Sicurezza

Sicurezza applicativa

Schneider Electric si impegna a sviluppare e testare in modo sicuro le proprie soluzioni contro le minacce alla sicurezza per garantire la sicurezza dei dati dei clienti. Inoltre, Schneider Electric impiega continuamente un numero a rotazione di hacker certificati da terze parti per eseguire dettagliati test di penetrazione sull’intera piattaforma EcoStruxure IT.

Sicurezza del prodotto

La piattaforma EcoStruxure™IT è dotata di un sistema di sicurezza efficace con un’autenticazione obbligatoria a due fattori e standard di crittografia elevati. I tuoi dati vengono trasportati in modo sicuro alla piattaforma EcoStruxure IT utilizzando l’EcoStruxure IT Gateway, che utilizza una connessione in uscita per garantire che nessuno possa compromettere il tuo ambiente.

Privacy dei dati

Schneider Electric garantisce la privacy e l’integrità dei tuoi dati in ogni momento. Conforme al Regolamento GDPR, EcoStruxure IT utilizza solo i dati della macchina per ottimizzare la tua esperienza con la piattaforma, garantendo così la massima riservatezza dei tuoi dati personali.

Sicurezza applicativa

Sviluppo sicuro

Training di sicurezza

Tutti i nuovi sviluppatori di software EcoStruxure IT partecipano a un corso di formazione obbligatoria sulla sicurezza che viene impartito al momento del noleggio e per ogni anno successivo. Inoltre, possono scegliere di iscriversi a un corso di formazione per hacker white hat per ricevere la certificazione di “hacker etico”.

Peer Review

Qualsiasi modifica alla piattaforma EcoStruxure IT è soggetta a una peer review obbligatoria in cui le modifiche al codice e all’infrastruttura vengono esaminate da almeno un altro ingegnere al fine di convalidare la qualità, la sicurezza e le prestazioni del codice.

Tutte le modifiche sono tracciate utilizzando un sistema di controllo della versione (GIT) per garantire la cronologia, la tracciabilità e il monitoraggio degli audit.

Ambienti separati

Gli ambienti di test di EcoStruxure™ IT sono fisicamente isolati dall’ambiente di produzione.

Vulnerabilità applicative

Scansione dinamica delle vulnerabilità

Per rilevare eventuali vulnerabilità Schneider Electric utilizza diversi strumenti di sicurezza di terze parti per una scansione dinamica e continuativa della piattaforma EcoStruxure™ IT . Schneider Electric dispone di un team di sicurezza impegnato a gestire i risultati e a lavorare con i team di ingegneri per risolvere i problemi.

Analisi statica del codice

Tutte le modifiche al codice sorgente vengono continuamente analizzate per individuare bug, problemi di sicurezza e di licenza tramite strumenti di analisi statica. Qualsiasi modifica del codice sorgente che non soddisfa gli standard di EcoStruxure IT sarà rimandata indietro al team di sviluppo per essere migliorata.

Test di sicurezza contro la penetrazione di terze parti

Schneider Electric impiega continuamente un numero a rotazione di hacker certificati da terze parti per eseguire test di penetrazione dettagliati su tutti i componenti di EcoStruxure IT (gateway, dispositivi mobili e web app). Quando vengono rilasciate nuove funzioni, le dichiarazioni di missione vengono consegnate agli esperti di sicurezza per verificare la sicurezza delle funzioni. Per saperne di più sulla nostra politica di condivisione dei rapporti sui test di sicurezza (in inglese)

Risposta agli incidenti

Il Corporate Product Cyber Emergency Response Team (CPCERT) di Schneider Electric ha definito i processi di gestione delle vulnerabilità per garantire una risposta efficiente agli incidenti.

Per segnalare un incidente, puoi inviare un’e-mail all’indirizzo cybersecurity@schneider-electric.com.

Tutte le informazioni sulle vulnerabilità sono riportate sul portale Cybersecurity Support Portal di Schneider Electric.

Caratteristiche di sicurezza del prodotto

SICUREZZA DI AUTENTICAZIONE

Politica sulle password

La politica sulle password di EcoStruxure IT richiede:

  • Almeno 8 caratteri di lunghezza
  • Almeno 3 dei seguenti 4 tipi di caratteri:
    • lettere minuscole (a-z),
    • lettere maiuscole (A-Z),
    • numeri (ad es. 0-9),
    • caratteri speciali (ad es. !@#$%^&*)

EcoStruxure IT convaliderà la tua password, a condizione che non sia una delle 10000 password più comuni e che non sia la prima parte del tuo indirizzo e-mail.

