L'applicazione software Sensorfact è basata sul cloud. La nostra intera infrastruttura IT è ospitata in AWS, utilizzando la regione eu-west-1 (Irlanda) per le implementazioni, che è soggetta alle normative UE. Le nostre soluzioni software sono sviluppate all'interno del nostro team di ingegneri e non utilizziamo soluzioni di terzi, a parte i servizi nativi offerti da AWS e i sistemi di archiviazione distribuiti per la nostra piattaforma di misurazione del tempo e di streaming.
Autenticazione e autorizzazione
Possiamo distinguere tra l'accesso dei clienti:
- I clienti possono accedere al portale Web Sensorfact con le credenziali di username e password.
- Il team di Onboarding di Sensorfact crea account con informazioni personali minime (nome, indirizzo e-mail e potenzialmente numero di telefono per gli avvisi).
- Non esiste un tempo di rinnovo automatico per le password.
- L'autenticazione MFA sarà supportata dal terzo trimestre del 2024.
Inoltre, i dipendenti di Sensorfact hanno accesso ai dati dei clienti secondo i principi successivi:
- L'accesso ai dati dei clienti da parte di reparti diversi da quello di Ingegneria è limitato al personale che interagisce con il cliente.
- Gli ingegneri che partecipano ai turni di assistenza hanno accesso a tutti i dati dei clienti, compresi quelli di produzione, per eseguire il debug e la risoluzione di potenziali problemi.
- Utilizziamo il PoLP come principio principale e tutti gli accessi all'infrastruttura e agli strumenti di codifica sono soggetti a MFA e ad accesso dietro una VPN.
- Viene utilizzata l'autenticazione basata sui ruoli.
Gestione dei dati
Alcuni degli aspetti chiave da considerare per la gestione dei dati:
- Tutte le interfacce pubbliche sono criptate (TLS 1.3).
- I dati non sono criptati a riposo.
- I dati dei clienti sono logicamente separati dagli altri dati dei clienti.
- I dati del sensore e quelli dell'utente/cliente (metadati) sono fisicamente archiviati separatamente.
- Backup: backup giornalieri con un tempo di conservazione illimitato.
- I dati personali dei clienti saranno rimossi al termine del contratto secondo le linee guida del GDPR.
Sensorfact dispone di un piano di Disaster Recovery che copre tutti i servizi critici e che viene testato regolarmente (con una frequenza di almeno due volte l'anno).
Piano di risposta agli incidenti
Il piano di risposta alle violazioni dei dati e agli incidenti di sicurezza fa parte del piano di risposta globale per i problemi di produzione e prevede la comunicazione ai clienti interessati con una chiara descrizione dell'impatto e di come è stato risolto.
I turni di assistenza tecnica per la piattaforma e l'IoT sono stabiliti per consentirci di rispondere rapidamente a qualsiasi problema di produzione che potrebbe verificarsi durante l'orario di lavoro.
Misura proattiva
Con frequenza annuale, eseguiamo test di penetrazione e audit di sicurezza dell'infrastruttura, seguiti da un piano d'azione per risolvere i risultati a seconda della gravità. I risultati critici vengono affrontati immediatamente, mentre quelli di minore impatto vengono inseriti nella Product Roadmap per essere affrontati nel corso dell'anno.