Introduzione

Zoho fornisce prodotti Software-as-a-Service (SaaS) a milioni di utenti in tutto il mondo per risolvere i loro problemi aziendali. La sicurezza è una componente chiave nelle nostre offerte e si riflette nel nostro personale, nei processi e nei prodotti. In questa pagina vengono trattati argomenti quali la sicurezza dei dati, la sicurezza operativa e la sicurezza fisica, per spiegare in che modo offriamo sicurezza ai nostri clienti.

Aggiornato il: 29 ottobre 2019

Panoramica

La nostra strategia di sicurezza riguarda i seguenti componenti

  •   Sicurezza dell'organizzazione
  •   Sicurezza fisica
  •   Sicurezza dell'infrastruttura
  •   Sicurezza dei dati
  •   Controllo delle identità e degli accessi
  •   Sicurezza operativa
  •   Gestione degli incidenti
  •   Divulgazioni responsabili
  •   Gestione dei fornitori
  •   Controlli per la sicurezza del cliente

Sicurezza dell'organizzazione

Abbiamo implementato un sistema di gestione della sicurezza delle informazioni (ISMS) che tiene conto dei nostri obiettivi di sicurezza e dei rischi e delle mitigazioni riguardanti tutte le parti interessate. Ci avvaliamo di criteri e procedure rigorose che includono la sicurezza, la disponibilità, l'elaborazione, l'integrità e la riservatezza dei dati dei clienti.

Verifiche sui precedenti dei dipendenti

Ogni dipendente è sottoposto a un processo di verifica dei suoi trascorsi. Ci avvaliamo di rinomate agenzie esterne per effettuare questo controllo per nostro conto. Lo facciamo per verificare i casellari giudiziari, le precedenti esperienze lavorative, se presenti, e i titoli di studio. Fino a quando non viene eseguito questo controllo, al dipendente non vengono assegnate attività che possono comportare rischi per gli utenti. 

Consapevolezza della sicurezza

Ogni dipendente, al momento dell'assunzione, firma un accordo di riservatezza e una politica di utilizzo accettabile, dopo la quale partecipa alla formazione relativa alla sicurezza delle informazioni, alla privacy e alla conformità. Inoltre, valutiamo il livello di formazione del dipendente attraverso test e quiz per determinare in quali argomenti necessita di ulteriore formazione. Forniamo formazione su aspetti specifici della sicurezza, dei quali il dipendente potrebbe aver bisogno in base al proprio ruolo.

Formiamo continuamente i nostri dipendenti in materia di sicurezza delle informazioni, privacy e conformità nella nostra community interna, alla quale i nostri dipendenti effettuano regolarmente l'accesso, per tenerli aggiornati sulle pratiche di sicurezza dell'organizzazione. Organizziamo inoltre eventi interni per aumentare la consapevolezza e promuovere l'innovazione in termini di sicurezza e privacy.

Team dedicati alla sicurezza e alla privacy

Disponiamo di team dedicati alla sicurezza e alla privacy che implementano e gestiscono i nostri programmi di sicurezza e privacy. Progettano e gestiscono i nostri sistemi di difesa, sviluppano processi di revisione per la sicurezza e monitorano costantemente le nostre reti per rilevare attività sospette. Forniscono servizi di consulenza e linee guida specifici per il dominio ai nostri team di progettazione.

Verifica interna e conformità

Disponiamo di un team per la conformità dedicato, che si occupa di rivedere le procedure e le policy di Zoho, al fine di allinearle agli standard e determinare quali controlli, processi e sistemi siano necessari per soddisfare tali standard. Questo team effettua anche verifiche interne periodiche e facilita verifiche e valutazioni indipendenti da parte di terze parti.

Per ulteriori dettagli, consulta il nostro portafoglio di prodotti per la conformità.

Sicurezza endpoint

Tutte le postazioni di lavoro rilasciate ai dipendenti di Zoho eseguono una versione del sistema operativo aggiornata e sono configurate con un software antivirus. Sono configurate in modo da rispettare i nostri standard di sicurezza, che richiedono che tutte le postazioni di lavoro siano correttamente configurate, installate con le patch applicate e monitorate dalle soluzioni di gestione degli endpoint di Zoho. Queste postazioni di lavoro sono sicure per impostazione predefinita, in quanto configurate per crittografare i dati inattivi, dispongono di password complesse e si bloccano se inattive. I dispositivi mobili utilizzati per scopi aziendali sono registrati nel sistema di gestione dei dispositivi mobili, per garantire che soddisfino i nostri standard di sicurezza.

