Procedure per la sicurezza
Questo testo tradotto è fornito solo a scopo informativo e in caso di incongruenze tra questa versione e quella inglese, prevale quest’ultima.
Data di pubblicazione: 30 giugno 2022
In Slack, la sicurezza dei dati degli utenti è molto importante. La trasparenza è uno dei principi su cui si basa la nostra azienda, pertanto miriamo a offrire la massima chiarezza sul modo in cui gestiamo la sicurezza. Per ulteriori domande relative alla sicurezza, contattare Slack all’indirizzo feedback@slack.com. Risponderemo il prima possibile. Questa pagina sulle procedure per la sicurezza descrive i controlli amministrativi, tecnici e fisici applicabili a (a) Slack e (b) GovSlack. Questa documentazione non si applica ai servizi che possono essere associati o integrati con GovSlack.
Controlli della piattaforma
Architettura e segregazione dei dati
I servizi Slack e i servizi GovSlack sono gestiti su un’architettura multi-tenant sia a livello di piattaforma che di infrastruttura, progettata per segregare e limitare l’accesso ai dati che l’utente e i relativi utenti rendono disponibili tramite i servizi Slack o i servizi GovSlack, come definito in modo più specifico nell’accordo con Slack (o le sue Consociate) che disciplina l’uso dei servizi Slack o servizi GovSlack (“Dati del cliente”), in base alle esigenze aziendali. L’architettura fornisce una separazione logica dei dati per ogni cliente diverso tramite un ID univoco.
Infrastruttura cloud pubblica
I servizi Slack e i servizi GovSlack sono ospitati su Internet in un “cloud pubblico”, ovvero un insieme di servizi informatici offerti da provider di terze parti a chiunque desideri utilizzarli o acquistarli. In modo analogo a tutti i servizi cloud, un servizio cloud pubblico è in esecuzione su server remoti gestiti da un provider.
Controlli
Per verificare che le procedure per la sicurezza utilizzate siano corrette e per monitorare i servizi Slack e i servizi GovSlack alla ricerca di nuove vulnerabilità scoperte dalla community di ricerca sulla sicurezza, i servizi Slack e i servizi GovSlack vengono sottoposti a controlli di sicurezza da parte di personale interno e per i servizi Slack da parte di comprovate società di sicurezza esterne che esaminano regolarmente i servizi Slack. Oltre ai controlli periodici e mirati delle funzioni e dei servizi Slack e servizi GovSlack, Slack utilizza anche sistemi di scansione ibrida automatica continua della piattaforma web. I clienti possono scaricare una copia dei report di controllo esterni applicabili e disponibili qui.
Certificazioni
Le certificazioni vengono eseguite sui servizi Slack e i clienti possono scaricare una copia delle certificazioni applicabili e disponibili qui.
Controlli di sicurezza
Slack implementerà e metterà in atto misure tecniche e organizzative appropriate per proteggere i Dati del cliente da distruzione accidentale o illegale, perdita, alterazione e divulgazione o accesso non autorizzato ai dati personali del cliente elaborati o trasmessi tramite i servizi Slack e i servizi GovSlack. Ai servizi Slack e servizi GovSlack viene applicata una serie di controlli di sicurezza, inclusi, in via esemplificativa:
- Registrazione degli accessi. I registri dettagliati degli accessi sono disponibili sia per gli utenti che per gli amministratori dei team a pagamento. La registrazione viene eseguita a ogni accesso dell’account, prendendo nota del tipo di dispositivo utilizzato e dell’indirizzo IP della connessione. Gli amministratori del team e i proprietari dei team a pagamento possono esaminare i registri degli accessi consolidati per l’intero team.
- Gestione degli accessi. Gli amministratori possono terminare tutte le connessioni e disconnettere tutti i dispositivi autenticati per i servizi Slack o i servizi GovSlack in remoto, in qualsiasi momento e su richiesta.
- Conservazione dei dati. I proprietari di team Slack a pagamento possono configurare criteri personalizzati di conservazione messaggi a livello di team e per canale. L’impostazione di una durata personalizzata per la conservazione comporta ogni notte l’eliminazione dei messaggi o dei file con data precedente alla durata impostata dai server di produzione dei servizi Slack o dei servizi GovSlack.
