DICHIARAZIONE DI SICUREZZA
Conformità
|
Tutti i prodotti INTOO LLC sono certificati SOC2 Tipo 2 nella categoria Trust Services Criteria di Sicurezza. Se hai bisogno di una copia del nostro attuale rapporto SOC2 di tipo 2, contatta il tuo Customer Success o Sales Manager per ricevere assistenza. |
Controlli di accesso e autenticazione
INTOO LLC limita l'accesso ai dati dei clienti e riservati in base alle esigenze aziendali. L'accesso è concesso in base al proprio ruolo all'interno dell'organizzazione. Intoo LLC impone l'autenticazione a più fattori obbligatoria per tutti gli accessi ai dati riservati.
Trattamento e privacy dei dati
La privacy dei dati è presa sul serio in INTOO LLC. Monitoriamo regolarmente le modifiche alle leggi e ai regolamenti sulla privacy dei dati e aggiorniamo le nostre politiche e procedure di conseguenza. La formazione sulla privacy dei dati viene fornita a tutti i dipendenti al momento dell'assunzione e successivamente regolarmente. La privacy dei dati viene presa in considerazione durante tutte le fasi di sviluppo dell'applicazione.
- INTOO LLC mantiene la conformità al Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea.
- Ci affidiamo all'UE La Commissione ha approvato le clausole contrattuali standard per il trasferimento di dati dal SEE agli Stati Uniti. Abbiamo politiche e procedure in atto per rispettare tutte le leggi sulla privacy dei dati applicabili.
Per ulteriori informazioni sui tipi di dati e per quale scopo, fare riferimento alla scheda del prodotto del nostro Informativa sulla privacy.
Crittografia dati
INTOO LLC utilizza la crittografia end-to-end completa. INTOO LLC richiede HTTPS per tutti i servizi che utilizzano TLS 1.2 con solo le suite di crittografia più sicure. INTOO LLC sfrutta AWS per la crittografia dei dati in transito (TLS) e inattivi (AES-GCM 256). INTOO LLC attualmente utilizza la policy di sicurezza TLS-1-2-2017-01 su AWS Application Load Balancer e all'interno di AWS CloudFront. INTOO LLC utilizza AWS Key Management Service (KMS) per abilitare la crittografia dei dati inattivi nei nostri prodotti. Lo usiamo per crittografare i dati all'interno dei database (RDS) e i dati archiviati all'interno di S3. AWS KMS utilizza l'algoritmo Advanced Encryption Standard (AES) in Galois/Counter Mode (GCM) con chiavi segrete a 256 bit.
Posizione del centro dati
INTOO LLC opera all'interno di Amazon Web Services (AWS). AWS segue il modello di responsabilità condivisa. AWS è responsabile della sicurezza del cloud e INTOO LLC è responsabile della sicurezza nel cloud. Le informazioni relative alla conformità dei data center AWS sono disponibili sul sito Web di conformità AWS qui. Se ti viene richiesto di esaminare il rapporto SOC del data center, puoi esaminare il rapporto SOC3 AWS più recente disponibile qui: Segnala SOC3 AWS.
Puoi selezionare la posizione di archiviazione dei dati in base ai requisiti di localizzazione dei dati. Attualmente operiamo data center negli Stati Uniti e in Europa.
| Prodotto | Database di produzione | Database di ripristino di emergenza |
|---|---|---|
YourNextStep, INTOOCandidate, INTOOClient | Amazon AWS Data Center negli Stati Uniti, Virginia del Nord (us-east-1) | Amazon AWS Data Center negli Stati Uniti, Ohio (us-east-2) |
La tua latitudine (opzione 1)Per i clienti che desiderano che i propri dati risiedano negli Stati Uniti |
Amazon AWS Data Center negli Stati Uniti, Virginia del Nord (us-east-1) | Amazon AWS Data Center negli Stati Uniti, Ohio (us-east-2) |
La tua latitudine (opzione 2)Per i clienti che desiderano che i propri dati risiedano nell'UE |
Amazon AWS Data Center in Italia, Milano (eu-south-1) | Amazon AWS Data Center in Germania, Francoforte (eu-central-1) |
Backup e conservazione dei dati
INTOO LLC mantiene un anno di backup del database, audit e registri delle applicazioni. Questi backup vengono archiviati crittografati in conformità con la sezione Crittografia dei dati sopra elencata. Per inviare una richiesta di eliminazione dei dati, utilizzare il Gestione dei diritti individuali che si trova nel footer di ogni pagina del nostro sito..
