Procedure per la sicurezza
Questo testo tradotto è fornito solo a scopo informativo e in caso di incongruenze tra questa versione e quella inglese, prevale quest’ultima.
Data di pubblicazione: 1 ottobre 2021
In Slack, la sicurezza dei dati degli utenti è molto importante. La trasparenza è uno dei principi su cui si basa la nostra azienda, pertanto miriamo a offrire la massima chiarezza sul modo in cui gestiamo la sicurezza. Per ulteriori domande relative alla sicurezza, contattare Slack all’indirizzo feedback@slack.com. Risponderemo il prima possibile.
Controlli della piattaforma
Architettura e segregazione dei dati
I servizi Slack sono gestiti su un’architettura multi-tenant sia a livello di piattaforma che di infrastruttura, progettata per segregare e limitare l’accesso ai dati che l’utente e i relativi utenti rendono disponibili tramite i servizi Slack, come definito in modo più specifico nell’accordo con Slack (o le sue Consociate) che disciplina l’uso dei servizi Slack (“Dati del cliente”), in base alle esigenze aziendali. L’architettura fornisce una separazione logica dei dati per ogni cliente diverso tramite un ID univoco.
Infrastruttura cloud pubblica
I servizi Slack sono ospitati su Internet in un “cloud pubblico”, ovvero un insieme di servizi informatici offerti da provider di terze parti a chiunque desideri utilizzarli o acquistarli. In modo analogo a tutti i servizi cloud, un servizio cloud pubblico è in esecuzione su server remoti gestiti da un provider.
Controlli
I servizi Slack vengono sottoposti a controlli di sicurezza da parte di personale interno e di comprovate società esterne che esaminano regolarmente i servizi Slack per verificare che le procedure per la sicurezza utilizzate siano corrette e per monitorare tali servizi alla ricerca di nuove vulnerabilità scoperte dalla community di ricerca sulla sicurezza. Oltre ai controlli periodici e mirati dei servizi e delle funzioni, Slack utilizza anche sistemi di scansione ibrida automatica continua della piattaforma web. I client possono scaricare una copia dei report di controllo esterni applicabili e disponibili qui.
Certificazioni
Le certificazioni vengono eseguite sui servizi Slack e i clienti possono scaricare una copia delle certificazioni applicabili e disponibili qui.
Controlli di sicurezza
Slack implementa e mette in atto misure tecniche e organizzative appropriate per proteggere i Dati del cliente da distruzione accidentale o illegale, perdita, alterazione e divulgazione dei o accesso non autorizzato ai dati personali del cliente elaborati o trasmessi tramite i servizi Slack. Ai servizi Slack viene applicata una serie di controlli di sicurezza, inclusi, in via esemplificativa:
- Registrazione degli accessi. I registri dettagliati degli accessi sono disponibili sia per gli utenti che per gli amministratori dei team a pagamento. La registrazione viene eseguita a ogni accesso dell’account, prendendo nota del tipo di dispositivo utilizzato e dell’indirizzo IP della connessione. Gli amministratori del team e i proprietari dei team a pagamento possono esaminare i registri degli accessi consolidati per l’intero team.
- Gestione degli accessi. Gli amministratori possono terminare tutte le connessioni e disconnettere tutti i dispositivi autenticati per i servizi Slack in remoto, in qualsiasi momento e su richiesta.
- Conservazione dei dati. I proprietari di team Slack a pagamento possono configurare criteri di conservazione personalizzati dei messaggi a livello di team e per canale. L’impostazione di una durata personalizzata per la conservazione comporta ogni notte l’eliminazione dei messaggi o dei file con data precedente alla durata impostata dai server di produzione dei servizi Slack.
- Gestione degli host. Slack esegue scansioni automatiche per la ricerca di vulnerabilità sui propri host di produzione e corregge eventuali risultati che presentino un rischio per l’ambiente. Vengono applicati il blocco degli schermi e l’uso della crittografia completa del disco per i laptop aziendali.
- Protezione della rete. Oltre ai sofisticati meccanismi di monitoraggio e registrazione del sistema, Slack ha implementato l’autenticazione a due fattori per tutti gli accessi ai server nel proprio ambiente di produzione. I firewall sono configurati in base alle procedure consigliate del settore tramite i gruppi di sicurezza AWS.
- Procedure per la sicurezza dei prodotti. Nuove funzioni, caratteristiche significative e modifiche al progetto vengono sottoposte a un processo di analisi della sicurezza eseguito dal team specifico. Il nostro codice viene inoltre verificato con un software di analisi statica automatizzato, testato e sottoposto a revisione paritaria manuale prima di essere distribuito in produzione. Il team di sicurezza lavora a stretto contatto con i team di sviluppo per risolvere eventuali problemi aggiuntivi che possono verificarsi durante lo sviluppo. Slack mette in atto anche un programma di individuazione dei bug di sicurezza. I ricercatori nel campo della sicurezza di tutto il mondo testano continuamente i servizi Slack e segnalano i problemi tramite il programma. Ulteriori informazioni su questo programma sono disponibili nel sito per l’individuazione dei bug.
