Centro Assistenza
Accedi
Accedi

Come possiamo aiutarvi?

Argomenti comuni:

AI, Tickets, Agents
Centro assistenza
In this Article:
    1. Atera Support
    2. Biblioteca
    3. Avvisi speciali

    Sicurezza presso Atera

    Dragos Gabriel Tulbure

    La solida sicurezza integrata di Atera è al centro di tutto ciò che facciamo, quindi puoi essere sicuro che i tuoi dati siano sempre al sicuro e protetti.

     

    CONFORMITÀ

    Atera ha ottenuto le conformità ISO/IEC 27001, 27017, 27018 e 27032.

     

    ISO/IEC 27001:2013

    ISO 27001 è uno standard di sicurezza delle informazioni pubblicato originariamente nel 2005 dall'Organizzazione Internazionale per la Standardizzazione (ISO) e dalla Commissione Elettrotecnica Internazionale (IEC). Nel settembre 2013 è stato pubblicato ISO 27001:2013, che sostituisce lo standard originale del 2005. ISO 27001 è un approccio alla sicurezza riconosciuto a livello globale, basato su standard, che delinea i requisiti per il sistema di gestione della sicurezza delle informazioni (ISMS) di un'organizzazione.

     

    ISO/IEC 27017:2015

    ISO 27017 è uno standard di sicurezza sviluppato per i fornitori e gli utenti di servizi cloud per creare un ambiente basato su cloud più sicuro e ridurre il rischio di problemi di sicurezza.

     

    ISO/IEC 27018:2019

    ISO 27018 è il primo standard internazionale creato specificamente per la privacy dei dati nel cloud computing. Il suo obiettivo principale, secondo l'Organizzazione Internazionale per la Standardizzazione (ISO), è stabilire "obiettivi di controllo, controlli e linee guida comunemente accettati per l'implementazione di misure per proteggere le Informazioni di Identificazione Personale (PII)".

     

    ISO/IEC 27032:2012

    ISO 27032 è uno standard internazionale che fornisce linee guida per migliorare lo stato della sicurezza informatica, evidenziando gli aspetti unici di tale attività e le sue dipendenze da altri domini di sicurezza, in particolare: sicurezza delle informazioni, sicurezza della rete, sicurezza di internet e protezione delle infrastrutture critiche di informazione (CIIP).

    Fai clic qui per scaricare le certificazioni.

     

    SOC 2 Tipo 2

    Atera è accreditata con SOC 2 Tipo 2. Questa certificazione comporta una rigorosa valutazione dell'efficacia operativa dei nostri controlli su un periodo prolungato, garantendo che il nostro impegno per la sicurezza dei dati non sia meramente teorico ma costantemente mantenuto. Questo accreditamento riflette l'approccio proattivo di Atera nel soddisfare e superare gli standard riconosciuti dall'industria, fornendo ai nostri clienti la fiducia che le loro informazioni sensibili siano gestite con la massima cura e conformità.

     

    HIPAA

    La Health Insurance Portability and Accountability Act stabilisce lo standard per la protezione dei dati sensibili dei pazienti.
    Atera ha ricevuto il suo Sigillo di Conformità HIPAA. Questa verifica convalida il "buon impegno" di Atera per soddisfare la legge e i regolamenti HIPAA ed è una testimonianza della nostra dedizione a mantenere i più alti standard di sicurezza e privacy.
    Fai clic qui per scaricare il Certificato del Sigillo di Conformità HIPAA di Atera.
    Se sei un cliente del piano Enterprise o Superpower e hai bisogno di un BAA firmato, invia una richiesta a success@atera.com e il nostro BAA ti verrà inviato per la firma.
    Per ricevere la Lettera del Sigillo di Conformità, invia una richiesta a success@atera.com.

