Sicurezza dei dati e privacy

Sicurezza

Applichiamo le migliori pratiche con un approccio multistrato per proteggere la nostra piattaforma e le informazioni aziendali

Infrastruttura cloud

La scelta di Google Cloud Platform (GCP) come fornitore cloud offre diversi vantaggi in termini di sicurezza per i dati dei nostri clienti:

Sicurezza fisica: I data center di Google implementano misure di sicurezza fisica leader del settore, tra cui accesso limitato, videosorveglianza e sistemi avanzati di rilevamento delle intrusioni. Queste misure sono rigorosamente verificate e aderiscono a standard riconosciuti a livello internazionale come ISO 27001 per la sicurezza fisica.

Crittografia dei dati: Google Cloud utilizza la crittografia trasparente per impostazione predefinita, crittografando i dati a riposo e in transito con algoritmi standard del settore come AES-256. Inoltre, Google Key Management Service (KMS) fornisce un controllo centralizzato sulle chiavi di crittografia, aderendo alle best practice per la rotazione delle chiavi e il controllo degli accessi.

Conformità: Google Cloud è sottoposto a rigorosi audit indipendenti per garantire la conformità a vari standard e normative del settore, tra cui ISO 27001, SOC 2, HIPAA e PCI DSS. Questa verifica indipendente fornisce ulteriore garanzia ai nostri clienti in merito alla postura di sicurezza dell'infrastruttura cloud di Google.

Gestione dell'identità e dell'accesso dei clienti (IAM): Google Cloud IAM fornisce controlli di accesso granulari alle risorse, assicurando l'aderenza al principio del privilegio minimo. I clienti possono definire ruoli e autorizzazioni in base alle loro esigenze specifiche, allineandosi alla politica di gestione dell'identità e dell'accesso di Google.

Sicurezza di rete: La rete privata di Google offre un percorso sicuro per i tuoi dati, protetti dalle misure di sicurezza fisiche e operative di Google.

Crittografia dei file e del database

Tutti i dati dei clienti, compresi file e database, vengono crittografati sia inattivi che in transito mediante algoritmi di crittografia avanzati.

Gestione delle chiavi esterne. Per garantire il massimo controllo e la sovranità dei dati, sfruttiamo la gestione delle chiavi esterne (EKM). Ciò significa che le chiavi di crittografia utilizzate per proteggere i tuoi dati risiedono in un sistema separato e sicuro che controlli, non all'interno dell'infrastruttura del nostro provider cloud. Questo approccio protegge dagli accessi non autorizzati, anche tramite mandati legali di alcune giurisdizioni.

Benefici:

  • Maggiore sicurezza dei dati: La crittografia rende i dati illeggibili senza le chiavi di decrittazione, rafforzando notevolmente la protezione contro accessi non autorizzati o violazioni.
  • Sovranità dei dati: Poiché controlli le chiavi di crittografia, i tuoi dati rimangono soggetti al tuo controllo e ai requisiti normativi, anche se si trovano in data center geograficamente distinti.
  • Tutela della privacy: La gestione delle chiavi esterne protegge i tuoi dati da potenziali divulgazioni forzate, garantendo che rimangano sotto il tuo controllo.

Backup

Diamo priorità alla sicurezza dei dati e al tempo di attività attraverso una solida strategia di backup e ripristino di emergenza.

  • Archiviazione file cloud: Sfruttiamo l'archiviazione cloud ridondante e distribuita geograficamente per garantire che i tuoi dati vengano replicati automaticamente su più data center. Ciò riduce al minimo il rischio di perdita di dati a causa di guasti hardware o interruzioni regionali.
  • Backup continui del database: Utilizziamo un processo di backup continuo del database, catturando le modifiche in tempo reale. Ciò garantisce una perdita minima di dati in caso di guasto del sistema e ci consente di ripristinare rapidamente i tuoi dati allo stato più recente.
  • Archiviazione di backup sicura: Conserviamo in modo sicuro i backup in data center geograficamente separati, mitigando ulteriormente l'impatto di eventi imprevisti come calamità naturali o interruzioni localizzate.
  • Piano di ripristino in caso di disastro: Disponiamo di un piano completo di disaster recovery che delinea le procedure per il rapido ripristino della nostra piattaforma e dei tuoi dati in caso di incidente grave.

