Vai al contenuto principale

Panoramica

Wave Connect prende la sicurezza sul serio. Implementiamo pratiche di sicurezza di settore su infrastruttura, sviluppo applicativo, gestione degli accessi e operazioni dei dipendenti per proteggere i tuoi dati e quelli del tuo team. Per ulteriori dettagli, visita security.wavecnct.com.

Conformità e certificazioni

Standard di sicurezza seguiti (non certificati, ma allineati):
  • OWASP Top 10
  • CSA CAIQ
  • CIS benchmarks
  • Pratiche allineate a NIST

Infrastruttura

L’infrastruttura di Wave è costruita su servizi cloud gestiti, operando sotto un modello di responsabilità condivisa con i nostri provider. L’infrastruttura è progettata per l’alta disponibilità con failover automatico. Tutti i provider mantengono le proprie certificazioni di sicurezza indipendenti (SOC 2, ISO 27001).

Residenza dei dati

  • I dati applicativi dei clienti sono archiviati ed elaborati negli Stati Uniti
  • I dati vengono elaborati solo in regioni approvate
  • I clienti Enterprise possono richiedere informazioni sulle opzioni di residenza dei dati
Un elenco completo dei sub-processori è disponibile nel nostro Accordo per il trattamento dei dati.

Crittografia

In transito
  • TLS 1.3 per tutte le connessioni
  • HTTPS applicato su tutti gli endpoint
  • HSTS abilitato
A riposo
  • Crittografia AES-256 per tutti i dati archiviati
  • Chiavi di crittografia gestite nel cloud tramite Google Cloud KMS
  • Rotazione delle chiavi e controlli di accesso applicati tramite Secret Manager

Gestione identità e accessi

Opzioni di autenticazione
  • Single Sign-On SAML 2.0
  • OpenID Connect (OIDC)
  • Provisioning e deprovisioning automatizzato SCIM 2.0
Autenticazione a più fattori
  • Applicata tramite il tuo provider SSO quando SAML o OIDC è abilitato
Controllo degli accessi basato sui ruoli Minimo privilegio
  • Tutti gli accessi interni seguono il principio del minimo privilegio
  • Revisioni degli accessi trimestrali condotte internamente
  • Deprovisioning automatizzato tramite SCIM quando gli utenti se ne vanno

Sicurezza delle password

  • Requisiti minimi di lunghezza e complessità della password applicati
  • Blocco dell’account dopo ripetuti tentativi di accesso falliti
  • Reimpostazione sicura della password tramite email verificata
  • Timeout della sessione applicato in caso di inattività

Sicurezza delle applicazioni

Ciclo di vita sicuro dello sviluppo
  • Modellazione delle minacce come parte della progettazione delle funzionalità
  • Revisione obbligatoria del codice da parte di pari e approvazione della pull request prima dell’unione
  • Requisiti di sicurezza verificati ad ogni release
  • Processo dedicato di approvazione delle release
Analisi statica e scansione
  • Analisi statica CodeQL su tutte le modifiche al codice
  • Scansione automatizzata delle vulnerabilità delle dipendenze
  • Scansione dei segreti per prevenire la divulgazione di credenziali nel codice
Pratiche di codice sicuro
  • Linee guida OWASP Top 10 seguite
  • Validazione degli input e codifica degli output applicata
  • Aggiornamenti delle dipendenze applicati con cadenza regolare

Gestione delle vulnerabilità

Scansione
  • Scansione continua automatizzata delle dipendenze
  • Scansione delle vulnerabilità dell’infrastruttura
Tempi di gestione delle patch Test di penetrazione
  • Test di penetrazione indipendente da terze parti condotto annualmente
  • I risultati vengono analizzati e risolti secondo le tempistiche di gravità

Monitoraggio e logging

I log raccolti includono:
  • Eventi di autenticazione (login, logout, tentativi falliti)
  • Azioni amministrative (modifiche agli utenti, aggiornamenti delle impostazioni)
  • Attività API
  • Eventi di sicurezza
Monitoraggio
  • Monitoraggio dell’infrastruttura cloud 24/7 tramite Google Cloud Monitoring
  • Allerta automatizzata su anomalie ed eventi di sicurezza
  • Rilevamento di login sospetti

Risposta agli incidenti

Wave mantiene un piano di risposta agli incidenti formale che copre:
  • Classificazione della gravità: Critica, Alta, Media, Bassa
  • Processo di indagine: contenimento, analisi e conservazione delle prove
  • Analisi della causa principale: revisione post-incidente per tutti gli eventi significativi
  • Notifica ai clienti: i clienti interessati vengono notificati tempestivamente in conformità con i requisiti normativi
  • Notifica regolamentare: notifiche di violazione GDPR entro 72 ore dove applicabile
  • Post-mortem: documentati e revisionati internamente dopo incidenti gravi
Per segnalare una vulnerabilità di sicurezza, contatta security@wavecnct.com.

