Sicurezza e Conformità
I nostri obiettivi di sicurezza e conformità
Abbiamo sviluppato il nostro framework di sicurezza utilizzando le best practice per il settore SaaS. I nostri obiettivi principali includono:
Fiducia e protezione del cliente:
fornire prodotti e servizi superiori proteggendo la privacy e la riservatezza dei dati.
Disponibilità e continuità del servizio:
garantire la disponibilità del servizio e ridurre al minimo i rischi per la continuità del servizio.
Integrità delle informazioni e dei servizi:
assicurarsi che le informazioni dei clienti non vengano mai danneggiate o alterate in modo inappropriato.
Conformità agli standard:
mirare a rispettare o superare le migliori pratiche standard del settore.
Sicurezza delle infrastrutture
Fornitore di hosting cloud
Actiwise non ospita alcun sistema o dato di prodotto nei suoi uffici fisici. Actiwise esternalizza l'hosting della sua infrastruttura di prodotto a provider leader di infrastrutture cloud come Google Cloud Platform Services e Amazon Web Services. La nostra infrastruttura di prodotto risiede negli Stati Uniti. Facciamo affidamento sui programmi di sicurezza e conformità verificati di Google e AWS per l'efficacia dei loro controlli di sicurezza fisica, ambientale e infrastrutturale.
Google fornisce ai clienti una percentuale di uptime mensile di almeno il 99,5%. Puoi trovare maggiori informazioni sui controlli, i processi e le misure di conformità implementati da Google nel Compliance Resource Center, disponibile al pubblico.
AWS garantisce un'affidabilità del servizio tra il 99,95% e il 100%, assicurando ridondanza a tutti i servizi di alimentazione, rete e HVAC. I piani di continuità aziendale e disaster recovery per i servizi AWS sono stati convalidati in modo indipendente come parte del loro report SOC 2 Type 2 e della certificazione ISO 27001.
La documentazione sulla conformità e i report di audit di AWS sono disponibili al pubblico su AWS Cloud Compliance Page e AWS Artifacts Portal.
Rete e perimetro
L'infrastruttura di prodotto Actiwise impone più livelli di filtraggio e ispezione su tutte le connessioni nella nostra applicazione web, nei firewall logici e nei gruppi di sicurezza. Gli elenchi di controllo degli accessi a livello di rete sono implementati per impedire l'accesso non autorizzato alla nostra infrastruttura e alle risorse interne del prodotto. Per impostazione predefinita, i firewall sono configurati per negare le connessioni di rete che non sono esplicitamente autorizzate. Le modifiche ai nostri sistemi di rete e perimetrali sono controllate da processi di controllo delle modifiche standard. I set di regole del firewall vengono rivisti periodicamente per garantire che siano configurate solo le connessioni necessarie.
Gestione della configurazione
L'automazione guida la capacità di Actiwise di scalare in base alle esigenze dei nostri clienti e una rigorosa gestione della configurazione è integrata nella nostra elaborazione infrastrutturale quotidiana. L'infrastruttura del prodotto è un ambiente altamente automatizzato che espande la capacità in base alle necessità. Tutte le configurazioni del server sono incorporate in immagini e file di configurazione, che vengono utilizzati quando vengono forniti nuovi contenitori. Ogni contenitore include la propria configurazione rafforzata e le modifiche alla configurazione e alle immagini standard vengono gestite tramite una pipeline di modifica controllata.Le istanze del server sono strettamente controllate dal provisioning al deprovisioning, assicurando che le deviazioni dalle linee di base della configurazione vengano rilevate e ripristinate a una cadenza predefinita. Nel caso in cui un server di produzione si discosti o si allontani dalla configurazione della linea di base, verrà sovrascritto con la linea di base entro 30 minuti. La gestione delle patch viene gestita tramite strumenti di gestione della configurazione automatizzati o rimuovendo le istanze del server che non sono più conformi alla linea di base prevista.
Registrazione
Le azioni e gli eventi che si verificano all'interno dell'applicazione Actiwise vengono registrati in modo coerente e completo. Questi log vengono indicizzati e archiviati in una soluzione di registrazione centrale ospitata nell'ambiente cloud di Actiwise.
I log rilevanti per la sicurezza vengono inoltre conservati, indicizzati e archiviati per facilitare le attività di indagine e risposta.
Il periodo di conservazione dei log dipende dalla natura dei dati registrati.
Sicurezza delle applicazioni
Difese delle applicazioni Web
Tutti i contenuti dei clienti ospitati sulla piattaforma sono protetti da firewall e sicurezza delle applicazioni. Gli strumenti di monitoraggio monitorano attivamente il livello applicativo e possono avvisare su comportamenti dannosi in base al tipo di comportamento e alla frequenza della sessione. Le regole utilizzate per rilevare e bloccare il traffico dannoso sono allineate alle linee guida delle best practice documentate dall'Open Web Application Security Project (OWASP), in particolare l'OWASP Top 10 e raccomandazioni simili. Sono inoltre incorporate protezioni dagli attacchi Distributed Denial of Service (DDoS), contribuendo a garantire che i siti Web dei clienti e altre parti dei prodotti HighLevel siano costantemente disponibili.
