Trust Center

Impostiamo politiche di sicurezza delle informazioni rigorose e qualificate del settore in tutte le procedure e strategie aziendali.

Le politiche di sicurezza delle informazioni di IFS fanno parte del nostro sistema globale Information Security Management System (ISMS) che viene gestito in conformità con numerosi contesti di sicurezza riconosciuti a livello internazionale, tra cui ISO 27001.

Come utilizziamo pratiche di sicurezza dettagliate e affidabili per gestire e proteggere le vostre informazioni.

Noi di IFS seguiamo le best practice del settore, adottando un approccio basato sul rischio e ponendo particolare enfasi su una serie di pratiche affidabili.

Security Operations Center (SOC)
Investiamo continuamente nella sicurezza della nostra piattaforma e della rete, coordinata dal nostro Security Operations Center (SOC). Utilizzando una combinazione di strumenti convenzionali e basati sull’intelligenza artificiale di livello mondiale e regolari test di penetrazione, garantiamo che le nostre operazioni aziendali siano monitorate e protette 24 ore su 24.

Controllo di accesso
Il nostro approccio al controllo di accesso garantisce che i nostri utenti, partner e fornitori abbiano solo il livello di accesso necessario per svolgere i loro ruoli in modo efficiente.

Anche il Single Sign-On (SSO) e l’autenticazione a più fattori (MFA) sono attivi in tutti i sistemi di nostra proprietà. La crittografia viene utilizzata su dati in movimento e inattivi per garantire i massimi livelli di sicurezza dei dati ogni volta che vengono condivisi.

Continuità aziendale
Grazie a un’accurata pianificazione della continuità aziendale, abbiamo stabilito una solida politica di backup e recupero che costituisce il fulcro del nostro piano di ripristino di emergenza. Abbiamo implementato sistemi e processi resilienti in grado di supportarci in caso di eventi di continuità aziendale in una o più delle nostre sedi operative.

I nostri dipendenti
Effettuiamo approfonditi controlli pre-assunzione e una rigorosa formazione per induzione, seguiti da un programma costante di formazione annuale sulla sicurezza, per contribuire a mantenere un ambiente di lavoro fisico e digitale sicuro. Seguiamo processi formali di inserimento e disinserimento dei dipendenti per garantire che l’accesso ai nostri domini IT sia sempre strettamente controllato e che la riservatezza delle informazioni sia mantenuta anche dopo l’assunzione.

Ci assicuriamo che tutti i fornitori di terze parti che supportano l’erogazione dei nostri servizi, applichino gli stessi standard elevati che abbiamo definito noi.

A volte potrebbe essere necessario per terze parti accedere a informazioni riservate e sensibili. Sia che le informazioni appartengano a IFS o ai clienti di IFS, tutte le terze parti che dispongono dell’accesso devono seguire le nostre politiche, i nostri standard e le nostre pratiche in materia di sicurezza delle informazioni. I nostri processi di gestione di fornitori e di partner garantiscono che i servizi e i risultati forniti da un ecosistema di terze parti rispettino gli stessi standard elevati che abbiamo definito noi.

IFS Lifecycle Experience (LE) è il nostro set di processi che comprende l’intero ciclo di vita di implementazione e di produzione. Partendo dall’individuazione e dall’esplorazione iniziali di soluzioni fino alla loro ottimizzazione continua anni dopo il go-live, la sicurezza fa parte integrante dei nostri processi e include segregazione ambientale, gestione formale dei cambiamenti, distribuzione e rilascio di software rigorosamente controllati, accompagnati da rigoroso controllo dell’accesso e protezione dei dati.

IFS Lifecycle Experience fornisce i controlli di sicurezza riportati sopra indipendentemente dal fatto che il cliente abbia scelto o meno di ospitare la soluzione lui stesso o abbia sfruttato il nostro servizio IFS Cloud.

Utilizzando pratiche di codifica sicure e linee guida riconosciute a livello globale, come OWASP Top 10, garantiamo la riduzione al minimo del rischio di vulnerabilità del prodotto.

Per convalidare ulteriormente la sicurezza del prodotto per tutto il ciclo di vita dello sviluppo, impieghiamo tester di penetrazione per specialisti interni. Eventuali vulnerabilità potenziali vengono corrette prima del rilascio del prodotto.