Sicurezza fisica

Nell'ambiente di lavoro

Controlliamo l'accesso alle nostre risorse (edifici, infrastrutture e strutture), che include il consumo, l'ingresso e l'utilizzo, tramite schede di accesso. Forniamo a dipendenti, appaltatori, fornitori e visitatori diverse schede di accesso che consentono l'accesso solo per gli scopi specifici di ingresso nelle strutture. Il team delle Risorse Umane (RU) stabilisce e gestisce scopi specifici per i ruoli. Manteniamo registri di accesso per individuare e risolvere le anomalie. 

Presso i data center

Nei nostri data center, un provider di co-ubicazione si assume la responsabilità della sicurezza di edifici, raffreddamento, alimentazione e fisica, mentre noi forniamo i server e i dispositivi di archiviazione. L'accesso ai data center è limitato a un ridotto personale autorizzato. Qualsiasi altro accesso viene generato come ticket e consentito solo previa approvazione dei rispettivi responsabili. Per accedere ai locali sono necessarie anche l'autenticazione a due fattori e l'autenticazione biometrica. I registri di accesso, i record delle attività e le riprese della videosorveglianza sono disponibili in caso di incidenti.

Monitoraggio

Monitoriamo tutti i movimenti in entrata e uscita in tutte le nostre sedi, in tutti i nostri business center e data center tramite telecamere a circuito chiuso implementate in conformità alle normative locali. Il backup delle riprese è disponibile fino a un determinato periodo, a seconda dei requisiti di una data posizione.

Sicurezza dell'infrastruttura

Sicurezza della rete

Le nostre tecniche di sicurezza e monitoraggio della rete sono progettate per fornire più livelli di protezione e difesa. Utilizziamo i firewall per impedire gli accessi non autorizzati alla nostra rete e il traffico indesiderato. I nostri sistemi sono suddivisi in reti separate per proteggere i dati sensibili. I sistemi che supportano le attività di test e sviluppo sono ospitati in una rete separata rispetto ai sistemi che supportano l'infrastruttura di produzione di Zoho.

Monitoriamo l'accesso al firewall con una pianificazione rigorosa e regolare. Un ingegnere di rete esamina ogni giorno tutte le modifiche apportate al firewall. Inoltre, queste modifiche vengono revisionate ogni tre mesi per aggiornare e rivedere le regole. Il nostro team dedicato del Network Operations Center monitora l'infrastruttura e le applicazioni per rilevare eventuali discrepanze o attività sospette. Tutti i parametri cruciali vengono costantemente monitorati tramite il nostro strumento proprietario e le notifiche si attivano in qualsiasi caso di attività anomale o sospette nel nostro ambiente di produzione.

Ridondanza di rete

Tutti i componenti della nostra piattaforma sono ridondanti. Utilizziamo un'architettura di griglie distribuita per proteggere il nostro sistema e i nostri servizi da possibili errori dei server. In tal caso, gli utenti possono continuare a lavorare come di consueto perché i loro dati e i servizi Zoho saranno comunque disponibili.

Inoltre, utilizziamo più switch, router e gateway di sicurezza per garantire la ridondanza a livello di dispositivo. In questo modo, si evitano guasti in singoli punti della rete interna.

Prevenzione degli attacchi DDoS

Utilizziamo tecnologie di fornitori di servizi consolidati e affidabili per prevenire gli attacchi DDoS ai nostri server. Queste tecnologie offrono molteplici funzionalità di mitigazione degli attacchi DDoS, per evitare interruzioni causate da traffico dannoso, consentendo al contempo un buon traffico. In questo modo, i nostri siti web, le nostre applicazioni e le nostre API sono sempre disponibili e performanti.

