Cosa fa i-Reserve in merito alla sicurezza e alla privacy dei dati (personali)?

Perché dovresti proteggere i dati dei clienti?

Come imprenditore, sai che proteggere i dati dei clienti è essenziale. Hacker e criminali informatici sono sempre alla ricerca di nuovi modi per rubare informazioni. Ecco perché è importante adottare misure per proteggere i dati dei tuoi clienti. All'interno del nostro sistema di prenotazione online, i dati dei tuoi clienti sono protetti anche in conformità con le normative GDPR.

GDPR come sostituto di Wbp

Dal 25 maggio 2018, il GDPR ha sostituito la legge olandese sulla protezione dei dati personali (Wbp). Il Regolamento generale sulla protezione dei dati (GDPR) è una legge sulla privacy applicabile in tutta l'UE. Sebbene il GDPR sia nuovo, si basa sui principi fondamentali della legislazione Wbp. Il GDPR mira a proteggere le normative sulla privacy e i dati personali dei cittadini dell'UE e si applica a qualsiasi azienda che raccolga dati personali di cittadini dell'UE. Leggi tutto sulla legislazione GDPR qui.

La sicurezza e la riservatezza dei dati (personali) nel sistema di prenotazione i-Reserve

Scopri come la sicurezza e la privacy dei dati (personali) sono garantite nel nostro sistema di prenotazione.

Connessione sicura

Come servizio, forniamo al nostro sistema di prenotazione un certificato SSL di serie (privacy di default). SSL (o più precisamente, TLS) è riconoscibile dal prefisso https:// nell'URL. Questa tecnologia protegge la connessione tra il visitatore del sito web e il server che ospita il sito web con una crittografia molto avanzata. Con una connessione SSL, garantiamo che le informazioni inviate da e verso la finestra di prenotazione non possano essere lette o modificate da terzi.

Crittografia delle informazioni

Oltre a crittografare il traffico dati su Internet tramite SSL (chiamato anche dati in transito), il sistema di prenotazione Reserve offre anche la possibilità di applicare la crittografia ai dati fisici (chiamati anche dati a riposo).

Le password vengono memorizzate in modo crittografato all'interno i-Reserve . Inoltre, non ti invieremo mai una password se la dimentichi, ma solo un link per reimpostarla autonomamente.

Firewall

Quando implementiamo un firewall, consentiamo solo agli indirizzi IP pubblici di connettersi alle porte necessarie. Per porte e funzioni critiche per la sicurezza, utilizziamo una whitelist. Solo gli indirizzi IP presenti in questa lista hanno accesso al sistema di prenotazione.

Firewall per applicazioni Web (WAF)

Un Web Application Firewall è un'applicazione che monitora il traffico in entrata e in uscita. Qualsiasi traffico che devia dai limiti del firewall o ne viola le regole viene bloccato. In caso di violazioni più gravi, come un tentativo ripetuto di iniezione di MySQL, l'indirizzo IP viene immediatamente inserito nella blacklist, impedendo al mittente di connettersi al sistema di prenotazione.

Whitelisting IP

È possibile schermare completamente un ambiente di prenotazione i-Reserve dal mondo esterno. Questo è possibile tramite la whitelisting degli IP. Questa funzione blocca completamente il dominio che ospita il sistema di prenotazione, rendendolo accessibile solo da indirizzi IP specifici. Questa soluzione viene utilizzata, ad esempio, dai clienti che desiderano utilizzare i-Reserve come applicazione interna.

Dichiarazioni preparate

L'iniezione SQL è un tipo di vulnerabilità nelle applicazioni informatiche. Le applicazioni che memorizzano informazioni in un database spesso utilizzano SQL per comunicare con il database. L'iniezione SQL può verificarsi quando l'input dell'utente non viene elaborato correttamente in un'istruzione SQL.

All'interno del sistema di prenotazione i-Reserve utilizziamo istruzioni preparate. Questo meccanismo impedisce l'elaborazione di codice indesiderato nelle query SQL eseguite dall'applicazione.

Meccanica di rallentamento

Gli attacchi brute force coinvolgono malintenzionati che tentano di automatizzare gli accessi al sistema di prenotazione utilizzando un elenco di password e nomi utente, finché non viene trovata la combinazione corretta.

