Prenota demo grauita

Sicurezza e compliance

Tabella dei Contenuti

Introduzione

La Nostra Azienda e i Nostri Prodotti

L’obiettivo di ActiveFuturia è aiutare i professionisti del marketing e le agenzie a raggiungere e superare i loro parametri di successo. Crediamo nel potenziamento dell’automazione, nel miglioramento della comunicazione e nell’incremento della scalabilità in modo intuitivo per il consumatore, e forniamo costantemente aggiornamenti orientati al futuro che esemplificano queste priorità.

Fin dalla sua nascita nel 2018, ActiveFuturia è cresciuta esponenzialmente in modo continuo, aumentando l’impatto creato sulla comunità tecnologica e sull’industria SaaS. In ActiveFuturia, misuriamo il nostro successo dai successi dei nostri clienti e quindi diamo priorità all’ottimizzazione delle nostre offerte al fine di soddisfare le loro esigenze.

La nostra piattaforma all-in-one potenziata dall’IA per vendite, marketing e gestione delle relazioni con i clienti (CRM) offre numerose funzionalità essenziali per agenzie e professionisti del marketing. Questa estesa soluzione software fornisce illimitate opportunità ai nostri clienti per fissare ambiziosi obiettivi di vendita e raggiungerli effettivamente, supportati dal nostro team di esperti. Incoraggiamo inoltre i nostri clienti a riproporre la nostra piattaforma con il proprio marchio (rebrand), offrendo realmente ad agenzie e professionisti del marketing tutto ciò di cui hanno bisogno per scalare oltre quanto avessero mai ritenuto possibile per sé stessi, per le loro aziende e per i loro clienti.

Focus sulla Sicurezza e sulla Gestione del Rischio di ActiveFuturia

L’obiettivo primario di ActiveFuturia in termini di sicurezza è salvaguardare i dati dei nostri clienti. ActiveFuturia ha investito nei controlli appropriati per proteggere e servire i nostri clienti. Questo investimento include l’implementazione di programmi dedicati alla sicurezza aziendale, di prodotto e dell’infrastruttura. Il nostro Ufficio Legale, in collaborazione con altri dipartimenti, sovrintende all’implementazione di questi programmi.

I Nostri Obiettivi di Sicurezza e Conformità

Abbiamo sviluppato il nostro quadro di sicurezza utilizzando le migliori pratiche del settore SaaS. I nostri obiettivi chiave includono:

  • Fiducia e Protezione del Cliente: fornire prodotti e servizi di qualità superiore proteggendo la privacy e la riservatezza dei dati.
  • Disponibilità e Continuità del Servizio: garantire la disponibilità del servizio e minimizzare i rischi per la continuità del servizio.
  • Integrità delle Informazioni e del Servizio: assicurare che le informazioni dei clienti non vengano mai corrotte o alterate in modo inappropriato.
  • Conformità agli Standard: mirare a rispettare o superare le migliori pratiche standard del settore.

Controlli di Sicurezza di ActiveFuturia

Al fine di proteggere i dati che ci vengono affidati, ActiveFuturia utilizza strati di controlli di sicurezza amministrativi, tecnici e fisici in tutta la nostra organizzazione. Le sezioni seguenti descrivono un sottoinsieme delle domande più frequenti sui nostri controlli.

Sicurezza dell’Infrastruttura

Fornitore di Hosting Cloud

ActiveFuturia non ospita alcun sistema di prodotto o dato all’interno dei propri uffici fisici. ActiveFuturia affida l’hosting della sua infrastruttura di prodotto a fornitori leader di infrastrutture cloud come Google Cloud Platform Services e Amazon Web Services. La nostra infrastruttura di prodotto risiede negli Stati Uniti. Facciamo affidamento sui programmi di sicurezza e conformità certificati di Google e AWS per l’efficacia dei loro controlli di sicurezza fisici, ambientali e infrastrutturali.

Google fornisce ai clienti una percentuale di uptime mensile di almeno il 99,5%. Puoi trovare maggiori informazioni sui controlli, i processi e le misure di conformità implementate da Google sul loro Compliance Resource Center, disponibile pubblicamente.

