Il quadro di conformità completo di MyQ X dimostra il suo impegno a soddisfare i più elevati standard di sicurezza internazionali e i requisiti normativi. Questo approccio multilivello garantisce alle organizzazioni di poter implementare MyQ X con fiducia, soddisfacendo al contempo i diversi requisiti di conformità in tutti i settori e giurisdizioni.
Certificazione e implementazione ISO 27001:2022
MyQ ha ottenuto la certificazione ISO/IEC 27001:2022, stabilendo un approccio sistematico alla gestione della sicurezza delle informazioni che soddisfa le migliori pratiche internazionali. L'implementazione comprende:
Quadro di gestione dei rischi: processi completi di valutazione dei rischi che identificano, valutano e mitigano i rischi per la sicurezza delle informazioni in tutte le operazioni aziendali e nelle implementazioni dei clienti.
Implementazione dei controlli di sicurezza: implementazione strutturata di controlli di sicurezza tecnici, amministrativi e fisici che proteggono le risorse informative durante tutto il loro ciclo di vita.
Processo di miglioramento continuo: revisioni e aggiornamenti regolari delle politiche, delle procedure e dei controlli di sicurezza per affrontare le minacce in evoluzione e mantenere la conformità alla certificazione.
Impegno della direzione: supervisione a livello esecutivo che garantisce che la sicurezza rimanga integrata nella strategia aziendale e nei processi decisionali operativi.
La certificazione convalida l'approccio sistematico di MyQ alla protezione dei dati dei clienti e al mantenimento della riservatezza, dell'integrità e della disponibilità dei sistemi informativi.
Quadro di conformità al GDPR e misure di protezione dei dati
MyQ X implementa una conformità completa al GDPR attraverso principi di privacy by design integrati nell'architettura del sistema:
Minimizzazione dei dati: il sistema raccoglie solo i metadati essenziali necessari per la funzionalità operativa, evitando il trattamento superfluo dei dati personali che potrebbe aumentare i rischi di conformità.
Gestione dei diritti degli utenti: implementazione completa dei diritti degli utenti GDPR, tra cui:
-
Diritto di accesso ai dati personali
-
Diritto di rettifica delle informazioni inesatte
-
Diritto alla cancellazione ("diritto all'oblio")
-
Diritto alla portabilità dei dati
-
Diritto di limitazione del trattamento
Valutazioni d'impatto sulla protezione dei dati: valutazione sistematica dei rischi per la privacy relativi a nuove funzionalità e implementazioni, garantendo il mantenimento della conformità al GDPR durante l'evoluzione del sistema.
Requisiti di conformità regionali (HIPAA, SOX)
MyQ X supporta i framework di conformità specifici del settore attraverso solide funzionalità di protezione dei dati e di audit:
Conformità HIPAA per il settore sanitario:
-
Crittografia delle informazioni sanitarie protette (PHI) inattive e in transito.
-
Registrazione completa di tutti gli accessi ai dati sanitari sensibili.
-
Controlli di accesso basati sui ruoli che limitano l'accesso alle PHI solo al personale autorizzato.
-
Procedure di backup e ripristino sicure per i requisiti di conservazione dei dati sanitari.
Conformità SOX per i servizi finanziari:
-
Audit trail dettagliati per l'elaborazione e la stampa di documenti finanziari.
-
Controlli di accesso che impediscono la modifica non autorizzata dei registri finanziari.
-
Funzionalità di archiviazione sicure che supportano i requisiti normativi di conservazione.
-
Separazione dei compiti attraverso autorizzazioni basate sui ruoli e flussi di lavoro di approvazione.
Controlli di sicurezza aggiuntivi:
-
Crittografia del database utilizzando algoritmi standard del settore.
-
Protocolli di comunicazione sicuri per tutte le trasmissioni di dati.
-
Procedure di backup automatizzate con crittografia e verifica dell'integrità.
-
Registrazione e monitoraggio degli accessi per la reportistica di conformità.
