Sviluppo sicuro

Tutti i nuovi sviluppatori di software EcoStruxure IT partecipano a una formazione obbligatoria sulla sicurezza al momento dell’assunzione e successivamente per ogni anno. Inoltre, possono scegliere di iscriversi a un corso per hacker white hat per ricevere la certificazione di hacker etico.

Qualsiasi modifica alla piattaforma di EcoStruxure IT è soggetta a una peer review obbligatoria in cui le modifiche al codice e all’infrastruttura sono riviste da almeno un altro ingegnere per convalidare la qualità, la sicurezza e le prestazioni del codice.

Tutte le modifiche sono tracciate utilizzando un sistema di controllo della versione (GIT) per garantire la cronologia, la tracciabilità e il monitoraggio dell’audit.

Gli ambienti per i test di EcoStruxure IT sono fisicamente isolati dall’ambiente di produzione.

Vulnerabilità delle applicazioni

Schneider Electric utilizza diversi strumenti di sicurezza di terze parti per la scansione continua e dinamica della piattaforma EcoStruxure IT alla ricerca di vulnerabilità. Schneider Electric adopera un team di sicurezza impegnato a gestire i risultati e a collaborare con i team di ingegneria per risolvere i problemi.

Tutte le modifiche al codice sorgente sono soggette a scansione continua alla ricerca di bug, problemi di sicurezza e di licenza tramite strumenti di analisi statica. Qualsiasi modifica al codice sorgente che non soddisfa gli standard di EcoStruxure IT tornerà al team di sviluppo per essere migliorata.

Schneider Electric impiega continuamente un numero a rotazione di hacker certificati di terze parti per eseguire penetration test dettagliati su tutti i componenti di EcoStruxure IT (gateway, mobile e web app). Quando vengono rilasciate nuove funzionalità, gli esperti di sicurezza ricevono le dichiarazioni di intenti per verificarne la sicurezza. Scopri di più sulla nostra politica di condivisione dei report dei test di sicurezza.

Il Corporate Product Cyber Emergency Response Team (CPCERT) di Schneider Electric ha definito processi di gestione delle vulnerabilità per garantire una risposta efficiente agli incidenti.

Per segnalare un incidente, contatta il tuo Customer Care Center locale.

Se sei un ricercatore, segnala una vulnerabilità di cybersicurezza qui.

Tutte le rivelazioni di vulnerabilità sono segnalate sullo Schneider Electric Cybersecurity Support Portal.

In conformità con le best practice del settore, usiamo procedure rigorose per la sanitizzazione dell’output di tutti gli input dell’utente. Questa scelta è imposta in parte dall’analisi statica del codice e anche dall’uso di framework di terze parti ben noti e testati.

SICUREZZA DELL’AUTENTICAZIONE

La politica della password di EcoStruxure IT richiede:

• Almeno 8 caratteri di lunghezza
• Almeno 3 dei seguenti 4 tipi di caratteri:
• Lettere minuscole (a-z),
• Lettere maiuscole (A-Z),
• Numeri (0-9),
• Caratteri speciali (es. !@#$%^&* )
• Non più di 2 caratteri identici in fila (“aaa” non è permesso)

EcoStruxure IT convaliderà la tua password, a condizione che non sia una delle 10.000 password più comuni e che non sia la prima parte del tuo indirizzo e-mail.

La tua password non scadrà secondo le politiche della password raccomandate dal NIST e National Cyber Security Centre nel Regno Unito.

L’autenticazione a più fattori fornisce un ulteriore livello di sicurezza al tuo account EcoStruxure IT, rendendo più difficile l’accesso a un estraneo. L’autenticazione a più fattori è attivata per tutti gli accessi a EcoStruxure IT, che tu sia un cliente, partner o dipendente Schneider Electric. Schneider Electric consiglia di utilizzare l’app EcoStruxure IT per l’autenticazione a due fattori o un’app di autenticazione di terze parti. È possibile utilizzare token SMS monouso di breve durata come ultima risorsa, ma non è raccomandato.

Schneider Electric segue le best practice di archiviazione sicura delle credenziali, non memorizzando mai le password di EcoStruxure IT in formato di testo leggibile e solo come risultato di un hash sicuro e salato di bcrypt. Le password sono disaccoppiate dalla piattaforma interna e salvate utilizzando Auth0, una soluzione raccomandata dagli esperti di gestione dell’autenticazione.

Schneider Electric applica una protezione della forza bruta per EcoStruxure IT. Se hai inserito una password sbagliata per più di 10 volte dallo stesso indirizzo IP, l’accesso al tuo account verrà bloccato. Riceverai quindi le istruzioni su come sbloccare l’indirizzo IP da EcoStruxure IT via e-mail.

Schneider Electric applica anche dei limiti di velocità. Se tenti di accedere 20 volte al minuto come le stesse credenziali utente dalla stessa posizione, anche se sei in possesso delle credenziali corrette, verrà applicato il limite di velocità. Potrai quindi effettuare solo 10 tentativi al minuto.

SICUREZZA DEL GATEWAY

Schneider Electric si impegna a mantenere i tuoi dati sicuri e privati, anche prima che lascino la tua sede. Tutte le connessioni dal gateway EcoStruxure IT al nostro cloud sono convalidate utilizzando un certificato RSA a 2048 bit standard del settore e i dati sono crittografati in transito utilizzando la crittografia AES a 256 bit. Per evitare di compromettere la sicurezza del tuo sito, il gateway EcoStruxure IT utilizza una connessione in uscita tramite la porta 443 e comunica con il cloud EcoStruxure IT solo utilizzando 40.84.62.190, 23.99.90.28, 52.230.227.202, 52.177.161.233 e 52.154.163.222.

