Procedure per la sicurezza (archiviate)

Questo testo tradotto è fornito solo a scopo informativo e in caso di incongruenze tra questa versione e quella inglese, prevale quest’ultima.

Data di entrata in vigore: 24 maggio 2018

In Slack, la sicurezza dei dati degli utenti è molto importante. La trasparenza è uno dei principi su cui si basa la nostra azienda, pertanto miriamo a offrire la massima chiarezza sul modo in cui gestiamo la sicurezza.

Per ulteriori domande relative alla sicurezza, contattare Slack all’indirizzo feedback@slack.com. Risponderemo il prima possibile.

Riservatezza

Slack esegue controlli rigorosi sull’accesso da parte dei propri dipendenti ai dati che l’utente, e i relativi utenti, rendono disponibili tramite i servizi Slack, come definito in modo più specifico nell’accordo con Slack che disciplina l’uso dei servizi Slack (“Dati del cliente”). Per funzionare, i servizi Slack richiedono che alcuni dipendenti abbiano accesso ai sistemi in cui vengono archiviati ed elaborati i Dati del cliente. Per diagnosticare un problema riscontrato con i servizi Slack, ad esempio, Slack può aver bisogno di accedere ai Dati del cliente. A tali dipendenti è vietato utilizzare queste autorizzazioni per visualizzare i Dati del cliente a meno che non sia necessario farlo. Mettiamo in atto controlli tecnici e criteri di verifica per garantire che qualsiasi accesso ai Dati del cliente venga registrato.

Tutti i nostri dipendenti e membri del personale a contratto sono vincolati ai nostri criteri in relazione ai Dati del cliente e all’interno dell’azienda questi problemi vengono considerati come questioni della massima importanza.

Procedure relative al personale

Slack esegue controlli sulle esperienze pregresse di tutti i dipendenti prima dell’assunzione e i dipendenti ricevono una formazione specifica sulla privacy e sulla sicurezza durante la fase di onboarding e su base continuativa. Tutti i dipendenti sono tenuti a leggere e firmare la nostra politica completa sulla sicurezza delle informazioni in relazione alla sicurezza, alla disponibilità e alla riservatezza dei servizi Slack.

Conformità

Ai servizi Slack sono applicabili i seguenti controlli e certificazioni per la sicurezza

  • ISO 27001 e ISO 27018: Slack ha ottenuto la conformità agli standard ISO 27001 e ISO 27018. È possibile scaricare il certificato ISO 27001 qui e il certificato ISO 27018 qui. Una copia della dichiarazione di applicabilità è disponibile su richiesta dell’Account Manager.
  • Report SOC (Service Organization Control). Slack è stata sottoposta a un controllo SOC 2 e una copia del report più recente di Slack è disponibile su richiesta dell’Account Manager. Il report SOC 3 è inoltre disponibile qui per il download.
  • PCI. Slack ha ottenuto la classificazione PCI Level 4 Merchant e ha completato i controlli SAQ-A per lo standard PCI DSS (Payment Card Industry Data Security Standard). Slack si avvale dei servizi di terzi per elaborare le informazioni correlate alle carte di credito. Slack attualmente non è un provider di servizi con certificazione PCI.

L’ambiente che ospita i servizi Slack dispone di più certificazioni per i propri data center, inclusa la conformità ISO 27001, l’autorizzazione FedRAMP, la certificazione PCI e i report SOC. Per ulteriori informazioni su tali certificazioni e conformità, visitare il sito web sulla sicurezza in AWS, il sito web sulla conformità in AWS, il sito web sulla sicurezza in Google e il sito web sulla conformità in Google.

Funzioni di sicurezza per membri del team e amministratori

Oltre al lavoro messo in atto a livello di infrastruttura, Slack fornisce agli amministratori del team delle versioni a pagamento dei servizi Slack strumenti aggiuntivi per consentire agli utenti di proteggere i Dati del cliente.

Registrazione degli accessi

I registri degli accessi dettagliati sono disponibili sia per gli utenti che per gli amministratori dei team a pagamento. La registrazione viene eseguita a ogni accesso dell’account, prendendo nota del tipo di dispositivo utilizzato e dell’indirizzo IP della connessione.

Gli amministratori del team e i proprietari dei team a pagamento possono esaminare i registri degli accessi consolidati per l’intero team. Slack facilita inoltre per gli amministratori che operano in remoto la chiusura di tutte le connessioni e la disconnessione di tutti i dispositivi autenticati ai servizi Slack in qualsiasi momento e su richiesta.

Autenticazione a due fattori a livello di team

Gli amministratori del team possono richiedere a tutti gli utenti di impostare l’autenticazione a due fattori sui propri account. Le istruzioni specifiche sono disponibili nel Centro assistenza.

Single Sign-On

Gli amministratori di team a pagamento possono integrare la propria istanza di servizi Slack con un’ampia gamma di provider di servizi Single Sign-On. I team con piano Standard possono abilitare Google Apps for Domains come provider di autenticazione, mentre i team con piano Plus possono abilitare SAML SSO con provider come OneLogin, Okta, Centrify e Ping Identity.

Conservazione dei dati

I proprietari di team Slack a pagamento possono configurare criteri personalizzati di conservazione dei messaggi a livello di team e per canale. L’impostazione di una durata personalizzata per la conservazione comporta l’eliminazione ogni notte dei messaggi o dei file con data precedente alla durata impostata.

