White paper sulla sicurezza
| Data | 07 novembre 2025 |
| Versione | 1.1 |
| Classificazione | PUBBLICO |
| Oggetto | WHITE PAPER SULLA SICUREZZA |
Panoramica
La sicurezza è una priorità fondamentale per TocToc, costantemente integrata nelle nostre persone, nei nostri processi e nei nostri prodotti.
In questo documento, descriviamo le misure e le operazioni che adottiamo per mantenere elevati standard di sicurezza in tutti i nostri ambiti.
- Sicurezza organizzativa
- Sicurezza fisica
- Sicurezza dei dati trattati
- Sicurezza delle infrastrutture
- Sicurezza dei sistemi
- Sicurezza operativa
- Gestione degli incidenti
- Gestione dei fornitori terzi
- Cosa puoi fare tu per garantire la tua sicurezza
Sicurezza organizzativa
Abbiamo implementato un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) che collega i nostri obiettivi di protezione dei dati all’analisi dei rischi e alle relative misure di mitigazione, tenendo conto di tutte le parti interessate.
Le nostre politiche e procedure garantiscono la disponibilità, l’integrità, la riservatezza e la sicurezza delle informazioni dei clienti, assicurando una protezione completa e continua dei dati.
Controlli sull’idoneità dei dipendenti
I dipendenti che operano in aree che comportano il trattamento di dati personali dei clienti sono sottoposti a verifiche del background professionale e formativo, in conformità con le normative vigenti.
Solo il personale idoneo è autorizzato a svolgere attività che prevedono l’accesso o la gestione di tali dati.
Consapevolezza della sicurezza
Tutti i dipendenti sottoscrivono un accordo di riservatezza al momento dell’assunzione e partecipano a programmi di formazione dedicati alla sicurezza delle informazioni, alla privacy e alla conformità.
La conoscenza di queste tematiche viene periodicamente verificata per garantire un aggiornamento costante e un livello di consapevolezza adeguato al ruolo di ciascuno.
Team dedicati alla sicurezza e alla privacy
Un team dedicato alla sicurezza e alla privacy supervisiona l’implementazione e la gestione delle misure di protezione dei nostri sistemi.
Il team sviluppa e mantiene processi di controllo e monitoraggio continuo delle reti, al fine di individuare tempestivamente attività anomale o potenziali minacce.
Audit interno e conformità
Un team dedicato alla conformità verifica costantemente che le procedure e le politiche del nostro sistema di gestione rimangano allineate ai requisiti normativi e agli standard di riferimento.
Il team supervisiona l’efficacia dei controlli interni, coordina audit periodici e supporta le valutazioni indipendenti condotte da enti terzi.
Sicurezza degli endpoint
Tutte le workstation aziendali sono configurate secondo rigorosi standard di sicurezza e mantengono versioni aggiornate dei sistemi operativi e dei software di protezione.
I dispositivi sono protetti da meccanismi di cifratura, autenticazione forte e blocco automatico in caso di inattività, garantendo la riservatezza dei dati.
Anche i dispositivi mobili utilizzati per scopi aziendali sono gestiti in conformità alle nostre politiche di sicurezza e controllo degli accessi.
Sicurezza fisica
Sul posto di lavoro
L’accesso alle nostre strutture e infrastrutture è consentito solo al personale autorizzato e per scopi specifici.
Tutti gli accessi vengono controllati e registrati per garantire la sicurezza fisica e consentire la tracciabilità delle attività.
Nei data center
I nostri sistemi sono ospitati in data center presso fornitori che rispettano i più alti standard di sicurezza come ISO-9001, ISO-27001, ISO-27017, ISO-27018, ISO-27701, ISO-22301, ISO-20000-1.
Monitoraggio
Le nostre sedi sono dotate di misure di sicurezza fisica che includono sistemi di controllo degli accessi e monitoraggio ambientale, al fine di prevenire intrusioni e garantire la protezione delle infrastrutture.
Sicurezza dei dati trattati
Ciclo di vita dello sviluppo del software
Ogni modifica o nuova funzionalità viene sottoposta a verifiche approfondite prima della pubblicazione in ambiente di produzione.
Il nostro ciclo di sviluppo del software include controlli di sicurezza e qualità che consentono di individuare e correggere eventuali vulnerabilità prima del rilascio, garantendo la stabilità e la protezione delle applicazioni.
Isolamento dei dati
I dati di ciascun cliente sono gestiti in modo da essere logicamente separati da quelli degli altri clienti.
Questa separazione garantisce che le informazioni siano accessibili solo al legittimo titolare, assicurando i più alti livelli di riservatezza e sicurezza.
