Sicurezza dei Dati
Come proteggiamo i suoi dati: crittografia, controlli di accesso, divulgazione delle vulnerabilità e risposta agli incidenti.
Sicurezza in CRA Evidence
CRA Evidence funziona sull'infrastruttura AWS nell'UE (Dublino, Irlanda). Tutti i dati dei clienti sono crittografati in transito e a riposo. Applichiamo un rigoroso isolamento dei tenant — i dati della tua organizzazione non sono mai accessibili ad altri clienti. Siamo un'azienda guidata dal fondatore in fase beta e siamo trasparenti sulla nostra attuale postura di sicurezza e roadmap.
Infrastruttura
| Dettaglio | Valore |
|---|---|
| Provider Cloud | Amazon Web Services (AWS) |
| Regione | eu-west-1 (Dublino, Irlanda) |
| Residenza dei Dati | Tutti i dati dei clienti archiviati esclusivamente nell'UE |
| Rete | VPC con sottoreti private, NAT Gateway, nessun IP pubblico sui container dell'applicazione |
| Accesso Amministrativo | VPN zero-trust con autenticazione basata sui dispositivi e controlli di accesso a privilegio minimo |
| Traffico Interno | VPC endpoint per S3 e SES (il traffico non attraversa mai internet pubblico) |
| Protezione DDoS | AWS Shield Standard |
| Audit Infrastruttura | AWS CloudTrail per le operazioni del piano di gestione |
| Audit Applicazione | Log di audit immutabile di tutte le azioni utente (165+ tipi di evento, verificato per sequenza) |
Crittografia
| Livello | Metodo |
|---|---|
| In Transito | TLS 1.2 o superiore su tutte le connessioni (HTTPS obbligatorio) |
| A Riposo | AES-256 tramite AWS (RDS, S3, volumi EBS) |
| Gestione Chiavi | AWS KMS (le chiavi non escono mai dal perimetro KMS) |
| Password | Hashing Argon2id (resistente agli attacchi GPU/ASIC) |
| Chiavi API | Hash SHA-256 prima dell'archiviazione (il testo in chiaro non viene mai conservato) |
Autenticazione e Controllo degli Accessi
- Accesso: Email/password con Argon2id, OAuth (Google, Microsoft, GitHub), SAML SSO
- MFA: Autenticazione multifattore basata su TOTP con codici di backup; le organizzazioni possono imporre l'MFA a tutti i membri
- Sessioni: Token di accesso JWT (breve durata) con token di aggiornamento rotativi
- Protezione bot: Cloudflare Turnstile sugli endpoint di autenticazione
- CSRF: Protezione basata su token su tutte le operazioni che modificano lo stato
- RBAC: Quattro ruoli per organizzazione — Proprietario, Amministratore, Membro, Visualizzatore — seguendo il principio del minimo privilegio
- Chiavi API: Permessi definiti, hash SHA-256, revocabili individualmente
- Imposizione SSO: Le organizzazioni possono richiedere SAML SSO per tutti i membri
Isolamento dei Tenant
CRA Evidence è una piattaforma multi-tenant. Ogni query al database filtra per organisation_id a livello di servizio:
- Le organizzazioni non possono accedere, interrogare o fare riferimento ai dati di un'altra organizzazione
- I dati SBOM, i dati sulle vulnerabilità, i prodotti e i documenti di conformità sono limitati all'organizzazione proprietaria
- I percorsi di archiviazione sono separati per ID organizzazione
- Il logging di audit traccia tutti gli accessi ai dati per organizzazione
Gestione delle Vulnerabilità
- Scansione SBOM: Scanner Trivy self-hosted per il rilevamento continuo delle vulnerabilità negli SBOM
- Monitoraggio Dipendenze: Controlli automatizzati delle dipendenze dell'applicazione
- Gestione Patch: Aggiornamenti regolari dei componenti dell'applicazione e dell'infrastruttura