Pila software

Diamo priorità a un ciclo di vita di sviluppo sicuro utilizzando stack software open source. Questo approccio ci consente di:

  • Restare un passo avanti alle minacce: Il software open source trae vantaggio dall'esperienza collettiva di una vasta comunità di sviluppatori. Il controllo costante da parte degli sviluppatori aiuta a identificare e risolvere rapidamente le vulnerabilità, mantenendo la nostra piattaforma protetta dalle minacce emergenti.
  • Sicurezza trasparente: La natura aperta del codice consente verifiche e audit di sicurezza indipendenti. Questa trasparenza promuove la fiducia e la sicurezza nella postura di sicurezza della nostra piattaforma.
  • Integrate Best Practices: Le librerie e i framework di sicurezza open source affrontano prontamente problemi di sicurezza comuni come Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF), SQL Injection, Clickjacking, Host Header Validation e Session Security. Queste soluzioni integrate semplificano lo sviluppo rafforzando al contempo una solida postura di sicurezza.

Test di sicurezza

Per dimostrare un elevato livello di sicurezza, ci impegniamo a eseguire almeno una volta all'anno un test di penetrazione esterno di terze parti.

Questi test vengono eseguiti da esperti indipendenti di hacking etico che simulano scenari di attacco del mondo reale. Questo approccio proattivo ci aiuta a identificare e affrontare le vulnerabilità prima che possano essere sfruttate da attori malintenzionati.

Riservatezza

Residenza dei dati

Controllo dei dati migliorato e conformità normativa per i clienti europei.

  • Residenza dei dati in Francia: Diamo priorità alla sicurezza e alla sovranità dei tuoi dati archiviandoli esclusivamente in data center situati in Francia. Questa restrizione geografica è in linea con le severe normative europee sulla privacy dei dati, come il GDPR, assicurando che i tuoi dati rimangano soggetti al tuo controllo e ai requisiti normativi.
  • Crittografia a chiave esterna: Per un ulteriore livello di sicurezza e controllo, sfruttiamo External Key Management (EKM). Ciò significa che le chiavi di crittografia utilizzate per proteggere i tuoi dati risiedono in un sistema separato e sicuro che controlli tu, non nei nostri data center. Anche con i dati archiviati in Francia, EKM ti consente di mantenere una governance completa sui tuoi dati.

Conformità al GDPR

INGREEN AI è fermamente impegnata a proteggere la privacy dei tuoi dati e a rispettare il Regolamento generale sulla protezione dei dati (GDPR). Sappiamo che hai il controllo sulle tue informazioni personali e ti diamo il potere di esercitare i tuoi diritti ai sensi del GDPR.

Maggiori dettagli sono disponibili su https://fingreen.ai/privacy

Per esercitare tali diritti, puoi contattare il nostro Responsabile della protezione dei dati (RPD) all'indirizzo privacy@fingreen.ai.

Controllo degli accessi e governance

La nostra piattaforma ti consente di gestire l'accesso ai dati con una granularità eccezionale. Puoi definire diritti di accesso distinti per singoli utenti all'interno del portale, assicurandoti che solo il personale autorizzato abbia accesso a set di dati specifici. Questo controllo granulare riduce al minimo il rischio di accesso non autorizzato e violazioni dei dati, favorendo un ambiente più sicuro per le tue preziose informazioni.

AI e LLM

FINGREEN AI utilizza servizi LLM forniti dal cloud. Per garantire la privacy dei dati dei nostri clienti, durante l'uso di LLM di terze parti, ecco le nostre pratiche.

Controlli di modello e accesso:

  • I nostri provider cloud hanno solide pratiche di privacy LLM. Non utilizziamo provider che addestrano i loro modelli utilizzando dati forniti dai clienti. Ciò garantisce che i dati dei clienti non "trapeleranno" nelle risposte pubbliche LLM.
  • Implementiamo controlli di accesso per limitare chi può visualizzare gli output generati dall'LLM. Ciò garantisce che solo il personale autorizzato veda informazioni potenzialmente sensibili.

Monitoraggio e auditing:

  • Monitoriamo il modo in cui i tuoi dati vengono utilizzati all'interno dell'LLM. Ciò aiuta a identificare eventuali rischi potenziali per la privacy o l'uso improprio dei tuoi dati.
  • Effettuiamo audit regolari delle pratiche di sicurezza LLM del tuo provider cloud per garantire che rispettino i requisiti sulla privacy dei dati.