Protezione avanzata dei server

Tutti i server sottoposti a provisioning per le attività di sviluppo e test vengono rafforzati (disattivando le porte e gli account inutilizzati, rimuovendo le password predefinite, ecc.). L'immagine del sistema operativo (SO) di base è dotata di un potenziamento del server integrato e l'immagine di questo sistema operativo viene fornita nei server, per garantire la coerenza tra i server.

Rilevamento e prevenzione delle intrusioni

Il nostro meccanismo di rilevamento delle intrusioni prende nota dei segnali basati su host su singoli dispositivi e segnali basati sulla rete, provenienti da punti di monitoraggio all'interno dei nostri server. L'accesso amministrativo, l'uso di comandi privilegiati e le chiamate di sistema su tutti i server della nostra rete di produzione vengono registrati. Le regole e l'intelligenza delle macchine basate su questi dati forniscono ai tecnici della sicurezza avvisi di possibili incidenti. A livello di applicazione, abbiamo il nostro WAF proprietario che opera su regole di whitelist e blacklist.

A livello dei provider di servizi Internet (ISP), viene implementato un approccio di sicurezza multilivello con la pulitura, il routing di rete, la limitazione della velocità e il filtraggio, per gestire gli attacchi dal livello di rete al livello di applicazione. Questo sistema fornisce traffico pulito, un servizio proxy affidabile e, se presente, una rapida creazione di report sugli attacchi. 

Sicurezza dei dati

Sicurezza fin dalla progettazione

Ogni modifica e nuova funzione è regolamentata da una policy di gestione delle modifiche, per garantire che tutte le modifiche alle applicazioni siano autorizzate prima dell'implementazione nell'ambiente di produzione. Il nostro ciclo di sviluppo del software (SDLC) impone la conformità alle linee guida sulla codifica sicura, nonché lo screening delle modifiche al codice per potenziali problemi di sicurezza con i nostri strumenti di analisi dei codici, gli scanner per le vulnerabilità e i processi di revisione manuale.

Il nostro solido framework di sicurezza basato sugli standard OWASP, implementato a livello di applicazione, fornisce funzionalità per mitigare minacce quali SQL injection, Cross-Site Scripting e attacchi DOS a livello di applicazione. 

Isolamento dei dati

Il nostro framework distribuisce e mantiene lo spazio sul cloud per i nostri clienti. I dati relativi all'assistenza di ciascun cliente sono separati in modo logico rispetto ai dati di altri clienti utilizzando una serie di protocolli sicuri nel framework. Ciò garantisce che nessuno dei dati relativi all'assistenza dei clienti sarà accessibili per un altro cliente.

I dati relativi all'assistenza vengono memorizzati sui nostri server quando utilizzi i nostri servizi. I tuoi dati sono di tua proprietà e non di Zoho. Non condividiamo questi dati con terze parti senza il tuo consenso.

Crittografia

In transito: tutti i dati dei clienti trasmessi ai nostri server tramite reti pubbliche sono protetti mediante protocolli di crittografia complessi. Imponiamo a tutte le connessioni ai nostri server di utilizzare la crittografia Transport Layer Security (TLS 1.2/1.3) con una crittografia avanzata, per tutte le connessioni, come l'accesso Web, l'accesso alle API, le nostre app mobili e l'accesso ai client e-mail IMAP/POP/SMTP. Ciò garantisce una connessione sicura consentendo l'autenticazione di entrambe le parti coinvolte nella connessione e crittografando i dati da trasferire. Inoltre, per l'e-mail, per impostazione predefinita, i nostri servizi sfruttano il TLS opportunistico. Il TLS crittografa e invia le e-mail in modo sicuro, mitigando le intercettazioni tra i server di posta in cui i servizi peer supportano questo protocollo.

Disponiamo del supporto completo per Perfect Forward Secrecy (PFS) con le nostre connessioni crittografate, il che ci garantisce che, anche se in futuro ci fosse qualche compromissione, nessuna comunicazione precedente verrebbe decifrata. Abbiamo abilitato l'intestazione HTTP Strict Transport Security (HSTS) in tutte le nostre connessioni Web. Indica a tutti i browser moderni di connettersi a noi solo tramite una connessione crittografata, anche se sul nostro sito digiti un URL a una pagina non sicura. Inoltre, sul Web, tutti i nostri cookie di autenticazione vengono contrassegnati come sicuri.