Continuità aziendale e backup

Obiettivi di ripristino
  • RTO (Recovery Time Objective): 4 ore
  • RPO (Recovery Point Objective): 1 ora
Piano di continuità aziendale
  • BCP formale in essere e testato semestralmente
  • Piano di disaster recovery testato regolarmente
Backup
  • Backup automatici giornalieri
  • Backup crittografati a riposo
  • Test di ripristino eseguiti regolarmente
  • Conservazione dei backup allineata alle politiche di classificazione dei dati

Disponibilità

  • Architettura ad alta disponibilità con failover automatico
  • Pagina di stato disponibile su status.wavecnct.com
  • SLA disponibile per i clienti Enterprise

Sicurezza della rete

  • Google Cloud Firewall e Cloud Armor
  • Mitigazione DDoS a livello di rete e applicativo
  • Limitazione della frequenza su tutti gli endpoint API
  • Protezioni allineate a OWASP (injection, XSS, CSRF)
  • Sistemi di rilevamento e prevenzione delle intrusioni (IDS/IPS)

Sicurezza degli endpoint

Tutti i dispositivi dei dipendenti sono soggetti a:
  • Crittografia completa del disco
  • Politica di gestione dei dispositivi aziendali
  • Antivirus e protezione degli endpoint
  • Aggiornamenti automatici del sistema operativo e di sicurezza
  • Blocco schermo applicato
  • Requisiti minimi del dispositivo per l’accesso remoto

Sicurezza fisica

Wave è un’azienda remote-first. Non ci sono data center on-premise. La sicurezza fisica dell’infrastruttura è gestita da Google Cloud, i cui data center sono certificati in modo indipendente secondo ISO 27001, SOC 2 e altri standard. I dipendenti seguono i requisiti di sicurezza per l’ufficio domestico, e i dispositivi vengono smaltiti in modo sicuro a fine vita.

Sicurezza dei dipendenti

  • Controlli dei precedenti condotti per tutti i dipendenti
  • Formazione sulla consapevolezza della sicurezza all’onboarding
  • Formazione trimestrale su sicurezza e privacy
  • Politica di uso accettabile firmata da tutti i dipendenti
  • Accordi di riservatezza in vigore

Sicurezza dei fornitori

Wave mantiene un programma di gestione del rischio dei fornitori. I provider terzi vengono esaminati prima dell’onboarding e valutati in base alla loro postura di sicurezza (report SOC 2, questionari di sicurezza e valutazioni dei fornitori). Sub-processori principali Elenco completo dei sub-processori disponibile nel nostro Accordo per il trattamento dei dati.

Sicurezza AI

Wave utilizza l’AI nelle seguenti funzionalità:
  • Scanner universale per badge: OCR per estrarre informazioni di contatto da biglietti da visita e badge per eventi
  • Arricchimento dei contatti: completamento dei campi del profilo mancanti da fonti pubbliche
  • Moderazione dei contenuti: rilevamento di contenuti che violano le politiche sui profili
Dichiarazioni chiave:
  • I dati dei clienti non vengono utilizzati per addestrare modelli AI
  • Le funzionalità AI possono essere disabilitate dove applicabile
  • I provider AI sono indicati nel nostro elenco di sub-processori

Classificazione dei dati


Protezione dei dati

  • Isolamento logico del tenant: i dati di ogni organizzazione sono separati a livello di applicazione e database
  • Il controllo degli accessi basato sui ruoli impedisce l’accesso ai dati cross-tenant
  • Logging di audit per tutte le operazioni sensibili
  • Principi di minimizzazione dei dati applicati alla raccolta

Funzionalità di sicurezza Enterprise

Single Sign-On (SAML)

Autentica gli utenti tramite il tuo identity provider via SAML 2.0 o OIDC.

Sincronizzazione directory (SCIM)

Automatizza il provisioning, deprovisioning e la mappatura dei team degli utenti.

Domini personalizzati

Usa il tuo dominio per i profili Wave e i link di condivisione.