     

    Programma di Gestione del Rischio e dell'Autorizzazione del Texas (TX-RAMP)

    Atera ha ottenuto la certificazione di Livello 2 del Texas Risk and Authorization Management Program (TX-RAMP). Il Texas Risk and Authorization Management Program fornisce un approccio standardizzato per la valutazione della sicurezza, la certificazione e il monitoraggio continuo dei servizi di cloud computing che elaborano i dati delle agenzie statali del Texas.
    Clicca qui per scaricare la certificazione.

     

    PCI-DSS

    I servizi di abbonamento Atera sono fuori dall'ambito del PCI-DSS perché non elaboriamo dati delle carte per conto dei nostri clienti.

     

    SICUREZZA DEL PRODOTTO

    Log di audit

    Atera mantiene log amministrativi così come log per la creazione e le modifiche degli account, inclusi l'aggiunta o la rimozione di utenti, segmenti, fonti e destinazioni.

    I clienti Atera possono ottenere log di questioni interne ad Atera relative a cambiamenti interni allo stato dei rispettivi account Atera. I cambiamenti comuni sono le operazioni CRUD (Creazione, Aggiornamento, Eliminazione) degli account, degli utenti amministratori, ecc.

     

    Autenticazione multi-fattore

    Atera rende facile aggiungere l'autenticazione multi-fattore al processo di accesso al tuo account Atera per rafforzare la sicurezza dell'account.

     

    Controllo degli accessi basato sui ruoli (RBAC)

    Gli amministratori degli account dei clienti possono facilmente aggiungere e rimuovere utenti dell'account. Atera ha vari ruoli utente definiti con rispettive autorizzazioni.

     

    Trasmissione e sessioni sicure

    La connessione all'ambiente Atera avviene tramite protocolli crittografici SSL/TLS, utilizzando certificati globali step-up, garantendo che i nostri utenti abbiano una connessione sicura dai loro browser al nostro servizio.

    Le sessioni utente individuali sono identificate e ri-verificate con ogni transazione, utilizzando un token unico creato al momento del login.

     

    Restrizioni IP di accesso in Atera

    Access List IP Ranges limita l'accesso non autorizzato richiedendo agli utenti di accedere ad Atera da indirizzi IP designati — tipicamente la rete della tua azienda, reti clienti designate o VPN. Utilizzando gli Intervalli IP di Accesso, gli amministratori possono definire un intervallo di indirizzi IP consentiti per controllare l'accesso ad Atera. Coloro che tentano di accedere ad Atera da indirizzi IP non designati non otterranno l'accesso.

     

    Sicurezza degli agenti

    Una volta che un Agente è distribuito, gli viene assegnata una Chiave unica. Questa chiave viene utilizzata per scopi di autenticazione. Tutte le comunicazioni tra gli Agenti e il Cloud di Atera sono verificate da questa Chiave unica e condotte tramite secure socket layer/transport layer security (SSL/TLS).

     

    Tunneling di controllo remoto

    Durante l'utilizzo dello strumento di Controllo Remoto di Atera, viene creato un tunnel virtuale tra l'utente Atera e il computer di destinazione. Tutti i dati trasferiti tra l'Utente e l'Agente sono crittografati. Sia l'Utente Atera che l'Agente si connettono solo tramite la porta TCP 443.

     

    SICUREZZA DEI DATI

    Dati crittografati a riposo

    I dati sono crittografati a riposo utilizzando AES-256.

     

    Dati crittografati in transito

    Crittografiamo i dati in transito utilizzando HTTPS/TLS. La versione TLS supportata è attualmente TLS 1.2 o più recente.

     

    Crittografia delle password

    Le password degli account degli utenti sono crittografate e hashate con un algoritmo SHA 256.

     

    PRIVACY

    Informativa sulla privacy

    La Privacy Policy di Atera descrive come raccogliamo, utilizziamo e gestiamo le informazioni personali quando utilizzi la nostra piattaforma, i nostri siti web, le nostre app, il software di analisi dei dati e altri servizi.

    Visita la nostra privacy policy qui.

