1. Come evitiamo che i clienti possano accedere ai dati di altri clienti?

La nostra architettura multi-tenant utilizza la separazione logica dei database per garantire la privacy e la riservatezza dei nostri clienti. Questi rigorosi controlli di sicurezza sono inclusi nel codice della nostra applicazione al fine di garantire la privacy dei dati e di impedire che un utente possa accedere ai dati di altri utenti. A tal fine, utilizziamo identificatori di account univoci che abbinano un singolo utente a uno specifico account. Per garantire che i controlli sulla privacy funzionino come previsto, eseguiamo numerosi unit test e test di integrazione ogni volta che aggiorniamo il nostro codebase. In caso di mancato superamento anche di un singolo test, il nuovo codice non viene inoltrato alla produzione.

 

2. Con quale frequenza vengono eseguiti i backup?

La nostra infrastruttura di backup e ripristino in hosting utilizza una combinazione tra Amazon Simple Storage Service (Amazon S3) e Amazon Relational Database Service (Amazon RDS), offrendo database ridimensionabili con un’infrastruttura di archiviazione scalabile ed efficiente. Il servizio Amazon RDS è configurato per eseguire il backup del database di produzione ogni giorno, conservare 35 giorni di backup e archiviare i backup dei database in formato crittografato in una posizione di archiviazione dei dati ad elevata disponibilità. Il servizio Amazon RDS consente inoltre un ripristino point-in-time del database in un qualsiasi punto temporale nelle due settimane precedenti. Le copie più vecchie dei backup sono eliminate in conformità alla nostra pianificazione per la conservazione dei dati.

 

3. Cosa sono i RPO (Recovery Point Objective) e i RTO (Recovery Time Objective) di KnowBe4?    

Il nostro RPO va da pochi minuti a ore, ma mai più di 72 ore. Il nostro RTO è 72 ore. 

 

4. Cos’è la procedura di controllo/gestione delle modifiche di KnowBe4? 

Abbiamo implementato un processo di gestione delle modifiche formale che consente al personale di richiedere, gestire, approvare e controllare le modifiche relative ai servizi o ai sistemi all’interno dei nostri ambienti. Il processo di controllo delle modifiche intende rafforzare i controlli di sviluppo fondamentali ogni volta che viene modificato il software, incluse le modifiche relative a sviluppo ed emergenza. Il processo di gestione delle modifiche inizia con l’identificazione di ciò che deve essere modificato, la registrazione e la classificazione della modifica e continua poi con la revisione, l’approvazione, il test e l’organizzazione dell’implementazione della modifica. Una volta che l’implementazione è stata completata, misurata e segnalata, il processo di modifica è completo.

    

5. I dati di produzione sono utilizzati nell’ambiente di test? 

I dati di produzione non sono copiati in ambienti di test. Utilizziamo un processo giornaliero per l’anonimizzazione dell’intero database di produzione. Questo processo è supervisionato dai nostri team per la privacy dei dati e infosec. Questo database anonimizzato include dettagli account cliente anonimizzati, come indirizzo del cliente, dominio, nome dell’azienda, dati personali e altre informazioni riservate. Questo database anonimizzato è utilizzato per i test secondo necessità. Aggiorniamo questo database giornalmente in modo che, quando i dati degli account vengono eliminati o cancellati, anche i dati dell’account vengono cancellati dal database anonimizzato.

    

6. Come sono gestiti e monitorati gli accessi dei dipendenti KnowBe4? 

Per i suoi dipendenti, KnowBe4 applica il principio dell’accesso con minimo privilegio e basato sul ruolo. Tutti gli accessi dei dipendenti sono registrati e monitorati.

    

7. Quali tipi di dati vengono raccolti ed elaborati da Knowbe4?

 

8. Dove posso consultare un elenco dei subincaricati al trattamento dei dati? 

Un elenco dei subincaricati al trattamento dei dati è consultabile qui.

 

9. In che modo KnowBe4 garantisce la disponibilità dei propri prodotti? 

I nostri sistemi sono eseguiti su cloud e non utilizzano propri router, equilibratori di carico, server DNS o sistemi virtuali. Ad eccezione di pochi subincaricati al trattamento dei dati, servizi e dati, tutti gli altri dati sono ospitati principalmente nei data center Amazon AWS. Per i clienti residenti negli Stati Uniti e per quelli che desiderano che i propri dati rimangano archiviati negli Stati Uniti, sono disponibili sistemi in data center AWS che si trovano negli Stati Uniti, in North Virginia. Per i clienti residenti in UE/SEE (inclusi Regno Unito e Svizzera), sono disponibili sistemi in data center AWS che archiviano i dati di produzione in DC (controller di dominio) con sede a Dublino, Irlanda e failover in DC con sede a Francoforte. Tuttavia, alcuni subincaricati al trattamento dei dati elaboreranno un sottoinsieme di dati limitato negli Stati Uniti. Un elenco completo delle sedi dei responsabili del trattamento dei dati è disponibile nell’elenco dei subincaricati.

