Politica di Sicurezza

Ultimo Aggiornamento: 1 Dicembre 2024

In Apilium Corp OU, la sicurezza è fondamentale per tutto ciò che costruiamo. Come sviluppatori noi stessi, comprendiamo l'importanza critica di proteggere il tuo codice e i tuoi dati. Questa Politica di Sicurezza delinea il nostro approccio completo alla protezione di Apilium Forge IDE e di tutti i servizi correlati.

1. Il Nostro Impegno per la Sicurezza

Ci impegniamo a:

  • Proteggere la riservatezza, integrità e disponibilità del tuo codice e dei tuoi dati
  • Non utilizzare mai il tuo codice per addestrare modelli AI senza consenso esplicito
  • Implementare controlli di sicurezza e best practice leader del settore
  • Fornire trasparenza sulle nostre pratiche di sicurezza attraverso questa politica
  • Monitorare, testare e migliorare continuamente la nostra postura di sicurezza
  • Rispondere prontamente e trasparentemente agli incidenti di sicurezza

Certificazioni e Valutazioni

Manteniamo le seguenti certificazioni di sicurezza e sottoponiamo a valutazioni regolari:

  • Certificazione SOC 2 Type II (in corso)
  • Test di penetrazione annuale da parte di terzi
  • Scansione continua delle vulnerabilità
  • Audit di sicurezza regolari da parte di società indipendenti

Rapporti dettagliati sulla sicurezza sono disponibili su apilium.com/security

2. Sicurezza dell'Infrastruttura

Flusso Dati del Codice

Quando utilizzi Apilium Forge IDE, il tuo codice fluisce attraverso la nostra infrastruttura sicura:

  • Il tuo codice è crittografato in transito utilizzando TLS 1.3
  • Le richieste sono elaborate attraverso i nostri server backend ospitati su AWS
  • L'elaborazione AI è eseguita dai nostri fornitori di modelli con accordi di zero-conservazione
  • Con la Modalità Privacy abilitata, nessun codice in chiaro viene memorizzato dopo il completamento della richiesta

Partner Infrastrutturali

Infrastruttura Primaria

  • AWS (Amazon Web Services) - Infrastruttura cloud primaria (regioni US ed EU)
  • Cloudflare - Protezione DDoS, WAF e servizi CDN
  • Google Cloud Platform - Infrastruttura secondaria/backup

Fornitori Modelli AI

Collaboriamo con i principali fornitori di AI, tutti con accordi di zero conservazione dati per gli utenti Modalità Privacy:

  • Anthropic (modelli Claude)
  • OpenAI (modelli GPT)
  • Modelli personalizzati fine-tuned su infrastruttura sicura

3. Misure di Sicurezza Tecniche

Crittografia

Dati in Transito: Tutti i dati trasmessi tra Apilium Forge e i nostri server sono crittografati utilizzando TLS 1.3 con suite di cifratura forti

Dati a Riposo: Tutti i dati memorizzati sono crittografati utilizzando crittografia AES-256-GCM

Le chiavi di crittografia sono gestite utilizzando AWS KMS con rotazione automatica ogni 90 giorni

Per i clienti Enterprise, offriamo crittografia end-to-end dove solo tu possiedi le chiavi di decrittografia

Controlli di Accesso

  • Autenticazione a più fattori (MFA) richiesta per tutti gli account dipendenti
  • Chiavi di sicurezza hardware (FIDO2/WebAuthn) per accesso privilegiato
  • Controllo degli accessi basato sui ruoli (RBAC) con principio del minimo privilegio
  • Provisioning di accesso just-in-time per sistemi di produzione
  • Revisioni trimestrali degli accessi e deprovisioning immediato per partenze
  • Allowlisting IP e requisiti VPN per accesso amministrativo

Sicurezza di Rete

  • Web Application Firewall (WAF) con regole personalizzate
  • Mitigazione DDoS di livello Enterprise (Cloudflare Magic Transit)
  • Segmentazione di rete con subnet private per servizi sensibili
  • Sistemi di Rilevamento/Prevenzione Intrusioni (IDS/IPS)
  • Monitoraggio continuo del traffico di rete e rilevamento anomalie
  • Test di penetrazione esterni e interni regolari

Sicurezza delle Applicazioni

  • Ciclo di Vita di Sviluppo Software Sicuro (SSDLC) con gate di sicurezza
  • Revisioni del codice obbligatorie con checklist focalizzata sulla sicurezza
  • Static Application Security Testing (SAST) nella pipeline CI/CD
  • Dynamic Application Security Testing (DAST) per applicazioni distribuite
  • Software Composition Analysis (SCA) per vulnerabilità delle dipendenze
  • Formazione regolare sulla sicurezza per tutti gli sviluppatori
  • Protezione contro le vulnerabilità OWASP Top 10 e SANS Top 25

Sicurezza Client (IDE)

Apilium Forge IDE è costruito con la sicurezza in mente:

  • Binari firmati per tutte le piattaforme (Windows, macOS, Linux)
  • Aggiornamenti di sicurezza automatici con capacità di rollback
  • Ambiente di esecuzione estensioni sandboxed
  • Crittografia locale dei dati cached e delle credenziali
  • Accesso di rete configurabile con domini allowlist
  • Supporto per .apiliumignore per escludere file sensibili dall'elaborazione AI