     

    AI RESPONSABILE

    Atera si impegna a proteggere la fiducia e la privacy dei nostri clienti e allo sviluppo responsabile della nostra soluzione AI.

    I tuoi input, output, embedding e contenuti della knowledge base (KB) sono inaccessibili ad altri clienti e non vengono utilizzati per addestrare gli algoritmi AI di Atera o di Azure OpenAI o di qualsiasi prodotto Microsoft o di terze parti. Scopri i nostri principi di AI Responsabile qui.

     

    GDPR

    Atera si impegna a proteggere la tua privacy e, ove applicabile, aderisce al Regolamento Generale sulla Protezione dei Dati dell'UE noto come GDPR. Per ulteriori informazioni su Atera e GDPR, consulta il nostro avviso di consapevolezza GDPR su https://www.atera.com/gdpr-awareness-notice/

     

    Addendum al trattamento dei dati

    Affrontiamo il trattamento dei dati nei termini del nostro accordo di servizio e offriamo un addendum al trattamento dei dati ai nostri clienti.

    Per richiedere un DPA, contatta: success@atera.com

     

    Richieste di rimozione dei dati

    I clienti possono richiedere la rimozione dei dati contattando il supporto privacy di Atera. Qualsiasi richiesta di rimozione dei dati ricevuta da un soggetto interessato associato a un cliente sarà riferita al cliente in questione.

    Per qualsiasi preoccupazione, richiesta o per esercitare i tuoi diritti di protezione dei dati, contatta: privacy@atera.com

     

    Responsabile della Protezione dei Dati (DPO)

    Il nostro Responsabile della Protezione dei Dati nominato è responsabile di garantire che tutte le nostre misure di protezione dei dati siano aggiornate e che tutte le procedure siano seguite. Il DPO lavora con professionisti della sicurezza esperti (CISO, CISM, CRISC, CISSP, CISA, CIPM, CEH, CIPPE, CDPSE).

     

    GESTIONE E RISPOSTA AGLI INCIDENTI

    Notifica di violazione dei dati

    In caso di qualsiasi violazione della sicurezza delle informazioni effettiva o ragionevolmente sospetta o altro incidente che influisca sulla sicurezza o integrità dei tuoi dati, Atera aderirà alle politiche definite nel Piano di Risposta agli Incidenti di Sicurezza delle Informazioni di Atera e ti notificherà in conformità con la legge applicabile.

     

    Piano di Risposta agli Incidenti (IRP)

    Atera opera un processo formale di gestione degli incidenti di sicurezza sotto una politica e procedura correlata. Esistono procedure di escalation per garantire la comunicazione tempestiva di qualsiasi incidente di sicurezza attraverso la catena di gestione e a qualsiasi cliente interessato senza indebito ritardo.

     

    Disponibilità e affidabilità

    Atera utilizza l'infrastruttura della piattaforma Microsoft Azure perché è stata progettata per essere uno degli ambienti cloud più flessibili, affidabili e sicuri disponibili oggi, consentendo ai nostri clienti di beneficiare di questa infrastruttura dati.

    La nostra infrastruttura è divisa in più strutture geograficamente disperse in data center progettati per la massima sicurezza e disponibilità. Tutte le sedi adottano le migliori pratiche del settore, inclusi sistemi di accesso con badge e biometrico, fonti di alimentazione extra, unità di condizionamento dell'aria aggiuntive e sistemi di soppressione degli incendi. Il personale di sicurezza e le telecamere monitorano queste sedi 24 ore al giorno, 365 giorni all'anno. Solo il personale autorizzato è ammesso all'interno di questi data center e tutte le visite sono registrate.

    Abbiamo progettato il nostro ambiente di raccolta dati del servizio in abbonamento per un'alta disponibilità; non meno del 99,75%.

     

    Scalabilità automatica

    Abilitiamo la scalabilità automatica nel cloud.

