La Sicurezza di eLegacy

eLegacy tiene al sicuro i tuoi dati

I dati che conferirai a eLegacy saranno conservati secondo gli standard di sicurezza prescritti dagli artt. 25 e 32 del GDPR (Regolamento UE 679/2016) e in osservanza di quanto prescritto dall’allegato B. (Disciplinare tecnico in materia di misure minime di sicurezza) al D.LGS. 196/03 e successive modificazioni, superando talvolta quanto specificato nelle modalità meglio infra descritte.

INFRASTRUTTURA GENERALE

  • Utilizziamo fornitori per servizi di backend (hosting PaaS, database, storage) che adottano stringenti criteri riguardo livelli e metodologie di sicurezza adottate, tra cui Heroku e Amazon Web Services;
  • Adottiamo le più note best practices OWASP di sviluppo sicuro del codice al fine di garantire la sicurezza in tutte le fasi di sviluppo e limitare la possibile superficie d'attacco;
  • Utilizziamo e configuriamo di framework web e librerie consolidati, ampiamente testati e ritenuti sicuri dalle maggiori comunità di sviluppo;
  • Adottiamo soluzioni tecniche per l'integrità e confidenzialità dei dati utente:
    • connessione cifrata end-to-end TLS 1.3 proteggere gli scambi dati da intercettazioni di terzi;
    • autenticazione multi fattore per verificare l'identità in modo più forte;
    • cifratura database PostgreSQL e storage AWS S3 at-rest con AES-256 per impedire la lettura dei dati in caso di accesso fisico non autorizzato ai dischi.
    • cifratura di password e chiavi segrete nel tuo Inventario con AES-256-GCM (progettato per resistere anche ai più sofisticati attacchi a forza bruta) per garantirne la sicurezza anche in caso di compromissione del database in esecuzione;
    • notifiche e-mail d'accesso e decifratura password per protezione e notifica all’utente di potenziali attività sospette;
    • protezione della sessione utente dagli attacchi più comuni per evitare accessi illegittimi;
  • Offriamo un sistema di pagamenti sicuri attraverso broker e gateway accreditati e rispondenti agli standard di sicurezza prescritti dalle normative vigenti: in nessun momento abbiamo accesso alle credenziali utilizzate per il pagamento;
  • Monitoriamo in modo continuo le attività sul sito web e utilizziamo un Web Application Firewall al fine di rilevare e impedire attività potenzialmente fraudolente;
  • Proteggiamo la sicurezza fisica dei dispositivi che hanno accesso ad aree riservate del sito e ai servizi connessi alle stesse;
  • Sottoponiamo periodicamente la nostra infrastruttura ad attività di verifica indipendenti quali penetration test, vulnerability assessment e code review;
  • Ci assicuriamo che il personale incaricato della gestione dei dati abbia ottenuto e ottenga periodicamente formazione specifica in materia di sviluppo e gestione sicura dei dati, con riguardo anche alle contromisure verso attacchi di ingegneria sociale;
  • limitiamo i permessi di accesso del personale incaricato della gestione dei dati al minimo indispensabile, in ottemperanza ai criteri di privacy by design e privacy by default prescritti dalle vigenti normative.

MISURE SPECIFICHE INERENTI IL SERVIZIO PRESTATO

  • la password di accesso al tuo account Exit.bio non può essere in nessun caso recuperata dagli amministratori, perché sottoposta ad algoritmo di hashing BCrypt;
  • avrai sempre e costantemente il controllo sul tuo account perché:
    • le notifiche per la decifratura di eventuali password e chiave segrete di singole Iscrizioni non sono disattivabili: ti arriverà sempre una comunicazione sul tuo indirizzo di posta, senza il link contenuto nell'e-mail non è possibile decifrare la password;
    • le notifiche per le operazioni non sono disattivabili, ti arriverà sempre una comunicazione sul tuo indirizzo di posta;
    • puoi attivare l'invio di una notifica per ogni accesso al tuo account Exit.bio;
  • la password delle tue caselle di posta elettronica Gmail e Microsoft non ci viene comunicata in quanto il processo di autenticazione è gestito direttamente dal proprietario del servizio. Gestiamo direttamente l’autenticazione a caselle di posta di tipo IMAP ma non ne conserveremo mai le credenziali.
  • nel caso di account Gmail il processo di ricerca automatica dei dati dalla tua casella di posta elettronica avviene attraverso un programma momentaneamente caricato sul tuo browser; le tue credenziali di accesso alla posta elettronica non ci vengono comunicate e l’analisi dei dati contenuti nell’account viene eseguita localmente (cioè sul tuo dispositivo), sino a quando non operi il trasferimento impartendo l’istruzione con il tasto “Salva” che trasferirà effettivamente il contenuto analizzato sui nostri sistemi;
  • il sistema di autenticazione per la decifratura delle password di accesso ai servizi inseriti nell’inventario è attivabile solo ed esclusivamente da parte tua; tale sistema prevede due fattori di autenticazione: la tua password e un codice valido una sola volta inviato sulla e-mail con cui ti sei registrato a eLegacy e ha scadenza temporale ravvicinata;
  • le password che hai inserito nell'inventario rimarranno cifrate fino a quando non riceveremo prova del tuo decesso, momento in cui consegneremo i dati ai rispettivi destinatari.

Se hai ancora dei dubbi, prima di utilizzare il Sito contattaci per parlare con i nostri responsabili della sicurezza informatica.