> ## Documentation Index > Fetch the complete documentation index at: https://wavecnct.com/docs/llms.txt > Use this file to discover all available pages before exploring further. # Sicurezza > Le pratiche di sicurezza, le certificazioni e la conformità di Wave Connect ## Panoramica Wave Connect prende la sicurezza sul serio. Implementiamo pratiche di sicurezza di settore su infrastruttura, sviluppo applicativo, gestione degli accessi e operazioni dei dipendenti per proteggere i tuoi dati e quelli del tuo team. Per ulteriori dettagli, visita [security.wavecnct.com](https://security.wavecnct.com). *** ## Conformità e certificazioni | Certificazione | Dettagli | | ---------------------- | ---------------------------------------------------------------------------------------------------------- | | **SOC 2 Type II** | Certificato. Report disponibile sotto NDA — contatta [security@wavecnct.com](mailto:security@wavecnct.com) | | **CSA STAR Livello 1** | Elencato nel registro STAR della Cloud Security Alliance | | **GDPR** | Pienamente conforme. Accordo per il trattamento dei dati disponibile per i clienti enterprise | | **EU AI Act** | Conforme ai requisiti applicabili | **Standard di sicurezza seguiti** (non certificati, ma allineati): * OWASP Top 10 * CSA CAIQ * CIS benchmarks * Pratiche allineate a NIST *** ## Infrastruttura L'infrastruttura di Wave è costruita su servizi cloud gestiti, operando sotto un modello di responsabilità condivisa con i nostri provider. | Provider | Ruolo | | ------------------------- | --------------------------------------------------------- | | **Google Cloud Platform** | Infrastruttura applicativa principale, calcolo e rete | | **Vercel** | Distribuzione frontend e rete edge | | **PlanetScale** | Database (compatibile con MySQL, distribuito globalmente) | | **Cloud Storage** | Archiviazione file e asset | L'infrastruttura è progettata per l'alta disponibilità con failover automatico. Tutti i provider mantengono le proprie certificazioni di sicurezza indipendenti (SOC 2, ISO 27001). *** ## Residenza dei dati * I dati applicativi dei clienti sono archiviati ed elaborati negli **Stati Uniti** * I dati vengono elaborati solo in regioni approvate * I clienti Enterprise possono richiedere informazioni sulle opzioni di residenza dei dati Un elenco completo dei sub-processori è disponibile nel nostro [Accordo per il trattamento dei dati](https://www.wavecnct.com/legal/data-privacy-addendum). *** ## Crittografia **In transito** * TLS 1.3 per tutte le connessioni * HTTPS applicato su tutti gli endpoint * HSTS abilitato **A riposo** * Crittografia AES-256 per tutti i dati archiviati * Chiavi di crittografia gestite nel cloud tramite Google Cloud KMS * Rotazione delle chiavi e controlli di accesso applicati tramite Secret Manager *** ## Gestione identità e accessi **Opzioni di autenticazione** * Single Sign-On SAML 2.0 * OpenID Connect (OIDC) * Provisioning e deprovisioning automatizzato SCIM 2.0 **Autenticazione a più fattori** * Applicata tramite il tuo provider SSO quando SAML o OIDC è abilitato **Controllo degli accessi basato sui ruoli** | Ruolo | Accesso | | ----------- | ---------------------------------------------------------------------------------------- | | **Owner** | Accesso completo all'account, inclusa fatturazione e gestione del piano | | **Admin** | Gestisce utenti, modelli, contatti e impostazioni | | **Manager** | Gestisce i lead del team e distribuisce i modelli, senza impostazioni aziendali generali | | **Member** | Utilizza il biglietto da visita digitale assegnato e visualizza i propri contatti | | **Viewer** | Accesso in sola lettura | **Minimo privilegio** * Tutti gli accessi interni seguono il principio del minimo privilegio * Revisioni degli accessi trimestrali condotte internamente * Deprovisioning automatizzato tramite SCIM quando gli utenti se ne vanno *** ## Sicurezza delle password * Requisiti minimi di lunghezza e complessità della password applicati * Blocco dell'account dopo ripetuti tentativi di accesso falliti * Reimpostazione sicura della password tramite email verificata * Timeout della sessione applicato in caso di inattività *** ## Sicurezza delle applicazioni **Ciclo di vita sicuro dello sviluppo** * Modellazione delle minacce come parte della progettazione delle funzionalità * Revisione obbligatoria del codice da parte di pari e approvazione della pull request prima dell'unione * Requisiti di sicurezza verificati ad ogni release * Processo dedicato di approvazione delle release **Analisi statica e scansione** * Analisi statica CodeQL su tutte le modifiche al codice * Scansione automatizzata delle vulnerabilità delle dipendenze * Scansione dei segreti per prevenire la divulgazione di credenziali nel codice **Pratiche di codice sicuro** * Linee guida OWASP Top 10 seguite * Validazione degli input e codifica degli output applicata * Aggiornamenti delle dipendenze applicati con cadenza regolare *** ## Gestione delle vulnerabilità **Scansione** * Scansione continua automatizzata delle dipendenze * Scansione delle vulnerabilità dell'infrastruttura **Tempi di gestione delle patch** | Gravità | Obiettivo di rimedio | | ------- | -------------------- | | Critica | 24 ore | | Alta | 7 giorni | | Media | 30 giorni | | Bassa | 90 giorni | **Test di penetrazione** * Test di penetrazione indipendente da terze parti condotto annualmente * I risultati vengono analizzati e risolti secondo le tempistiche di gravità *** ## Monitoraggio e logging **I log raccolti includono:** * Eventi di autenticazione (login, logout, tentativi