I nostri sistemi sono stati creati prendendo in considerazione sia la continuità che il disaster recovery. La nostra infrastruttura IT, inclusi sistemi e database, è suddivisa in più data center Amazon AWS (aree di disponibilità) sia nell’UE che negli Stati Uniti al fine di garantire la continuità. I sistemi si trovano all’interno del nostro virtual private cloud (VPC) con elenchi di controllo dell’accesso alla rete (ACL) al fine di prevenire che richieste non autorizzate ottengano l’accesso alla rete interna.

Utilizziamo la piattaforma AWS Fargate come servizio. AWS Fargate è un computer engine senza server per Amazon Elastic Container Service (Amazon ECS) che consente a KnowBe4 di eseguire container senza la necessità di fornire, configurare e scalare cluster di macchine virtuali (VM). AWS Fargate gestisce le infrastrutture e i cluster di base ed è in grado di scalare automaticamente l’applicazione in base alla richiesta. AWS Fargate elimina la necessità di scalare, monitorare, correggere e proteggere le istanze EC2.

La comunicazione dei dati tra i nostri sistemi di backend e i sistemi di backend dei nostri clienti è crittografata, proteggendo così i dati in transito. I dati sono organizzati in un Amazon Relational Database Service (Amazon RDS), in grado di garantire disponibilità e durata dei dati. L’archiviazione è fornita attraverso bucket Amazon Simple Storage Service (S3) crittografati dedicati per KnowBe4. La crittografia è abilitata per proteggere i dati a riposo.

 

10. In che modo KnowBe4 garantisce la riservatezza dei dati? 

La nostra rete interna è protetta dal traffico Internet pubblico tramite firewall con filtraggio stateful dei pacchetti forniti da Amazon AWS. Un gruppo di sicurezza agisce come firewall e controlla il traffico consentito all’interno di un gruppo di istanze. A ogni gruppo di sicurezza vengo aggiunte regole personalizzate che controllano il traffico in ingresso consentito per le istanze nel gruppo. Qualsiasi altro traffico in ingresso non è consentito.

Per proteggere sessioni Internet remote per le nostre applicazioni e la nostra rete interna vengono utilizzate comunicazioni crittografate. La crittografia garantisce la privacy e l’integrità dei dati che passano attraverso la rete pubblica.

Tutti i dati sono trasmessi utilizzando canali sicuri. Ciò include l’acceso a siti web console per formazione service provider, informazioni inviate a terze parti per l’elaborazione e l’accesso. I dati vengono inviati tra server web e database all’interno di un cloud privato virtuale in AWS.

L’invio dei dati tra le nostre applicazioni e le applicazioni dei nostri clienti richiede la connessione HTTPS TLS 1.2 come standard minimo (lo standard predefinito è il livello più alto di TLS disponibile) utilizzando codici moderni. L’istanza del database è crittografata utilizzando lo standard di crittografia AES256.

 

11. Qual è la policy per la conservazione dei dati? 

La nostra policy per la conservazione dei dati è disponibile qui.

 

12. KnowBe4 firmerà un Business Associate Addendum come descritto nelle normative HIPAA? 

I Business Associate Addendum (Addendum per associati commerciali) sono necessari per le organizzazioni che elaborano PHI per conto di un’entità appaltante. Il nostro BAA è disponibile alla pagina https://www.knowbe4.com/business-associate-agreement ed è una parte dei nostri Termini di servizio o di altri accordi siglati separatamente, come un Master Services Agreement (“MSA”) (Contratto quadro di servizi), sottoscritto tra i clienti e KnowBe4 e relativo all’utilizzo dei servizi di KnowBe4 da parte dei clienti (“Accordo”), ove applicabile.

 

12. KnowBe4 è in possesso della certificazione HIPAA? 

No e al momento non esiste alcun HIPAA per provider di servizi cloud. Indipendentemente dall’applicabilità dell’HIPAA, il programma di sicurezza delle informazioni di KnowBe4 è conforme ai requisiti FedRAMP, NIST 800-53 e ISO 27001.

 

13. In che modo i clienti possono verificare la posizione di archiviazione dei propri dati/la posizione della propria console?

Dopo aver effettuato l’acceso alla console, i clienti possono visualizzare l’URL e verificare la posizione di archiviazione della loro console all’interno delle posizioni AWS di KnowBe4. La tabella sotto contiene le informazioni relative agli URL delle console e le corrispondenti sedi di archiviazione AWS: