White paper

Sicurezza dei servizi Claris Cloud

Panoramica

Claris International Inc. si impegna verso l'eccellenza — sia nei prodotti che nel servizio ai clienti. I nostri prodotti sono progettati per aiutare i clienti a migliorare i propri affari grazie a soluzioni a elevate prestazioni, sicure e altamente affidabili. Inoltre, Claris tiene in considerazione la fiducia. Per dimostrare questo, applichiamo costantemente le pratiche di sicurezza stabilite nel settore alle nostre stesse pratiche. Questi valori sono alla base di ciò che facciamo in Claris.

I prodotti della piattaforma Claris come Claris FileMaker Server e Claris FileMaker Pro sono frutto di una lunga progettazione utilizzando una tecnologia di sicurezza affermata nel settore. I prodotti più nuovi nella piattaforma, come Claris FileMaker Cloud e Claris Connect, sono stati inoltre progettati per soddisfare gli standard e i protocolli di sicurezza più recenti.

L'infrastruttura di produzione di FileMaker Cloud e di Claris Connect è ospitata su Amazon Web Services (AWS). I data center AWS e i servizi AWS forniscono l'infrastruttura fisica, i controlli ambientali, i meccanismi di controllo accessi e i sistemi di monitoraggio necessari a garantire l'elevata sicurezza e disponibilità dell'offerta Claris. Inoltre, Apple fornisce a Claris servizi di data center per supportare la sua rete, le piattaforme d'identificazione e i sistemi di sicurezza fisica.

Attraverso l'instancabile impegno verso l'eccellenza e le relazioni con AWS e Apple, Claris è in grado di fornire offerte di livello aziendale a organizzazioni di qualsiasi dimensione, con l'obiettivo di raggiungere la trasformazione digitale.

Governance di sicurezza

Sicurezza e ambiente di controllo

Il team della sicurezza delle informazioni è responsabile di assicurare la riservatezza, l'integrità e la disponibilità di tutte le informazioni Apple e Claris nelle strutture, nelle apparecchiature o nelle reti di transito possedute o in partnership diretta con Apple e Claris. I metodi specifici utilizzati per ottenere questi obiettivi comprendono, tra gli altri: sviluppo e distribuzione di criteri e procedure di sicurezza, valutazioni di sicurezza, monitoraggio e trattamento di avvisi di sicurezza e risposta agli incidenti relativi alla sicurezza.

Persone, criteri e formazione

Claris si impegna ad assumere professionisti di livello internazionale nel proprio settore che rispettino i principi fondamentali dell'organizzazione, quali onestà, rispetto, riservatezza e compliance.

Per guidare i suoi professionisti, Claris mantiene una serie di criteri, norme e linee guida che costituiscono l'insieme dei requisiti e delle linee guida per implementare sistemi altamente sicuri e disponibili.

In base ai criteri, alle norme e alle linee guida dell'organizzazione, al personale è richiesto di completare corsi di formazione per nuovo personale e annuali di sensibilizzazione alla sicurezza. Il personale con responsabilità che influiscono sulla sicurezza dei prodotti Claris e sugli sforzi di compliance riceve una formazione aggiuntiva su vari argomenti.

Sicurezza tecnica

Claris si serve di framework di sicurezza globali per guidare i suoi processi di sicurezza e controlli. Argomenti fondamentali come la sicurezza fisica, l'autenticazione, la crittografia, la sicurezza di rete e il rafforzamento dei sistemi sono di seguito spiegati nel dettaglio.

Sicurezza fisica e controlli ambientali

Claris utilizza Amazon Web Services (AWS) per le sue necessità di hosting. AWS ha ottenuto una certificazione SOC 2 tipo II per i servizi utilizzati da Claris, compreso il controllo della sicurezza fisica e ambientale dei suoi centri dati.

Inoltre Claris, in quanto consociata interamente controllata da Apple, si serve dei servizi IT di Apple. Apple stessa si attiene agli standard più elevati, e ciò si riflette nel modo in cui progetta, crea e utilizza i suoi centri dati. Apple ha implementato controlli di sicurezza per limitare l'accesso fisico alle sue strutture e ai suoi sistemi critici, tra cui centri dati, ambienti POD e armadi per telecomunicazioni. Questi controlli comprendono sistemi di accesso con badge di prossimità (che limitano rigorosamente l'accesso al personale che necessita di adempiere a specifiche responsabilità lavorative), lettori biometrici, sistemi di telecamere negli edifici e registri dei visitatori.

Controlli dell'autenticazione

La sicurezza dei sistemi, dispositivi e account Claris inizia dalla creazione e gestione di credenziali sicure.

Autenticazione a più fattori

L'accesso amministrativo agli ambienti Claris è limitato agli amministratori attraverso l'autenticazione a più fattori. All'interno dell'ambiente Claris, Claris utilizza un concetto di privilegi minimi. Grazie alle caratteristiche di controllo accessi in base al ruolo di AWS, Claris è in grado di fornire autorizzazioni di livello altamente granulare a diversi tipi di amministratori Claris (ad es. amministrazione server, amministrazione database, amministrazione rete).

ID Claris

ID Claris è un sistema di accesso integrato per autenticare gli utenti di prodotti e servizi Claris. Supporta anche l’autenticazione tramite provider di identità esterni, inclusi Okta e Microsoft Active Directory.

Autenticazione tramite provider di identità OAuth

OAuth 2.0 viene utilizzato per autenticare gli utenti Claris che accedono ad app personalizzate tramite un provider di identità esterno come Amazon, Google o Microsoft Azure.

Amministrazione

Claris Customer Console

Claris Customer Console è un'applicazione Web per lavorare con app personalizzate ospitate da FileMaker Cloud e per gestire team FileMaker Cloud e Claris Connect. La console è utilizzata anche per gestire account ID Claris, utenti, gruppi, host, impostazioni e abbonamenti FileMaker Cloud e Claris Connect.

Crittografia dei dati

La protezione delle informazioni sensibili è profondamente radicata nel DNA Claris. La crittografia dei dati in transito e a riposo è uno dei principali strumenti che Claris utilizza come parte del suo impegno verso i clienti.

FileMaker Cloud:

  • In transito: le connessioni client richiedono l'uso del protocollo TLS 1.2.
  • A riposo: FileMaker Cloud utilizza vari ambienti di memorizzazione dati AWS per la persistenza dei dati. In queste piattaforme dati, Claris utilizza AWS Key Management Service (KMS) per la crittografia dei dati a riposo.
  • Disco: Claris utilizza AWS KMS in combinazione con la crittografia AES a 256 bit.

Claris Connect:

  • In transito: le connessioni client richiedono l'uso del protocollo TLS 1.2. Tra gli host sono richiesti certificati e chiavi effimere PFS TLS 1.2 (cioè tra il livello dell'applicazione e il livello del database).
  • A riposo: i dati a riposo vengono memorizzati in soluzioni di memorizzazione aziendali come minimo con una crittografia AES a 256 bit.
  • Disco: Claris utilizza AWS KMS in combinazione con la crittografia AES a 256 bit.

Sicurezza di rete

I firewall rivestono un ruolo importante in qualsiasi sforzo di sicurezza. In generale, un firewall è un controllo che può essere usato per impedire l'ingresso di un certo traffico di rete in una rete privata. Claris impiega i firewall in tutta la rete e tra diverse zone nella rete, attraverso firewall di applicazione, firewall di applicazione Web e firewall a livello di rete.

In aggiunta, il traffico di rete viene monitorato costantemente. Per ulteriori dettagli vedere la sezione Accesso e monitoraggio.

Rafforzamento dei sistemi

Le configurazioni di base rafforzate contribuiscono a fornire coerenza nell'ambiente operativo e ad assicurare che i sistemi siano costruiti sfruttando software approvato da Claris, contemporaneamente minimizzando la superficie di attacco da parte di eventi generati da codice potenzialmente malevolo.

Nel quadro della configurazione di base, un requisito fondamentale sono degli strumenti di rilevazione di software malevolo approvati per la sicurezza delle informazioni. Queste applicazioni permettono la rilevazione a livello di sistema, il monitoraggio e la segnalazione di eventi potenzialmente dannosi per la sicurezza e sono in grado di impedire l'esecuzione di software malevolo. Questi strumenti hanno anche percorsi di integrazione definiti per il monitoraggio aziendale e le capacità di gestione eventi, permettendo al team della sicurezza delle informazioni di raccogliere argomenti e attività in tutto l'ambiente, richiedendo azioni di risposta agli incidenti e supportando le indagini legali.

Valutazioni di sicurezza e gestione della vulnerabilità

Le valutazioni di sicurezza eseguite dal team della sicurezza delle informazioni vengono svolte prima della distribuzione operativa di funzioni, servizi, configurazioni o modifiche di codice, siano essi novità o aggiornamenti.