Nota che la password non scadrà secondo le politiche consigliate dal NIST & National Cyber Security Centre del Regno Unito.

Autenticazione a più fattori

L’autenticazione a più fattori fornisce un elevato livello di sicurezza al tuo account EcoStruxure™ IT, rendendo più difficile la falsificazione della tua firma. L’autenticazione a più fattori è attivata per tutti gli accessi a EcoStruxure™IT, se sei un cliente, partner o dipendente di Schneider Electric. Schneider Electric consiglia di utilizzare l’app EcoStruxure™ IT per l’autenticazione a due fattori o un’applicazione di autenticazione di terze parti. Anche se è possibile utilizzare token SMS di breve durata come ultima risorsa, questa procedura non è consigliabile.

Archiviazione sicura delle credenziali

Schneider Electric segue le migliori pratiche di archiviazione sicura delle credenziali non memorizzando mai le password di EcoStruxure IT in formato di testo leggibile e solo come risultato di un bcrypyt sicuro, salted hash. Le password vengono disaccoppiate dalla piattaforma interna e salvate utilizzando Auth0, una soluzione consigliata dagli esperti di gestione dell’autenticazione.

Tentativi di accesso non riusciti

Schneider Electric applica il metodo “forza bruta” per la protezione di EcoStruxure IT. Se hai inserito una password errata per più di 10 volte dallo stesso indirizzo IP, ti sarà impedito di accedere al tuo account. Riceverai le istruzioni su come sbloccare l’indirizzo IP da EcoStruxure IT via e-mail.

Inoltre, Schneider Electric applica anche limiti temporali. Se si tenta di accedere 20 volte al minuto con lo stesso utente dalla stessa posizione, indipendentemente dalla correttezza delle credenziali, scatterà il limite temporale. In questo modo sarà possibile effettuare solo 10 tentativi al minuto.

SICUREZZA DEL GATEWAY

Connessione in outbound

Schneider Electric si impegna a mantenere sicuri e privati i dati degli utenti, anche prima che lascino il sito. Tutte le connessioni dal gateway di EcoStruxure IT al nostro cloud sono convalidate utilizzando un certificato RSA a 2048 bit secondo gli standard del settore e i dati sono crittografati in transito con crittografia AES a 256 bit. Per evitare di compromettere la sicurezza del tuo sito, il gateway di EcoStruxure IT utilizza una connessione in uscita attraverso la porta 443 e comunica solo con il cloud di EcoStruxure IT utilizzando 40.84.62.190 e 23.99.90.28.

Troverai maggiori informazioni su come EcoStruxure IT applica aggiornamenti per la tua infrastruttura utilizzando una connessione in outbound qui (in inglese).

Autenticazione

Tutte le richieste provenienti dal gateway vengono autenticate utilizzando una chiave privata univoca creata al momento dell’installazione e memorizzata nel gateway, rendendo impossibile la presa di possesso.

Aggiornamenti automatici

Il gateway EcoStruxure IT è dotato di una funzionalità di aggiornamento automatico che garantisce che la patch di sicurezza del software avvenga automaticamente e che il gateway sia sempre aggiornato. L’aggiornamento non causa alcuna interruzione, garantendo comunque il monitoraggio durante l’aggiornamento.

Privacy dei dati

GDPR

Il Regolamento generale sulla protezione dei dati (“GDPR”) riguarda il trattamento dei dati personali e la libera circolazione di tali dati. Il suo obiettivo è quello di rafforzare la sicurezza e la protezione dei dati personali all’interno dell’UE e armonizzare la normativa comunitaria in materia di protezione dei dati. Questo regolamento stabilisce una serie di principi e requisiti in materia di protezione dei dati che devono essere rispettati quando si trattano i dati personali.

EcoStruxure™ IT è conforme al GDPR. Schneider Electric condivide le informazioni personali con i responsabili del trattamento dei dati di terze parti su una base need-to-know. Per saperne di più su quali dati personali sono condivisi con i subprocessori e subappaltatori.