La sicurezza non è una sola attività e continuiamo a testare i nostri prodotti dopo che sono stati rilasciati per proteggerci dalle minacce alla sicurezza in evoluzione e da eventuali vulnerabilità associate. Ciò include la ricerca di vulnerabilità potenziali non solo nei prodotti sviluppati da IFS, ma anche in prodotti di terza parte sui quali si basa il prodotto IFS.

Forniamo patch di sicurezza per eventuali vulnerabilità identificate rilevate nei nostri prodotti e forniamo anche indicazioni sulle patch necessarie di prodotti di terza parte non forniti da IFS. I clienti del servizio IFS Cloud sfruttano quelle patch applicate da IFS come parte del servizio.

Scegliendo il nostro servizio IFS Cloud, i clienti hanno il vantaggio di sapere che le best practice di sicurezza cloud vengono implementate per loro, compreso quanto segue:

• Architettura sicura, completamente segregata, a tenant singolo per garantire la separazione tra gli ambienti dei clienti
• Crittografia dei dati inattivi e in movimento
• Protezione da virus e malware
• Servizi di monitoraggio, rilevamento e correzione 24 ore su 24, 7 giorni su 7, 365 giorni all’anno, mediante set di strumenti di tipo aziendale, avanzati utilizzati da operatori esperti
• Rilevamento e protezione DDoS a livello di piattaforma
• Backup multilivello con funzionalità di ripristino multilivello e storage di backup geograficamente dislocate in luoghi diversi
• Funzionalità di recupero di emergenza in una località geograficamente distante

We engage an independent 3rd party specialist organization to run regular security penetration tests against our Cloud Service in addition to security testing performed earlier in the product lifecycle. These tests cover all software versions current at the time of testing and include all IFS core product modules.

Testing takes place from the internet towards a dedicated, production-grade environment, which is built and maintained using the same architecture, design standards, tooling and processes as all customer environments run by IFS in our cloud.

A formal report is compiled as an output of this testing process, detailing any issues found and assigning an associated risk rating, based on the industry standard CVSSv2 scoring system. Any issues identified are fully analyzed and mitigation and remediation plans produced and implemented. The summary of findings and remediations is available to all IFS Cloud customers upon request.

I clienti con requisiti di residenza dei dati possono scegliere tra diverse aree geografiche supportate. Questo determina la posizione fisica dalla quale verrà ospitato il servizio e, per implicazione, la posizione fisica in cui i loro dati saranno memorizzati ed elaborati.

Per garantire il mantenimento di un solido insieme di politiche, pratiche e procedure, integriamo le competenze in materia di privacy dei dati del nostro team interno con il punto di vista di specialisti esterni in materia di protezione dei dati. In questo modo, inoltre, la prima e la seconda linea di difesa vengono separate in modo efficace, secondo le best practice.

Costruiamo la sicurezza in ogni prodotto, indipendentemente dal modo in cui viene ospitato. Tutto ciò inizia con i nostri processi di sviluppo di prodotti sicuri, che garantiscono che i nostri prodotti siano progettati tenendo conto della sicurezza e configurati per garantire la sicurezza per impostazione predefinita.

In IFS monitoriamo diligentemente le prestazioni dei fornitori, assicurandoci che tutti i requisiti contrattuali, di qualità e di sicurezza delle informazioni siano rispettati. Ciò include gli accordi che abbiamo stabilito per verificare i processi e le pratiche di sicurezza dei fornitori. Attraverso il nostro programma globale sulla privacy, garantiamo trasferimenti di dati conformi dal SEE a sub-processori (comprese le affiliate IFS) in altri Paesi. Abbiamo implementato una serie di clausole contrattuali standard e altri meccanismi di trasferimento lecito con ogni sub-processore e garantiamo che siano in atto misure tecniche e organizzative adeguate per salvaguardare i dati dei nostri clienti.

Forniamo un addendum al trattamento dei dati pre-firmato che riguarda il trattamento da parte di IFS dei dati controllati dal cliente in conformità con le normative sulla privacy dei dati. Questo include una descrizione di tutto il trattamento eseguito da IFS durante l’esecuzione dei servizi definiti nei nostri accordi con i clienti. Le normative sulla privacy dei dati trattate includono il Regolamento generale sulla protezione dei dati (GDPR) e il California Consumer Privacy Act (CCPA). Forniamo anche un addendum relativo alle sole clausole contrattuali tipo.