Inattivi: i dati inattivi dei clienti vengono crittografati tramite AES (Advanced Encryption Standard) a 256 bit. Possediamo e gestiamo le chiavi utilizzando il nostro Servizio di gestione delle chiavi (KMS) interno. Forniamo ulteriori livelli di sicurezza crittografando le chiavi di crittografia dei dati utilizzando le chiavi master. Le chiavi master e le chiavi di crittografia dei dati sono fisicamente separate e memorizzate in server diversi con accesso limitato.

Crittografiamo i dati su due livelli principali:

  1. 1. Crittografia a livello di applicazione: crittografia di database relazionali, archivi di file, backup, registri e cache
  2. 2. Crittografia completa del disco basata su hardware

Fai clic qui per informazioni dettagliate sulla crittografia in Zoho.

Conservazione e smaltimento dei dati

Conserviamo i dati nel tuo account per l'arco di tempo per cui scegli di utilizzare Zoho Services. Una volta chiuso il tuo account utente Zoho, i tuoi dati saranno eliminati dal database attivo durante la successiva pulizia una volta ogni 6 mesi. I dati eliminati dal database attivo saranno eliminati dai backup dopo 3 mesi. Nel caso in cui l'account resti inattivo per un periodo continuo di 120 giorni, l'account verrà chiuso dopo aver informato l'utente e dopo aver concesso l'opzione di eseguire il backup dei suoi dati.

Un fornitore verificato e autorizzato esegue lo smaltimento dei dispositivi inutilizzabili. Fino a quel momento, li classificheremo e li conserveremo in un luogo sicuro. Qualsiasi informazione contenuta all'interno dei dispositivi viene eliminata prima dello smaltimento. Smagnetizziamo i dischi rigidi guasti e poi li distruggiamo fisicamente utilizzando una macchina distruggidocumenti. Cripto-cancelliamo e distruggiamo i dispositivi a stato solido (SSD) guasti.

Controllo delle identità e degli accessi

Single Sign-On (SSO)

Zoho offre il Single Sign-On (SSO), che consente agli utenti di accedere a più servizi utilizzando la stessa pagina di accesso e le stesse credenziali di autenticazione. Quando accedi a un servizio Zoho, ciò avviene solo tramite il nostro servizio IAM (gestione delle identità e degli accessi) integrato. Inoltre, supportiamo SAML per il Single Sign-On, che consente ai clienti di integrare il provider di identità della loro azienda come LDAP, ADFS quando accedono ai servizi Zoho

L'SSO semplifica il processo di accesso, garantisce la conformità, fornisce efficaci funzionalità di controllo degli accessi e generazione dei report, ottimizza la gestione delle password e, di conseguenza, le password deboli.

Autenticazione multifattore

Fornisce un ulteriore livello di sicurezza, richiedendo una verifica aggiuntiva di cui l'utente deve disporre, oltre alla password. Ciò può ridurre notevolmente il rischio di accessi non autorizzati se la password di un utente è compromessa. Attualmente sono supportate diverse modalità, quali Touch ID o Face ID biometrico, le notifiche push, il codice QR e la OTP a tempo.

Accesso amministrativo

Ci avvaliamo di controlli degli accessi tecnici e di policy interne per impedire ai dipendenti di accedere arbitrariamente ai dati degli utenti. Rispettiamo i principi dei privilegi minimi e delle autorizzazioni basate sui ruoli per ridurre al minimo il rischio di esposizione dei dati.

L'accesso agli ambienti di produzione viene gestito da una directory centrale e autenticato utilizzando una combinazione di password complesse, l'autenticazione a due fattori e chiavi SSH protette da passphrase. Inoltre, semplifichiamo tale accesso attraverso una rete separata con regole più severe e dispositivi rafforzati. Inoltre, registriamo tutte le operazioni e le verifichiamo periodicamente.

