1. Scopo e ambito di applicazione
Questo piano descrive come Bungaflow (gestito da Redor AS) rileva, risponde e si riprende dagli incidenti di sicurezza e dalle violazioni dei dati personali.
Si applica a tutti i sistemi, i dati e il personale coinvolto nella gestione della piattaforma Bungaflow.
2. Definizioni
- Incidente di sicurezza:Qualsiasi evento che comprometta la riservatezza, l’integrità o la disponibilità della piattaforma Bungaflow o dei suoi dati.
- Violazione dei dati personali:Una violazione della sicurezza che comporta la distruzione, la perdita, l’alterazione, la divulgazione o l’accesso non autorizzato a dati personali (GDPR Art. 4(12)).
- Livelli di gravità: S1 Critico, S2 Maggiore, S3 Minore (come definiti nel nostro SLA).
3. Rilevamento e segnalazione
- Monitoraggio automatizzato:Tracciamento degli errori (Sentry), monitoraggio della disponibilità, analisi di sicurezza CI/CD (Gitleaks, Dependabot).
- Registrazione:Log delle attività per tutte le modifiche ai dati nell’applicazione.
- Segnalazione interna: I membri del team segnalano immediatamente gli incidenti sospetti al responsabile degli incidenti.
- Segnalazione esterna: Gli utenti possono segnalare problemi di sicurezza a security@bungaflow.com.
- Divulgazione responsabile:Accogliamo con favore i ricercatori di sicurezza che segnalano vulnerabilità in modo responsabile.
4. Classificazione degli incidenti
| Livello | Impatto | Esempi |
|---|
| S1 Critico | Violazione dei dati con esposizione di dati personali, interruzione totale del servizio, sfruttamento attivo | Fuga di database, compromissione delle credenziali, ransomware |
| S2 Maggiore | Degradazione parziale del servizio, potenziale esposizione dei dati, vulnerabilità ad alto rischio | Bypass dell’autenticazione, vulnerabilità di injection, interruzione parziale |
| S3 Minore | Impatto limitato, nessuna esposizione di dati, vulnerabilità a basso rischio | Divulgazione di informazioni (non personali), errore di configurazione minore |
5. Procedure di risposta
Fase 1: Identificazione (0–1 ora)
- Confermare che l’incidente è reale (non un falso positivo)
- Classificare il livello di gravità
- Assegnare un responsabile dell’incidente
- Iniziare la documentazione nel registro degli incidenti
Fase 2: Contenimento (1–4 ore per S1/S2)
- A breve termine: isolare i sistemi interessati (revocare gli accessi, bloccare gli IP, disattivare le funzionalità)
- Preservare le prove (log, snapshot)
- Valutare il raggio d’impatto (quali dati/utenti interessati)
Fase 3: Eradicazione (4–24 ore per S1/S2)
- Rimuovere la causa (correggere la vulnerabilità, ruotare le credenziali, aggiornare le dipendenze)
- Verificare la correzione con una revisione di sicurezza
- Distribuire tramite la pipeline CI/CD con verifiche automatizzate
Fase 4: Ripristino (24–48 ore per S1/S2)
- Ripristinare le operazioni normali
- Monitorare eventuali ricorrenze
- Verificare l’integrità dei dati
Fase 5: Revisione post-incidente (entro 5 giorni lavorativi)
- Analisi delle cause profonde
- Cronologia degli eventi
- Cosa ha funzionato bene, cosa può essere migliorato
- Azioni correttive e misure preventive
- Aggiornamento di questo piano se necessario
6. Notifica di violazione GDPR
In conformità con gli articoli 33 e 34 del GDPR:
All’autorità di controllo (Garante per la protezione dei dati personali)
Entro 72 ore dalla conoscenza, a meno che la violazione non sia suscettibile di comportare un rischio per le persone. La notifica include: natura della violazione, categorie e numero approssimativo degli interessati, dati di contatto, probabili conseguenze, misure adottate.
Agli interessati
Senza indebito ritardo quando la violazione è suscettibile di comportare un rischio elevato per i diritti e le libertà delle persone. In un linguaggio chiaro che descriva: la natura della violazione, i dati di contatto, le probabili conseguenze, le misure adottate e le raccomandazioni.
Ai titolari del trattamento
Se Bungaflow tratta dati per conto di un titolare del trattamento (vedi il nostro Accordo sul trattamento dei dati), il titolare viene notificato entro 48 ore.
7. Comunicazione
- Interna:Il responsabile dell’incidente coordina tutta la comunicazione interna.
- Clienti interessati: Notifica diretta via e-mail per incidenti S1/S2 che riguardano i loro dati.
- Pubblico: Aggiornamento della pagina di stato per gli incidenti che riguardano il servizio.
- Media: Tutte le richieste dei media sono indirizzate a contact@bungaflow.com.
- Nessuna divulgazione di dettagli tecnici che potrebbero facilitare ulteriori sfruttamenti.
8. Misure di sicurezza in atto (preventive)
- Crittografia: TLS in transito, AES-256-GCM per i campi sensibili a riposo.
- Autenticazione: Supabase Auth con OAuth e magic link (nessuna password memorizzata).
- Autorizzazione: Controllo degli accessi basato sui ruoli (Admin/Lite) con verifica lato server.
- Header: HSTS, X-Frame-Options, Content-Security-Policy.
- CI/CD: Linting automatizzato, verifica dei tipi, verifica di build e scansione dei segreti (Gitleaks) ad ogni modifica del codice.
- Dipendenze:Scansione automatica delle vulnerabilità tramite Dependabot.
- Minimizzazione dei dati:Vengono raccolti solo i dati necessari, cancellazione a cascata alla rimozione dell’account.
- Verifica dei sub-responsabili: Tutti i sub-responsabili dispongono di DPA e certificazioni di sicurezza (SOC 2 Type II, ISO 27001).
Per maggiori dettagli, consulta la nostra Informativa sulla privacy.
9. Ruoli e responsabilità
- Responsabile dell’incidente: Coordina la risposta, prende le decisioni di contenimento, comunica con le parti interessate.
- Team di sviluppo: Implementa le correzioni tecniche, distribuisce le patch.
- Protezione dei dati:Valuta le implicazioni GDPR, gestisce le notifiche alle autorità.
Contatto: security@bungaflow.com
10. Revisione e aggiornamenti
- Questo piano viene rivisto almeno una volta all’anno.
- Aggiornato dopo ogni incidente S1/S2 sulla base delle lezioni apprese.
- Tutti i membri del team conoscono questo piano.