Trust Center
Tutte le informazioni necessarie sulla sicurezza, la privacy e la conformità dei nostri software.Noi di InVision (InVision AG) prendiamo molto seriamente la sicurezza. Siamo consapevoli che la nostra piattaforma memorizza ed elabora informazioni sensibili per conto dei nostri clienti, tra cui i nomi dei dipendenti, i dettagli sugli accessi, le ore di lavoro e altro ancora. Nel 2011 abbiamo lanciato injixo, la prima applicazione di gestione della forza lavoro (WFM) su cloud al mondo, e fin da subito ci è stato chiaro il dovere di diligenza che abbiamo nei confronti dei dati dei nostri clienti.
La nostra sede centrale si trova in Germania, un paese con una legislazione all'avanguardia in termini di sicurezza dei dati e di legislazione sulla privacy. Le aziende tedesche erano equipaggiate al meglio in termini di misure di sicurezza già prima dell’introduzione del Regolamento generale sulla protezione dei dati (RGDP), e continuano a essere leader in questo settore.
InVision combina misure di sicurezza di classe aziendale con processi aziendali che garantiscono che le nostre applicazioni, sistemi e reti proteggano i tuoi dati in ogni momento. Finora non è stata registrata nessuna violazione della sicurezza, e intendiamo mantenere questo record. Ecco perché organizzazioni di alto livello in settori in cui la sicurezza è cruciale, tra cui banche, assicurazioni e governi, ci affidano ogni giorno i dati dei loro dipendenti.
Questa pagina riporta i dettagli sulle nostre misure di sicurezza.
Conformità
InVision è conforme alla legislazione sulla sicurezza dei dati e sulla privacy in tutti i paesi in cui operiamo e distribuiamo i nostri prodotti. Siamo fieri di affermare che adottiamo le migliori prassi del settore e di rispettare i principali standard internazionali, come ISO 27001.
ISO/IEC 27001
InVision ha ricevuto la certificazione ISO/IEC 27001:2013, e su base annuale vengono effettuati degli audit di conformità indipendenti.
Il sistema di gestione della sicurezza delle informazioni (ISMS) di InVision copre la fornitura, le operazioni, la manutenzione e la gestione della piattaforma injixo. Stabilisce gli obblighi che poniamo ai dipendenti di InVision e ai fornitori terzi che creano, mantengono, memorizzano, accedono, elaborano o trasmettono informazioni all'interno dei nostri ambienti di sviluppo e di test, e nell'ambiente di produzione al quale accedono i clienti.
Il nostro certificato ISO 27001 è disponibile qui.
RGPD
InVision è conforme a tutti gli aspetti del Regolamento generale sulla protezione dei dati dell'UE e del Regno Unito. I dettagli della nostra conformità all’RGPD sono illustrati nel nostro Accordo sul trattamento dei dati:
Responsabile della protezione dei dati
InVision ha un Responsabile della protezione dei dati, che può essere contattato all’indirizzo privacy@invision.de.
Diritti dell'interessato
InVision aiuta i clienti a rispettare i diritti degli interessati, nello specifico, il diritto a ottenere la cancellazione delle informazioni personali, il diritto di accesso e il diritto alla portabilità dei dati. I clienti di InVision possono ottenere l’eliminazione dei dati dei dipendenti su richiesta.
Servizi Web di Amazon
InVision ospita tutti i dati dei clienti in data center di Amazon Web Service (AWS) che hanno la certificazione ISO 27001, e che sono conformi allo standard PCI DSS Service Provider Level 1 e/o allo standard SOC 2. Maggiori informazioni sulla conformità agli standard di sicurezza di AWS si trovano qui.
Subprocessori
Utilizzando la piattaforma injixo di InVision, i tuoi dati potrebbero essere elaborati anche dai subprocessori di InVision. L’informativa sulla privacy di InVision include l’elenco dei processori terzi utilizzati di InVision:
Impegni contrattuali
Condizioni generali di contratto
I doveri, i diritti e gli obblighi di InVision e dei suoi clienti riguardo alla piattaforma injixo sono disciplinati dalle Condizioni generali di contratto (CGC) di InVision. Le CGC si trovano qui:
Inglese (USA) | Inglese (UK) | Tedesco | Francese | Italiano | Spagnolo
Accordo sul trattamento dei dati
I termini in base ai quali InVision elabora i dati dei clienti sono inclusi nel nostro Accordo sul trattamento dei dati (DPA), che definisce le tipologie di dati elaborati, la loro conservazione, la loro eliminazione e altro ancora. Il DPA si trova qui:
Misure tecniche e organizzative (TOMs)
InVision pubblica una serie di misure tecniche e organizzative (TOMs), che descrivono i provvedimenti che prendiamo per garantire la sicurezza dei dati dei nostri clienti. Le misure tecniche e organizzative si trovano nell’Appendice 2 dell’Accordo sul trattamento dei dati di InVision.
