Sicurezza - Wave Connect

Panoramica

Wave Connect prende la sicurezza sul serio. Implementiamo pratiche di sicurezza di settore su infrastruttura, sviluppo applicativo, gestione degli accessi e operazioni dei dipendenti per proteggere i tuoi dati e quelli del tuo team. Per ulteriori dettagli, visita security.wavecnct.com.

Conformità e certificazioni

Certificazione	Dettagli
SOC 2 Type II	Certificato. Report disponibile sotto NDA — contatta security@wavecnct.com
CSA STAR Livello 1	Elencato nel registro STAR della Cloud Security Alliance
GDPR	Pienamente conforme. Accordo per il trattamento dei dati disponibile per i clienti enterprise
EU AI Act	Conforme ai requisiti applicabili

Standard di sicurezza seguiti (non certificati, ma allineati):

OWASP Top 10
CSA CAIQ
CIS benchmarks
Pratiche allineate a NIST

Infrastruttura

L’infrastruttura di Wave è costruita su servizi cloud gestiti, operando sotto un modello di responsabilità condivisa con i nostri provider.

Provider	Ruolo
Google Cloud Platform	Infrastruttura applicativa principale, calcolo e rete
Vercel	Distribuzione frontend e rete edge
PlanetScale	Database (compatibile con MySQL, distribuito globalmente)
Cloud Storage	Archiviazione file e asset

L’infrastruttura è progettata per l’alta disponibilità con failover automatico. Tutti i provider mantengono le proprie certificazioni di sicurezza indipendenti (SOC 2, ISO 27001).

Residenza dei dati

I dati applicativi dei clienti sono archiviati ed elaborati negli Stati Uniti
I dati vengono elaborati solo in regioni approvate
I clienti Enterprise possono richiedere informazioni sulle opzioni di residenza dei dati

Un elenco completo dei sub-processori è disponibile nel nostro Accordo per il trattamento dei dati.

Crittografia

In transito

TLS 1.3 per tutte le connessioni
HTTPS applicato su tutti gli endpoint
HSTS abilitato

A riposo

Crittografia AES-256 per tutti i dati archiviati
Chiavi di crittografia gestite nel cloud tramite Google Cloud KMS
Rotazione delle chiavi e controlli di accesso applicati tramite Secret Manager

Gestione identità e accessi

Opzioni di autenticazione

Single Sign-On SAML 2.0
OpenID Connect (OIDC)
Provisioning e deprovisioning automatizzato SCIM 2.0

Autenticazione a più fattori

Applicata tramite il tuo provider SSO quando SAML o OIDC è abilitato

Controllo degli accessi basato sui ruoli

Ruolo	Accesso
Owner	Accesso completo all’account, inclusa fatturazione e gestione del piano
Admin	Gestisce utenti, modelli, contatti e impostazioni
Manager	Gestisce i lead del team e distribuisce i modelli, senza impostazioni aziendali generali
Member	Utilizza il biglietto da visita digitale assegnato e visualizza i propri contatti
Viewer	Accesso in sola lettura

Minimo privilegio

Tutti gli accessi interni seguono il principio del minimo privilegio
Revisioni degli accessi trimestrali condotte internamente
Deprovisioning automatizzato tramite SCIM quando gli utenti se ne vanno

Sicurezza delle password

Requisiti minimi di lunghezza e complessità della password applicati
Blocco dell’account dopo ripetuti tentativi di accesso falliti
Reimpostazione sicura della password tramite email verificata
Timeout della sessione applicato in caso di inattività

Sicurezza delle applicazioni

Ciclo di vita sicuro dello sviluppo

Modellazione delle minacce come parte della progettazione delle funzionalità
Revisione obbligatoria del codice da parte di pari e approvazione della pull request prima dell’unione
Requisiti di sicurezza verificati ad ogni release
Processo dedicato di approvazione delle release

Analisi statica e scansione

Analisi statica CodeQL su tutte le modifiche al codice
Scansione automatizzata delle vulnerabilità delle dipendenze
Scansione dei segreti per prevenire la divulgazione di credenziali nel codice

Pratiche di codice sicuro

Linee guida OWASP Top 10 seguite
Validazione degli input e codifica degli output applicata
Aggiornamenti delle dipendenze applicati con cadenza regolare

Gestione delle vulnerabilità

Scansione

Scansione continua automatizzata delle dipendenze
Scansione delle vulnerabilità dell’infrastruttura

Tempi di gestione delle patch

Gravità	Obiettivo di rimedio
Critica	24 ore
Alta	7 giorni
Media	30 giorni
Bassa	90 giorni

Test di penetrazione

Test di penetrazione indipendente da terze parti condotto annualmente
I risultati vengono analizzati e risolti secondo le tempistiche di gravità

Monitoraggio e logging

I log raccolti includono:

Eventi di autenticazione (login, logout, tentativi falliti)
Azioni amministrative (modifiche agli utenti, aggiornamenti delle impostazioni)
Attività API
Eventi di sicurezza

Monitoraggio

Monitoraggio dell’infrastruttura cloud 24/7 tramite Google Cloud Monitoring
Allerta automatizzata su anomalie ed eventi di sicurezza
Rilevamento di login sospetti

Risposta agli incidenti

Wave mantiene un piano di risposta agli incidenti formale che copre:

Classificazione della gravità: Critica, Alta, Media, Bassa
Processo di indagine: contenimento, analisi e conservazione delle prove
Analisi della causa principale: revisione post-incidente per tutti gli eventi significativi
Notifica ai clienti: i clienti interessati vengono notificati tempestivamente in conformità con i requisiti normativi
Notifica regolamentare: notifiche di violazione GDPR entro 72 ore dove applicabile
Post-mortem: documentati e revisionati internamente dopo incidenti gravi

Per segnalare una vulnerabilità di sicurezza, contatta security@wavecnct.com.