- Autenticazione a due fattori a livello di team. Gli amministratori del team possono richiedere a tutti gli utenti di impostare l’autenticazione a due fattori sui propri account. Le istruzioni specifiche sono disponibili nel Centro assistenza.
Alcuni controlli non possono essere disabilitati dal cliente, mentre altri consentono la personalizzazione della sicurezza dei servizi Slack da parte dei clienti per uso personale. In questo ambito, la protezione dei Dati del cliente è una responsabilità congiunta tra il cliente e Slack. Slack si allinea come minimo agli standard di settore prevalenti, come ISO 27001, ISO 27002 e ISO 27018, o qualsiasi standard successivo o sostitutivo.
Rilevamento delle intrusioni
Slack, o un’entità esterna autorizzata, monitora i servizi Slack al fine di rilevare intrusioni non autorizzate.
Registri di sicurezza
I sistemi utilizzati nella fornitura dei servizi Slack memorizzano le informazioni nelle rispettive strutture di registri di sistema oppure tramite un servizio di registrazione centralizzato (per i sistemi di rete) al fine di consentire revisioni e analisi in termini di sicurezza. Slack gestisce uno spazio di registrazione ampio e centralizzato nell’ambiente di produzione che contiene informazioni relative a sicurezza, monitoraggio, disponibilità, accesso e altre metriche sui servizi Slack. Tali registri vengono analizzati per la ricerca di eventi di sicurezza tramite un software di monitoraggio automatizzato, supervisionato dal team per la sicurezza.
Gestione degli incidenti
Slack mette in atto criteri e procedure per la gestione degli incidenti di sicurezza. Nella misura consentita dalla legge, Slack comunica ai clienti interessati, senza indebito ritardo, qualsiasi divulgazione non autorizzata dei rispettivi Dati del cliente da parte di Slack o dei suoi agenti di cui Slack venga a conoscenza. Slack pubblica le informazioni sullo stato del sistema nel sito web Trust di Salesforce e/o nella pagina sullo stato del sistema di Slack. Slack in genere informa i clienti di incidenti di sistema significativi tramite e-mail e, nel caso di incidenti che durano più di un’ora, può invitare i clienti interessati a partecipare a una teleconferenza sull’incidente e sulla risposta di Slack.
Crittografia dei dati
I servizi Slack utilizzano prodotti di crittografia accettati dal settore per proteggere i Dati del cliente (1) durante le trasmissioni tra la rete di un cliente e i servizi Slack; e (2) quando i dati sono inattivi. I servizi Slack supportano i protocolli e i prodotti di cifratura sicuri consigliati più recenti per crittografare tutto il traffico in transito. Slack monitora con attenzione il mutevole panorama in ambito crittografico e agisce prontamente per aggiornare il servizio al fine di rispondere ai nuovi punti deboli non appena vengono scoperti e di implementare le procedure consigliate nel loro evolversi. Per la crittografia dei dati in transito, Slack opera valutando anche la necessità di compatibilità per i client meno recenti.
Affidabilità, backup e continuità aziendale
Slack è consapevole che l’utente fa affidamento sui suoi servizi per la propria attività. Ci impegniamo pertanto a rendere i servizi Slack una soluzione ad alta disponibilità su cui l’utente può contare. La nostra infrastruttura è in esecuzione su sistemi tolleranti ai guasti, sia per guasti di singoli server sia per guasti di interi data center. Il nostro team operativo verifica regolarmente le misure di ripristino di emergenza e dispone di personale disponibile 24 ore su 24 per risolvere rapidamente gli incidenti imprevisti. Le procedure consigliate standard del settore in termini di affidabilità e di backup hanno contribuito a modellare la progettazione dei servizi Slack. Slack esegue backup regolari e facilita i ripristini del software, le modifiche al sistema e la replica dei dati quando è necessario e in base alle esigenze. Ove possibile, Slack assiste il cliente nel recupero dei dati in caso di eventi catastrofici importanti, in base alle limitazioni imposte dai requisiti di residenza dei dati della località e dalle caratteristiche all’interno dell’area geografica. Gli “eventi catastrofici importanti” rientrano in tre ampi tipi di occorrenze: (1) eventi naturali, come inondazioni, uragani, tornado, terremoti ed epidemie; (2) eventi tecnologici, come guasti di sistemi e strutture, ad esempio esplosioni di condutture, incidenti di trasporto, interruzioni di servizi pubblici, guasti di dighe e rilasci accidentali di materiali pericolosi; ed (3) eventi causati dall’uomo, come attacchi attivi di aggressori, attacchi chimici o biologici, attacchi informatici contro dati o infrastrutture e sabotaggio. Un evento catastrofico importante non include bug, problemi operativi o altri errori comuni relativi al software.
