Approccio, misure e soluzioni a
tutela della sicurezza in CiviliaNext
CiviliaNext è un SaaS cloud nativo basato su PaaS (Platform as a Service): l'architettura innovativa permette di sfruttare a pieno tutti i benefici del cloud e può vantare di essere stata riconosciuta già nel 2018 da AgID, ottenendo per prima in Italia la qualificazione SaaS per la PA.
È qualificato ACN al livello QC1 (dati/servizi ordinari), secondo il nuovo Regolamento unico per le infrastrutture e i servizi per la PA. Il Cloud Service Provider (CSP) è Microsoft Azure di Microsoft, qualificato al livello AI2 (dati/servizi critici).
Nello scenario attuale, in cui i perimetri da proteggere sono più labili poiché le soluzioni sono sempre più interconnesse, non esistono singole misure in grado di garantire la protezione dagli attacchi informatici: per questo, in Deda Next, ci impegniamo per la cybersicurezza su più livelli, in modo integrato e costante.
Lavoriamo seguendo processi strutturati, condivisi e certificati secondo i più elevati standard internazionali, tra cui l’ISO 9001 (Sistema di gestione della qualità) e l’ISO27001 (Sistema di gestione per la sicurezza delle informazioni).
Questo ci permette di adottare un approccio basato sulla security-by-design nello sviluppo del software, di prevenire eventuali minacce tramite regolari audit interni e monitoraggio continuo, di avere una strategia per la valutazione e la gestione del rischio e per la reazione tempestiva in caso di incidenti.
L’architettura cloud nativa ci consente di sfruttare a pieno i vantaggi della tecnologia cloud in termini di sicurezza. Impieghiamo i più avanzati strumenti per la protezione dei dati, tra cui la crittografia, la gestione dell’identità e degli accessi e il monitoraggio continuo delle minacce esterne.
Inoltre, abbiamo sempre accesso in tempo reale alle ultime versioni dei software di sistema con i fix di sicurezza del CSP. A nostra volta, possiamo distribuire aggiornamenti e migliorie senza impatti sull’operatività degli Enti.
La maggior parte dei cyberattacchi si verifica per errori umani. Per questo investiamo costantemente nella formazione e in competenze certificate, come Ethical Hackers (CEH), Certified Information Security Manager (CISM), Microsoft Azure Security Technologies e Cybersecurity Architecht, e implementiamo strumenti che riducono le vulnerabilità, come l’autenticazione multi-fattore. Insieme a FBK, Deda ha inoltre fondato il Co-Innovation Lab Cleanse - CLoud Native ApplicatioN Security, per affrontare le sfide di sicurezza del software di nuova generazione.
Un SaaS sicuro è innanzitutto protetto dagli attacchi informatici, ma non solo. La sicurezza in CiviliaNext si basa anche su altre misure, soluzioni e approcci, come la protezione dei dati che gestisce e produce, inclusa la loro riservatezza, la scalabilità delle risorse e la continuità operativa, anche in caso di disastri o incidenti, e il pieno controllo degli accessi e delle operazioni effettuate: le misure elencate di seguito non rendono, da sole, CiviliaNext un SaaS sicuro, ma è il loro insieme che concorre a questo scopo.
L’architettura cloud nativa basata su PaaS ci consente di affidare la sicurezza dell’infrastruttura a uno dei CSP più solidi e di impiegare i più evoluti strumenti per la protezione nel cloud distribuendo, senza impatti negativi per gli Enti e in tempo reale, i fix di sicurezza. CiviliaNext è particolarmente solido contro i Ransomware: i dati sono protetti da più strati di sicurezza e back-up isolati, aggiornamenti automatici e l’isolamento di applicazioni e dati ne limitano gli impatti. Versionamento e soft-delete consentono di recuperare versioni precedenti o documenti cancellati accidentalmente.
Si basa su uno strumento che identifica le vulnerabilità o i fattori di rischio, suggerisce azioni da intraprendere e invia alert agli amministratori del sistema. Comprende la gestione del comportamento di sicurezza (Cloud Security Posture Management), che offre visibilità dettagliata sullo stato di protezione delle risorse e dei carichi di lavoro e dà indicazioni sulla protezione avanzata. Svolgiamo, con frequenza almeno trimestrale, test di penetrazione e di valutazione delle vulnerabilità secondo lo standard OWASP.
Una superficie di attacco esterna è costituita da tutti i punti di accesso che un utente non autorizzato potrebbe usare per entrare CiviliaNext: questa protezione si basa su un sistema che individua gli elementi correlati all'infrastruttura online nota e li analizza attivamente, per individuare nuove connessioni nel tempo e individuare le aree chiave di attenzione per l'organizzazione. È uno strumento essenziale per la protezione del software di nuova generazione, fortemente interconnesso.