Sicurezza operativa

Registrazione e monitoraggio

Monitoriamo e analizziamo le informazioni raccolte dai servizi, dal traffico interno nella nostra rete e dall'utilizzo di dispositivi e terminali. Registriamo queste informazioni sotto forma di registri di eventi, verifica, errori, amministratori e operatori. Questi registri vengono monitorati e analizzati automaticamente in misura ragionevole, in modo da identificare anomalie, quali attività insolite negli account dei dipendenti o tentativi di accesso ai dati dei clienti. Archiviamo questi registri su un server sicuro isolato dall'accesso completo al sistema, per gestire il controllo degli accessi in modo centralizzato e garantire la disponibilità. 

La registrazione della procedura di verifica dettagliata, che copre tutte le operazioni di aggiornamento ed eliminazione eseguite dall'utente è disponibile per i clienti in ogni servizio Zoho.

Gestione delle vulnerabilità

Disponiamo di un processo dedicato per la gestione delle vulnerabilità, che esegue la scansione attiva delle minacce alla sicurezza utilizzando una combinazione di strumenti di scansione certificati di terze parti e strumenti interni, con attività automatizzate ed esecuzione di penetration test manuali. Inoltre, il nostro team addetto alla sicurezza esamina attivamente i report sulla sicurezza in entrata e monitora mailing list pubbliche, post di blog e wiki per individuare gli incidenti di sicurezza che potrebbero influire sull'infrastruttura aziendale.

Una volta identificata una vulnerabilità che richiede una correzione, questa viene registrata, le vengono assegnati una priorità in base alla gravità e un proprietario. Identifichiamo ulteriormente i rischi associati e monitoriamo la vulnerabilità fino alla sua risoluzione, applicando patch ai sistemi vulnerabili o controlli pertinenti.

Protezione da malware e spam

Eseguiamo la scansione di tutti i file degli utenti utilizzando il nostro sistema di scansione automatizzato progettato per impedire la diffusione dei malware nell'ecosistema di Zoho. Il nostro motore anti-malware personalizzato riceve aggiornamenti regolari da fonti esterne di intelligence sulle minacce ed esegue la scansione dei file in base a firme e modelli dannosi inseriti nella blacklist. Inoltre, il nostro motore di rilevamento proprietario, unito alle tecniche di apprendimento automatico, garantisce la protezione dei dati dei clienti da malware. 

Zoho supporta il sistema Domain-based Message Authentication, Reporting, and Conformance (DMARC) come modo per prevenire lo spam. DMARC utilizza SPF e DKIM per verificare che i messaggi siano autentici. Utilizziamo anche il nostro motore di rilevamento proprietario per identificare abusi dei servizi Zoho, come attività di phishing e spam. Inoltre, disponiamo di un team anti-spam dedicato per monitorare i segnali provenienti dal software e gestire i reclami in caso di abusi. Per ulteriori informazioni, fai clic qui

Backup

Eseguiamo backup completi una volta alla settimana e backup incrementali ogni giorno. I dati di backup in un DC vengono memorizzati nella stessa posizione e crittografati da inattivi, come i dati originali. Inoltre, ripristiniamo e convalidiamo i backup ogni settimana. Tutti i dati di backup vengono conservati per tre mesi.

Se un cliente richiede il ripristino dei dati nel periodo di conservazione, ripristineremo i dati dal backup e li renderemo disponibili.

Ripristino di emergenza e continuità del servizio

I dati delle applicazioni vengono memorizzati su un archivio resiliente che viene replicato nei data center. I dati nel DC primario vengono replicati in quello secondario quasi in tempo reale. In caso di guasto del DC primario, il DC secondario assume il controllo e le operazioni vengono eseguite in modo fluido, con una perdita di tempo minima o nulla. Entrambi i centri sono dotati di più ISP.

Disponiamo di sistemi di back-up dell'alimentazione, di controllo della temperatura e di prevenzione da incendi come misure fisiche per garantire la continuità aziendale. Queste misure ci aiutano a ottenere resilienza. Oltre alla ridondanza dei dati, abbiamo un piano di continuità aziendale per le nostre principali operazioni, come il supporto e la gestione dell'infrastruttura.