Consapevolezza e formazione
Tutti i dipendenti di INTOO LLC completano la formazione obbligatoria sulla consapevolezza della sicurezza e sulla privacy al momento dell'assunzione e almeno una volta all'anno su base continuativa. Tutti i INTOO LLC dipendenti e appaltatori firmano accordi di riservatezza e non divulgazione al momento dell'assunzione e prima dell'accesso ai dati dell'azienda o dei clienti.
Continuità operativa/Disaster Recovery
INTOO LLC gli ingegneri hanno progettato un'architettura di prodotto altamente scalabile e resiliente all'interno di AWS. Il nostro prodotto resiste ad attacchi sofisticati ed è altamente adattabile. Le prestazioni dei nostri sistemi all'interno dell'architettura del prodotto sono monitorate per le metriche chiave, assicurando che il carico su qualsiasi sistema rientri in un intervallo accettabile. Se qualsiasi componente dovesse sovraccaricarsi o subire un guasto, verranno eseguiti processi automatizzati per portare online ulteriori sistemi temporanei o per sostituire i sistemi esistenti con quelli nuovi. L'automazione è incorporata nell'architettura INTOO LLC, quindi il monitoraggio del sistema, gli aggiornamenti e le azioni correttive possono essere eseguiti secondo necessità con tempi di inattività minimi o nulli.
INTOO LLC mantiene un ambiente DR completo e testa il piano DR su base annuale per garantire il raggiungimento degli obiettivi RPO e RTO.
Sicurezza del codice e aggiornamenti
Il dipartimento di ingegneria INTOO LLC sfrutta una pipeline di integrazione continua / distribuzione continua (CI/CD) per la gestione delle distribuzioni di codice. Il codice dell'applicazione è archiviato in un repository di codice sicuro con il controllo completo della versione. Le modifiche al codice vengono sottoposte a revisione paritaria e testate in un ambiente di gestione temporanea prima di essere trasferite in produzione. Gli ambienti di staging e di produzione sono logicamente separati e nessun dato viene condiviso tra di loro.
Registrazione e monitoraggio:
INTOO LLC raccoglie i log di controllo e delle applicazioni da tutti i sistemi. Questi registri vengono archiviati crittografati in una struttura di posizione di registrazione centralizzata separata dal sistema che genera i registri. Le voci di registro sono in linea con gli standard del settore per gli audit trail. INTOO LLC conserva questi registri per un periodo di un anno per scopi commerciali di indagine sulle attività di sistema passate.
Gestione dei dispositivi mobili e remoti (RMM/MDM)
Proteggiamo le macchine e i laptop dei nostri dipendenti utilizzando strumenti di gestione della rimozione e di gestione dei dispositivi mobili per garantire che ogni dispositivo segua i nostri standard di sicurezza delle informazioni, inclusi crittografia, gestione delle patch e controlli dei dispositivi.
Test di penetrazione/Scansione delle vulnerabilità
INTOO LLC conduce annualmente test di penetrazione esterna dei nostri prodotti. Inoltre, INTOO LLC esegue scansioni settimanali utilizzando uno strumento di scansione delle vulnerabilità leader del settore. Eventuali vulnerabilità rilevate durante questi processi vengono aggiunte al nostro programma di rilevamento delle vulnerabilità. Le vulnerabilità di sicurezza vengono risolte secondo il seguente programma:
| Priorità | Critico (P0) | Alto (P1) | Medio (P2) | Basso (P3) |
|---|---|---|---|---|
Cronologia della riparazione | 7 giorni | 14 giorni | 90 giorni | Discrezionale |
[Ultimo aggiornamento della pagina: 28/02/2023]