Centro fiduciarioNetworks Nozomi

Sicurezza del personale

Nozomi Networks pone una forte enfasi sulla sicurezza del personale per garantire la protezione del proprio patrimonio informativo.

Politiche

L'azienda ha sviluppato una serie completa di politiche di sicurezza che coprono un'ampia gamma di argomenti. Queste politiche sono condivise e rese disponibili a tutti i dipendenti e collaboratori che hanno accesso alle risorse informative di Nozomi Networks.

Formazione e sensibilizzazione

Uno dei componenti chiave della sicurezza del personale di Nozomi Networks è il programma di formazione sulla sicurezza. Tutti i dipendenti sono tenuti a partecipare a questa formazione al momento dell'assunzione e successivamente ogni anno. Inoltre, il team di sicurezza fornisce regolarmente aggiornamenti sulla sicurezza attraverso vari canali.

Controlli dei precedenti

La verifica dei dipendenti è un altro aspetto critico delle pratiche di sicurezza del personale di Nozomi Networks. L'azienda esegue controlli su tutti i nuovi dipendenti in conformità alle leggi locali. Questi controlli sono richiesti anche per gli appaltatori e comprendono verifiche penali, di istruzione e di impiego.

Accordi di non divulgazione (NDA)

Tutti i nuovi assunti sono tenuti a firmare accordi di non divulgazione e riservatezza per proteggere le informazioni sensibili.

Processi di onboarding e offboarding

Nozomi Networks ha requisiti rigorosi di onboarding e offboarding per garantire l'accesso appropriato (e la revoca) alle risorse informative.

Sicurezza aziendale

Nozomi Networks si impegna a garantire il massimo livello di sicurezza informatica aziendale. Ecco come affrontiamo i vari aspetti della sicurezza informatica:

Sicurezza Endpoint

Agli endpoint collegati ai sistemi di Nozomi Networks vengono applicati controlli rigorosi, soprattutto quelli che hanno accesso a informazioni sensibili. Si tratta di una parte integrante del quadro generale della sicurezza informatica.

Monitoraggio e registrazione

Il monitoraggio continuo registra tutti gli accessi al database e invia i log a un sistema centralizzato. L'accesso amministrativo, l'uso di comandi privilegiati e altre attività di accesso vengono registrate e conservate. Le informazioni di registro sono protette da manomissioni e accessi non autorizzati.

Protezione da malware

I server e i dispositivi endpoint , come laptop e desktop, sono protetti e monitorati da malware, codici maligni e applicazioni non sicure grazie alla distribuzione di una serie di strumenti di protezione.

Sicurezza fisica

L'accesso agli uffici, alle sale computer e alle aree di lavoro contenenti informazioni sensibili è fisicamente limitato al solo personale autorizzato. I dipendenti utilizzano tessere di accesso per entrare negli uffici e tengono un registro dei visitatori. Sono presenti telecamere di sorveglianza e misure di sicurezza per monitorare gli edifici. Vengono condotti controlli sulla sicurezza fisica.

Controllo degli accessi

Nozomi Networks garantisce che agli utenti sia concesso l'accesso solo alla rete, ai sistemi, alle applicazioni e ai servizi di rete che sono stati specificamente autorizzati a utilizzare. L'accesso al sistema viene controllato, registrato e verificato per mantenere la sicurezza e la conformità.

Per ridurre ulteriormente il rischio di accesso non autorizzato ai dati, il modello di controllo degli accessi di Nozomi Networks si basa sul controllo degli accessi basato sui ruoli (RBAC) per creare una separazione dei compiti. I principi del minor privilegio sono rigorosamente applicati.

Nozomi Networks impiega l'autenticazione a più fattori (MFA) per tutti gli accessi ai sistemi contenenti dati dei clienti. Tutti i dipendenti sono tenuti a utilizzare un gestore di password approvato. Questi gestori di password generano, memorizzano e inseriscono password uniche e complesse per prevenire il riutilizzo delle password, il phishing e altri rischi legati alle password. Per gestire l'accesso a questi account viene utilizzato uno strumento di autenticazione.