Crittografia
Tutti i dati trasmessi verso i nostri sistemi attraverso reti pubbliche sono protetti mediante protocolli di crittografia avanzati.
Anche i dati archiviati vengono cifrati utilizzando standard di sicurezza di livello elevato, garantendo la protezione delle informazioni sia in transito che a riposo.
Conservazione e smaltimento dei dati
Conserviamo i dati del tuo account in conformità con le politiche di conservazione definite contrattualmente e per tutto il tempo in cui utilizzi i nostri servizi.
Al termine del rapporto contrattuale, i dati vengono eliminati in modo sicuro e irreversibile.
I dati temporanei o non più necessari vengono regolarmente rimossi nel rispetto delle nostre procedure di sicurezza.
Sicurezza delle infrastrutture
Sicurezza della rete
Le nostre soluzioni adottano un approccio multilivello alla sicurezza delle informazioni e alla protezione della rete. Implementiamo controlli di accesso e strumenti di filtraggio del traffico per prevenire intrusioni e attività non autorizzate, garantendo un ambiente operativo sicuro.
I sistemi di produzione sono isolati da quelli di sviluppo e test, assicurando che i dati e le operazioni critiche siano adeguatamente protetti.
La configurazione delle infrastrutture di sicurezza viene riesaminata periodicamente da personale qualificato per garantire l’aderenza agli standard e alle migliori pratiche del settore.
L’infrastruttura e le applicazioni sono costantemente monitorate da un centro operativo che analizza gli eventi e le segnalazioni di sicurezza, intervenendo tempestivamente in caso di anomalie o attività sospette.
Ridondanza di rete
Tutti i nostri sistemi si basano su infrastrutture cloud progettate per garantire elevati livelli di disponibilità e tolleranza ai guasti.
Le componenti critiche del servizio sono ridondate, assicurando la continuità operativa anche in caso di eventuali malfunzionamenti o interruzioni.
Prevenzione DDoS
Utilizziamo un insieme di tecnologie proprietarie e soluzioni fornite da partner affidabili per proteggere l’infrastruttura da tentativi di sovraccarico e altre forme di attacco.
Questi sistemi garantiscono la continuità operativa e prestazioni elevate dei nostri servizi e applicazioni, anche in situazioni di traffico anomalo.
Rilevamento e prevenzione delle intrusioni
I nostri sistemi di sicurezza rilevano e registrano automaticamente eventuali accessi o attività anomale, notificando tempestivamente il personale dedicato alla sicurezza.
Meccanismi di controllo aggiuntivi monitorano l’integrità dell’infrastruttura, segnalando modifiche non autorizzate ai componenti critici.
Sicurezza dei sistemi
Criteri di robustezza delle password per l’accesso all’applicativo
Adottiamo rigorosi criteri di complessità e rinnovo periodico delle credenziali di accesso.
Meccanismi di controllo automatici contribuiscono a prevenire l’uso di password deboli e a proteggere gli account da tentativi di accesso non autorizzati, garantendo elevati standard di sicurezza.
Autorizzazione dei dispositivi utilizzati
Per proteggere gli account e prevenire accessi non autorizzati, adottiamo procedure di verifica e autorizzazione dei dispositivi di accesso.
Gli utenti possono gestire in autonomia i propri dispositivi, mantenendo così un controllo costante e un elevato livello di sicurezza.
Autenticazione a più fattori
Offriamo sistemi di autenticazione a più fattori (MFA) per garantire una protezione aggiuntiva durante l’accesso e l’esecuzione di operazioni sensibili.
Questa misura rafforza la sicurezza degli account e riduce il rischio di accessi non autorizzati.
Accesso amministrativo
Applichiamo rigorosi controlli di accesso e politiche interne che impediscono ai dipendenti di visualizzare o gestire i dati degli utenti senza un’autorizzazione specifica.
I principi del privilegio minimo e delle autorizzazioni basate sui ruoli assicurano che ciascun membro del personale possa accedere solo alle risorse strettamente necessarie alle proprie funzioni.
L’accesso agli ambienti operativi è protetto da procedure di autenticazione avanzate e viene tracciato e verificato regolarmente.
Sicurezza operativa
Registrazione e monitoraggio
Monitoriamo costantemente l’infrastruttura e i servizi per rilevare comportamenti anomali o potenzialmente rischiosi.
I dati di monitoraggio vengono raccolti e analizzati per identificare tempestivamente eventuali incidenti di sicurezza o accessi non autorizzati.
Le informazioni di log sono gestite in modo centralizzato e conservate in ambienti protetti, nel rispetto delle nostre politiche di sicurezza.