Scopri come EcoStruxure IT applica gli aggiornamenti sulla tua infrastruttura attraverso una connessione solo in uscita (comunicazione a senso unico) qui.

Tutte le richieste provenienti dal gateway sono firmate utilizzando una chiave privata unica creata al momento dell’installazione e memorizzata nel gateway: è impossibile imitarla.

EcoStruxure IT Gateway è dotato di una funzionalità di aggiornamento automatico che assicura che l’applicazione di una patch di sicurezza del software avvenga automaticamente e che il gateway sia sempre aggiornato. Durante l’aggiornamento, il gateway continua a comunicare i dati dei sensori e gli allarmi al cloud, riducendo al minimo i tempi di inattività.

Scopri di più sulla privacy in Schneider Electric.

Il Regolamento generale sulla protezione dei dati (“GDPR”) riguarda il trattamento dei dati personali e la libera circolazione di tali dati. Mira a rafforzare la sicurezza e la protezione dei dati personali nell’UE e di accordare la legge europea sulla protezione dei dati. Tale regolamento stabilisce una serie di principi e requisiti per la protezione dei dati che devono essere rispettati quando vengono elaborati i dati personali.

Schneider Electric si impegna a rispettare gli obblighi previsti dal GDPR. Schneider Electric condivide solo le informazioni personali necessarie con gli elaboratori di dati di terze parti.

Scopri di più su quali dati personali vengono condivisi con subprocessori e subappaltatori.

Schneider Electric raccoglie i dati dei sensori e gli allarmi dei dispositivi delle infrastrutture critiche che l’utente sceglie di condividere con noi. Schneider Electric raccoglie solo dati sulle prestazioni delle apparecchiature dell’utente e metadati come la loro ubicazione e l’età.

Prima di essere archiviati, i dati vengono etichettati come specifici di un utente. Sono separati da quelli degli altri clienti da un identificatore unico che il sistema utilizza per garantire la corretta corrispondenza dei dati. Inoltre, il motore del cloud mantiene un audit trail completo dei dati ricevuti e dell’elaborazione dei dati: in tal modo possiamo sempre ripercorrere i nostri passi e vedere dove sono stati i dati dell’utente e per cosa sono stati utilizzati.

EcoStruxure IT non accede a nessun dato memorizzato sui server o storage dell’utente, né monitora il traffico passato attraverso la sua rete. I dati sono memorizzati su Microsoft Azure negli Stati Uniti.

In primo luogo, Schneider Electric elabora e memorizza i dati per te, in modo che siano disponibili ovunque nel mondo attraverso l’app EcoStruxure IT. Ma, soprattutto, la condivisione dei tuoi dati con Schneider Electric ci permette di ottimizzare i servizi e i prodotti che forniamo, di aiutarti a ottimizzare il tuo data center e di permetterti di confrontarti con i tuoi colleghi di tutto il mondo.

Quando disattivi il tuo account EcoStruxure IT, il nostro sistema cancella automaticamente i tuoi dati personali.

Sicurezza fisica

I server di EcoStruxure IT sono ospitati negli Stati Uniti sul cloud di Microsoft Azure, che è certificato ISO 27001, HIPAA, FedRAMP, SOC 1 e SOC 2. Scopri di più su strutture, sedi e sicurezza fisica di Microsoft Azure

Sicurezza della rete

L’accesso alla rete di produzione di EcoStruxure IT è limitato da una esplicita necessità di sapere, utilizza il minimo privilegio, è monitorato ed è controllato dal nostro team operativo. Ai dipendenti che accedono alla rete di produzione di EcoStruxure IT è richiesto di utilizzare un’autenticazione a più fattori.

Poiché EcoStruxure IT è in esecuzione su Microsoft Azure, Schneider Electric sfrutta il loro monitoraggio continuo del traffico e la riduzione in tempo reale dei comuni attacchi a livello di rete, fornendo le stesse difese utilizzate dai servizi online di Microsoft.

Schneider Electric impiega continuamente un numero a rotazione di hacker certificati di terze parti per eseguire penetration test dettagliati dell’intera piattaforma EcoStruxure IT. Scopri di più sulla nostra politica di condivisione dei report dei test di sicurezza.

EcoStruxure IT è mantenuto e gestito da un core team DevOps con standard estremamente elevati per la sicurezza informatica e la privacy dei dati. Tutte le parti del sistema di EcoStruxure IT sono continuamente monitorate e scansionate per rilevare potenziali vulnerabilità di sicurezza o problemi di privacy. Il team DevOps è reperibile 24 ore su 24, 7 giorni su 7 ed è preparato a reagire prontamente a nuove minacce o problemi.

Crittografia

Tutte le connessioni al cloud di EcoStruxure IT sono convalidate tramite un certificato RSA a 2048 bit standard del settore e i dati sono crittografati in transito utilizzando la crittografia AES a 256 bit. Per le versioni di Android precedenti alla 7.0, Schneider Electric può garantire solo una crittografia AES a 128 bit a causa delle limitazioni della piattaforma Android.

I dati di EcoStruxure IT sono criptati con una crittografia AES a 256 bit.

Disponibilità e continuità

EcoStruxure IT gestisce una pagina Web sullo stato del sistema disponibile al pubblico che include dettagli sulla disponibilità del sistema, sulla manutenzione programmata, sulla cronologia degli incidenti di servizio ed eventi di sicurezza rilevanti.

Tutti i componenti della piattaforma di EcoStruxure IT sono distribuiti in configurazione ad alta disponibilità per eliminare il punto di errore singolo. Tutti i dati sono salvati in uno storage separato per prevenirne la perdita.