Gestione della catena di approvvigionamento

Nozomi Networks si impegna a mantenere una catena di fornitura sicura e affidabile, monitorando e valutando costantemente tutti i subelaboratori di dati. Utilizziamo una serie di parametri per valutare ed esaminare le prestazioni e la conformità dei nostri subelaboratori.

Nell'ambito delle nostre attività, Nozomi Networks collabora solo con subprocessori terzi certificati. Ogni fornitore viene valutato in modo approfondito attraverso il nostro programma di gestione dei rischi delle terze parti, per garantire che sia conforme alle normative obbligatorie sulla privacy e che aderisca alle migliori pratiche in materia di sicurezza. Il team GRC conduce una due diligence per valutare le pratiche di privacy, sicurezza e riservatezza di ciascun fornitore. Questo processo include la stipula di un accordo di non divulgazione per implementare gli obblighi applicabili.

Per garantire la conformità e la sicurezza, tutti i fornitori critici vengono controllati annualmente. Utilizziamo inoltre una piattaforma di gestione dei fornitori come archivio centrale di informazioni, che ci consente di gestire e monitorare in modo efficiente la nostra catena di fornitura. Queste misure ci aiutano a mantenere i più alti standard di sicurezza e affidabilità nelle nostre operazioni.

Gestione del rischio

Nozomi Networks adotta un approccio proattivo alla gestione del rischio per garantire la sicurezza e l'affidabilità dei suoi servizi. Il nostro team conduce regolarmente diverse valutazioni dei rischi sulla struttura aziendale complessiva, sui prodotti, sui nuovi progetti e sulle modifiche proposte. Una volta identificato un rischio, seguiamo un processo completo.

Questo approccio strutturato consente a Nozomi Networks di gestire e mitigare efficacemente i rischi, garantendo i più alti standard di sicurezza per i nostri servizi.

Identificare il rischio

Iniziamo identificando il rischio e comprendendo come si riferisce ai servizi e all'azienda di Nozomi Networks.

Valutare il rischio

Quindi valutiamo o classifichiamo il rischio per ottenere una visione olistica della potenziale esposizione dell'intera organizzazione.

Trattare il rischio

Sulla base della valutazione, trattiamo i rischi secondo il processo di trattamento del rischio appropriato.

Monitoraggio e revisione

Infine, monitoriamo e rivediamo continuamente i rischi per tenere sotto controllo tutti i fattori di rischio.

Crittografia dei dati

Crittografia in transito

Tutte le comunicazioni con l'interfaccia utente e le API di Vantage sono crittografate tramite lo standard industriale HTTPS/TLS (TLS 1.2 o superiore).

Crittografia a riposo

I dati del servizio vengono crittografati a riposo in AWS utilizzando la crittografia con chiave AES-256.

Sicurezza delle applicazioni

Codice sicuro

I processi di progettazione hanno utilizzato i principi del codice sicuro, concentrandosi sui 10 rischi di sicurezza OWASP Top.

Quadro dei controlli di sicurezza

Nozomi Networks utilizza framework open-source moderni e sicuri, con controlli di sicurezza integrati per limitare l'esposizione ai rischi di sicurezza della Top 10 di OWASP. Questi controlli intrinseci aiutano a ridurre il rischio di SQL Injection (SQLi), Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF) e altre vulnerabilità.

Ambienti separati

Gli ambienti di test e di staging sono logicamente separati dall'ambiente di produzione. Negli ambienti di sviluppo o di test non vengono utilizzati dati di servizio, mantenendo un ambiente sicuro e controllato a scopo di test.

Gestione delle vulnerabilità

Scansione dinamica delle vulnerabilità

Nozomi Networks utilizza strumenti di sicurezza di terze parti per eseguire una scansione continua e dinamica delle applicazioni principali contro i rischi più comuni per la sicurezza delle applicazioni web, compresi i 10 rischi di sicurezza OWASP Top.

Analisi della composizione del software

Le librerie e le dipendenze utilizzate nei prodotti Nozomi Networks vengono analizzate per identificare e gestire le vulnerabilità, garantendo che tutti i componenti siano sicuri.

