La sicurezza dei nostri servizi e dei vostri dati è la nostra massima priorità. Sappiamo che il successo del vostro business dipende dalla vostra fiducia nella nostra sicurezza. Lavoriamo costantemente per proteggere i tuoi dati utilizzando le migliori pratiche generalmente accettate.
Infrastruttura di sistema
A Metalshub, crediamo in una forte separazione: I nostri server sono ospitati su hardware dedicato - l'hardware non è condiviso con altre parti e solo noi possiamo accedere ai nostri sistemi. Usiamo hardware separato per la nostra piattaforma di produzione, il nostro sito web e i nostri servizi interni. I server si trovano in Germania e sono fisicamente e logicamente protetti contro l'accesso e costantemente monitorati. Il centro dati è regolarmente controllato e ha una certificazione ISO 27001.
Server
Tutti i nostri server sono protetti da più firewall e hanno una protezione DDoS (distributed denial-of-service) automatizzata. Inoltre, il nostro sistema di rilevamento delle intrusioni blocca automaticamente gli indirizzi IP che mostrano un comportamento sospetto (ad esempio, tentativi di accesso non riusciti). I file di log relativi alla sicurezza sono costantemente scansionati automaticamente e rivisti manualmente su base settimanale. Gli aggiornamenti del sistema operativo relativi alla sicurezza vengono applicati immediatamente e automaticamente.
Controllo dell'accesso e formazione
L'accesso ai nostri server è limitato all'autenticazione basata su RSA-Key (non un login con password). Un numero minimo assoluto di dipendenti (attualmente due) e nessun esterno ha accesso amministrativo ai nostri server.
Usiamo un sistema di controllo degli accessi basato sui ruoli per garantire che ogni dipendente abbia accesso solo ai dati che sono assolutamente necessari come parte del suo lavoro. Inoltre, tutti i dipendenti interessati ricevono regolarmente una formazione sulla sicurezza informatica.
Crittografia
Cifriamo i vostri dati ogni volta che ci vengono inviati. Usiamo il protocollo standard industriale Secure Sockets Layer (SSL) che fornisce la crittografia dei dati, l'integrità del messaggio e l'autenticazione del server. Attiviamo HTTP Strict Transport Security (HSTS) per tutti i nostri domini e sottodomini. La nostra configurazione SSL ha ricevuto una valutazione A+ nel noto audit Qualys SSL Labs.
Passwords
Usiamo un meccanismo all'avanguardia per memorizzare le password: Sono memorizzate utilizzando l'algoritmo "Password-based Key Derivation Function 2" (PBKDF2), un meccanismo di allungamento delle password raccomandato dal National Institute of Standards and Technology (NIST) americano e dal Bundesamt für Sicherheit in der Informationstechnik (BSI) tedesco. Ogni password ha un sale casuale unico e viene cancellata più di centomila volte utilizzando l'algoritmo SHA256.
Su richiesta, Metalshub può anche limitare l'intervallo IP per gli account aziendali assicurando che solo le persone della rete aziendale autorizzata possano accedere ad un certo account. Gli utenti possono anche impostare un ulteriore livello di sicurezza per il processo di autenticazione abilitando l'autenticazione a 2 fattori (2FA) per il processo di log-in.
Sviluppo del software
Ogni singolo cambiamento di codice viene rivisto e deve essere approvato prima di essere distribuito al nostro ambiente di staging. Dopo una revisione dell'ambiente di staging, le modifiche vengono distribuite ai nostri server di produzione. Ogni release è testata sia automaticamente che manualmente per funzionalità, vulnerabilità, separazione dei dati basata su autenticazione/autorizzazione e altri problemi legati alla sicurezza.
Sicurezza interna dei dati
Usiamo un sistema di accesso basato sui ruoli molto restrittivo per controllare quali dipendenti hanno accesso a quali dati e aderiamo al principio della minimizzazione dei dati, cioè i dipendenti hanno accesso solo ai dati necessari in base ai loro ruoli. Inoltre, tutti i nostri dipendenti hanno una clausola di riservatezza nel loro contratto di lavoro. La violazione di questa clausola può comportare il licenziamento e possibili azioni legali.
Per qualsiasi domanda, contattaci: support@metals-hub.com