falliti) * Azioni amministrative (modifiche agli utenti, aggiornamenti delle impostazioni) * Attività API * Eventi di sicurezza **Monitoraggio** * Monitoraggio dell'infrastruttura cloud 24/7 tramite Google Cloud Monitoring * Allerta automatizzata su anomalie ed eventi di sicurezza * Rilevamento di login sospetti *** ## Risposta agli incidenti Wave mantiene un piano di risposta agli incidenti formale che copre: * **Classificazione della gravità**: Critica, Alta, Media, Bassa * **Processo di indagine**: contenimento, analisi e conservazione delle prove * **Analisi della causa principale**: revisione post-incidente per tutti gli eventi significativi * **Notifica ai clienti**: i clienti interessati vengono notificati tempestivamente in conformità con i requisiti normativi * **Notifica regolamentare**: notifiche di violazione GDPR entro 72 ore dove applicabile * **Post-mortem**: documentati e revisionati internamente dopo incidenti gravi Per segnalare una vulnerabilità di sicurezza, contatta [security@wavecnct.com](mailto:security@wavecnct.com). *** ## Continuità aziendale e backup **Obiettivi di ripristino** * RTO (Recovery Time Objective): 4 ore * RPO (Recovery Point Objective): 1 ora **Piano di continuità aziendale** * BCP formale in essere e testato semestralmente * Piano di disaster recovery testato regolarmente **Backup** * Backup automatici giornalieri * Backup crittografati a riposo * Test di ripristino eseguiti regolarmente * Conservazione dei backup allineata alle politiche di classificazione dei dati *** ## Disponibilità * Architettura ad alta disponibilità con failover automatico * Pagina di stato disponibile su [status.wavecnct.com](https://status.wavecnct.com) * SLA disponibile per i clienti Enterprise *** ## Sicurezza della rete * Google Cloud Firewall e Cloud Armor * Mitigazione DDoS a livello di rete e applicativo * Limitazione della frequenza su tutti gli endpoint API * Protezioni allineate a OWASP (injection, XSS, CSRF) * Sistemi di rilevamento e prevenzione delle intrusioni (IDS/IPS) *** ## Sicurezza degli endpoint Tutti i dispositivi dei dipendenti sono soggetti a: * Crittografia completa del disco * Politica di gestione dei dispositivi aziendali * Antivirus e protezione degli endpoint * Aggiornamenti automatici del sistema operativo e di sicurezza * Blocco schermo applicato * Requisiti minimi del dispositivo per l'accesso remoto *** ## Sicurezza fisica Wave è un'azienda remote-first. Non ci sono data center on-premise. La sicurezza fisica dell'infrastruttura è gestita da Google Cloud, i cui data center sono certificati in modo indipendente secondo ISO 27001, SOC 2 e altri standard. I dipendenti seguono i requisiti di sicurezza per l'ufficio domestico, e i dispositivi vengono smaltiti in modo sicuro a fine vita. *** ## Sicurezza dei dipendenti * Controlli dei precedenti condotti per tutti i dipendenti * Formazione sulla consapevolezza della sicurezza all'onboarding * Formazione trimestrale su sicurezza e privacy * Politica di uso accettabile firmata da tutti i dipendenti * Accordi di riservatezza in vigore *** ## Sicurezza dei fornitori Wave mantiene un programma di gestione del rischio dei fornitori. I provider terzi vengono esaminati prima dell'onboarding e valutati in base alla loro postura di sicurezza (report SOC 2, questionari di sicurezza e valutazioni dei fornitori). **Sub-processori principali** | Fornitore | Scopo | | ------------ | ----------------------------- | | Google Cloud | Infrastruttura e calcolo | | Vercel | Frontend e distribuzione edge | | PlanetScale | Database | | Twilio | Comunicazioni SMS | | Stripe | Elaborazione dei pagamenti | | Shopify | E-commerce | | Zendesk | Supporto clienti | | Microsoft | Produttività e integrazioni | | MaxMind | Geolocalizzazione IP | Elenco completo dei sub-processori disponibile nel nostro [Accordo per il trattamento dei dati](https://www.wavecnct.com/legal/data-privacy-addendum). *** ## Sicurezza AI Wave utilizza l'AI nelle seguenti funzionalità: * **Scanner universale per badge**: OCR per estrarre informazioni di contatto da biglietti da visita e badge per eventi * **Arricchimento dei contatti**: completamento dei campi del profilo mancanti da fonti pubbliche * **Moderazione dei contenuti**: rilevamento di contenuti che violano le politiche sui profili **Dichiarazioni chiave:** * I dati dei clienti **non** vengono utilizzati per addestrare modelli AI * Le funzionalità AI possono essere disabilitate dove applicabile * I provider AI sono indicati nel nostro elenco di sub-processori *** ## Classificazione dei dati | Classificazione | Descrizione | | --------------- | ------------------------------------------------------------------- | | **Pubblico** | Contenuti marketing, documentazione pubblica | | **Interno** | Dati operativi, comunicazioni interne | | **Riservato** | Dati dei clienti, dati aziendali, configurazioni di sicurezza | | **Ristretto** | Credenziali di autenticazione, chiavi di crittografia, log di audit | *** ## Protezione dei dati * Isolamento logico del tenant: i dati di ogni organizzazione sono separati a livello di applicazione e database * Il controllo degli accessi basato sui ruoli impedisce l'accesso ai dati cross-tenant * Logging di audit per tutte le operazioni sensibili * Principi di minimizzazione dei dati applicati alla raccolta *** ## Funzionalità di sicurezza Enterprise Autentica gli utenti tramite il tuo identity provider via SAML 2.0 o OIDC. Automatizza il provisioning, deprovisioning e la mappatura dei team degli utenti. Usa il tuo dominio per i profili Wave e i link di condivisione.