Politica Di Sicurezza
Prendiamo sul serio la sicurezza e la privacy, aderendo a standard di sicurezza di livello aziendale che garantiscono la protezione dei dati dei clienti.
Team di sicurezza
Il nostro team monitora costantemente le notifiche di sicurezza provenienti da tutte le librerie software di terze parti e, se identificate, applica immediatamente le patch di sicurezza pertinenti non appena vengono rilasciate. I nostri ingegneri collaborano con i team di prodotto per garantire che tutto il codice e l’infrastruttura di TaxDome seguano un processo di sviluppo sicuro.
Infrastruttura
Tutta l’infrastruttura di applicazioni e dati di TaxDome è ospitata su Amazon Web Services (AWS), una piattaforma di cloud computing altamente scalabile con funzioni di sicurezza e privacy end-to-end integrate.
Progettati con ridondanza, tolleranza ai guasti e disaster recovery in primo piano, i nostri servizi sono distribuiti in tre zone di disponibilità separate (data center). Tutta la nostra infrastruttura si trova all’interno del nostro cloud privato virtuale (VPC) con accesso alla produzione limitato al solo personale di supporto alle operazioni. Questo ci permette di sfruttare la protezione completa dei firewall, gli indirizzi IP privati e altre caratteristiche di sicurezza.
Per maggiori dettagli sulla sicurezza di AWS, consultare il sito https://aws.amazon.com/security/.
Uptime e disponibilità dei dati
Ci sforziamo di ottenere un uptime del 99,99% per tutti i nostri prodotti e, a tal fine, ospitiamo i nostri sistemi di monitoraggio e di registrazione al di fuori di AWS e impieghiamo una serie di strumenti per monitorare e segnalare con precisione qualsiasi anomalia che possa influire sulla fornitura dei nostri servizi.
Tutti i nostri servizi sono distribuiti in almeno tre zone di disponibilità per attenuare eventuali problemi di disponibilità di un singolo centro dati. Nell’eventualità di un’emergenza che impedisca ad AWS di fornire il servizio a una qualsiasi delle zone di disponibilità (AZ) di una regione, non abbiamo la possibilità di recuperare i dati finché non viene ripristinato il servizio nelle nostre AZ.
Nell’improbabile caso in cui i dati memorizzati nel database TaxDome dovessero essere persi o danneggiati, saremmo in grado di ripristinarli dal backup con una perdita di dati non superiore ai 5 minuti. Durante questo periodo non forniremmo ulteriori piani di emergenza per la consegna dei dati a causa della natura molto breve del tempo di ripristino.
Dati e centro dati
Tutti i dati sono archiviati negli Stati Uniti in datastore multi-tenant conformi alla normativa HIPAA in centri dati controllati da Amazon Web Services e sono protetti da un BAA firmato con AWS. Solo coloro che all’interno di Amazon hanno la legittima necessità di disporre di tali informazioni conoscono l’ubicazione effettiva di questi centri dati, che sono protetti da una serie di controlli fisici per impedire l’accesso non autorizzato.
Applicazione
Grazie all’uso di analisi automatiche e manuali, nonché alla costante verifica della sicurezza delle librerie di terze parti, ci assicuriamo di fornire prodotti privi di difetti di sicurezza e di elaborare i dati in modo strettamente conforme alle istruzioni del cliente. Tutte le comunicazioni dell’applicazione web TaxDome sono conformi alla normativa PCI e supportano il protocollo TLS v1.2 e non possono essere visualizzate da terzi. Applichiamo lo stesso livello di crittografia utilizzato da banche e istituzioni finanziarie.
Inoltre, supportiamo una serie di funzioni di sicurezza che aiutano a mantenere i vostri dati al sicuro
- Crittografia dei dati – Tutti i dati dei clienti sono crittografati a riposo, compresi gli indirizzi e-mail degli utenti, le password degli utenti, le chiavi API, comprese le chiavi di terze parti memorizzate dalle app.
- I dati specifici dell’azienda sono tenuti separati attraverso una separazione logica al livello dei dati, in base alle autorizzazioni di accesso e ai ruoli a livello di applicazione.
- Sicurezza API – Nella nostra API v2.0 supportiamo l’autenticazione OAuth/SAML e un’interfaccia utente per la revoca dei token dei dispositivi.
Sicurezza delle email
TaxDome supporta la crittografia TLS per tutte le e-mail in entrata e in uscita. Per una spiegazione del funzionamento della crittografia delle email, consigliamo questa panoramica di Google.
Pratiche ingegneristiche e operative
Progettiamo tutti i servizi tenendo conto dell’alta disponibilità. Il nostro obiettivo è fornire un tempo di attività del 99,99% su tutti i nostri prodotti. Per raggiungere questo obiettivo, seguiamo una serie di best practice ingegneristiche
- Infrastruttura immutabile – Non apportiamo modifiche al codice live o ai server in esecuzione in produzione. Ove possibile, trattiamo sia il nostro software che la configurazione dell’infrastruttura come codice. Ciò significa che tutte le modifiche vengono sottoposte a una revisione formale del codice, a test automatici e a un processo di distribuzione automatizzato.
- Integrazione e consegna continue – Utilizziamo strumenti di automazione dell’integrazione e della distribuzione continue e di gestione della configurazione per costruire, testare e distribuire il codice più volte al giorno.
- Risposta agli incidenti – Il nostro team dedicato all’infrastruttura e alla sicurezza è a rotazione su chiamata per rispondere immediatamente a qualsiasi incidente di sicurezza o di disponibilità.
- Audit di sicurezza – Regolarmente, una società di sicurezza indipendente esegue un audit di penetrazione white-box sul nostro sistema e sulla nostra base di codice. Su richiesta, i risultati dell’ultimo audit possono essere forniti ai clienti attuali o potenziali.
- Scansione PCI mensile – Eseguiamo una scansione PCI ogni mese per mantenere la conformità al livello 3 PCI, aderendo ai rigorosi standard del settore per l’archiviazione, l’elaborazione e la trasmissione di informazioni sulle carte di credito online. Oltre a criptare le informazioni di pagamento dei clienti. Qualsiasi vulnerabilità scoperta viene classificata come prioritaria, risolta e implementata il prima possibile dopo la scoperta.
- Controlli amministrativi e delle autorizzazioni – TaxDome consente di impostare i livelli di autorizzazione per tutti i dipendenti che hanno accesso a TaxDome. Seguiamo il principio del minimo privilegio per tutti i sistemi che hanno accesso ai dati personali e disponiamo di strumenti automatici di controllo e registrazione dell’accesso, dell’inserimento, della cancellazione e della modifica dei dati.
Ultimo aggiornamento October 25, 2023