Sicurezza dei Dati

Come proteggiamo i suoi dati: crittografia, controlli di accesso, divulgazione delle vulnerabilità e risposta agli incidenti.

Sicurezza in CRA Evidence

CRA Evidence è ospitato su AWS nell'Unione Europea. Tutti i dati dei clienti sono crittografati in transito e a riposo. Applichiamo un rigoroso isolamento dei tenant: i dati della tua organizzazione non sono mai accessibili ad altri clienti.

Infrastruttura

  • Cloud: Ospitato nell'Unione Europea (Dublino, Irlanda)
  • Residenza dei Dati: Tutti i dati dei clienti archiviati esclusivamente nell'UE
  • Rete: I container dell'applicazione operano in reti private senza esposizione pubblica
  • Audit: Log di audit immutabile di tutte le azioni utente (165+ tipi di evento, verificato per sequenza)

Crittografia

  • In Transito: TLS 1.2 o superiore su tutte le connessioni (HTTPS obbligatorio)
  • A Riposo: Crittografia AES-256 su tutti gli archivi dati
  • Gestione Chiavi: Servizio dedicato di gestione delle chiavi; le chiavi non sono mai esposte al livello applicativo
  • Credenziali: Password hashate con algoritmi memory-hard; chiavi API hashate prima dell'archiviazione (il testo in chiaro non viene mai conservato)

Autenticazione e Controllo degli Accessi

  • Accesso: Email/password, OAuth (Google, Microsoft, GitHub), SAML SSO
  • MFA: Autenticazione multifattore basata su TOTP con codici di backup; le organizzazioni possono imporre l'MFA a tutti i membri
  • Ruoli: Quattro ruoli per organizzazione (Proprietario, Amministratore, Membro, Visualizzatore), seguendo il principio del minimo privilegio
  • Chiavi API: Permessi definiti, revocabili individualmente
  • Imposizione SSO: Le organizzazioni possono richiedere SAML SSO per tutti i membri

Isolamento dei Tenant

CRA Evidence è una piattaforma multi-tenant. Ogni query al database filtra per organisation_id a livello di servizio:

  • Le organizzazioni non possono accedere, interrogare o fare riferimento ai dati di un'altra organizzazione
  • I dati SBOM, i dati sulle vulnerabilità, i prodotti e i documenti di conformità sono limitati all'organizzazione proprietaria
  • I percorsi di archiviazione sono separati per ID organizzazione
  • Il logging di audit traccia tutti gli accessi ai dati per organizzazione

Gestione delle Vulnerabilità

  • Base di Conoscenza delle Vulnerabilità: Database di vulnerabilità multi-sorgente self-hosted con sincronizzazione ogni 15 minuti da NVD, OSV.dev, GitHub Advisories, CISA KEV ed EPSS. Il nostro scanner di vulnerabilità funge da livello di verifica indipendente.
  • Monitoraggio Dipendenze: Controlli automatizzati delle dipendenze dell'applicazione
  • Gestione Patch: Aggiornamenti regolari dei componenti dell'applicazione e dell'infrastruttura

Conservazione dei Dati

  • Dati dell'account attivo: Conservati finché l'abbonamento è attivo
  • Account cancellati: Dati rimossi entro 30 giorni dalla richiesta
  • Log di audit: Conservati per 10 anni secondo i requisiti dell'Articolo 13(14) del CRA
  • Backup: Snapshot giornalieri automatizzati crittografati

GDPR e Privacy

  • Accordo sul Trattamento dei Dati (DPA): Disponibile su richiesta (privacy@craevidence.com)
  • Registro delle Attività di Trattamento (ROPA): Mantenuto secondo l'articolo 30 del GDPR
  • Sub-responsabili: Lista pubblicata con notifica di modifica di 30 giorni
  • Portabilità dei Dati: Esportazione SBOM in formati standard (CycloneDX, SPDX)
  • Cancellazione dei Dati: Account e tutti i dati associati cancellati entro 30 giorni dalla richiesta
  • Informativa sulla Privacy: Leggi la nostra informativa sulla privacy

Conformità

La Nostra Conformità

  • Conforme al GDPR (UE 2016/679): ROPA, DPA, lista sub-responsabili, informativa sulla privacy
  • Residenza dei dati nell'UE: tutti i dati ospitati nell'Unione Europea
  • RFC 9116: security.txt pubblicato
  • Allineato ISO 29147/30111: Processo di Divulgazione Coordinata delle Vulnerabilità

Certificazioni del Fornitore di Infrastruttura

Il nostro fornitore di infrastruttura mantiene le certificazioni SOC 1/2/3, ISO 27001, ISO 27017, ISO 27018 e C5 (BSI tedesco) per la regione UE in cui operiamo.

Roadmap

  • Test di penetrazione indipendente (pianificato)
  • SOC 2 Type II (pianificato)
  • ISO 27001 (in valutazione)

Stiamo costruendo la nostra postura di conformità parallelamente al nostro prodotto. Questa pagina riflette dove siamo oggi.

Divulgazione delle Vulnerabilità

Accogliamo la ricerca sulla sicurezza responsabile. Se scopri una vulnerabilità nella nostra piattaforma, segnalala.

Come Segnalare

  • Email: security@craevidence.com
  • Risposta: Conferma di ricezione entro 24 ore, valutazione iniziale entro 7 giorni lavorativi

Ambito

  • In ambito: *.craevidence.com, l'API CRA Evidence, la CLI CRA Evidence
  • Fuori ambito: Servizi di terze parti, ingegneria sociale, attacchi denial-of-service

Safe Harbor

Non intraprenderemo azioni legali contro i ricercatori di sicurezza che:

  • Agiscono in buona fede
  • Evitano violazioni della privacy, distruzione di dati o interruzione del servizio
  • Segnalano le scoperte tempestivamente e concedono tempo ragionevole per la risoluzione

Politica CVD

Seguiamo gli standard ISO 29147/30111 per la Divulgazione Coordinata delle Vulnerabilità.

Contatto

Ultimo aggiornamento: Marzo 2026.

Contatto sicurezza
Team di sicurezza
security@craevidence.com
Richieste generali
Modulo di contatto
Conformità

La nostra conformità

  • Conforme al GDPR (UE 2016/679)
  • Residenza dei dati nell'UE
  • RFC 9116 (security.txt)
  • ISO 29147/30111 aligned (CVD)

Fornitore di infrastrutture

SOC 1/2/3, ISO 27001, ISO 27017, ISO 27018, C5

Tabella di marcia

  • Test di penetrazione indipendenti
  • SOC 2 Type II
  • ISO 27001
Pagine correlate
Informativa sulla Privacy Termini di servizio Politica dei Cookie security.txt

Domande sulle nostre pratiche di sicurezza?

Siamo impegnati nella trasparenza. Contattaci se hai domande sulla sicurezza.

Contatta il team di sicurezza Contatto generale