AWS garantisce un’affidabilità del servizio tra il 99,95% e il 100%, assicurando la ridondanza per tutti i servizi di alimentazione, rete e HVAC. I piani di continuità operativa e disaster recovery per i servizi AWS sono stati validati in modo indipendente come parte del loro report SOC 2 Type 2 e della certificazione ISO 27001. La documentazione di conformità e i report di audit di AWS sono disponibili pubblicamente presso la AWS Cloud Compliance Page e il portale AWS Artifacts.

Rete e Perimetro

L’infrastruttura di prodotto di ActiveFuturia applica molteplici livelli di filtraggio e ispezione su tutte le connessioni attraverso la nostra applicazione web, firewall logici e gruppi di sicurezza. Liste di controllo degli accessi a livello di rete sono implementate per prevenire accessi non autorizzati alla nostra infrastruttura di prodotto interna e alle risorse. Per impostazione predefinita, i firewall sono configurati per negare le connessioni di rete non esplicitamente autorizzate. Le modifiche ai nostri sistemi di rete e perimetro sono controllate da processi standard di gestione delle modifiche. I set di regole dei firewall vengono rivisti periodicamente per contribuire a garantire che siano configurate solo le connessioni necessarie.

Gestione della Configurazione

L’automazione guida la capacità di ActiveFuturia di scalare con le esigenze dei nostri clienti e una rigorosa gestione della configurazione è integrata nel nostro processamento quotidiano dell’infrastruttura. L’infrastruttura di prodotto è un ambiente altamente automatizzato che espande la capacità secondo necessità. Tutte le configurazioni dei server sono incorporate in immagini e file di configurazione, che vengono utilizzati quando vengono predisposti nuovi container. Ogni container include la propria configurazione rafforzata (hardened) e le modifiche alla configurazione e alle immagini standard sono gestite attraverso una pipeline di modifica controllata.

Le istanze dei server sono strettamente controllate dalla predisposizione fino alla rimozione (deprovisioning), garantendo che le deviazioni dalle configurazioni di base siano rilevate e ripristinate a una cadenza predefinita. Nel caso in cui un server di produzione devii o si discosti dalla configurazione di base, verrà sovrascritto con la configurazione di base entro 30 minuti. La gestione delle patch è gestita utilizzando strumenti automatizzati di gestione della configurazione o rimuovendo le istanze dei server che non sono più conformi alla configurazione di base prevista.

Registrazione (Logging)

Le azioni e gli eventi che si verificano all’interno dell’applicazione ActiveFuturia sono registrati in modo coerente e completo. Questi log sono indicizzati e archiviati in una soluzione di logging centralizzata ospitata nell’ambiente cloud di ActiveFuturia. I log rilevanti per la sicurezza vengono inoltre conservati, indicizzati e archiviati per facilitare le attività di indagine e risposta. Il periodo di conservazione dei log dipende dalla natura dei dati registrati. L’accesso in scrittura al servizio di archiviazione in cui sono memorizzati i log è strettamente controllato e limitato a un piccolo sottoinsieme di ingegneri che necessitano dell’accesso.

Allerta e Monitoraggio

ActiveFuturia investe in capacità automatizzate di monitoraggio, allerta e risposta per affrontare continuamente potenziali problemi.
L’infrastruttura di prodotto di ActiveFuturia è strumentata per allertare ingegneri e amministratori quando si verificano anomalie. In particolare, tassi di errore, scenari di abuso, attacchi alle applicazioni e altre anomalie attivano risposte automatiche o allerte ai team appropriati per la risposta, l’indagine e la correzione. Molti trigger automatici sono anche progettati per rispondere immediatamente a situazioni anomale. Ad esempio, il throttling del traffico, la terminazione dei processi e funzioni simili vengono attivati a soglie predefinite.