Gestione delle vulnerabilità
Abbiamo implementato un processo strutturato per la gestione delle vulnerabilità, che include attività periodiche di analisi e test di sicurezza condotti sia internamente che da partner qualificati.
Il team di sicurezza monitora costantemente le fonti ufficiali e le segnalazioni del settore per individuare potenziali minacce e garantire un intervento tempestivo.
Ogni vulnerabilità identificata viene valutata, classificata e gestita fino alla completa risoluzione, assicurando la protezione continua dei sistemi e dei dati.
Protezione da malware e spam
Per prevenire la diffusione di malware e contenuti dannosi, tutti i file vengono sottoposti a controlli di sicurezza tramite sistemi costantemente aggiornati.
Inoltre, adottiamo meccanismi avanzati di protezione e autenticazione delle comunicazioni per prevenire lo spam e garantire l’integrità dei messaggi inviati e ricevuti.
Backup
Eseguiamo regolarmente backup completi dei nostri sistemi per garantire la disponibilità e l’integrità dei dati.
Le copie di backup sono protette mediante tecniche di cifratura e conservate in ambienti sicuri e geograficamente separati, assicurando la resilienza dell’infrastruttura e la continuità operativa.
Raccomandiamo inoltre ai nostri utenti di eseguire periodicamente copie di sicurezza dei propri dati e di conservarle in ambienti sotto il loro diretto controllo.
Disaster recovery e Business continuity
I dati delle applicazioni sono archiviati su infrastrutture resilienti e ridondate, progettate per garantire la continuità dei servizi anche in caso di guasti o interruzioni.
Inoltre, disponiamo di un piano di continuità operativa che copre le funzioni essenziali dell’organizzazione, tra cui il supporto e la gestione dell’infrastruttura.
Gestione degli incidenti
Segnalazione
Abbiamo implementato un processo strutturato di gestione degli incidenti. In caso di eventi che possano influire sull’erogazione dei servizi, informiamo tempestivamente i clienti e forniamo indicazioni operative.
Ogni incidente viene tracciato, preso in carico e risolto applicando le necessarie azioni correttive; quando appropriato, predisponiamo un report di dettaglio e adottiamo misure preventive per evitare il ripetersi di situazioni analoghe.
Le comunicazioni ai clienti avvengono tramite canali ufficiali e vengono aggiornate fino alla completa risoluzione.
Notifica di violazione
In qualità di titolari del trattamento, notifichiamo eventuali violazioni dei dati personali all’Autorità Garante per la Protezione dei Dati entro i termini previsti dal Regolamento (UE) 2016/679 (GDPR) e, quando necessario, informiamo tempestivamente i clienti interessati.
Quando agiamo in qualità di responsabili del trattamento, informiamo i titolari del trattamento senza ingiustificato ritardo, secondo quanto stabilito dagli accordi contrattuali.
Gestione dei fornitori terzi
Valutiamo e qualifichiamo attentamente i nostri fornitori secondo la nostra politica di gestione dei partner e dei servizi esterni.
L’attivazione di nuovi fornitori avviene solo dopo un’analisi delle loro misure tecniche e organizzative, assicurando che rispettino i nostri standard di sicurezza e affidabilità.
Gli accordi stipulati prevedono obblighi di riservatezza, integrità e disponibilità dei dati, in linea con gli impegni assunti verso i nostri clienti.
Cosa puoi fare tu per garantire la tua sicurezza
Finora abbiamo discusso di cosa facciamo per offrire sicurezza ai nostri clienti su vari fronti. Ecco le cose che tu, come cliente, puoi fare per garantire la tua sicurezza:
· Scegli una password unica e complessa e proteggila;
· Utilizza l’autenticazione a più fattori;
· Utilizza le versioni più recenti del browser, del sistema operativo mobile e delle applicazioni mobili aggiornate per assicurarti che siano dotate di patch contro le vulnerabilità e per utilizzare le funzionalità di sicurezza più recenti;
· Esercita ragionevoli precauzioni durante la condivisione dei dati dal nostro ambiente cloud;
· Monitora i dispositivi collegati al tuo account, le sessioni web attive e l’accesso di terze parti per individuare anomalie nelle attività sul tuo account e gestire ruoli e privilegi sul tuo account;
· Fai attenzione alle minacce di phishing e malware verificando e-mail, siti web e collegamenti sconosciuti che potrebbero acquisire le informazioni che gli fornisci spacciandosi per fornitori di cui ti fidi.
Forniamo un’analisi approfondita sul modello di responsabilità condivisa e su come i nostri clienti possono collaborare e assumersi la responsabilità individuale nei confronti della sicurezza e della privacy del cloud.