Assicurazione informatica
La nostra assicurazione include la copertura per reclami informatici. Il certificato di assicurazione è disponibile su richiesta.
Sicurezza del prodotto
Per noi di InVision, la sicurezza è una preoccupazione primaria. È parte integrante del prodotto dall’inizio alla fine, dalla progettazione, passando per l’implementazione, fino alla fornitura. Abbiamo sviluppato un ciclo di sviluppo sicuro del prodotto (SPDL) che scopre e risolve in modo proattivo e retroattivo le vulnerabilità in termini di sicurezza.
Ciclo di sviluppo sicuro del prodotto
Il ciclo di sviluppo sicuro del prodotto (SPDL) di InVision si fonda sulle migliori prassi e implementa un protocollo di controlli severi su tutte le componenti del software, sul codice, le biblioteche e i servizi utilizzati da InVision.
I controlli dell’SPDL includono:
- Processo di approvazione in più fasi per le modifiche all'ambiente di produzione
- Test statico della sicurezza delle applicazioni (SAST)
- Analisi della composizione del software (SCA)
- Test dinamico di sicurezza delle applicazioni (DAST) automatico e manuale
- Scansione delle dipendenze di terze parti
Test di penetrazione
Oltre ai nostri controlli interni con frequenza regolare, ogni anno coinvolgiamo un esterno che esegue dei test di penetrazione. Questi test rigorosi simulano il comportamento di una parte ostile, e in questo modo verificano la presenza di errori e vulnerabilità nei nostri sistemi e nelle nostre applicazioni. I risultati dei test di penetrazione sono disponibili su richiesta dopo aver compilato questo modulo.
Progettata per essere sicura
La piattaforma injixo di InVision include molteplici funzionalità che contribuiscono alla sicurezza e alla privacy dei dati.
Sicurezza dell'autenticazione
Le opzioni includono l’autenticazione tramite nome utente e password o tramite autenticazione unica (SSO).
Filtro IP
Gli account injixo hanno l’opzione di consentire l’accesso solo agli utenti che utilizzano indirizzi IP compresi in intervalli specifici. Questa funzione consente solo agli utenti degli indirizzi IP designati di accedere al tuo account injixo, fornendo quindi un ulteriore livello di sicurezza. Si prega di notare che questo è un servizio a pagamento disponibile facoltativamente per tutti i nostri clienti.
Politica delle password
Le password devono consistere di un numero minimo di caratteri, e devono includere almeno tre dei quattro tipi di caratteri disponibili: lettere minuscole, lettere maiuscole, numeri e caratteri speciali.
Autenticazione a due fattori (2FA)
InVision offre l'autenticazione a due fattori (2FA) per tutti gli utenti.
Archiviazione delle password
Le password sono protette dagli attacchi tramite algoritmi di crittografia robusti e tecniche come il salting.
Controllo degli accessi in base ai ruoli e alle autorizzazioni
Gli amministratori possono concedere autorizzazioni e diritti di accesso ai dati specifici per ciascun utente.
Isolamento del tenant
InVision garantisce la conservazione e l’elaborazione dei dati di ciascun cliente separatamente dai dati degli altri clienti. Questo viene realizzato tramite la separazione logica dei clienti in un ambiente multi-tenant. A ogni cliente è assegnato un identificatore unico.
Sicurezza dell'infrastruttura
La piattaforma injixo di InVision è un software come servizio (SaaS), e gira su cloud. injixo ospita dati sensibili dei clienti, e per questo motivo abbiamo adottato degli standard di sicurezza cloud molto elevati. Ci assicuriamo che tali standard siano sempre rispettati per mantenere i tuoi dati al sicuro.
Sicurezza perimetrale
Le misure di sicurezza fisiche in atto nelle sedi di InVision sono descritte nell’Allegato 2, paragrafo I.2 del nostro Accordo sul trattamento dei dati.
InVision utilizza i data center di Amazon Web Services (AWS). I servizi di infrastruttura AWS includono un’alimentazione di backup e delle attrezzature antincendio. Puoi trovare maggiori informazioni sulle strutture di AWS qui. La sicurezza in loco di AWS include guardie di sicurezza, recinzioni, TV a circuito chiuso, tecnologia di rilevamento delle intrusioni e altre misure di sicurezza. Puoi trovare maggiori informazioni sulla sicurezza fisica di AWS qui.