Sicurezza Applicativa

Difese dell’Applicazione Web

Tutti i contenuti dei clienti ospitati sulla piattaforma sono protetti da firewall e sicurezza applicativa. Gli strumenti di monitoraggio monitorano attivamente il livello applicativo e possono allertare su comportamenti dannosi in base al tipo di comportamento e al rateo di sessione. Le regole utilizzate per rilevare e bloccare il traffico dannoso sono allineate alle linee guida delle migliori pratiche documentate dall’Open Web Application Security Project (OWASP), in particolare le OWASP Top 10 e raccomandazioni simili. Sono inoltre incorporate protezioni dagli attacchi Distributed Denial of Service (DDoS), contribuendo a garantire che i siti web dei clienti e altre parti dei prodotti ActiveFuturia siano continuamente disponibili.

Sviluppo e Gestione delle Release

ActiveFuturia ottimizza i nostri prodotti attraverso un moderno approccio di continuous delivery (consegna continua) allo sviluppo del software. Nuovo codice viene distribuito regolarmente. Revisioni del codice, test e approvazione del merge vengono eseguiti prima della distribuzione. L’analisi statica del codice viene eseguita regolarmente sui repository di codice e blocca l’ingresso di configurazioni errate note nella base di codice. L’approvazione è controllata da proprietari di repository designati e, una volta approvato, il codice viene automaticamente inviato all’ambiente di integrazione continua di ActiveFuturia dove avvengono la compilazione, il packaging e i test unitari.

Test dinamici per le vulnerabilità di sicurezza vengono eseguiti periodicamente sulle nostre applicazioni. Il codice appena sviluppato viene prima distribuito in un ambiente QA dedicato e separato per l’ultima fase di test prima di essere promosso in produzione. La segmentazione a livello di rete e di progetto impedisce accessi non autorizzati tra gli ambienti QA e di produzione. Tutte le distribuzioni di codice sono automatizzate e, in caso di fallimenti, le modifiche possono essere annullate. Il team di distribuzione gestisce le notifiche relative alla salute delle loro applicazioni e, se si verifica un fallimento, i processi di rollback vengono immediatamente attivati. Utilizziamo estese procedure di gating del software e gestione del traffico per controllare le funzionalità in base alle preferenze del cliente (beta privata, beta pubblica, lancio completo).

ActiveFuturia offre aggiornamenti fluidi e, come applicazione SaaS, non ci sono tempi di inattività associati alle release. Le modifiche importanti alle funzionalità vengono comunicate tramite messaggi in-app e/o post di aggiornamento del prodotto.

Gestione delle Vulnerabilità

Il team di ActiveFuturia gestisce un approccio multi-livello alla gestione delle vulnerabilità, utilizzando una varietà di strumenti riconosciuti nel settore e feed di minacce per garantire una copertura completa del nostro stack tecnologico. Le scansioni di vulnerabilità sono configurate per cercare vulnerabilità su base regolare, utilizzando liste di inclusione di scansione adattive per la scoperta di asset, nonché le più recenti firme di rilevamento delle vulnerabilità. Eseguiamo test di penetrazione annuali sulle nostre applicazioni e infrastrutture per identificare vulnerabilità che potrebbero presentare rischi legati alla sicurezza. I risultati rilevanti vengono valutati e le mitigazioni vengono prioritizzate di conseguenza.

Protezione dei Dati del Cliente

Classificazione dei Dati

Secondo i Termini di Servizio di ActiveFuturia, i nostri clienti sono responsabili di garantire che acquisiscano solo informazioni appropriate per supportare i loro processi di marketing, vendite, servizi, gestione dei contenuti e operations. I prodotti ActiveFuturia non devono essere utilizzati per raccogliere o archiviare informazioni sensibili, come numeri di carte di credito o di debito, informazioni su conti finanziari, numeri di Social Security, numeri di passaporto, informazioni finanziarie o sanitarie, salvo quanto diversamente consentito.

