La sicurezza dei dati
Privacy e architettura nei servizi basati su cloud
  Scarica il pdf
Introduzione: tutte le strade portano al cloud

Il mondo sta ora preparando le ondate di interruzione della tecnologia in quasi tutti i settori e all'epicentro di tutto ciò sono le soluzioni integrate nel cloud che sostituiscono gli attuali stack tecnologici attualmente in uso nel mondo. La trasformazione e l'innovazione in questo periodo di cloud computing e mobilità intelligente stanno procedendo a una velocità elevata, da varie direzioni e si verificano più continuamente che mai. Essere nel cloud business e nell'ambiente richiede alle organizzazioni di pianificare in anticipo, essere realmente coinvolti nell'impegno con i clienti e fornire una risposta rapida per mantenere la sopravvivenza perché intraprendere soluzioni cloud non ti offre quel lusso di tempo per pensare, riflettere e adattarsi. All'inizio del millennio, le aziende tecnologiche potevano risparmiare 10 anni, ora la velocità del cambiamento è stata ridotta a soli mesi. Il valore globale delle soluzioni cloud è stimato in oltre 3.5 trilioni di dollari e, con questo, le aziende tecnologiche sono sfidate da un altro enorme ostacolo sotto forma di problemi di sicurezza che sorgono a causa dell'esponenziazione di vulnerabilità e minacce insieme alle transizioni tecnologiche. Per questo motivo, i fornitori di servizi cloud devono disporre di strategie attuabili per garantire che i problemi di sicurezza siano affrontati in modo adeguato e adeguato per garantire la continuità aziendale.
TimeTec è un rinomato marchio globale che fornisce soluzioni basate su cloud per la sicurezza e la gestione della forza lavoro per varie industrie in tutto il mondo. Come sviluppatore di sistemi basati su cloud, TimeTec ha soddisfatto tutti i seguenti requisiti con l'obiettivo chiave, per mantenere la fiducia e la fiducia dei clienti nel nostro marchio.


19 Norme di sicurezza fondamentali Gli sviluppatori di cloud devono essere consegnati

La fiducia del cliente è fondamentale per la creazione e il mantenimento di un business cloud e un fornitore deve essere dedicato a conseguirlo e mantenerlo fornendo un forte programma di sicurezza e privacy che si prende cura della protezione dei dati dei clienti attraverso tutte le soluzioni, compresi i dati ricevuti dai clienti attraverso l'offerta Servizi.
  1. Architettura e segregazione dei dati
I servizi gestiti e offerti in cloud devono risiedere in un'architettura multi-tenant in cui l'accesso ai dati dei clienti può essere visualizzato solo in base all'autorizzazione assegnata dall'azienda. Fornisce un'efficace separazione logica dei dati attraverso l'identificazione personale dei dipendenti che consente l'accesso alle informazioni in base ai privilegi di ruolo. La separazione dei dati deve essere effettuata fornendo ambienti separati per funzioni diverse, ad esempio per il test e la produzione.
  2. Controllo dell'elaborazione
Ciò restituisce il potere al cliente, assicurando che i dati vengano elaborati solo su istruzione del cliente, durante l'intera catena di attività di elaborazione e la conformità delle misure attuate deve essere soggetta a verifiche.
  3. Audit e certificazioni
Almeno su base annuale, tutti i servizi offerti dovranno passare attraverso la valutazione della sicurezza da parte del personale interno che include valutazioni delle vulnerabilità dell'infrastruttura e valutazioni della sicurezza delle applicazioni.
  4. Registri di sicurezza
Tutti i sistemi utilizzati per trasmettere i servizi offerti inclusi i sistemi operativi, le informazioni di registro nella rispettiva funzione di registro del sistema applicativo o un server syslog centralizzato (per i sistemi di rete) verranno conservati per consentire analisi e analisi della sicurezza e i registri di sistema e delle applicazioni essere conservato per un periodo minimo di sessanta (60) giorni.
  5. Controlli di sicurezza
I Servizi offerti resi disponibili tramite il browser Internet o l'app mobile devono avere una varietà di funzionalità di sicurezza che possono essere configurate. Questi controlli includono, ma non sono limitati a quanto segue:
 