Crittografia dei dati
Crittografia a riposo
Tutti i dati dei clienti sono crittografati a riposo. Questa misura si applica ai dati in tempo reale e alle copie di backup. Le chiavi di crittografia sono memorizzate in modo sicuro in AWS KMS.
Crittografia in transito
Tutti i dati che vengono trasferiti tramite reti non sicure vengono crittografati in transito con Transport Layer Security (TLS), utilizzando suite di cifratura robuste. InVision utilizza anche metodi come la Sicurezza rigida per il trasporto di HTTP (HTTP Strict Transport Security o HSTS) per mantenere l'integrità dei canali crittografati. Invitiamo i nostri clienti a utilizzare strumenti come Qualys SSL Labs e Security Headers per verificare le cifrature e gli algoritmi TLS utilizzati da InVision.
Continuità operativa
InVision ha una Politica di gestione della continuità operativa (BCM) che regolamenta la nostra pianificazione di ripristino in caso di incidente. L'obiettivo è garantire che i tuoi dati siano sempre disponibili, anche in seguito a un'interruzione grave. Il nostro obiettivo di disponibilità è descritto nelle nostre Condizioni generali di contratto (CGC). Dal lancio della piattaforma injixo nel 2011, abbiamo superato significativamente questo obiettivo. Le CGC sono qui:
Inglese (USA) | Inglese (Regno Unito) | Tedesco | Francese | Italiano | Spagnolo
InVision mantiene una pagina accessibile pubblicamente che monitora lo stato del sistema. La pagina comprende dettagli sulla disponibilità del sistema, sulla manutenzione programmata, sulla cronologia degli incidenti di servizio e sugli eventi di sicurezza rilevanti. La pagina si trova qui.
Politiche di sicurezza
InVision ha sviluppato e mantiene una serie completa di politiche di sicurezza che sono alla base delle nostre operazioni.
Ecco alcuni esempi delle nostre politiche in azione.
Consapevolezza della sicurezza, formazione e garanzia
Tutti coloro che lavorano per InVision vivono e respirano le politiche di sicurezza e privacy. Tutti i dipendenti devonorelative al personale, la formazione completare ogni anno un corso di formazione sulla sicurezza dell’informazione e sulla protezione dei dati. È obbligatorio completare il corso al 100%, e i risultati del corso vengono registrati. Ovviamente la registrazione avviene nel rispetto delle normative sulla protezione dei dati.
Piano di risposta agli incidenti di sicurezza
Il piano di risposta agli incidenti di sicurezza (SIRP) di InVision è un componente fondamentale delle nostre politiche di sicurezza. Il SIRP è un protocollo solido che ci consente di adottare azioni correttive in risposta agli incidenti legati alla sicurezza in modo efficace, coerente e tempestivo. Qualsiasi potenziale minaccia ai dati dei clienti viene trattata con la massima urgenza. Il SIRP viene attivato quando i dati del cliente sono stati compromessi, o quando potrebbero essere stati compromessi. I nostri specialisti della sicurezza sono altamente qualificati nell'indagare sugli incidenti di sicurezza, e applicano le migliori pratiche del settore, garantendo il rispetto di tutti gli obblighi legali. Per esempio, in caso di violazione dei dati, InVision notifica immediatamente il cliente (che è il Titolare del trattamento dati) in conformità con i gli obblighi previsti dall’RGPD.
Le politiche
Il pacchetto di politiche include la sicurezza delle informazioni, l’utilizzo dei dispositivi personali (BYOD), i dispositivi mobili e il telelavoro, le operazioni relative al personale,la formazione e la consapevolezza sulla sicurezza, la gestione delle risorse, il controllo degli accessi, la sicurezza fisica, la gestione delle modifiche, lo sviluppo sicuro, le relazioni con i fornitori, la gestione degli incidenti, la continuità operativa, la conformità e molto altro. La maggior parte di essi si riferisce alle relative clausole della documentazione degli standard del settore, per esempio la norma ISO/IEC 27001.