    L'infrastruttura cloud di Atera può scalare per elaborare dati da milioni di dispositivi. La vera scalabilità del cloud è ottenuta scalando automaticamente l'infrastruttura cloud senza impatto per l'utente finale che accede o scrive dati.

     

    Protezione contro il Denial of Service (DoS)

    Atera ha implementato i servizi di sicurezza Cloudflare sia per il firewall delle applicazioni web, la protezione contro il Denial of Service, sia per la rete di distribuzione dei contenuti.

     

    Ridondanza dell'infrastruttura

    I servizi Atera sono distribuiti per beneficiare della ridondanza dell'infrastruttura della piattaforma Microsoft Azure.

     

    Test di garanzia della qualità

    Atera segue un processo di gestione delle modifiche per i cambiamenti nell'ambiente di produzione. Tutte le modifiche al codice devono essere sottoposte a revisione tra pari e includere test automatizzati di unità, funzionali e di sicurezza. I test vengono eseguiti dopo le distribuzioni per convalidare la funzionalità dell'applicazione. Se la convalida fallisce, l'applicazione viene ripristinata alla versione precedente.

     

    Monitoraggio del servizio

    Atera utilizza Azure Log Analytics e approfondimenti applicativi per monitorare i suoi sistemi e rilevare problemi legati al servizio. Il team di Atera viene avvisato 24/7 quando i criteri di soglia vengono superati.

     

    SICUREZZA ORGANIZZATIVA

    Accordi di riservatezza

    I nostri accordi di servizio consentono il trattamento riservato delle informazioni riservate dei clienti, inclusi i dati dei clienti. Richiediamo a tutti i nostri dipendenti e appaltatori, nonché ai fornitori, di firmare accordi di riservatezza per garantire la protezione assoluta delle informazioni riservate.

     

    Formazione sulla sicurezza dei dipendenti

    Formiamo tutti i nuovi dipendenti sui loro obblighi di riservatezza, privacy e sicurezza delle informazioni come parte della loro formazione di onboarding. Una formazione obbligatoria annuale sulla sicurezza e la privacy garantisce che i dipendenti rinfreschino le loro conoscenze e comprensione. I team di ingegneria ricevono ulteriore formazione relativa ai loro compiti lavorativi e accesso.

     

    Blocco automatico delle postazioni di lavoro dei dipendenti

    Le postazioni di lavoro dei nostri dipendenti vengono bloccate automaticamente dopo un periodo di inattività predeterminato tramite il sistema MDM che abbiamo implementato.

     

    Crittografia delle postazioni di lavoro dei dipendenti

    Tutte le postazioni di lavoro dei dipendenti sono crittografate e cancellate al momento della dismissione utilizzando gli standard DoD.

     

    Accesso limitato dei dipendenti (principio del minimo privilegio)

    Atera segue il principio del "minimo privilegio" nel governare l'accesso dei dipendenti ai nostri sistemi. L'accesso ai dati dei nostri clienti è limitato alle esigenze aziendali legittime, comprese le attività necessarie per supportare l'uso dei nostri servizi da parte dei clienti.

    Abbiniamo gli account di rete direttamente ai nostri dipendenti utilizzando un identificatore univoco; non vengono utilizzati account amministrativi generici. Rivediamo periodicamente l'accesso dei dipendenti ai sistemi interni per garantire che i diritti di accesso e i modelli dei dipendenti siano in linea con le loro posizioni attuali.

    Esiste un processo formale di notifica di cessazione del rapporto di lavoro, che viene avviato dal nostro dipartimento delle Risorse Umane ("HR"). Su notifica delle HR, tutti gli accessi fisici e di sistema vengono prontamente revocati.

     

    Controllo dell'accesso fisico

    Atera ha implementato controlli appropriati per limitare l'accesso fisico ai suoi uffici.

    I nostri fornitori di servizi cloud hanno implementato misure di sicurezza robuste per controllare l'accesso fisico alle strutture di elaborazione dati che utilizziamo.

