Security
Cyberpert Security Statement
Security is the product, so it has to be true of the company too.
What is true today
- Questo sito è servito interamente via HTTPS con TLS moderno.
- Questo sito pubblico non elabora dati dei clienti, credenziali o materiale di casi — è un sito informativo.
- Il modulo di contatto trasmette i dati su connessione cifrata ed è soggetto a rate limiting contro gli abusi.
- Non richiediamo informazioni classificate, regolamentate o altamente sensibili tramite moduli web pubblici.
- L'accesso interno ai sistemi e ai dati dei clienti segue il principio del privilegio minimo ed è registrato.
What is on the roadmap
- Hashing delle password con Argon2id, salt unico per account, senza memorizzazione reversibile.
- Autenticazione a più fattori obbligatoria per tutti gli account del portale.
- Crittografia a riposo per tutti i database di clienti e casi, con envelope encryption e chiavi gestite.
- TLS 1.2 minimo (1.3 preferito) per ogni connessione tra servizi.
- Controllo degli accessi basato su ruoli e attributi, secondo il principio del privilegio minimo.
- Audit log a prova di manomissione per l'accesso a report, casi ed evidenze.
- Backup cifrati, testati e con accesso limitato.
We would rather tell you what is not built yet than claim a control that doesn't exist.
Frameworks we build against
NIST Cybersecurity Framework 2.0
OWASP ASVS / Top 10
Principi ISO/IEC 27001
GDPR Articolo 32 (sicurezza del trattamento)
Privacy by Design