I Dati del cliente vengono archiviati in modo ridondante in più ubicazioni nei data center del nostro provider di hosting per garantire la disponibilità. Sono disponibili procedure di backup e ripristino collaudate, che consentono il ripristino dopo un incidente grave. I Dati del cliente e il nostro codice sorgente vengono sottoposti automaticamente a backup ogni notte. Qualora si verifichi un guasto al sistema, il team operativo viene avvisato. I backup vengono testati completamente almeno ogni 90 giorni per verificare che i processi e gli strumenti funzionino nel modo previsto.
Dati inattivi
Slack memorizza i Dati del cliente inattivi in determinate aree geografiche principali, salvo quanto diversamente previsto nel Modulo d’ordine.
Restituzione dei Dati del cliente
Entro 30 giorni dalla risoluzione del contratto, i clienti possono richiedere la restituzione dei rispettivi Dati del cliente inviati ai servizi Slack (nella misura in cui tali dati non siano stati eliminati dal cliente stesso). Le informazioni sulle funzionalità di esportazione dei servizi Slack sono disponibili nel Centro assistenza di Slack.
Eliminazione dei Dati del cliente
I servizi Slack consentono ai proprietari principali dell’area di lavoro di eliminare i Dati del cliente in qualsiasi momento durante il periodo di abbonamento. Entro 24 ore dall’avvio dell’eliminazione da parte del proprietario principale dell’area di lavoro, Slack elimina definitivamente tutte le informazioni dai sistemi di produzione attualmente in esecuzione (esclusi i nomi di team e canali e i termini di ricerca incorporati negli URL nei registri degli accessi del server web). I backup dei servizi Slack vengono distrutti entro 14 giorni, ma tale periodo può essere temporaneamente prolungato durante un’indagine in corso su un incidente.
Quando un cliente termina un abbonamento a pagamento a Enterprise Grid, se non sceglie altrimenti di eliminare il proprio account, Slack, entro 90 giorni dalla cessazione dell’abbonamento, eliminerà e verificherà che tutte le Consociate e tutti i provider di hosting di terze parti applicabili eliminino tutte le copie dei Dati del cliente (esclusi i nomi di team e canali e i termini di ricerca incorporati negli URL nei registri degli accessi del server web) entro 14 giorni da quando Slack ha avviato l’eliminazione dell’account del cliente. Quando un cliente termina un abbonamento a pagamento ai servizi Slack diverso da Enterprise Grid, l’abbonamento del cliente rimarrà in essere con il livello di utilizzo gratuito per i servizi Slack e soggetto alle Condizioni d’uso per il Cliente online in vigore o ad altro contratto di abbonamento online principale applicabile a tale livello di utilizzo gratuito (“Condizioni di abbonamento gratuito”) e i Dati del cliente non verranno eliminati fino a quando (i) il cliente non elimini in modo autonomo l’area di lavoro, (ii) il cliente non indichi altrimenti a Slack di eliminare i propri Dati del cliente o (iii) una delle parti non rescinda le Condizioni di abbonamento gratuito. Al verificarsi di tali eventi, Slack, entro 14 giorni, eliminerà e verificherà che tutte le Consociate e i provider di hosting di terze parti autorizzati eliminino tutte le copie dei Dati del cliente (esclusi i nomi di team e canali e i termini di ricerca incorporati negli URL nei registri degli accessi del server web).
Riservatezza
Slack esegue controlli rigorosi sull’accesso da parte dei propri dipendenti ai Dati del cliente. Per funzionare, i servizi Slack richiedono che alcuni dipendenti abbiano accesso ai sistemi in cui vengono archiviati ed elaborati i Dati del cliente. Per diagnosticare un problema riscontrato con i servizi Slack, ad esempio, Slack può aver bisogno di accedere ai Dati del cliente. A tali dipendenti è vietato utilizzare queste autorizzazioni per visualizzare i Dati del cliente a meno che non sia necessario farlo. Mettiamo in atto controlli tecnici e criteri di verifica per garantire che qualsiasi accesso ai Dati del cliente venga registrato.
Tutti i nostri dipendenti e membri del personale a contratto sono vincolati ai nostri criteri in relazione ai Dati del cliente e all’interno dell’azienda questi problemi vengono considerati come questioni della massima importanza.
Procedure relative al personale
Slack esegue controlli sulle esperienze pregresse di tutti i dipendenti prima dell’assunzione e i dipendenti ricevono una formazione specifica sulla privacy e sulla sicurezza durante la fase di onboarding e su base continuativa. Tutti i dipendenti sono tenuti a leggere e firmare la nostra politica completa sulla sicurezza delle informazioni in relazione alla sicurezza, alla disponibilità e alla riservatezza dei servizi Slack.
Infrastruttura
Per ospitare o elaborare i Dati del cliente inviati ai propri servizi, Slack utilizza l’infrastruttura fornita da Amazon Web Services, Inc. (“AWS”). Le informazioni sulla sicurezza fornite da AWS sono disponibili nel sito web sulla sicurezza di AWS. Le informazioni sulle certificazioni e sui controlli relativi alla sicurezza e alla privacy ricevute da AWS, ad esempio le informazioni sulla certificazione ISO 27001 e sui report SOC, sono disponibili nel sito web sulla conformità di AWS.