     

    Accesso sicuro alla rete remota

    Le postazioni di lavoro dei dipendenti di Atera utilizzano controlli Zero Trust per fornire crittografia end-to-end della rete, sicurezza stratificata e gestione degli accessi con MFA per fornire una connessione privata e sicura sia a Internet che alle risorse di rete legate al lavoro di Atera.

    Tutte le connessioni remote sono monitorate regolarmente e i dipendenti vengono avvisati se vengono disconnessi dalla rete o se vengono attivate altre notifiche di sicurezza.

     

    Archiviazione e trasferimento sicuro dei dati

    Per garantire che i dati siano archiviati, ricevuti e trasferiti tra le postazioni di lavoro in modo sicuro, i dipendenti di Atera utilizzano vault.

     

    Gestore delle password

    Atera comprende l'importanza di gestire le password degli utenti e ha implementato un sistema di gestione delle password sicuro a livello aziendale per proteggere e gestire le password dei dipendenti e dell'organizzazione.

     

    CONTINUITÀ AZIENDALE

    Piano di continuità aziendale

    Atera ha implementato una Politica integrata di Continuità Aziendale e Recupero di Emergenza e mantiene piani correlati sotto la politica. Si prega di consultare il testo sotto 'Piano di Recupero di Emergenza' per ulteriori informazioni su questo argomento.

     

    Piano di Recupero di Emergenza

    Atera mantiene capacità essenziali di prevenzione, prontezza e recupero da disastri attraverso l'uso di più data center geograficamente dispersi, la nostra architettura di piattaforma, il backup dei dati fuori sede e le capacità di accesso remoto. Manteniamo anche una Politica di Continuità Aziendale e Recupero di Emergenza e piani correlati, e li testiamo regolarmente.

     

    Backup dei dati

    Atera archivia tutti i dati dei clienti sui sistemi di archiviazione Microsoft Azure, utilizzando backup caldi archiviati in strutture Azure sicure fuori sede rispetto alle strutture di produzione. L'accesso ai supporti di backup è altamente limitato.

     

    Salvaguardie ambientali

    Atera ospita i suoi dati e applicazioni su Microsoft Azure, per il suo ambiente di infrastruttura di produzione.

    Azure utilizza le salvaguardie menzionate qui che includono anche:

     

    Controllo degli accessi e sicurezza fisica

    • Sicurezza presidiata 24 ore su 24, inclusi pattugliamenti a piedi e ispezioni del perimetro
    • Scansione biometrica per l'accesso
    • Stanze del Data Center dedicate con pareti in cemento
    • Apparecchiature informatiche in gabbie d'acciaio a controllo di accesso
    • Sorveglianza video in tutta la struttura e il perimetro
    • Edificio progettato per rischi sismici, di tempesta e di alluvione locali
    • Tracciamento della rimozione degli asset

    Controlli ambientali

    • Controllo dell'umidità e della temperatura
    • Sistema di raffreddamento ridondante (N+1)

    Energia

    • Alimentazione elettrica sotterranea
    • Sistemi CPS/UPS ridondanti (N+1)
    • Unità di distribuzione dell'energia (PDU) ridondanti
    • Generatori diesel ridondanti (N+1) con stoccaggio di carburante diesel in loco

    Rete

    • Camere di cemento per l'ingresso della fibra
    • Reti interne ridondanti
    • Rete neutrale; si connette a tutti i principali operatori e si trova vicino ai principali hub Internet
    • Alta capacità di larghezza di banda

    Rilevamento e soppressione degli incendi

    • VESDA (apparato di rilevamento fumo molto precoce)
    • Sistema di soppressione incendi a secco con tubazioni pre-azione, multi-zona, a doppio allarme e doppio interblocco

     

    INFRASTRUTTURA

    Atera è ospitata sullo standard d'oro della Sicurezza Cloud: Microsoft Azure.
    I data center di Atera su Azure si trovano in Europa occidentale (Amsterdam) e negli Stati Uniti centrali (Iowa).
    I data center di Azure mantengono standard di sicurezza fisica robusti e sono conformi a ISO 27001, ISO 27017, ISO 27018, ISO 27032, HIPAA, FedRAMP, SOC-1 e SOC-2.

