Dichiarazione di Sicurezza

La presente Dichiarazione di Sicurezza descrive le misure tecniche e organizzative che Kapsule Group Limited ("Kapsule Cloud") implementa per proteggere i dati ospitati sulla nostra piattaforma. È referenziata dal Contratto di Trattamento dei Dati ed è aggiornata periodicamente per riflettere i miglioramenti al nostro profilo di sicurezza.

Il nostro principio fondamentale è la difesa in profondità: stratifichiamo molteplici controlli indipendenti affinché nessun singolo guasto esponga i dati dei clienti.

Manteniamo politiche documentate di sicurezza informatica e privacy, sottoposte a revisione almeno annualmente e aggiornate quando modifiche significative della piattaforma o del panorama delle minacce lo richiedono.

Un Privacy Officer designato è responsabile della conformità alla protezione dei dati. Le responsabilità di sicurezza sono assegnate a persone specifiche del team infrastrutturale.

Tutto il personale riceve formazione sulla privacy e la sicurezza al momento dell'assunzione e annualmente in seguito. Il personale con accesso ai sistemi di produzione è soggetto a verifiche dei precedenti laddove consentito dalla legge.

Gli incidenti di sicurezza e i quasi-incidenti sono registrati, revisionati e utilizzati per migliorare continuamente i controlli.

L'accesso ai sistemi di produzione e ai dati dei clienti è disciplinato da rigorosi controlli di accesso basati sui ruoli, costruiti secondo i principi del privilegio minimo: al personale sono concessi unicamente gli accessi necessari per svolgere il loro ruolo specifico.

L'autenticazione a due fattori obbligatoria (2FA) è applicata a tutto il personale con accesso all'infrastruttura di produzione, al pannello di controllo dell'hosting, al codice sorgente e alle console del provider cloud.

I diritti di accesso sono sottoposti a revisione periodica e revocati tempestivamente in caso di cambio di ruolo o allontanamento. Gli eventi di accesso e le escalation di privilegio sono registrati.

Gli ambienti di produzione e non-produzione sono rigorosamente separati. Gli ambienti dei clienti sono isolati logicamente gli uni dagli altri all'interno della piattaforma di hosting.

Tutto l'accesso amministrativo ai server di produzione è autenticato tramite coppie di chiavi SSH; l'autenticazione SSH basata su password è disabilitata.

Tutti i dati in transito tra i clienti e la nostra piattaforma sono crittografati utilizzando TLS 1.2 o versioni successive. I certificati TLS sono emessi automaticamente e rinnovati prima della scadenza.

I backup fuori sede sono crittografati utilizzando restic con AES-256. Le chiavi di crittografia sono archiviate separatamente dai dati di backup e sottoposte a backup offline. La perdita della chiave rende i dati di backup irrecuperabili, motivo per cui le chiavi sono conservate in più ubicazioni offline sicure.

I backup crittografati sono archiviati nell'archivio di oggetti Cloudflare R2, regione Oceania, fornendo separazione geografica dalla nostra infrastruttura primaria Hetzner.

I dati della piattaforma sensibili (inclusi segreti, chiavi API e credenziali) sono archiviati in sistemi dedicati di gestione dei segreti e non sono mai incorporati nel codice sorgente o nei file di configurazione verificati nel controllo della versione.

I servizi rivolti ai clienti sono protetti dal web application firewall (WAF) di Cloudflare e dalla mitigazione DDoS, che assorbe gli attacchi volumetrici e a livello applicativo prima che raggiungano la nostra infrastruttura.

Gli ambienti di hosting dei clienti sono segmentati a livello di rete: ogni sito viene eseguito in un contesto isolato e non può accedere ai dati di altri clienti a livello di rete.

I sistemi operativi, il software della piattaforma e le dipendenze delle applicazioni sono sottoposti a patch secondo una cadenza regolare. Le patch di sicurezza critiche vengono applicate entro 24-72 ore dal rilascio. L'infrastruttura rivolta a Internet viene sottoposta a scansione per individuare vulnerabilità note su base regolare.

Le regole del firewall limitano l'accesso in entrata alle porte e ai servizi strettamente necessari. I servizi non necessari sono disabilitati per impostazione predefinita.

I test di penetrazione periodici vengono condotti da tester indipendenti qualificati. I risultati significativi vengono corretti e sottoposti a nuovo test.

Gli eventi di accesso, le modifiche di configurazione, i tentativi di autenticazione e gli eventi di sistema rilevanti per la sicurezza sono registrati in un sistema di registrazione centralizzato. I registri sono conservati per un minimo di 90 giorni.

La salute della piattaforma e i segnali di sicurezza sono monitorati 24x7. Gli avvisi sono instradati al personale reperibile per un'indagine immediata.

Manteniamo un piano documentato di risposta agli incidenti con livelli di gravità definiti, percorsi di escalation e procedure di comunicazione. Il piano è sottoposto a revisione e test almeno annualmente.

Nel caso di una confermata Violazione della Privacy Notificabile che interessa le Informazioni Personali del Cliente, notificheremo i clienti interessati entro 72 ore dalla consapevolezza, come richiesto dalla Privacy Act 2020 e dal Data Processing Agreement.

Sentry è utilizzato per il tracciamento degli errori in tempo reale e il monitoraggio delle prestazioni delle applicazioni nell'intero stack della piattaforma.

I file del sito cliente, i database e i dati di posta elettronica sono sottoposti a backup quotidiano su Cloudflare R2 (regione Oceania) utilizzando restic. I backup sono crittografati a riposo con AES-256.