Eliminazione dei Dati del cliente

Slack offre ai proprietari principali dell’area di lavoro la possibilità di eliminare i Dati del cliente in qualsiasi momento durante il periodo di abbonamento. Entro 24 ore dall’avvio dell’eliminazione da parte del proprietario principale dell’area di lavoro, Slack elimina definitivamente tutte le informazioni dai sistemi di produzione attualmente in esecuzione (esclusi i nomi di team e canali e i termini di ricerca incorporati negli URL nei registri degli accessi del server web). I backup dei servizi Slack vengono distrutti entro 14 giorni.*

Restituzione dei Dati del cliente

Le informazioni sulle funzionalità di esportazione dei servizi Slack sono disponibili nel Centro assistenza.

Crittografia dei dati in movimento e inattivi

I servizi Slack supportano i protocolli e i prodotti di cifratura sicuri consigliati più recenti per crittografare tutto il traffico in transito. I dati del cliente vengono crittografati quando sono inattivi.

Slack monitora con attenzione il mutevole panorama in ambito crittografico e agisce prontamente per aggiornare il servizio al fine di rispondere ai nuovi punti deboli non appena vengono scoperti e di implementare le procedure consigliate nel loro evolversi. Per la crittografia dei dati in transito, Slack opera valutando anche la necessità di compatibilità per i client meno recenti.

Disponibilità

Slack è consapevole che l’utente fa affidamento sui suoi servizi per la propria attività. Ci impegniamo a rendere Slack un servizio ad alta disponibilità su cui l’utente può contare. La nostra infrastruttura è in esecuzione su sistemi tolleranti ai guasti, sia per guasti di singoli server sia per guasti di interi data center. Il nostro team operativo verifica regolarmente le misure di ripristino di emergenza e dispone di personale disponibile 24 ore su 24 per risolvere rapidamente gli incidenti imprevisti.

Ripristino di emergenza

I Dati del cliente vengono archiviati in modo ridondante in più ubicazioni nei data center del nostro provider di hosting per garantire la disponibilità. Sono disponibili procedure di backup e ripristino collaudate, che consentono il ripristino dopo un incidente grave. I Dati del cliente e il nostro codice sorgente vengono sottoposti automaticamente a backup ogni notte. In caso di guasto al sistema, il team operativo viene avvisato. I backup vengono testati completamente almeno ogni 90 giorni per confermare che i processi e gli strumenti funzionano nel modo previsto.

Protezione della rete

Oltre ai sofisticati meccanismi di monitoraggio e registrazione del sistema, Slack ha implementato l’autenticazione a due fattori per tutti gli accessi ai server nel proprio ambiente di produzione. I firewall vengono configurati in base alle procedure consigliate del settore e la configurazione delle porte non necessarie viene bloccata con AWS Security Groups.

Gestione degli host

Slack esegue scansioni automatiche per la ricerca di vulnerabilità sui propri host di produzione e corregge eventuali risultati che presentino un rischio per l’ambiente. Vengono applicati il blocco degli schermi e l’uso della crittografia completa del disco per i laptop aziendali.

Registrazione

Slack gestisce uno spazio di registrazione ampio e centralizzato nel proprio ambiente di produzione che contiene informazioni relative a sicurezza, monitoraggio, disponibilità, accesso e altre metriche sui servizi Slack. Tali registri vengono analizzati per la ricerca di eventi di sicurezza tramite un software di monitoraggio automatizzato, supervisionato dal team per la sicurezza.

Gestione degli incidenti e risposta

Qualora si verifichi un evento di violazione della sicurezza, Slack avviserà l’utente prontamente di qualsiasi accesso non autorizzato ai Dati del cliente. Per questo tipo di eventi, Slack mette in atto criteri e procedure di gestione degli incidenti specifici.

Controlli sulla sicurezza esterni

Slack collabora con comprovate società per i controlli di sicurezza esterne che esaminano regolarmente i servizi Slack per verificare che le procedure per la sicurezza utilizzate siano corrette e per monitorare tali servizi alla ricerca di nuove vulnerabilità scoperte dalla community di ricerca sulla sicurezza. Oltre ai controlli periodici e mirati dei servizi e delle funzioni, Slack utilizza anche sistemi di scansione ibrida automatica continua della piattaforma web.

Procedure per la sicurezza dei prodotti

Nuove funzioni, caratteristiche e modifiche al progetto vengono sottoposte a un processo di analisi della sicurezza eseguito dal team specifico. Il nostro codice viene inoltre verificato con un software di analisi statica automatizzato, testato e sottoposto a revisione paritaria manuale prima di essere distribuito in produzione. Il team di sicurezza lavora a stretto contatto con i team di sviluppo per risolvere eventuali problemi aggiuntivi che possono verificarsi durante lo sviluppo.

Slack mette in atto anche un programma di individuazione dei bug di sicurezza. I ricercatori nel campo della sicurezza di tutto il mondo testano continuamente i servizi Slack e segnalano i problemi tramite il programma. Ulteriori informazioni su questo programma sono disponibili nel sito per l’individuazione dei bug.


*I backup dei servizi Slack vengono distrutti entro 14 giorni, ma tale periodo può essere temporaneamente prolungato durante un’indagine in corso su un incidente.