Continuità aziendale e backup

Obiettivi di ripristino

RTO (Recovery Time Objective): 4 ore
RPO (Recovery Point Objective): 1 ora

Piano di continuità aziendale

BCP formale in essere e testato semestralmente
Piano di disaster recovery testato regolarmente

Backup

Backup automatici giornalieri
Backup crittografati a riposo
Test di ripristino eseguiti regolarmente
Conservazione dei backup allineata alle politiche di classificazione dei dati

Disponibilità

Architettura ad alta disponibilità con failover automatico
Pagina di stato disponibile su status.wavecnct.com
SLA disponibile per i clienti Enterprise

Sicurezza della rete

Google Cloud Firewall e Cloud Armor
Mitigazione DDoS a livello di rete e applicativo
Limitazione della frequenza su tutti gli endpoint API
Protezioni allineate a OWASP (injection, XSS, CSRF)
Sistemi di rilevamento e prevenzione delle intrusioni (IDS/IPS)

Sicurezza degli endpoint

Tutti i dispositivi dei dipendenti sono soggetti a:

Crittografia completa del disco
Politica di gestione dei dispositivi aziendali
Antivirus e protezione degli endpoint
Aggiornamenti automatici del sistema operativo e di sicurezza
Blocco schermo applicato
Requisiti minimi del dispositivo per l’accesso remoto

Sicurezza fisica

Wave è un’azienda remote-first. Non ci sono data center on-premise. La sicurezza fisica dell’infrastruttura è gestita da Google Cloud, i cui data center sono certificati in modo indipendente secondo ISO 27001, SOC 2 e altri standard. I dipendenti seguono i requisiti di sicurezza per l’ufficio domestico, e i dispositivi vengono smaltiti in modo sicuro a fine vita.

Sicurezza dei dipendenti

Controlli dei precedenti condotti per tutti i dipendenti
Formazione sulla consapevolezza della sicurezza all’onboarding
Formazione trimestrale su sicurezza e privacy
Politica di uso accettabile firmata da tutti i dipendenti
Accordi di riservatezza in vigore

Sicurezza dei fornitori

Wave mantiene un programma di gestione del rischio dei fornitori. I provider terzi vengono esaminati prima dell’onboarding e valutati in base alla loro postura di sicurezza (report SOC 2, questionari di sicurezza e valutazioni dei fornitori). Sub-processori principali

Fornitore	Scopo
Google Cloud	Infrastruttura e calcolo
Vercel	Frontend e distribuzione edge
PlanetScale	Database
Twilio	Comunicazioni SMS
Stripe	Elaborazione dei pagamenti
Shopify	E-commerce
Zendesk	Supporto clienti
Microsoft	Produttività e integrazioni
MaxMind	Geolocalizzazione IP

Elenco completo dei sub-processori disponibile nel nostro Accordo per il trattamento dei dati.

Sicurezza AI

Wave utilizza l’AI nelle seguenti funzionalità:

Scanner universale per badge: OCR per estrarre informazioni di contatto da biglietti da visita e badge per eventi
Arricchimento dei contatti: completamento dei campi del profilo mancanti da fonti pubbliche
Moderazione dei contenuti: rilevamento di contenuti che violano le politiche sui profili

Dichiarazioni chiave:

I dati dei clienti non vengono utilizzati per addestrare modelli AI
Le funzionalità AI possono essere disabilitate dove applicabile
I provider AI sono indicati nel nostro elenco di sub-processori

Classificazione dei dati

Classificazione	Descrizione
Pubblico	Contenuti marketing, documentazione pubblica
Interno	Dati operativi, comunicazioni interne
Riservato	Dati dei clienti, dati aziendali, configurazioni di sicurezza
Ristretto	Credenziali di autenticazione, chiavi di crittografia, log di audit

Protezione dei dati

Isolamento logico del tenant: i dati di ogni organizzazione sono separati a livello di applicazione e database
Il controllo degli accessi basato sui ruoli impedisce l’accesso ai dati cross-tenant
Logging di audit per tutte le operazioni sensibili
Principi di minimizzazione dei dati applicati alla raccolta

Funzionalità di sicurezza Enterprise

Single Sign-On (SAML)

Autentica gli utenti tramite il tuo identity provider via SAML 2.0 o OIDC.

Sincronizzazione directory (SCIM)

Automatizza il provisioning, deprovisioning e la mappatura dei team degli utenti.

Domini personalizzati

Usa il tuo dominio per i profili Wave e i link di condivisione.

​Panoramica

​Conformità e certificazioni

​Infrastruttura

​Residenza dei dati

​Crittografia

​Gestione identità e accessi

​Sicurezza delle password

​Sicurezza delle applicazioni

​Gestione delle vulnerabilità

​Monitoraggio e logging

​Risposta agli incidenti

​Continuità aziendale e backup

​Disponibilità

​Sicurezza della rete

​Sicurezza degli endpoint

​Sicurezza fisica

​Sicurezza dei dipendenti

​Sicurezza dei fornitori

​Sicurezza AI

​Classificazione dei dati

​Protezione dei dati

​Funzionalità di sicurezza Enterprise