     

    Architettura multi-tenant

    Atera fornisce i suoi servizi in abbonamento utilizzando un'architettura multi-tenant con i dati di ciascun account cliente logicamente separati dagli altri account. I dati sono crittografati a riposo utilizzando AES-256.

     

    ISO 27001 – Data Center

    I data center di Microsoft Azure sono certificati come conformi ai seguenti standard ISO: ISO 27001:2013, ISO 27017:2015, e ISO 27018:2019, ISO 27701:2020.

     

    SOC 2 Tipo II — Data Center

    I data center di Microsoft Azure sono certificati con i Principi di Fiducia in Sicurezza, Riservatezza, Disponibilità e Privacy SOC 2 Tipo 2.

     

    Controllo di Accesso Fisico – Data Center

    Per ulteriori informazioni, si prega di navigare al seguente link che descrive ulteriormente la sicurezza di Microsoft intorno all'Infrastruttura Azure.

    https://docs.microsoft.com/en-us/azure/security/fundamentals/physical-security

     

    Architettura zero-trust

    Zero-trust (ZT) è il termine per un insieme in evoluzione di paradigmi di cybersecurity che spostano le difese da parametri statici basati sulla rete a concentrarsi su utenti, asset e risorse.

    Atera applica un'architettura zero-trust (ZTA) e utilizza principi zero-trust per pianificare e costruire la sua infrastruttura e i suoi flussi di lavoro, in modo che nessuna fiducia implicita sia concessa ad asset o account utente basati esclusivamente sulla loro posizione fisica o di rete.

     

    GESTIONE DELLE MINACCE

    Test di penetrazione

    Abbiamo un fornitore di sicurezza indipendente e di terze parti che conduce test di penetrazione manuali della nostra infrastruttura interna ed esterna e dei servizi su base trimestrale. Questo test manuale è completato da test automatizzati utilizzando una varietà di strumenti di test disponibili in commercio eseguiti mensilmente.

    Se desideri ricevere una copia del rapporto di sintesi dell'ultimo test di penetrazione di Atera, invia una richiesta a success@atera.com. Poiché è richiesto un NDA, si prega di includere il nome completo della tua azienda, l'indirizzo dell'azienda e il luogo di costituzione.

     

    Scansione delle vulnerabilità

    Atera utilizza diversi strumenti di scansione automatizzati per cercare vulnerabilità di sicurezza sia dell'infrastruttura che delle applicazioni su base frequente. Le scansioni vengono applicate a ogni build di codice e prima delle fusioni di codice.

     

    Test di Sicurezza delle Applicazioni Statiche (SAST)

    Il codice sorgente viene regolarmente scansionato per eventuali vulnerabilità prima che la produzione vada in diretta.

     

    Richiesta di dettagli sui clienti di Atera

    I dati e la privacy dei clienti di Atera sono di massima importanza e vengono gestiti in conformità con la nostra Informativa sulla privacy. Per questo motivo, Atera non è in grado di fornire alcuna informazione su nessuno dei suoi utenti o account senza un ordine del tribunale, un mandato di comparizione o un'altra forma di procedimento legale. Per ulteriori informazioni, si prega di consultare qui.

     

    Elenco dei sub-responsabili del trattamento di Atera

    È possibile trovare un elenco aggiornato dei nomi e delle sedi dei sub-responsabili del trattamento che elaborano i dati personali degli utenti dei clienti di Atera qui. Per ulteriori informazioni sui nostri sub-responsabili del trattamento, si prega di consultare il nostro DPA.

     

    Copyright © Atera Networks Ltd.2023

    apple store app google play app

    AICPA SOC for Service Organizations and ISO 27001 certified