Il test di sicurezza dell'infrastruttura, comprendente dispositivi di rete e sistemi operativi, è supportato da scansioni della vulnerabilità e relativi rimedi.

Gestione delle minacce e risposta agli incidenti

Processi e canali di accesso

La gestione dell'accesso è uno dei punti critici della sicurezza delle informazioni che gestiamo in Claris, poiché i registri contribuiscono a garantire la sicurezza dei sistemi Claris. Il team della sicurezza delle informazioni fornisce ai team di produzione metodi e strumenti standardizzati per trasmettere con facilità i registri da qualsiasi sistema a Claris, al team della sicurezza delle informazioni stesso. Il canale degli eventi riceve i registri da varie fonti e li raggruppa in un'unica posizione disponibile globalmente al personale autorizzato alla gestione della risposta agli incidenti.

Personale di risposta agli incidenti

Il team di risposta agli incidenti è operativo 24 ore su 24, 7 giorni su 7 nel monitorare i sistemi e lanciare segnalazioni per identificare l'inizio di eventi relativi alla sicurezza e classificare le segnalazioni in arrivo. Gli eventi vengono tracciati in uno strumento di tracciamento centralizzato in cui vengono memorizzati i dettagli degli eventi e l'impatto che possono avere sulle attività. Vengono aggiunti altri team per rimediare agli eventi attraverso un processo snello e standardizzato.

Gestione degli incidenti

Claris si affida al programma di gestione degli incidenti di Apple. Apple ha implementato un programma di gestione degli incidenti con criteri e procedure per gestire il rischio in modo tempestivo ed efficace. In base al piano di risposta agli incidenti documentato, gli eventi relativi alla sicurezza vengono assegnati al personale opportuno per essere analizzati prima di essere classificati come incidenti. Una volta identificato un incidente, Apple applica un approccio standardizzato nell'assegnazione del livello di gravità all'incidente per classificarlo, indicarne la priorità e rispondere adeguatamente. Inoltre l'organizzazione ha aggiornato il piano di comunicazione degli incidenti per documentarlo e definire i ruoli, le responsabilità, gli obblighi di compliance e le procedure di comunicazione dell'incidente.

Continuità operativa e ripristino di emergenza

Claris utilizza Amazon Web Services (AWS) per le sue necessità di hosting. Claris ha progettato il suo ambiente in modo altamente ridondante e per la massima disponibilità verso i clienti.

Inoltre Claris, in quanto consociata interamente controllata da Apple, si serve dei servizi IT di Apple in alcune aree. Nel quadro del processo di certificazione ISO 27001 di Apple, i centri dati di Apple sono tenuti sotto controllo al fine di garantire la resilienza e la continuità delle operazioni.

Gestione dati e privacy

Conservazione dei dati

L'organizzazione ha sviluppato criteri e programmi di conservazione per delineare gli intervalli di conservazione delle registrazioni.

I contenuti dei clienti creati all'interno dei prodotti Claris sono disponibili per 45 giorni dal termine o dalla scadenza dell'abbonamento del cliente, dopodiché tali contenuti vengono cancellati.

I dati dei clienti utilizzati per gestire l'amministrazione utente (nome, e-mail e numero di telefono) vengono conservati a discrezione del cliente e in conformità con l'informativa sulla privacy Claris.

Informativa sulla privacy

Claris si impegna nel rispetto della privacy dei clienti e soddisfa le disposizioni sulla privacy applicabili per quanto riguarda i propri prodotti e servizi. Claris raccoglie solo la quantità minima di dati necessari per fornire servizi ai clienti.

I dati dei clienti raccolti vengono trattati sempre nel rispetto dell'Informativa sulla privacy Claris.

RGPD: Claris rispetta il RGPD; è tuttavia responsabilità del cliente garantire di creare app e gestire i propri dati in conformità con le disposizioni del RGPD. Per ulteriori informazioni sulla conformità di Claris al RGPD o per domande sul RGPD, fare clic qui.

HIPAA: Claris non dichiara di essere conforme all'HIPAA. Se siete un'entità coperta o una società in affari o un rappresentante di un'entità coperta o di una società in affari, accettate di non utilizzare componenti, funzioni o altre funzionalità di FileMaker Cloud o Claris Connect per creare, ricevere, gestire o trasmettere eventuali informazioni sanitarie protette.

PCI: Claris è conforme alle norme PCI per il trattamento delle carte di credito dei propri clienti. I prodotti Claris non sono tuttavia sottoposti a verifica PCI, perciò i dati delle carte di credito non devono essere memorizzati nei prodotti Claris.