Per prevenire gli attacchi brute force, utilizziamo un meccanismo di rallentamento. La prima volta che una combinazione di nome utente e password risulta errata, è necessario un ritardo di due secondi prima di poterne provare una nuova. La seconda volta, quattro secondi e la terza, sedici secondi. Questo è un modo per rendere inutilizzabili gli attacchi brute force.

Meccanismo di blocco

Se un intruso riesce ad accedere e cerca di ottenere più diritti, non potrà farlo e verrà bloccato fuori.

Hosting e archiviazione dei dati

Tutti i nostri dati sono archiviati nei Paesi Bassi. L'applicazione di prenotazione i-Reserve e il relativo database sono gestiti da un server dedicato. Ciò significa che il server è configurato per il sistema di prenotazione i-Reserve ed è utilizzato esclusivamente dai clienti di Teqa Web Services. I dati sono accessibili solo dall'interno dell'applicazione; non è consentita la connessione al database da parte di altre fonti.

Banche dati

i-Reserve non utilizza database condivisi. Ogni cliente ha il proprio database con credenziali di accesso univoche. Questo riduce al minimo il rischio in caso di violazione.

Backup giornalieri

Per garantire che i dati non vengano persi accidentalmente, utilizziamo backup automatici giornalieri. Questi backup del sistema di prenotazione vengono eseguiti quotidianamente, includendo sia il database che il file system. I backup vengono archiviati su un server separato e conservati per 30 giorni.

Scansioni giornaliere

Eseguiamo quotidianamente una scansione automatica del sistema con McAfee Secure, che verifica la sicurezza dei nostri server. Eseguiamo inoltre una scansione giornaliera per rilevare malware e virus e li monitoriamo proattivamente.

Segregazione dei compiti

La segregazione dei compiti (o suddivisione delle funzioni) è il concetto di condivisione di una specifica responsabilità tra più persone. Ad esempio, programmatori e sviluppatori non hanno accesso ai database dei clienti. Solo coloro che necessitano di accedere ai sistemi di produzione e ai database per il proprio lavoro hanno tale accesso.

Anonimizzare automaticamente i dati personali

Per ottemperare alla normativa in materia di trattamento dei dati personali ai sensi del GDPR, il nostro sistema di prenotazione consente l'anonimizzazione automatica dei dati personali rilevanti. Ciò significa che i dati personali non saranno conservati più a lungo del necessario o dovranno essere resi anonimi. Questo rientra nel "diritto all'oblio".

Questa funzionalità non è abilitata per impostazione predefinita e dovrà essere abilitata (privacy by design) dall'amministratore.

Progetto di sicurezza delle applicazioni Web aperte

Il sistema di prenotazione i-Reserve soddisfa i requisiti OWASP top 10, ampiamente utilizzati. Durante lo sviluppo dell'applicazione, vengono presi in considerazione gli ultimi temi inclusi nella top 10 OWASP. Inoltre, l'applicazione viene verificata periodicamente e regolarmente, attraverso diverse fasi di test, per garantirne la continua conformità a tali requisiti.

Come puoi garantire autonomamente la sicurezza dei dati dei tuoi clienti?

Naturalmente, sei anche responsabile della sicurezza e della privacy dei dati dei tuoi clienti. L'utilizzo di password semplici, la condivisione degli account utente e la dimenticanza di effettuare il logout sono esempi comuni. Pertanto, offriamo la possibilità di richiedere che le password contengano un numero minimo di caratteri, numeri, lettere maiuscole e caratteri speciali. La modifica obbligatoria della password ogni certo numero di giorni è un'altra funzionalità che abbiamo integrato nel sistema di prenotazione i-Reserve .

Naturalmente, spetta a voi, come organizzazione, assicurarvi che sia stato creato un utente per tutti (ciò non comporta costi aggiuntivi) e che le autorizzazioni basate sui gruppi di utenti siano configurate correttamente. Ridurre la durata di una sessione di accesso può aiutare a risolvere il problema di dimenticarsi di disconnettersi.

In breve, sufficienti opportunità per assumersi le proprie responsabilità e impedire l'uso improprio dei dati (personali).

Curiosi di conoscere il nostro sistema di prenotazione?

Vuoi scoprire cos'altro può fare per te il i-Reserve ? O desideri maggiori informazioni sulla protezione dei dati dei clienti? Contattaci .