- Test di Penetrazione: Test di penetrazione indipendente pianificato (vedi Roadmap)
Continuità Operativa e Disaster Recovery
| Dettaglio | Valore |
|---|---|
| Backup Database | Snapshot RDS giornalieri automatizzati e crittografati |
| Storage SBOM | S3 con 99,999999999% di durabilità (11 nove) |
| Impegno di Disponibilità | 99,5% (secondo accordo di servizio) |
| RPO | 24 ore (backup giornalieri) |
| RTO | Obiettivo 4 ore |
| Distribuzione | Regione singola (eu-west-1) — multi-AZ pianificato |
| Risposta agli Incidenti | Monitoraggio e risposta guidati dal fondatore durante la fase beta |
Conservazione dei Dati
- Dati dell'account attivo: Conservati finché l'abbonamento è attivo
- Account cancellati: Dati rimossi entro 30 giorni dalla richiesta
- Log di audit: Conservati per 10 anni secondo i requisiti dell'Articolo 13(14) del CRA
- Backup: Snapshot giornalieri automatizzati crittografati
GDPR e Privacy
- Accordo sul Trattamento dei Dati (DPA): Disponibile su richiesta (privacy@craevidence.com)
- Registro delle Attività di Trattamento (ROPA): Mantenuto secondo l'articolo 30 del GDPR
- Sub-responsabili: Lista pubblicata con notifica di modifica di 30 giorni
- Portabilità dei Dati: Esportazione SBOM in formati standard (CycloneDX, SPDX)
- Cancellazione dei Dati: Account e tutti i dati associati cancellati entro 30 giorni dalla richiesta
- Informativa sulla Privacy: Leggi la nostra informativa sulla privacy
Conformità
La Nostra Conformità
- Conforme al GDPR (UE 2016/679) — ROPA, DPA, lista sub-responsabili, informativa sulla privacy
- Residenza dei dati nell'UE — tutti i dati in AWS eu-west-1 (Dublino, Irlanda)
- RFC 9116 — security.txt pubblicato
- Allineato ISO 29147/30111 — Processo di Divulgazione Coordinata delle Vulnerabilità
Certificazioni del Fornitore di Infrastruttura
AWS mantiene le seguenti certificazioni per eu-west-1: SOC 1/2/3, ISO 27001, ISO 27017, ISO 27018, C5 (BSI tedesco).
Roadmap
- Test di penetrazione indipendente — pianificato
- SOC 2 Type II — pianificato
- ISO 27001 — in valutazione
Stiamo costruendo la nostra postura di conformità parallelamente al nostro prodotto. Questa pagina riflette dove siamo oggi.
Divulgazione delle Vulnerabilità
Accogliamo la ricerca sulla sicurezza responsabile. Se scopri una vulnerabilità nella nostra piattaforma, segnalala.
Come Segnalare
- Email: security@craevidence.com
- Risposta: Conferma di ricezione entro 24 ore, valutazione iniziale entro 7 giorni lavorativi
Ambito
- In ambito: *.craevidence.com, l'API CRA Evidence, la CLI CRA Evidence
- Fuori ambito: Servizi di terze parti, ingegneria sociale, attacchi denial-of-service
Safe Harbor
Non intraprenderemo azioni legali contro i ricercatori di sicurezza che:
- Agiscono in buona fede
- Evitano violazioni della privacy, distruzione di dati o interruzione del servizio
- Segnalano le scoperte tempestivamente e concedono tempo ragionevole per la risoluzione
Politica CVD
Seguiamo gli standard ISO 29147/30111 per la Divulgazione Coordinata delle Vulnerabilità.
Contatto
- Segnalazioni di sicurezza: security@craevidence.com
- Richieste sulla privacy: privacy@craevidence.com
- Richieste DPA: privacy@craevidence.com
Ultimo aggiornamento: Febbraio 2026.
Domande sulle nostre pratiche di sicurezza?
Siamo impegnati nella trasparenza. Contattaci se hai domande sulla sicurezza.