ad esclusione degli interventi di manutenzione programmata

reazione immediata ad un attacco informatico subito nel 2016 ai danni di LocalJob; l’infrastruttura attaccante fu bannata automaticamente in <0,5 secondi dall’inizio dell’attacco

PRIVACY DEL DATO

Allo scopo di preservare e difendere la segretezza delle informazioni contenute nei nostri server, tutte le comunicazioni avvengono all’interno di un ambiente protetto e crittografato SSL.

Le password vengono trattate esclusivamente tramite una criptazione one-way che ne impedisce il furto e i dati di pagamento vengono memorizzati in strutture apposite garantite PCI.

I backup vengono criptati prima di essere trasferiti all’ambiente di destinazione.

Ogni notte viene eseguito uno snapshot completo di ogni macchina od istanza che viene mantenuta per un minimo di 7 giorni ed un massimo di 30 giorni.

In nessun caso viene fornito accesso ai dati del server o dei backup ad aziende esterne.
Su richiesta il dato può essere isolato in territorio extra europeo.