Pratiche SSDLC (Secure Software Development Lifecycle)
MyQ implementa un ciclo di vita dello sviluppo software sicuro in linea con gli standard di settore e i requisiti della catena di fornitura SLSA, garantendo che le pratiche di sicurezza siano integrate in tutte le fasi del ciclo di vita del software.
Analisi
MyQ esegue una rigorosa modellazione delle minacce e definisce chiari requisiti di sicurezza durante la fase di analisi iniziale, consentendo l'identificazione precoce dei rischi e stabilendo una solida base di sicurezza prima dell'inizio della progettazione.
Progettazione
Tutte le proposte architetturali sono sottoposte a revisioni formali dell'architettura di sicurezza per convalidare l'aderenza a principi quali il privilegio minimo, lo zero trust e la difesa in profondità, garantendo che la sicurezza sia sistematicamente integrata nella progettazione del sistema.
Sviluppo
Gli sviluppatori seguono pratiche di codifica sicure e processi di revisione tra pari, mentre tutte le build vengono eseguite su server di build dedicati, isolati e conformi allo standard SLSA, garantendo la protezione dell'integrità del codice sorgente e degli artefatti di build.
Test
I test di sicurezza includono SAST automatizzato e scansione delle dipendenze integrati nelle pipeline CI, consentendo il rilevamento tempestivo delle vulnerabilità sia nel codice personalizzato che nei componenti di terze parti.
Distribuzione
Tutti gli artefatti di rilascio sono protetti tramite la firma del codice e verificati durante la distribuzione, garantendo integrità, autenticità e consegna controllata negli ambienti di produzione.
Manutenzione
Dopo la distribuzione, i sistemi sono sottoposti a monitoraggio continuo e gestione strutturata delle patch, garantendo un allineamento costante con le minacce in evoluzione e le migliori pratiche di sicurezza.
Audit di sicurezza regolari e test di penetrazione
MyQ mantiene una solida convalida della sicurezza attraverso programmi sistematici di test e valutazione:
Test di penetrazione automatizzati: l'integrazione con la piattaforma di sicurezza Qualys fornisce una valutazione continua delle vulnerabilità e test di penetrazione per tutte le versioni del software.
Valutazioni di sicurezza di terze parti: audit di sicurezza indipendenti condotti da organizzazioni esterne qualificate per convalidare i controlli di sicurezza e identificare potenziali miglioramenti.
Revisioni interne di sicurezza: valutazioni interne regolari delle politiche di sicurezza, delle procedure e dei controlli tecnici per garantire l'efficacia e la conformità continue.
Processo di risposta alle vulnerabilità: procedure strutturate per affrontare i problemi di sicurezza identificati, compresi i requisiti temporali per lo sviluppo e l'implementazione delle patch.
Distinta dei materiali software e gestione delle vulnerabilità
MyQ implementa una sicurezza completa della catena di fornitura attraverso il monitoraggio dettagliato dei componenti e la gestione delle vulnerabilità:
Pubblicazione SBOM: documentazione completa della distinta dei materiali software che identifica tutti i componenti, le librerie e le dipendenze di terze parti utilizzati nei sistemi MyQ X.
Scansione automatizzata delle vulnerabilità: monitoraggio continuo dei database dei componenti per individuare nuove vulnerabilità che interessano le dipendenze di MyQ X.
Gestione rapida delle patch: processo sistematico per la valutazione, il test e la distribuzione degli aggiornamenti di sicurezza per i componenti di terze parti, con priorità basata sulla valutazione dei rischi.
Controllo della versione dei componenti: tracciamento dettagliato di tutti i componenti software, inclusi i numeri di versione, i livelli delle patch di sicurezza e i programmi di aggiornamento, come documentato nelle note di rilascio.
Valutazione della sicurezza dei fornitori: valutazione dei fornitori di software di terze parti per garantire che mantengano standard di sicurezza e processi di divulgazione delle vulnerabilità adeguati.
Questo quadro di conformità completo garantisce che MyQ X soddisfi diversi requisiti normativi, mantenendo i più elevati standard di sicurezza delle informazioni e protezione dei dati in tutti gli ambienti operativi.