•  Gli ID utente come identificativi utente univoci per assicurarsi che le attività possano essere ricondotte all'individuo.
•  L'uso di reCaptcha Controls per sfidare l'accesso dopo diversi tentativi di accesso falliti consecutivi.
•  Per terminare una sessione utente dopo un periodo di inattività.
•  Per controllare la lunghezza della password.
•  Per abbinare i requisiti di complessità della password.
  6. Politiche e procedure di sicurezza
I servizi offerti devono essere gestiti in linea con le seguenti politiche e procedure per migliorare la sicurezza:
 
•  Le password degli utenti vengono mantenute utilizzando un formato hash salato e non vengono trasmesse in chiaro.
•  Verranno mantenute le voci del registro di accesso dell'utente, contenenti la data, l'ora, l'URL eseguito o l'ID entità utilizzato, l'operazione eseguita (visualizzata, modificata, ecc.) E l'indirizzo IP di origine. Nota che l'indirizzo IP di origine potrebbe non essere disponibile se NAT (Network Address Translation) o PAT (Port Address Translation) sono utilizzati da un cliente o dal suo ISP.
•  I registri verranno archiviati in un host centralizzato sicuro per evitare manomissioni.
•  Le password non vengono registrate.
  7. Rilevamento delle intrusioni
I Servizi offerti devono essere monitorati per intrusioni non autorizzate che utilizzano meccanismi di rilevamento delle intrusioni basati sulla rete da parte dello sviluppatore o della terza parte assegnata per tale compito. I dati raccolti dai browser Web degli utenti (ad esempio, tipo di dispositivo, risoluzione dello schermo, fuso orario, versione del sistema operativo, tipo e versione del browser, caratteri di sistema, plug-in del browser installato, tipi MIME abilitati, ecc.) Possono essere analizzati per finalità di sicurezza per prevenire l'autenticazione fraudolenta e garantire che i Servizi offerti funzionino correttamente.
  8. Gestione degli incidenti
Un fornitore deve mantenere le politiche e le procedure di gestione degli incidenti di sicurezza e notifica ai clienti interessati senza indebito ritardo alcuna divulgazione non autorizzata dei rispettivi Dati del cliente da parte dello Sviluppatore o dei suoi agenti di cui lo Sviluppatore diventi consapevole nella misura consentita dalla legge.
  9. Autenticazione utente
Tutti gli accessi ai Servizi offerti tramite browser Internet, app mobile o tramite API richiedono una combinazione di un ID utente e una password validi che vengono crittografati tramite HTTPS durante la trasmissione. Dopo che l'autenticazione ha avuto successo, viene generato un ID di sessione casuale e memorizzato nel browser dell'utente per conservare e tenere traccia dello stato della sessione.
  10. Sicurezza fisica
Se i data center di produzione utilizzati per fornire i Servizi coperti sono gestiti da Servizi esterni, ottenere i dettagli relativi alla Processa di sicurezza noti come questo: AWS Security Whitepaper.pdf
  11. Affidabilità e backup
Tutti i componenti di rete, bilanciamento del carico, server Web e server applicazioni sono configurati in una configurazione ridondante. Tutti i dati dei clienti inviati ai servizi coperti sono archiviati su un server di database primario con backup automatico che utilizza funzionalità di ripristino point-in-time. Tutti i backup AMI giornalieri verranno conservati per almeno 2 giorni e il backup AMI settimanale verrà mantenuto almeno per un mese.
  12. Ripristino di emergenza
I sistemi di produzione dei servizi offerti devono essere protetti da un piano di disaster recovery a più livelli che fornisce il backup di dati e servizi critici. Esiste un sistema completo di processi di recupero per riportare online i sistemi business-critical nel più breve tempo possibile. I processi di recupero per database, sicurezza, amministrazione dei sistemi e configurazione e dati di rete forniscono una tabella di marcia per consentire al personale di rendere disponibili i processi dopo un'interruzione del servizio.
  13. Virus
I Servizi offerti non eseguiranno la ricerca di virus che potrebbero essere inclusi negli allegati o altri dati caricati nei Servizi offerti dai clienti. Gli allegati caricati non vengono eseguiti nei Servizi offerti e pertanto non danneggeranno o comprometteranno i Servizi offerti online in virtù del contenimento di un virus.
  14. Crittografia dei dati
I Servizi offerti devono utilizzare i prodotti di crittografia accettati dal settore per proteggere i dati dei clienti e le comunicazioni durante le trasmissioni tra la rete di un cliente ei Servizi coperti, compresi i certificati TLS a 128 bit e le chiavi pubbliche RSA a 2048 bit.
  15. Restituzione dei dati del cliente
I Dati del cliente presentati ai Servizi offerti devono essere restituiti al Cliente su richiesta.
  16. Cancellazione dei dati del cliente
Dopo la cessazione dei Servizi offerti, i clienti possono richiedere l'eliminazione dei Dati del cliente inviati ai Servizi offerti e tale procedura è soggetta ai requisiti legali applicabili. I dati del cliente memorizzati sull'infrastruttura per i servizi offerti verranno eliminati di conseguenza.
  17. Dati sensibili
Importante: i seguenti tipi di dati personali sensibili potrebbero non essere inviati ai Servizi Offerti: informazioni finanziarie (come numeri di carte di credito o di debito, eventuali codici di sicurezza o password relativi e numeri di conti bancari); informazioni relative alla salute fisica o mentale di un individuo; e informazioni relative alla fornitura o al pagamento dell'assistenza sanitaria. Per chiarezza, le restrizioni precedenti non si applicano alle informazioni finanziarie fornite allo sviluppatore ai fini del controllo delle qualifiche finanziarie e della riscossione dei pagamenti da parte dei suoi clienti.
  18. Analytics
Uno sviluppatore può tracciare e analizzare l'utilizzo dei Servizi offerti a fini di sicurezza e aiutare lo sviluppatore a migliorare sia i Servizi offerti che l'esperienza utente nell'utilizzo dei Servizi offerti.

