I dati che conferirai a Exit.bio saranno conservati secondo gli standard di sicurezza prescritti dagli artt. 25 e 32 del GDPR (Regolamento UE 679/2016) e in osservanza di quanto prescritto dall’allegato B. (Disciplinare tecnico in materia di misure minime di sicurezza) al D.LGS. 196/03 e successive modificazioni, superando talvolta quanto specificato nelle modalità meglio infra descritte.
INFRASTRUTTURA GENERALE
- Utilizziamo fornitori per servizi di backend (hosting PaaS, database, storage) che adottano stringenti criteri riguardo livelli e metodologie di sicurezza adottate, tra cui Heroku e Amazon Web Services;
- Adottiamo le più note best practices OWASP di sviluppo sicuro del codice al fine di garantire la sicurezza in tutte le fasi di sviluppo e limitare la possibile superficie d’attacco;
- Utilizziamo e configuriamo di framework web e librerie consolidati, ampiamente testati e ritenuti sicuri dalle maggiori comunità di sviluppo;
- Adottiamo soluzioni tecniche per l’integrità e confidenzialità dei dati utente:
- connessione cifrata end-to-end TLS 1.3 proteggere gli scambi dati da intercettazioni di terzi;
- autenticazione multi fattore per verificare l’identità in modo più forte;
- cifratura database PostgreSQL e storage AWS S3 at-rest con AES-256 per impedire la lettura dei dati in caso di accesso fisico non autorizzato ai dischi.
- cifratura di password e chiavi segrete nel tuo Inventario con AES-256-GCM (progettato per resistere anche ai più sofisticati attacchi a forza bruta) per garantirne la sicurezza anche in caso di compromissione del database in esecuzione;
- notifiche e-mail d’accesso e decifratura password per protezione e notifica all’utente di potenziali attività sospette;
- protezione della sessione utente dagli attacchi più comuni per evitare accessi illegittimi;
- Offriamo un sistema di pagamenti sicuri attraverso broker e gateway accreditati e rispondenti agli standard di sicurezza prescritti dalle normative vigenti: in nessun momento abbiamo accesso alle credenziali utilizzate per il pagamento;
- Monitoriamo in modo continuo le attività sul sito web e utilizziamo un Web Application Firewall al fine di rilevare e impedire attività potenzialmente fraudolente;
- Proteggiamo la sicurezza fisica dei dispositivi che hanno accesso ad aree riservate del sito e ai servizi connessi alle stesse;
- Sottoponiamo periodicamente la nostra infrastruttura ad attività di verifica indipendenti quali penetration test, vulnerability assessment e code review;
- Ci assicuriamo che il personale incaricato della gestione dei dati abbia ottenuto e ottenga periodicamente formazione specifica in materia di sviluppo e gestione sicura dei dati, con riguardo anche alle contromisure verso attacchi di ingegneria sociale;
- limitiamo i permessi di accesso del personale incaricato della gestione dei dati al minimo indispensabile, in ottemperanza ai criteri di privacy by design e privacy by default prescritti dalle vigenti normative.
MISURE SPECIFICHE INERENTI IL SERVIZIO PRESTATO
- la password di accesso al tuo account Exit.bio non può essere in nessun caso recuperata dagli amministratori, perché sottoposta ad algoritmo di hashing BCrypt;
- avrai sempre e costantemente il controllo sul tuo account perché:
- le notifiche per la decifratura di eventuali password e chiave segrete di singole Iscrizioni non sono disattivabili: ti arriverà sempre una comunicazione sul tuo indirizzo di posta, senza il link contenuto nell’e-mail non è possibile decifrare la password;
- le notifiche per le operazioni non sono disattivabili, ti arriverà sempre una comunicazione sul tuo indirizzo di posta;
- puoi attivare l’invio di una notifica per ogni accesso al tuo account Exit.bio;
- la password delle tue caselle di posta elettronica Gmail e Microsoft non ci viene comunicata in quanto il processo di autenticazione è gestito direttamente dal proprietario del servizio. Gestiamo direttamente l’autenticazione a caselle di posta di tipo IMAP ma non ne conserveremo mai le credenziali.
- nel caso di account Gmail il processo di ricerca automatica dei dati dalla tua casella di posta elettronica avviene attraverso un programma momentaneamente caricato sul tuo browser; le tue credenziali di accesso alla posta elettronica non ci vengono comunicate e l’analisi dei dati contenuti nell’account viene eseguita localmente (cioè sul tuo dispositivo), sino a quando non operi il trasferimento impartendo l’istruzione con il tasto “Salva” che trasferirà effettivamente il contenuto analizzato sui nostri sistemi;
- il sistema di autenticazione per la decifratura delle password di accesso ai servizi inseriti nell’inventario è attivabile solo ed esclusivamente da parte tua; tale sistema prevede due fattori di autenticazione: la tua password e un codice valido una sola volta inviato sulla e-mail con cui ti sei registrato a Exit.bio e ha scadenza temporale ravvicinata;
- le password che hai inserito nell’inventario rimarranno cifrate fino a quando non riceveremo prova del tuo decesso, momento in cui consegneremo i dati ai rispettivi destinatari.
Se hai ancora dei dubbi, prima di utilizzare il Sito contattaci per parlare con i nostri responsabili della sicurezza informatica.