Trattamento e conservazione dei dati personali

Schneider Electric raccoglie i dati dei sensori e degli allarmi dai dispositivi delle infrastrutture critiche che scegli di condividere con noi. Schneider Electric raccoglie solo i dati sulle prestazioni delle tue apparecchiature e i metadati, come ad esempio dove si trovano e la loro età.

Prima di essere memorizzati, i tuoi dati vengono associati a te. I tuoi dati vengono separati dai dati degli altri utenti tramite un identificatore univoco, che il sistema utilizza per garantire la corretta corrispondenza dei dati. Inoltre, il motore cloud mantiene un audit trail completo dei dati ricevuti e dell’elaborazione dei dati, così possiamo sempre ripercorrere i nostri passi e vedere dove sono stati e per cosa sono stati utilizzati i tuoi dati.

EcoStruxure™ IT non accede a nessun dato memorizzato sui tuoi server o archivi, né controlla il traffico che passa attraverso la tua rete. I dati vengono memorizzati su Microsoft Azure negli Stati Uniti, con autocertificazione secondo lo scudo UE-USA per la privacy.

Utilizzo dei dati personali

In primo luogo, Schneider Electric elabora e memorizza i dati per tuo conto, in modo che siano disponibili in tutto il mondo attraverso l’app EcoStruxure IT. Ma soprattutto, condividendo i tuoi dati con Schneider Electric ci permette di ottimizzare i servizi e i prodotti che forniamo, per aiutarti a ottimizzare il tuo data center e per consentire un confronto con i colleghi di tutto il mondo.

Data Center e sicurezza di rete

Sicurezza fisica

Strutture

I server EcoStruxure IT sono ospitati negli Stati Uniti sul cloud di Microsoft Azure, certificato ISO 27001, HIPAA, FedRAMP, SOC 1 e SOC2. Per saperne di più sulle strutture, i locali e la sicurezza fisica di Microsoft Azure

Sicurezza di rete

Accesso logico

L’accesso alla rete di produzione di EcoStruxure IT è limitato da una base need-to-know esplicita, utilizza il minor numero di privilegi, è monitorato e controllato dal nostro team operativo. I dipendenti che accedono alla rete di produzione di EcoStruxure IT sono tenuti a utilizzare più fattori di autenticazione.

DDoS

Dal momento che EcoStruxure IT è in esecuzione su Microsoft Azure, Schneider Electric sfrutta il monitoraggio costante del traffico e l’attenuazione in tempo reale degli attacchi comuni a livello di rete, fornendo le stesse difese utilizzate dai servizi online di Microsoft.

Test di sicurezza contro la penetrazione di terze parti

Schneider Electric impiega continuamente un numero a rotazione di hacker certificati da terze parti per eseguire dettagliati test di penetrazione sull’intera piattaforma EcoStruxure IT. Per saperne di più sulla nostra politica di condivisione dei rapporti sui test di sicurezza (in inglese)

Monitoraggio

EcoStruxure IT è gestita da un team di DevOps con standard estremamente elevati in termini di sicurezza informatica e riservatezza dei dati. Tutte le parti del sistema di EcoStruxure IT sono continuamente monitorate e analizzate per individuare potenziali vulnerabilità di sicurezza o problemi di privacy. Il team DevOps è disponibile 24 ore su 24, 7 giorni su 7 e in grado di reagire prontamente a nuove minacce o problemi scoperti.

Crittografia

Crittografia in transito

Tutte le connessioni verso il cloud di EcoStruxure IT sono convalidate utilizzando un certificato RSA a 2048 bit secondo gli standard del settore e i dati sono crittografati in transito con crittografia AES a 256 bit. Per le versioni Android precedenti alla 7.0, Schneider Electric può garantire solamente una crittografia AES a 128 bit a causa delle limitazioni della piattaforma Android.

Crittografia a riposo

I dati di EcoStruxure IT sono criptati con crittografia 256 bit AES.

Disponibilità e continuità

Ridondanza

Tutti i componenti della piattaforma EcoStruxure IT sono distribuiti in una configurazione ad alta disponibilità per eliminare singoli punti di guasto. Tutti i dati vengono salvati in un archivio separato per evitare la perdita di dati.

Subprocessori e subappaltatori