La conservazione dei backup è di un minimo di 30 giorni su tutti i piani a pagamento. I piani superiori includono snapshot settimanali e mensili aggiuntivi. Per i dettagli di conservazione specifici del piano, consultare il Service Level Agreement.

Le procedure di ripristino sono documentate nei nostri runbook interni e testate periodicamente. Il team della piattaforma conduce esercitazioni di ripristino per convalidare l'integrità dei backup.

Il codebase della piattaforma Kapsule Cloud (inclusi gli script di configurazione e provisioning) è sottoposto a backup quotidiano su repository GitHub privati nell'organizzazione kapsulenz, fornendo un percorso di recupero indipendente per la piattaforma stessa.

Le procedure di disaster recovery per ciascun componente dell'infrastruttura (server di hosting, server di posta, portale) sono documentate con tempi di recupero target di 2-4 ore in base al componente e alle dimensioni dei dati.

Tutto il personale con accesso ai dati dei clienti è vincolato da obblighi di riservatezza, sia per contratto che per legge.

Manteneniamo accordi scritti per il trattamento dei dati con tutti i sub-processori. Questi accordi richiedono ai sub-processori di implementare protezioni non meno protettive di quelle nel nostro Data Processing Agreement, inclusi gli obblighi di riservatezza, sicurezza e trattamento a scopo limitato.

L'elenco dei sub-processori è revisionato almeno annualmente per la continua idoneità. I sub-processori sono valutati rispetto ai nostri requisiti di sicurezza minima prima dell'impegno.

L'elenco attuale dei sub-processori è pubblicato su kapsulecloud.com/legal/sub-processors.

I server di produzione sono gestiti nei data centre Hetzner in Germania. Le strutture Hetzner sono classificate Tier III o equivalente e forniscono: accesso fisico controllato con autenticazione a più fattori ai punti di ingresso; personale di sicurezza in loco 24 ore su 24, 7 giorni su 7; alimentazione ridondante (UPS e generatori diesel); sistemi di raffreddamento ridondanti; rilevamento e soppressione degli incendi.

L'accesso fisico all'hardware dei server è limitato al personale Hetzner autorizzato. Il personale di Kapsule Cloud non ha accesso fisico ordinario all'hardware di produzione; tutti gli accessi amministrativi sono effettuati in remoto su canali crittografati.

I supporti di memorizzazione disattivati vengono cancellati o distrutti in modo sicuro secondo le procedure del data centre Hetzner prima del riutilizzo o dello smaltimento.

Seguiamo un ciclo di vita dello sviluppo software sicuro. Tutti i cambiamenti del codice di produzione richiedono una revisione del codice da parte di colleghi obbligatoria prima del deployment. La scansione automatica delle dipendenze viene eseguita ad ogni build per identificare vulnerabilità note nei pacchetti di terze parti.

I segreti sono gestiti utilizzando un sistema dedicato di gestione dei segreti. Nessuna credenziale, chiave API o valore di configurazione sensibile viene committed nei repository del codice sorgente.

I test pre-release includono esecuzioni di test funzionali, di regressione e incentrati sulla sicurezza. I cambiamenti ai flussi di autenticazione, pagamento o gestione dei dati ricevono controlli aggiuntivi.

L'input rivolto ai clienti è convalidato e bonificato a tutti i confini dell'applicazione. Applichiamo difese standard contro i rischi OWASP Top 10 inclusi l'iniezione SQL, lo scripting tra siti e la falsificazione di richieste tra siti.

Autenticazione KPanel: le password sono sottoposte a hash con Argon2id (resistente alla memoria, resistente al cracking della GPU). Le nuove password vengono verificate rispetto al database Have I Been Pwned tramite ricerca di prefisso k-anonimato prima dell'accettazione. L'accesso supporta l'autenticazione a due fattori basata su TOTP, codici monouso SMS e passkey hardware (WebAuthn/FIDO2). L'accesso OAuth è supportato tramite Google, GitHub e Apple Sign In, ciascuno verificato rispetto all'endpoint JWKS del provider. L'accesso tramite magic-link email è limitato a tre richieste all'ora per indirizzo ed è disponibile come metodo di recupero. I token di sessione sono crittograficamente casuali, archiviati con hash nel database e scadono dopo 30 giorni di inattività.

I dati dei clienti sono logicamente segregati a livello di hosting, database e applicazione. I file, i database e gli account di posta elettronica di ciascun cliente sono isolati in account di sistema separati senza accesso tra clienti.

Quando un cliente interrompe il servizio, le Informazioni Personali del Cliente rimangono disponibili per l'esportazione per 30 giorni, quindi vengono cancellate permanentemente dai sistemi attivi. Le copie di backup crittografate vengono eliminate nel successivo ciclo di rotazione programmato, entro 30 giorni dalla cancellazione dai sistemi attivi.

Le procedure documentate di cancellazione dei dati garantiscono che i dati siano rimossi da tutti i sistemi rilevanti, inclusi i database attivi, le cache e l'archiviazione dell'applicazione, non solo dall'archivio dati primario.

Le procedure per la gestione delle richieste dei Soggetti dei Dati (accesso, correzione, cancellazione) sono documentate e testate. Gli strumenti di esportazione di KPanel consentono ai clienti di recuperare i propri dati in qualsiasi momento durante il periodo di servizio.

Se hai domande relative alle nostre pratiche di sicurezza, o desideri segnalare una vulnerabilità sospetta, contattaci all'indirizzo [email protected].

Kapsule Group Limited, Christchurch, New Zealand.