Separazione dei Tenant

ActiveFuturia fornisce una soluzione SaaS multi-tenant in cui i dati dei clienti sono separati logicamente utilizzando ID univoci per associare dati e oggetti a clienti specifici. Regole di autorizzazione sono incorporate nell’architettura di progettazione e validate su base continua. Inoltre, registriamo l’autenticazione dell’applicazione e le modifiche associate, la disponibilità dell’applicazione, e gli accessi e le modifiche degli utenti vengono registrati.

Crittografia

Tutti i dati sono crittografati in transito con TLS versione 1.2 o 1.3 e chiavi a 2.048 bit o superiori. La Transport Layer Security (TLS) è anche un’impostazione predefinita per i clienti che ospitano i loro siti web sulla piattaforma ActiveFuturia.

ActiveFuturia sfrutta diverse tecnologie per garantire che i dati archiviati siano crittografati a riposo. I dati della piattaforma sono archiviati utilizzando la crittografia AES-256. Le password degli utenti sono sottoposte ad hashing seguendo le migliori pratiche del settore e sono crittografate a riposo.

Gestione delle Chiavi

Le chiavi di crittografia sia per la crittografia in transito che a riposo sono gestite in modo sicuro dalla piattaforma ActiveFuturia. Le chiavi private TLS per la crittografia in transito sono gestite tramite il nostro partner di content delivery. Le chiavi di crittografia a livello di volume e di campo per la crittografia a riposo sono archiviate in un Key Management System (KMS) rafforzato. Le chiavi vengono ruotate a frequenze variabili, a seconda della sensibilità dei dati che governano. In generale, i certificati TLS vengono rinnovati annualmente. Al momento, ActiveFuturia non è in grado di utilizzare chiavi di crittografia fornite dal cliente.

Backup dei Dati e Disaster Recovery

Affidabilità e Ripristino del Sistema

ActiveFuturia si impegna a minimizzare i tempi di inattività del sistema. Tutti i servizi di prodotto ActiveFuturia sono costruiti con ridondanza. L’infrastruttura server è distribuita strategicamente su più zone di disponibilità distinte e reti cloud private virtuali all’interno dei nostri fornitori di infrastruttura, e tutti i componenti web, applicativi e di database sono distribuiti con un recupero point-in-time.

Strategia di Backup

Backup di Sistema

I sistemi vengono sottoposti a backup su base regolare con pianificazioni e frequenze stabilite. Vengono conservati sette giorni di backup per qualsiasi database in modo da garantire che il ripristino possa avvenire facilmente.

I backup vengono monitorati per verificarne la corretta esecuzione e vengono generate allerte in caso di eccezioni. Le allerte di fallimento vengono inoltrate, investigate e risolte. I dati vengono sottoposti a backup giornaliero nella regione locale. Monitoraggio e allerta sono attivi per i fallimenti di replica e gestiti di conseguenza.

Archiviazione Fisica dei Backup

Poiché sfruttiamo servizi cloud pubblici per hosting, backup e ripristino, ActiveFuturia non implementa infrastruttura fisica o supporti di archiviazione fisici all’interno dei suoi prodotti. ActiveFuturia generalmente non produce né utilizza altri tipi di supporti cartacei (ad es. carta, nastro, ecc.) come parte della messa a disposizione dei nostri prodotti ai nostri clienti.

Protezioni dei Backup

Per impostazione predefinita, tutti i backup sono protetti tramite restrizioni di controllo degli accessi e protezioni WORM (write once read many) sulle reti dell’infrastruttura di prodotto ActiveFuturia, e liste di controllo degli accessi sui file system che archiviano i file di backup.

Ripristino dei Backup dei Dati del Cliente

I clienti di ActiveFuturia non hanno accesso all’infrastruttura di prodotto in un modo che consentirebbe un evento di failover guidato dal cliente. Le operazioni di disaster recovery e resilienza sono gestite dai team di ingegneria di prodotto di ActiveFuturia. In alcuni casi, i clienti possono utilizzare il cestino per recuperare e ripristinare direttamente contatti, opportunità, campi personalizzati, valori personalizzati, tag, note e attività fino a 30 giorni dopo la loro eliminazione. Le modifiche a pagine web, post di blog o email possono essere ripristinate a versioni precedenti del contenuto utilizzando la cronologia delle versioni. Per i clienti che desiderano eseguire ulteriormente il backup dei propri dati, la piattaforma ActiveFuturia offre molti modi per garantire di avere ciò di cui si ha bisogno.

