Legale

Security policy

Prendiamo la sicurezza molto sul serio qui da Overloop, e siamo orgogliosi di superare gli standard del settore quando si tratta di proteggere la tua organizzazione.

Consulta il nostro Security Report qui

padlock
shield
tower

Infrastruttura

Tutti i nostri servizi operano nel cloud. Non gestiamo né ospitiamo router, load balancer, server DNS o server fisici propri. Il nostro servizio è costruito su Heroku (Salesforce, Inc.), che a sua volta è ospitato su Amazon Web Services (AWS). Questi fornitori adottano solide misure di sicurezza per proteggere la nostra infrastruttura e sono conformi alla maggior parte delle certificazioni di settore. Puoi approfondire le loro pratiche qui e qui.

Funzionalità di sicurezza

Protezione dagli attacchi DDoS
Utilizziamo una protezione DDoS always-on veloce, distribuita a livello globale e intelligente, powered by Cloudflare, Inc.
Cifratura dei dati in transito
Tutti i dati inviati o ricevuti dalla nostra infrastruttura sono cifrati in transito seguendo le best practice del settore tramite TLS. Puoi consultare il nostro report SSLLabs qui.
Cifratura dei dati a riposo
Tutti i dati degli utenti (incluse le password) sono cifrati nel database mediante algoritmi di cifratura collaudati, a cura dei nostri fornitori di database Heroku (Salesforce, Inc.) e Redis Labs, Inc.
Rimozione personalizzata dei dati
Conserviamo i dati degli utenti per un periodo di 60 giorni dopo la scadenza dell'abbonamento. Tutti i dati vengono quindi rimossi completamente dai nostri server, ad eccezione dei dati relativi ai pagamenti e alle fatture. Ogni utente può richiedere la rimozione dei dati di utilizzo contattando il supporto.
Disaster recovery
Eseguiamo il backup di tutti i nostri asset critici e tentiamo regolarmente di ripristinarlo per garantire un recupero rapido in caso di disastro. Tutti i nostri backup sono cifrati.
Monitoraggio della sicurezza applicativa
Utilizziamo Bugsnag per monitorare le eccezioni, i log e rilevare anomalie nelle nostre applicazioni. Raccogliamo e conserviamo i log per fornire un audit trail delle attività delle nostre applicazioni.
Protezione della sicurezza applicativa
  • È configurato un WAF per filtrare le richieste in entrata che tentano di compromettere il servizio.
  • Sui server di Overloop viene utilizzato sistematicamente un firewall per impedire l'accesso da indirizzi IP non autorizzati.
  • Le interfacce amministrative critiche sono protette con almeno una doppia autenticazione.
  • La nostra infrastruttura software viene aggiornata regolarmente tramite meccanismi di aggiornamento automatico, ove possibile.
  • Sistemi di messaggistica con cifratura end-to-end sono disponibili per i dipendenti e i collaboratori di Overloop, e vengono utilizzati per la maggior parte delle comunicazioni.
Sviluppo sicuro
Applichiamo le best practice di sviluppo per mitigare le tipologie di vulnerabilità note, come quelle elencate nell'OWASP Top 10 Web Application Security Risks.
Elaborazione dei pagamenti
Tutta l'elaborazione dei pagamenti è affidata a Stripe, certificato come PCI Level 1 Service Provider. Non raccogliamo alcuna informazione di pagamento e non siamo pertanto soggetti agli obblighi PCI.
Accesso limitato ai dati
La nostra rigorosa procedura interna impedisce a qualsiasi dipendente di accedere ai dati degli utenti. Eccezioni limitate possono essere concesse per il supporto clienti.

Programma di segnalazione delle vulnerabilità

Nessuna tecnologia è perfetta, e crediamo che collaborare con ricercatori esperti di sicurezza in tutto il mondo sia fondamentale per identificare i punti deboli di Overloop. Se ritieni di aver individuato un problema di sicurezza nel nostro prodotto, ti incoraggiamo a comunicarcelo e siamo lieti di lavorare con te per risolverlo tempestivamente.

Segnala un problema di sicurezza
Powered by
hackerone logo

Hai ulteriori domande sulla nostra politica di sicurezza?

Contattaci