Uno sviluppatore può condividere i dati di utilizzo anonimi con i propri fornitori di servizi allo scopo di aiutare lo sviluppatore in tale tracciamento, analisi e miglioramenti. Inoltre, lo sviluppatore può condividere tali dati di utilizzo anonimi su base aggregata nel normale corso della nostra attività; ad esempio, potremmo condividere pubblicamente le informazioni per mostrare tendenze sull'uso generale dei nostri servizi.

  19. Integrazione o interazione con altri servizi
Uno sviluppatore che offre servizi può integrare o interagire con altri servizi forniti dallo sviluppatore o da terze parti. Lo sviluppatore potrebbe inoltre fornire su molte piattaforme e funzionalità che consentono agli utenti di conoscere i prodotti, partecipare a comunità, collegare applicazioni di terze parti e partecipare a progetti pilota, test e valutazioni, che non rientrano nell'ambito di questa documentazione. Comunicazione con utenti che partecipano a tali piattaforme e funzionalità in un modo che deve essere coerente con l'Informativa sulla privacy. Inoltre, lo sviluppatore può contattare gli utenti per fornire informazioni transazionali sui Servizi offerti; ad esempio, tramite il Gestore account o tramite i messaggi di posta elettronica generati dal sistema. Lo sviluppatore deve offrire ai clienti e agli utenti la possibilità di disattivare o disattivare la ricezione di tali messaggi.

Come sviluppatore di sistemi basati su cloud, TimeTec ha soddisfatto i requisiti di cui sopra con l'obiettivo chiave, per mantenere la fiducia dei clienti. La documentazione sulla sicurezza, sulla privacy e sull'architettura dei servizi forniti da TimeTec è disponibile sul sito Web TimeTec Cloud.

Acquista soluzioni basate su cloud da TimeTec a
www.timeteccloud.com