- Gestione degli host. Slack esegue scansioni automatiche per la ricerca di vulnerabilità sui propri host di produzione e corregge eventuali risultati che presentino un rischio per l’ambiente. Vengono applicati il blocco degli schermi e l’uso della crittografia completa del disco per i laptop aziendali.
- Protezione della rete. Oltre ai sofisticati meccanismi di monitoraggio e registrazione del sistema, Slack ha implementato l’autenticazione a due fattori per tutti gli accessi ai server nel proprio ambiente di produzione. I firewall sono configurati in base alle procedure consigliate del settore tramite i gruppi di sicurezza AWS.
- Procedure per la sicurezza dei prodotti. Nuove funzioni, caratteristiche significative e modifiche al progetto vengono sottoposte a un processo di analisi della sicurezza eseguito dal team specifico. Il nostro codice viene inoltre verificato con un software di analisi statica automatizzato, testato e sottoposto a revisione paritaria manuale prima di essere distribuito in produzione. Il team di sicurezza lavora a stretto contatto con i team di sviluppo per risolvere eventuali problemi aggiuntivi che possono verificarsi durante lo sviluppo. Slack mette in atto anche un programma di individuazione dei bug di sicurezza. I ricercatori nel campo della sicurezza di tutto il mondo testano continuamente i servizi Slack e i servizi GovSlack e segnalano i problemi tramite il programma. Ulteriori informazioni su questo programma sono disponibili nel sito per l’individuazione dei bug.
- Autenticazione a due fattori a livello di team. Gli amministratori del team possono richiedere a tutti gli utenti di impostare l’autenticazione a due fattori sui propri account. Le istruzioni specifiche sono disponibili nel Centro assistenza.
Alcuni controlli non possono essere disabilitati dal cliente, mentre altri consentono la personalizzazione della sicurezza dei servizi Slack o dei servizi GovSlack da parte dei clienti per uso personale. In questo ambito, la protezione dei Dati del cliente è una responsabilità congiunta tra il cliente e Slack. Slack si allinea come minimo agli standard di settore prevalenti, come ISO 27001, ISO 27002 e ISO 27018, o qualsiasi standard successivo o sostitutivo.
Rilevamento delle intrusioni
Slack, o un’entità esterna autorizzata, monitora i servizi Slack e i servizi GovSlack al fine di rilevare intrusioni non autorizzate.
Registri di sicurezza
I sistemi utilizzati nella fornitura dei servizi Slack e dei servizi GovSlack memorizzano le informazioni nelle rispettive strutture di registri di sistema oppure tramite un servizio di registrazione centralizzato (per i sistemi di rete) al fine di consentire revisioni e analisi in termini di sicurezza. Slack gestisce un ampio spazio di registrazione centralizzato nell’ambiente di produzione che contiene informazioni relative a sicurezza, monitoraggio, disponibilità, accesso e altre metriche sui servizi Slack e sui servizi GovSlack. Tali registri vengono analizzati per la ricerca di eventi di sicurezza tramite un software di monitoraggio automatizzato, supervisionato dal team per la sicurezza. Per i servizi GovSlack, i registri sono accessibili solo dall’ambiente GovSlack e solo da persone qualificate degli Stati Uniti. Per “persone qualificate degli Stati Uniti” si intende individui che: (a) sono cittadini o residenti permanenti legali degli Stati Uniti; (b) sono ubicati fisicamente negli Stati Uniti mentre forniscono supporto per GovSlack; e (c) hanno superato un controllo sulle esperienze pregresse come condizione per la loro assunzione in Slack.
Gestione degli incidenti
Slack mette in atto criteri e procedure per la gestione degli incidenti di sicurezza. Nella misura consentita dalla legge, Slack comunica ai clienti interessati, senza indebito ritardo, qualsiasi divulgazione non autorizzata dei rispettivi Dati del cliente da parte di Slack o dei suoi agenti di cui Slack venga a conoscenza. Slack pubblica le informazioni sullo stato del sistema nel sito web Trust di Salesforce e/o nella pagina sullo stato del sistema di Slack. Slack in genere informa i clienti di incidenti di sistema significativi tramite e-mail e, nel caso di incidenti che durano più di un’ora, può invitare i clienti interessati a partecipare a una teleconferenza sull’incidente e sulla risposta di Slack. La gestione degli incidenti di sicurezza per GovSlack viene eseguita da persone qualificate degli Stati Uniti.