Alcuni esempi:
- Dispositivi mobili e telelavoro: questa politica è pensata per impedire l’accesso non autorizzato ai dispositivi mobili sia all’interno che all’esterno delle sedi di InVision. Prevede sei regole che devono essere rispettate dai dipendenti quando portano i dispositivi elettronici al di fuori delle sedi consuete, tra cui il divieto di lasciare l'attrezzatura incustodita, e l’obbligo di custodirla sotto chiave, ove possibile, gli aggiornamenti regolari del sistema operativo, l’utilizzo di crittografia e password, e altre. Stabilisce cinque regole per il telelavoro, tra cui la prevenzione degli accessi non autorizzati, la configurazione della rete locale (LAN), la protezione della proprietà intellettuale dell'azienda, e un elenco di tipi di attività consentiti o vietati ai lavoratori a distanza.
- Politica sull'utilizzo accettabile delle risorse informatiche: lo scopo di questa politica è definire regole chiare per l'uso dei sistemi informatici e di altre risorse informatiche, per esempio computer e smartphone appartenenti a InVision. Stabilisce l'utilizzo accettabile delle risorse informatiche. Per esempio, stabilisce che l’accesso alle risorse informatiche è riservato esclusivamente al dipendente, vieta l’installazione di materiali illegali e di software non autorizzati, vieta il trasferimento di dati aziendali. I nomi delle persone in possesso delle risorse informatiche sono inclusi in un registro, e le risorse informatiche devono essere restituite al termine del contratto di lavoro. La protezione dai malware è obbligatoria e ci sono obblighi rigorosi per gli account utente, le password, l'utilizzo di internet, la posta elettronica e altri servizi di messaggistica. Tutti i dati creati, archiviati, inviati o ricevuti attraverso le risorse informatiche sono di proprietà di InVision e l'azienda si riserva il diritto di monitorare i sistemi per verificarne la conformità.
- Politica di controllo degli accessi: questa politica è pensata per definire le regole per l'accesso ai sistemi, alle attrezzature, alle strutture e alle informazioni, in base ai requisiti aziendali e di sicurezza. Il principio di base è che l'accesso ai sistemi è vietato a meno che non sia esplicitamente concesso a singoli utenti o a gruppi di utenti. La politica include la procedura di registrazione per ciascun sistema, e fornisce profili di accesso per le varie funzioni all'interno dell'organizzazione, per esempio: Engineering, Platform Engineering, Finanza, Risorse umane, Marketing, Assistenza tecnica e Assunzioni. I diritti di accesso vengono rivisti ogni due anni, ed è previsto un processo per l’implementazione della Politica di controllo degli accessi.
- Politica di backup: questa politica è parte essenziale della Politica di continuità operativa (BCP) ed è stata pensata per garantire che vengano create delle copie di backup a intervalli definiti, e che vengano testate regolarmente. Le copie di backup devono essere create come definito nella BCP. Il team Platform Engineering è il responsabile del backup di tutte le informazioni, software e immagini di sistema. Le copie di backup devono essere archiviate in diverse ubicazioni, come definito nella politica, e i registri devono essere mantenuti. I test di ripristino vengono effettuati con cadenza regolare.
- Politica di gestione degli incidenti: lo scopo di questa politica è garantire la tempestiva individuazione degli eventi e delle vulnerabilità relativi alla sicurezza per poter adottare rapidamente misure correttive. La politica definisce un evento di sicurezza delle informazioni, un incidente di sicurezza informatica e una vulnerabilità della sicurezza. Stabilisce le responsabilità per la segnalazione di eventi, incidenti e vulnerabilità, e i criteri utilizzati per classificarli. La politica descrive anche come gestire e segnalare eventi principali ed eventi minori, e che cosa apprendere da essi.
Scopri di più
Clienti attuali
Se sei già cliente di injixo, siamo a tua disposizione per rispondere a ogni domanda o dubbio sul tema della sicurezza. Il team Sicurezza di InVision è pronto a rispondere a qualsiasi domanda sui nostri prodotti da parte dei tuoi team IT, InfoSec, Privacy e Conformità. Contatta il tuo consulente di riferimento per organizzare una sessione.
Incidenti di sicurezza
Per segnalare un presunto incidente di sicurezza con la piattaforma injixo, apri un ticket di supporto con priorità alta, seguendo il procedimento consueto. Includi il maggior numero di dettagli possibile, in modo che il nostro team possa individuare il problema e correggerlo tempestivamente.
Nuovi clienti
Se stai per diventare un cliente injixo e sei già in contatto con il nostro team commerciale, non esitare a rivolgere loro le tue domande sulla sicurezza. Saranno felici di aiutarti e, se necessario, metterti in contatto con gli esperti del nostro team. Se non sei già in contatto con il nostro team commerciale, puoi contattarlo compilando questo modulo.