Gestione degli incidenti

Creazione di report

Disponiamo di un team dedicato per la gestione degli incidenti. Ti informiamo degli incidenti nel nostro ambiente che ti riguardano, fornendoti le azioni che potresti dover intraprendere. Monitoriamo e risolviamo gli incidenti con le opportune azioni correttive. Ove applicabile, ti forniremo le prove necessarie in merito agli incidenti che ti riguardano. Inoltre, implementiamo controlli per evitare che si ripetano situazioni simili.

Rispondiamo agli incidenti di sicurezza o privacy che ci segnalate tramite incidents@zoocorp.com con un'elevata priorità. In caso di incidenti generali, avviseremo gli utenti tramite i nostri blog, forum e social media. In caso di incidenti specifici di un singolo utente o di un'organizzazione, avviseremo la parte interessata tramite e-mail (utilizzando il suo indirizzo e-mail principale o dell'amministratore dell'organizzazione registrato sul nostro sistema). 

Notifica di violazione

In qualità di titolari del trattamento dei dati, comunichiamo all'autorità competente interessata in materia di protezione dei dati una violazione entro 72 ore dal suo rilevamento, ai sensi del Regolamento generale sulla protezione dei dati (GDPR). A seconda dei requisiti specifici, avvisiamo anche i clienti, se necessario. In qualità di responsabili del trattamento dei dati, informiamo i titolari del trattamento dei dati interessati senza ritardi ingiustificati. 

Divulgazione responsabile

È in atto un programma di segnalazione delle vulnerabilità in "Bug Bounty", per raggiungere la community di ricercatori, che riconosce e premia il lavoro dei ricercatori nel campo della sicurezza. Ci impegniamo a collaborare con la community per verificare, riprodurre, rispondere, legittimare e implementare soluzioni appropriate alle vulnerabilità segnalate.

Se ti capita di rilevarne qualcuna, segnala il problema all'indirizzo https://bugbounty.zoho.com/. Se desideri segnalare direttamente le vulnerabilità, inviaci un'e-mail all'indirizzo security@zohocorp.com. 

Gestione di fornitori e fornitori di terze parti

Valutiamo e qualifichiamo i nostri fornitori in base alla nostra policy di gestione dei fornitori. Integriamo nuovi fornitori dopo aver compreso i loro processi di fornitura del servizio e aver eseguito le valutazioni dei rischi. Adottiamo le misure appropriate per garantire il mantenimento della nostra posizione di sicurezza, stabilendo accordi che impongano ai fornitori di rispettare gli impegni di riservatezza, disponibilità e integrità che abbiamo preso nei confronti dei nostri clienti. Monitoriamo l'effettivo funzionamento dei processi e delle misure di sicurezza dell'organizzazione effettuando revisioni periodiche dei controlli.

Controlli per la sicurezza del cliente

Finora abbiamo discusso di cosa facciamo noi per offrire sicurezza ai nostri clienti su vari fronti. Ecco, invece, le cose che tu, in quanto cliente, puoi fare per garantire la sicurezza:

  •   Scegli una password complessa e univoca e proteggila.
  •   Usa l'autenticazione multifattore
  •   Utilizza le versioni più recenti dei browser, dei sistemi operativi mobili e applicazioni mobili aggiornate, per garantire che siano loro applicate patch per la protezione contro le vulnerabilità e utilizzare le funzioni di sicurezza più recenti
  •   Adotta ragionevoli precauzioni durante la condivisione dei dati dal nostro ambiente cloud.
  •   Classifica le tue informazioni in dati personali o sensibili ed etichetta i dati di conseguenza.
  •   Monitora i dispositivi collegati al tuo account, le sessioni Web attive e l'accesso di terze parti, per individuare anomalie nelle attività del tuo account e gestire ruoli e privilegi corrispondenti.
  •   Sii consapevole delle minacce di phishing e malware facendo attenzione a indirizzi e-mail, siti Web e collegamenti sconosciuti che potrebbero sfruttare le tue informazioni sensibili spacciandosi per Zoho o per altri servizi di cui ti fidi.

Conclusione

La sicurezza dei tuoi dati è un tuo diritto e un'interminabile missione per Zoho. Continueremo a lavorare sodo per tenere al sicuro i tuoi dati, come abbiamo sempre fatto. Per ulteriori domande su questo argomento, non esitare a contattarci all'indirizzo security@zohocorp.com.