Difesa multilivello e responsabilità condivisa
La sicurezza dipende dalle misure della piattaforma e dal corretto comportamento degli utenti e delle organizzazioni clienti.
1. Principi di sicurezza
GARAIA è progettata secondo criteri di minimizzazione, privilegio minimo, separazione dei tenant, difesa in profondità, tracciabilità, aggiornamento e ripristino. Le misure vengono adeguate alla natura dei dati, ai rischi e all’evoluzione delle minacce.
2. Protezione degli accessi
- password robuste memorizzate tramite hashing moderno;
- autenticazione a due fattori TOTP opzionale e codici di recupero;
- protezione CSRF, sessioni sicure e limitazione dei tentativi;
- ruoli e permessi per tenant;
- registrazione degli eventi amministrativi e di sicurezza.
3. Continuità operativa
Il servizio prevede procedure di backup, ripristino, gestione degli incidenti e manutenzione. Gli obiettivi RPO/RTO e gli SLA applicabili sono quelli espressamente concordati nel piano o nel contratto Enterprise.
4. Responsabilità del cliente
Il cliente deve proteggere le credenziali, attivare il secondo fattore per i profili critici, revocare gli utenti non più autorizzati, mantenere aggiornati i dispositivi e segnalare tempestivamente attività sospette. È inoltre responsabile della liceità e qualità dei dati inseriti.
5. Segnalazione vulnerabilità
Le vulnerabilità sospette possono essere segnalate in modo responsabile a info@uese.eu, indicando impatto, passaggi di riproduzione e prove non distruttive. Non sono autorizzati test che compromettano dati, disponibilità o account di terzi.
6. Standard e certificazioni
L’architettura e i processi possono essere allineati a controlli di qualità, sicurezza, continuità, privacy e gestione dell’IA. Ogni dichiarazione di certificazione è pubblicata solo se supportata da un certificato valido e da un campo di applicazione pertinente al servizio.