Molte delle funzionalità all’interno del portale ActiveFuturia contengono opzioni di esportazione, e la libreria di API pubbliche di ActiveFuturia può essere utilizzata per sincronizzare i dati con altri sistemi.

Controllo dell’Identità e degli Accessi

Gestione Utenti del Prodotto

I prodotti ActiveFuturia consentono regole di autorizzazione granulari. I clienti hanno la facoltà di creare e gestire gli utenti nei loro portali, assegnare i privilegi appropriati e limitare l’accesso come ritengono opportuno.

Protezioni per l’Accesso al Prodotto

I prodotti ActiveFuturia consentono agli utenti di accedere ai loro account ActiveFuturia utilizzando il login nativo di ActiveFuturia. Il login nativo applica una politica password uniforme che richiede un minimo di 8 caratteri e una combinazione di lettere minuscole e maiuscole, caratteri speciali e numeri. Le persone che utilizzano il login nativo di ActiveFuturia non possono modificare la politica password predefinita. I clienti che utilizzano il login integrato di ActiveFuturia sono protetti dall’autenticazione a due fattori per i loro account ActiveFuturia. Gli amministratori del portale possono richiedere che tutti gli utenti abbiano l’autenticazione a due fattori abilitata.

Accesso dei Dipendenti ActiveFuturia ai Dati dei Clienti

Accesso all’Infrastruttura di Produzione

L’accesso degli utenti agli archivi dati interni e all’infrastruttura di produzione è rigorosamente controllato. Ai dipendenti ActiveFuturia viene concesso l’accesso utilizzando un modello di controllo degli accessi basato sui ruoli (RBAC). L’accesso quotidiano è minimizzato ai membri del team di Ingegneria e l’accesso amministrativo persistente è limitato. Inoltre, le connessioni di rete dirette ai dispositivi dell’infrastruttura di prodotto tramite SSH o protocolli simili sono proibite, e agli ingegneri è richiesto di autenticarsi prima attraverso un bastion host o “jump box” o di avere un ruolo IAM assegnato alla risorsa prima di accedere agli ambienti server.

Accesso ai Portali dei Clienti

Per impostazione predefinita, il Supporto Clienti, i Servizi e altro personale impegnato con i clienti possono ottenere un accesso limitato a parti del tuo account ActiveFuturia per aiutarti nell’utilizzo di ActiveFuturia. L’applicazione ActiveFuturia utilizza anche un modello JITA (Just-In-Time Access) per concedere ai dipendenti l’accesso al portale di un cliente per una durata limitata (Portal JITA). Ogni richiesta di Portal JITA viene registrata. L’accesso è legato al portale di un cliente specifico per un periodo massimo di 24 ore. ActiveFuturia utilizza anche il monitoraggio basato sul rischio per rilevare attività anomale di Portal JITA.

Quando accedono a un portale utilizzando Portal JITA, i dipendenti ActiveFuturia non sono in grado di eseguire azioni ad alto rischio come:

  • Modificare le impostazioni di dominio o SSO
  • Esportare utenti/contatti
  • Visualizzare/creare/eliminare/ruotare chiavi di app private
  • Importare dati nel CRM
  • Eliminare contatti, aziende, trattative e ticket

Gli accessi degli utenti, l’accesso dei dipendenti ActiveFuturia, l’attività di sicurezza e l’attività sui contenuti vengono registrati.

Autenticazione e Autorizzazione Aziendale

L’accesso alla rete aziendale di ActiveFuturia richiede

 

Pagine

Risorse

ActiveFuturia è un brand di Glofu Srl Unip. – Cap. soc. 10.000€ i.v. | P.IVA/VAT/C.F.: 10121290968 | Numero REA MI – 2506784 | C.u.: M5UXCR1 | Privacy e cookie policy | T&C