Crittografia dei dati
I servizi Slack e i servizi GovSlack utilizzano prodotti di crittografia accettati dal settore per proteggere i Dati del cliente (1) durante le trasmissioni tra la rete di un cliente e i servizi Slack e i servizi GovSlack; e (2) quando i dati sono inattivi. I servizi Slack e i servizi GovSlack supportano i protocolli e i prodotti di cifratura sicuri consigliati più recenti per crittografare tutto il traffico in transito. Slack monitora con attenzione il mutevole panorama in ambito crittografico e agisce prontamente per aggiornare il servizio al fine di rispondere ai nuovi punti deboli non appena vengono scoperti e di implementare le procedure consigliate nel loro evolversi. Per la crittografia dei dati in transito, Slack opera valutando anche la necessità di compatibilità con i client meno recenti.
Affidabilità, backup e continuità aziendale
Slack è consapevole che l’utente fa affidamento sui servizi Slack e sui servizi GovSlack per la propria attività. Ci impegniamo pertanto a rendere i servizi Slack e i servizi GovSlack una soluzione ad alta disponibilità su cui l’utente può contare. La nostra infrastruttura è in esecuzione su sistemi tolleranti ai guasti, sia per guasti di singoli server sia per guasti di interi data center. Il nostro team operativo verifica regolarmente le misure di ripristino di emergenza e dispone di personale disponibile 24 ore su 24 per risolvere rapidamente gli incidenti imprevisti. Le procedure consigliate standard del settore in termini di affidabilità e di backup hanno contribuito a modellare la progettazione dei servizi Slack e dei servizi GovSlack. Slack esegue backup regolari e facilita i ripristini del software, le modifiche al sistema e la replica dei dati quando è necessario e in base alle esigenze. Ove possibile, Slack assiste il cliente nel recupero dei dati in caso di eventi catastrofici importanti, in base alle limitazioni imposte dai requisiti di residenza dei dati della località e dalle caratteristiche all’interno dell’area geografica. Gli “eventi catastrofici importanti” rientrano in tre ampi tipi di occorrenze: (1) eventi naturali, come inondazioni, uragani, tornado, terremoti ed epidemie; (2) eventi tecnologici, come guasti di sistemi e strutture, ad esempio esplosioni di condutture, incidenti di trasporto, interruzioni di servizi pubblici, guasti di dighe e rilasci accidentali di materiali pericolosi; ed (3) eventi causati dall’uomo, come attacchi attivi di aggressori, attacchi chimici o biologici, attacchi informatici contro dati o infrastrutture e sabotaggio. Un evento catastrofico importante non include bug, problemi operativi o altri errori comuni relativi al software.
I Dati del cliente vengono archiviati in modo ridondante in più ubicazioni nei data center del nostro provider di hosting per garantire la disponibilità. Sono disponibili procedure di backup e ripristino collaudate, che consentono il ripristino dopo un incidente grave. I Dati del cliente e il nostro codice sorgente vengono sottoposti automaticamente a backup ogni notte. Qualora si verifichi un guasto al sistema, il team operativo viene avvisato. I backup vengono testati completamente almeno ogni 90 giorni per verificare che i processi e gli strumenti funzionino nel modo previsto.
Dati inattivi
Slack memorizza i Dati del cliente inattivi in determinate aree geografiche principali, salvo quanto diversamente previsto nel Modulo d’ordine.
Restituzione dei Dati del cliente
Entro 30 giorni dalla risoluzione del contratto, i clienti possono richiedere la restituzione dei rispettivi Dati del cliente inviati ai servizi Slack e ai servizi GovSlack (nella misura in cui tali dati non siano stati eliminati dal cliente stesso). Le informazioni sulle funzionalità di esportazione dei servizi Slack e dei servizi GovSlack sono disponibili nel Centro assistenza di Slack.