Test di penetrazione di terze parti

Oltre agli ampi programmi di scansione e test interni, Nozomi Networks si avvale di esperti di sicurezza di terze parti per eseguire dettagliati test di penetrazione annuali.

Località di hosting dei dati

Nozomi Networks offre ai clienti la flessibilità di scegliere tra più sedi di data center AWS in base alle loro preferenze ed esigenze.

Ciò consente ai clienti di scegliere la sede del datacenter più adatta alle loro esigenze, garantendo prestazioni ottimali, conformità e sovranità dei dati. Offrendo una gamma di opzioni, Nozomi Networks consente ai clienti di prendere decisioni informate sulla sede in cui i loro dati vengono archiviati ed elaborati, migliorando la sicurezza e l'affidabilità complessive.

Il nostro impegno per la privacy

Le nostre pratiche in materia di privacy sono concepite per proteggere le informazioni personali in tutti gli aspetti delle nostre attività. Ciò include i dati relativi a dipendenti, candidati, fornitori, partner, visitatori del sito web, clienti e pagatori. Raccogliamo informazioni personali solo per scopi specifici, espliciti e legittimi, assicurandoci che i dati siano accurati, completi e aggiornati. Implementiamo solide misure tecniche e organizzative per salvaguardare le informazioni personali da accessi non autorizzati, divulgazione, alterazione o distruzione. Vengono condotte verifiche e revisioni periodiche per mantenere la qualità e l'integrità dei dati.

Trasparenza e diritti individuali

La trasparenza è un valore fondamentale per Nozomi Networks. Forniamo alle persone informazioni chiare e accessibili su come vengono raccolte, utilizzate e protette le loro informazioni personali. La nostra politica sulla privacy e gli avvisi sono prontamente disponibili sul nostro sito web e su altre piattaforme pertinenti. Inoltre, mettiamo le persone in condizione di esercitare i propri diritti ai sensi delle leggi sulla privacy, tra cui il diritto di accedere, correggere, cancellare e limitare il trattamento dei propri dati personali. Il nostro impegno per la trasparenza garantisce che i nostri clienti possano affidarci le loro informazioni più sensibili.

Aderendo a questi principi e migliorando continuamente le nostre pratiche in materia di privacy, Nozomi Networks si impegna a salvaguardare le informazioni personali e a garantire il rispetto dei più elevati standard di protezione dei dati.

Governance dell'IA

Nozomi Networks si impegna a sviluppare, implementare e utilizzare in modo responsabile ed etico l'intelligenza artificiale (AI) e le tecnologie di apprendimento automatico (ML). La nostra Politica sull'intelligenza artificiale fornisce linee guida complete per garantire che i nostri sistemi di intelligenza artificiale/ML siano sviluppati e distribuiti in conformità con gli standard normativi, compresa la legge europea sull'intelligenza artificiale. Il nostro Programma si applica a tutti i sistemi AI/ML integrati nel nostro software e nei nostri servizi, nonché a tutti gli strumenti AI di terzi utilizzati all'interno dell'organizzazione.

Il nostro approccio è in linea con i nostri obiettivi di favorire l'innovazione, garantire una condotta responsabile e mantenere la trasparenza e l'aderenza ai requisiti di conformità legale e normativa.

Governance e responsabilità

Nozomi Networks ha creato una solida struttura di governance per supervisionare le nostre iniziative di IA. Abbiamo definito ruoli e responsabilità per la supervisione dei requisiti della politica sull'IA, coinvolgendo la leadership ingegneristica, la conformità, i dipartimenti legali e IT. Sono stati istituiti comitati o commissioni di revisione per valutare le iniziative di IA, assicurando che tutti i progetti di IA siano sottoposti a valutazioni approfondite dei rischi e siano conformi alle normative in evoluzione. Come ad esempio la legge europea sull'IA.

Il nostro impegno per la governance e la responsabilità garantisce che i nostri sistemi di IA operino in modo equo, sicuro ed etico, rafforzando la nostra dedizione a mantenere la fiducia dei nostri stakeholder.