Protezione dei dati dei clienti
Classificazione dei dati
In base ai Termini di servizio di Actiwise, i nostri clienti sono tenuti a garantire di acquisire solo informazioni appropriate per supportare i loro processi di marketing, vendite, servizi, gestione dei contenuti e operazioni. I prodotti Actiwise non devono essere utilizzati per raccogliere o archiviare informazioni sensibili, come numeri di carte di credito o di debito, informazioni su conti finanziari, numeri di previdenza sociale, numeri di passaporto, informazioni finanziarie o sanitarie, salvo quanto diversamente consentito.
Separazione degli Account
Actiwise fornisce una soluzione SaaS multi-tenant in cui i dati dei clienti sono logicamente separati utilizzando ID univoci per associare dati e oggetti a clienti specifici. Le regole di autorizzazione sono incorporate nell'architettura di progettazione e convalidate su base continuativa. Inoltre, registriamo l'autenticazione dell'applicazione e le modifiche associate, la disponibilità dell'applicazione e l'accesso e le modifiche dell'utente vengono registrati.
Crittografia
Tutti i dati sono crittografati in transito con TLS versione 1.2 o 1.3 e chiavi da 2.048 bit o superiori. Transport layer security (TLS) è anche un'impostazione predefinita per i clienti che ospitano i loro siti Web sulla piattaforma Actiwise.
Actiwise sfrutta diverse tecnologie per garantire che i dati archiviati siano crittografati a riposo. I dati della piattaforma sono archiviati utilizzando la crittografia AES-256. Le password utente sono sottoposte a hash seguendo le best practice del settore e sono crittografate a riposo.
Gestione delle chiavi
Le chiavi di crittografia per la crittografia in transito e a riposo sono gestite in modo sicuro dalla piattaforma Actiwise. Le chiavi private TLS per la crittografia in transito sono gestite tramite il nostro partner di distribuzione dei contenuti. Le chiavi di crittografia a livello di volume e di campo per la crittografia a riposo sono archiviate in un Key Management System (KMS) rafforzato. Le chiavi vengono ruotate a frequenze variabili, a seconda della sensibilità dei dati che gestiscono. In generale, i certificati TLS vengono rinnovati annualmente. Al momento, Actiwise non è in grado di utilizzare le chiavi di crittografia fornite dal cliente.
Controllo dell'identità e degli accessi
Gestione degli utenti del prodotto
I prodotti Actiwise consentono regole di autorizzazione granulari. I clienti sono autorizzati a creare e gestire gli utenti nei loro portali, assegnare i privilegi appropriati e limitare l'accesso come ritengono opportuno.
Protezioni di accesso al prodotto
I prodotti Actiwise consentono agli utenti di accedere ai propri account Actiwise utilizzando l'accesso nativo Actiwise. L'accesso nativo impone una politica di password uniforme che richiede un minimo di 8 caratteri e una combinazione di lettere minuscole e maiuscole, caratteri speciali e numeri. Le persone che utilizzano l'accesso nativo di Actiwise non possono modificare la politica di password predefinita. I clienti che utilizzano l'accesso integrato di Actiwise sono protetti dall'autenticazione a due fattori per i propri account Actiwise. Gli amministratori del portale possono richiedere a tutti gli utenti di abilitare l'autenticazione a due fattori.
Conformità
Elaborazione e conservazione dei dati sensibili
Si prega di consultare i nostri Termini di servizio e l'Informativa sulla privacy per ulteriori informazioni su come e perché elaboriamo i dati. Si prega di notare che, mentre i clienti di Actiwise possono pagare i servizi tramite carta di credito, Actiwise non memorizza, elabora o raccoglie le informazioni sulla carta di credito inviateci dai clienti e non siamo conformi allo standard PCI-DSS. Utilizziamo processori di carte di pagamento conformi allo standard PCI per garantire che le nostre transazioni di pagamento siano gestite in modo sicuro.
Ambito e utilizzo del documento
Questo documento è inteso come una risorsa per i nostri clienti. Non intende creare un obbligo vincolante o contrattuale tra Actiwise e alcuna parte, o modificare, alterare o rivedere alcun accordo esistente tra le parti. Actiwise sta migliorando costantemente le protezioni che abbiamo implementato, quindi le nostre procedure potrebbero essere soggette a modifiche.
Esplora
Funnel di Vendita
Siti Web
Email Marketing
Flussi di Lavoro
Automazioni delle Chat
CRM
Corsi Online
Form e Quiz
Analytics
Pagine Utili
Politica di Cancellazione
Politica di Rimborso
Termini Affiliazione
Risorse
Diventa un Affiliato
Guarda la Demo
Aiuto
Login App Actiwise
Supporto Tecnico
Prenota l'Onboarding
Fatturazione
Copyright©2024 ActiWise. Tutti i Diritti Riservati - Non sono ammesse copie, anche parziali, dei contenuti e/o immagini presenti in questo sito web