La connessione di CiviliaNext con i servizi PaaS è gestita dal CSP, che ne garantisce affidabilità e sicurezza: i dati navigano in rete criptati mediante l’utilizzo del protocollo https, l’accesso alle webapp (moduli applicativi di CiviliaNext) avviene tramite un sistema di autenticazione basato su un servizio di gestione delle identità e degli accessi basato sul cloud. Il database è protetto da firewall per evitare l’accesso da ip esterni a quelli delle webapp o della rete aziendale interna.
La continuità operativa è garantita dal CSP con una disponibilità del servizio del 99,95%. I dati sono sempre replicati in 3 datacenter all’interno di una Region, sufficientemente distanti e dotati di tutte le precauzioni fisiche per prevenire disastri ambientali. Sistemi di back-up nativi garantiscono la possibilità di recupero e la conservazione dei dati per il tempo stabilito dalla normativa. Grazie al sistema di monitoraggio attivo delle risorse, la continuità è garantita anche dalla capacità di scalabilità pressoché immediata in base al carico richiesto.
I dati (inclusi i metadati) sono crittografati sia nella fase di transito, sia di archiviazione. La crittografia usata è tra le più solide disponibili sul mercato, è abilitata di default su tutti gli account e non è disattivabile. Il trasferimento dei dati degli Enti per la migrazione avviene attraverso protocolli di comunicazione sicura (TLS) end-to-end. Per gli Enti, è inoltre possibile gestire la crittografia con chiavi proprie.
Il sistema garantisce l’accesso a tutti i moduli di CiviliaNext tramite “Single Sign On” (SSO): ogni utente si registra una sola volta e può accedere in modo diretto alle applicazioni per le quali ha l’autorizzazione. CiviliaNext supporta anche l’integrazione di sistemi terzi di autenticazione. Gli utenti accedono con autenticazione multi-fattore, una tra le soluzioni più solide per evitare le violazioni di un account: consiste nel richiedere, oltre alla digitazione di utente e password, anche un secondo step di conferma della propria identità.
La gestione è centralizzata e basata sul principio least-privilege: gli utenti hanno solo i privilegi minimi per lo svolgimento dei propri compiti e per il tempo strettamente necessario agli stessi. L’assegnazione può essere gestita automaticamente per gruppi di appartenenza, semplificandone così la gestione e riducendone le possibilità di errore. È molto granulare e consente il controllo su tutte le funzionalità, dalle aree funzionali (es: demografia), fino ai singoli elementi di un’interfaccia applicativa.
L’operatività degli utenti applicativi e degli operatori di sistema è tracciata e registrata in appositi log, che possono contenere informazioni come l'utente, la sessione, le attività svolte e possono essere utili a vari scopi: per rispettare la normativa (GDPR), monitorare le attività, ottimizzare le prestazioni e per scopi di sicurezza. Grazie a questo tracciamento, è possibile rilevare comportamenti sospetti o tentativi di accesso non autorizzato. I log sono conservati in formato inalterabile per il tempo stabilito dalla normativa.
CiviliaNext è nativamente conforme al GDPR, è stato cioè sviluppato tenendo conto fin dall’inizio del contenuto della normativa. I dati gestiti sono sempre localizzati all’interno del territorio europeo. La tutela della privacy è inoltre garantita in tutte le attività, dall’analisi, alla progettazione fino allo sviluppo e la manutenzione. Gli Enti restano titolari dei dati, ai quali hanno sempre accesso. Deda Next, ai sensi del GDPR, è “Responsabile del trattamento” e non detiene le password degli utenti.
La sicurezza informatica non si riduce alle caratteristiche di un software, ma è intrinseca nel modo in cui lavoriamo: per questo, la scelta di un fornitore di SaaS è anche una questione di fiducia e, per questo, la nostra rigorosa organizzazione è certificata secondo i più elevati standard internazionali. Questi criteri che i nostri processi aziendali devono rispettare sono disciplinati dalle norme ISO, ampiamente riconosciute a livello internazionale, nonché dall’Agenzia per la Cybersicurezza Nazionale (ACN).
ISO 9001
Sistema di gestione della qualità
ISO 27001 & Linee Guida 27017 - 27018
Sistema di gestione per la sicurezza delle informazioni con estensione alle Linee Guida per i servizi cloud e per la protezione dei dati personali nei cloud
ISO/IEC 2000-1
Sistema di gestione dei servizi di Information Technology
Soc.contr.art. 2497 c.c. da Dedagroup S.p.A. (TN)
Sede Legale e Amministrativa: Via di Spini, 50
38121 Trento (TN)
Tel. +39 0461 997111
deda.next@legalmail.it
P.I.: 01727860221 - C.F.: 03188950103
