IT chiede: accesso amministrativo a Empatyzer dal lato fornitore e audit

Dal lato fornitore l'accesso amministrativo a Empatyzer è concesso solo a personale selezionato secondo il principio del minimo privilegio. Gli account amministrativi sono limitati, assegnati per ruolo e protetti da autenticazione multifattore con supervisione. Tutte le operazioni amministrative sono registrate in log non volatili che indicano chi, quando e cosa è stato fatto, con il relativo contesto. I log sono conservati su server ubicati nell'Unione Europea nel rispetto della separazione contrattuale dei dati dei clienti e protetti con misure tecniche. Si applicano accessi a breve termine (just-in-time) e sessioni con privilegi elevati quando necessario, ogni elevazione è documentata. Effettuiamo revisioni periodiche delle autorizzazioni, audit interni e generiamo alert automatici per attività anomale. Su richiesta del cliente forniamo registri di audit e report di accesso; incidenti gravi sono segnalati entro, e non oltre, cinque giorni lavorativi come previsto dal contratto. I contratti con il fornitore includono clausole di riservatezza, obblighi del personale e procedure per la gestione dei dati e degli accessi. L'infrastruttura è progettata per separare logicamente e fisicamente i dati dei clienti, limitando la possibilità di accessi non autorizzati. Sono inoltre adottati meccanismi di cifratura dei dati a riposo e in transito, con gestione delle chiavi secondo le best practice cloud. Il monitoraggio automatico e l'integrazione con sistemi SIEM consentono di individuare rapidamente anomalie e supportare le indagini. Infine, ogni accesso amministrativo può essere riprodotto come sequenza di azioni per consentire audit accurati e analisi delle cause operative.

In sintesi: l'accesso amministrativo è limitato, tracciato e verificabile; forniamo log e report su richiesta e rivediamo regolarmente le autorizzazioni.