Trasparenza, non un badge

Sicurezza

Da noi registri i tuoi processi, i tuoi rischi e i tuoi controlli. È giusto allora che tu sappia come gestiamo noi stessi la sicurezza. La maggior parte dei fornitori mostra un logo. Noi mostriamo i nostri compiti — compreso ciò che è ancora aperto.

Verificato rispetto a OWASP ASVS 5.0 Level 2

ASVS è lo standard di sicurezza applicativa di OWASP. Il Level 2 è il livello pensato per le applicazioni che trattano dati sensibili. Abbiamo esaminato uno per uno tutti i 253 requisiti del Level 1 e del Level 2 e per ogni requisito abbiamo registrato qual è lo stato — e perché.

Questa è un'autovalutazione, non una certificazione

Nessun auditor esterno l'ha esaminata. Per questo non ci definiamo conformi ad ASVS, certificati ASVS o ASVS ready: lascerebbe intendere che sia stato qualcun altro a verificarlo. Quello che vedi qui è la nostra valutazione, motivata riga per riga, con i punti aperti indicati senza giri di parole.

Lo stato

142
soddisfatti
80
non applicabile, con motivazione
21
parziali
10
aperti

222 dei 253 sono conclusi oppure non applicabili, con motivazione. I restanti 31 sono elencati uno per uno nel nostro registro — motivo compreso.

Questi numeri sono ricavati dal registro e verificati a ogni release. Non possono quindi invecchiare in silenzio mentre il registro cambia.

Cosa significa in concreto

Uno standard è astratto. Ecco cosa c'è dentro nella pratica:

  • Separazione tra organizzazioni

    Tutte le query su processi, rischi e masterdata passano da un confine tenant che impone l'organizzazione e si chiude se il contesto manca — un confine dimenticato produce un errore, mai in silenzio i dati di qualcun altro. Un utente di un'organizzazione non può recuperare i dati di un'altra, nemmeno indovinando un id.

  • Ruoli e permessi sul server

    Chi può fare cosa viene deciso sul server, non nel browser. Un lettore non può modificare nulla dei contenuti, nemmeno facendo ricomparire un pulsante.

  • Verifica in due passaggi

    Disponibile tramite un'app di autenticazione, con codici di backup. La offriamo ma non la imponiamo; quella scelta è motivata nel registro.

  • Le password compromesse vengono rifiutate

    Quando imposti una password la confrontiamo con il database di Have I Been Pwned. Se compare lì dentro, non è utilizzabile.

  • Percorsi di accesso limitati

    I percorsi in cui transitano le credenziali hanno un limite, e quel limite risiede nel database — non nella memoria di un singolo processo, così che un riavvio o un secondo container non lo azzeri.

  • Content-Security-Policy rigorosa

    Con un nonce per pagina, così che uno script iniettato non arrivi mai in esecuzione.

  • Sessioni

    Il cookie di sessione è HttpOnly, Secure e SameSite. Vale una durata massima assoluta, e le operazioni sensibili richiedono di nuovo la tua password.

  • Audit trail e security logging

    Le modifiche ai tuoi processi, ruoli, rischi e controlli vengono registrate con chi, cosa e quando. Un'autorizzazione negata viene registrata a parte — un login fallito è rumore, ma chi con una sessione valida prova a fare qualcosa che non gli è permesso è un segnale.

  • Catena di fornitura

    Manteniamo una SBOM delle dipendenze che eseguiamo in produzione, e la pipeline analizza automaticamente ogni modifica alla ricerca di secret committati per errore.

Per capitolo

I 17 capitoli dello standard, con lo stato per capitolo. I titoli dei capitoli sono i nomi dello standard stesso e li lasciamo non tradotti — così restano rintracciabili.

CapitoloRequisitiSoddisfattiN/AParzialiAperti
V1 Encoding and Sanitization27121500
V2 Validation and Business Logic117130
V3 Web Frontend Security1918001
V4 API and Web Service102620
V5 File Handling94410
V6 Authentication3526621
V7 Session Management1815300
V8 Authorization77000
V9 Self-contained Tokens70700
V10 OAuth and OIDC2902900
V11 Cryptography1412110
V12 Secure Communication93123
V13 Configuration136043
V14 Data Protection97020
V15 Secure Coding and Architecture1310030
V16 Security Logging and Error Handling1613012
V17 WebRTC70700

Cosa è ancora aperto

Pubblichiamo anche ciò che non è finito — altrimenti trasparenza è solo una parola da marketing. In questo momento ci sono 10 requisiti aperti e 21 parziali. Il baricentro sta nei requisiti infrastrutturali che abbiamo consapevolmente accettato sulla base del nostro modello delle minacce, a cui si aggiungono alcune scelte di policy che richiedono ancora una decisione, una singola deviazione che risiede in una libreria esterna, e un residuo di hardening che completiamo noi stessi. Ogni punto è nel registro con la sua motivazione — compresi i punti che vogliamo chiudere per primi.

Perché non spuntare semplicemente tutto?

Perché non ogni requisito pesa allo stesso modo in questa applicazione. Per ogni requisito abbiamo fatto una scelta consapevole e l'abbiamo messa per iscritto — compresi i requisiti che (ancora) non soddisfiamo e il perché riteniamo quel rischio accettabile. Su quei punti questo non ci rende conformi ad ASVS; rende la scelta verificabile. Una lacuna taciuta non lo sarebbe.

E NIS2?

Se la tua organizzazione rientra in NIS2, devi avere una presa dimostrabile sui tuoi processi, sui tuoi rischi e sulla tua catena. Registrare esattamente questo è ciò per cui Proceshuis è stato costruito: processi, ruoli tramite RASCI, rischi e controlli in un unico sistema, con storico delle versioni e un audit trail su quei contenuti che mostra chi ha modificato cosa e quando.

Cosa non affermiamo qui

Proceshuis non rende la tua organizzazione conforme a NIS2, e noi non ci definiamo conformi a NIS2. NIS2 è una direttiva organizzativa: gestione del rischio, notifica degli incidenti, responsabilità sulla catena, responsabilità degli amministratori. Il software ne copre una parte. Noi supportiamo i tuoi obblighi; non ce ne facciamo carico al posto tuo.

Il registro completo

Tutti i 253 requisiti con la motivazione riga per riga, compresi i punti aperti e il perché siano aperti. Lo condividiamo su richiesta: contiene dettagli di implementazione che non hanno posto su una pagina pubblica.

Richiedi il registro

Continua a leggere

Configura la tua casa dei processi oggi stesso.

Esplora l'ambiente demo completamente popolato oppure prenota una demo su misura — e scopri come RASCI, risk & control e il benchmark APQC siano tutti collegati a un'unica fase di processo.

Sicurezza — come costruiamo e verifichiamo Proceshuis