Eliminazione dei Dati del cliente
I servizi Slack e i servizi GovSlack consentono ai proprietari principali dell’area di lavoro di eliminare i Dati del cliente in qualsiasi momento durante il periodo di abbonamento. Entro 24 ore dall’avvio dell’eliminazione da parte del proprietario principale dell’area di lavoro, Slack elimina definitivamente tutte le informazioni dai sistemi di produzione attualmente in esecuzione (esclusi i nomi di team e i termini di ricerca incorporati negli URL nei registri degli accessi del server web). I backup dei servizi Slack e dei servizi GovSlack vengono distrutti entro 14 giorni, ma tale periodo può essere temporaneamente prolungato durante un’indagine in corso su un incidente.
Quando un cliente termina un abbonamento a pagamento a Enterprise Grid o ai servizi GovSlack, se non sceglie altrimenti di eliminare il proprio account, Slack, entro 90 giorni dalla cessazione dell’abbonamento, eliminerà e verificherà che tutte le Consociate e tutti i provider di hosting di terze parti applicabili eliminino tutte le copie dei Dati del cliente (esclusi i nomi di team e i termini di ricerca incorporati negli URL nei registri degli accessi del server web) entro 14 giorni da quando Slack ha avviato l’eliminazione dell’account del cliente. Quando un cliente termina un abbonamento a pagamento ai servizi Slack diverso da Enterprise Grid o dai servizi GovSlack, l’abbonamento del cliente rimarrà in essere con il livello di utilizzo gratuito per i servizi Slack e soggetto alle Condizioni d’uso per il Cliente online in vigore o ad altro contratto di abbonamento online principale applicabile a tale livello di utilizzo gratuito (“Condizioni di abbonamento gratuito”) e i Dati del cliente non verranno eliminati fino a quando (i) il cliente non elimini in modo autonomo l’area di lavoro, (ii) il cliente non indichi altrimenti a Slack di eliminare i propri Dati del cliente o (iii) una delle parti non rescinda le Condizioni di abbonamento gratuito. Al verificarsi di tali eventi, Slack, entro 14 giorni, eliminerà e verificherà che tutte le Consociate e i provider di hosting di terze parti autorizzati eliminino tutte le copie dei Dati del cliente (esclusi i nomi di team e i termini di ricerca incorporati negli URL nei registri degli accessi del server web).
Riservatezza
Slack esegue controlli rigorosi sull’accesso da parte dei propri dipendenti ai Dati del cliente. Per funzionare, i servizi Slack e i servizi GovSlack richiedono che alcuni dipendenti abbiano accesso ai sistemi in cui vengono archiviati ed elaborati i Dati del cliente. Per diagnosticare un problema riscontrato con i servizi Slack e i servizi GovSlack, ad esempio, Slack può aver bisogno di accedere ai Dati del cliente. A tali dipendenti è vietato utilizzare queste autorizzazioni per visualizzare i Dati del cliente a meno che non sia necessario farlo. Mettiamo in atto controlli tecnici e criteri di verifica per garantire che qualsiasi accesso ai Dati del cliente venga registrato.
Tutti i nostri dipendenti e membri del personale a contratto sono vincolati ai nostri criteri in relazione ai Dati del cliente e all’interno dell’azienda questi problemi vengono considerati come questioni della massima importanza.
Procedure relative al personale
Slack esegue controlli sulle esperienze pregresse di tutti i dipendenti prima dell’assunzione e i dipendenti ricevono una formazione specifica sulla privacy e sulla sicurezza durante la fase di onboarding e su base continuativa. Tutti i dipendenti sono tenuti a leggere e firmare la nostra politica completa sulla sicurezza delle informazioni in relazione alla sicurezza, alla disponibilità e alla riservatezza dei servizi Slack e dei servizi GovSlack.
Infrastruttura
Per ospitare o elaborare i Dati del cliente inviati ai servizi Slack e ai servizi GovSlack, Slack utilizza l’infrastruttura fornita da Amazon Web Services, Inc. (“AWS”). Le informazioni sulla sicurezza fornite da AWS sono disponibili nel sito web sulla sicurezza in AWS. Le informazioni sulle certificazioni e sui controlli relativi alla sicurezza e alla privacy ricevute da AWS, ad esempio le informazioni sulla certificazione ISO 27001 e sui report SOC, sono disponibili nel sito web sulla conformità di AWS.