4. Sicurezza Organizzativa

Formazione sulla Sicurezza dei Dipendenti

Tutti i dipendenti Apilium seguono una formazione completa sulla sicurezza:

  • Formazione sulla consapevolezza della sicurezza durante l'onboarding
  • Aggiornamenti e valutazioni trimestrali sulla formazione sulla sicurezza
  • Esercizi mensili di simulazione phishing
  • Formazione sulla sicurezza specifica per ruolo per gli ingegneri
  • Esercizi annuali di tabletop per risposta agli incidenti

Politiche di Sicurezza

Manteniamo e applichiamo politiche di sicurezza complete:

  • Politica e Standard di Sicurezza delle Informazioni
  • Politiche di Uso Accettabile e Controllo Accessi
  • Piano di Risposta agli Incidenti e Comunicazione
  • Piano di Continuità Aziendale e Disaster Recovery
  • Requisiti di Valutazione Sicurezza Fornitori
  • Linee Guida per Classificazione e Gestione Dati
  • Procedure di Gestione Cambiamenti e Rilascio

Controllo Dipendenti

Tutti i dipendenti con accesso ai dati dei clienti sono sottoposti a controlli dei precedenti appropriati al loro ruolo e giurisdizione, e firmano accordi di riservatezza.

5. Garanzie di Sicurezza Modalità Privacy

Quando la Modalità Privacy è abilitata in Apilium Forge (abilitata di default), forniamo le seguenti garanzie di sicurezza:

  • Zero conservazione dati da parte di tutti i fornitori di modelli AI
  • Nessun codice in chiaro memorizzato sui nostri server oltre l'elaborazione immediata della richiesta
  • Il tuo codice non viene mai utilizzato per addestrare modelli AI
  • Tutte le richieste AI includono header di privacy forzati (x-privacy-mode)
  • Le richieste predefinite hanno comportamento di preservazione della privacy se gli header sono mancanti
  • L'indicizzazione della codebase memorizza solo embedding offuscati, non codice in chiaro

Opzioni Privacy Enterprise

  • Distribuzione on-premises per completa sovranità dei dati
  • Infrastruttura dedicata isolata da altri clienti
  • Requisiti personalizzati di residenza dati (solo EU, regioni specifiche)
  • Crittografia bring-your-own-key (BYOK)
  • Connettività di rete privata (AWS PrivateLink, VPN)

6. Protezione dei Dati

Classificazione dei Dati

Classifichiamo tutti i dati in base al livello di sensibilità:

  • Pubblico: Materiali di marketing, documentazione pubblica
  • Interno: Processi interni, dati aziendali non sensibili
  • Confidenziale: Dati account clienti, comunicazioni supporto
  • Riservato: Codice clienti, credenziali, configurazioni di sicurezza

Backup e Recovery

Manteniamo solide capacità di backup e disaster recovery:

  • Backup crittografati e distribuiti geograficamente
  • Recovery point-in-time per database (fino a 35 giorni)
  • Recovery Time Objective (RTO): 4 ore
  • Recovery Point Objective (RPO): 1 ora
  • Test di disaster recovery trimestrali
  • Capacità di failover multi-regione

7. Risposta agli Incidenti di Sicurezza

Processo di Risposta agli Incidenti

Seguiamo un processo strutturato di risposta agli incidenti:

  • Rilevamento: Monitoraggio e allerta automatizzati 24/7
  • Triage: Valutazione del team di sicurezza entro 15 minuti
  • Contenimento: Isolamento immediato dei sistemi interessati
  • Investigazione: Analisi delle cause radice e valutazione dell'impatto
  • Eradicazione: Rimozione della minaccia e hardening del sistema
  • Recovery: Ripristino controllato dei servizi
  • Post-mortem: Lezioni apprese e miglioramenti dei processi

Notifica di Violazione

In caso di violazione della sicurezza che riguarda i tuoi dati, ci impegniamo a:

  • Notificare gli utenti interessati entro 72 ore dalla violazione confermata
  • Fornire dettagli chiari su quali dati sono stati interessati
  • Spiegare le azioni che stiamo intraprendendo per affrontare l'incidente
  • Offrire indicazioni sui passi che puoi fare per proteggerti
  • Notificare le autorità di regolamentazione pertinenti come richiesto dalla legge
  • Fornire aggiornamenti regolari fino alla risoluzione dell'incidente

8. Programma di Divulgazione Vulnerabilità

Manteniamo un programma di divulgazione responsabile e accogliamo la ricerca sulla sicurezza.

In Ambito

  • Apilium Forge IDE (tutte le piattaforme)
  • api.apilium.com e tutti i sottodomini
  • portal.apilium.com (Portale Clienti)
  • apilium.com (Sito Web)

Come Segnalare

Se scopri una vulnerabilità di sicurezza:

  • Invia email a [email protected] con informazioni dettagliate sulla vulnerabilità
  • Includi passaggi per riprodurre, potenziale impatto e qualsiasi proof-of-concept
  • Per segnalazioni sensibili, usa la nostra chiave PGP (disponibile sulla nostra pagina sicurezza)
  • Consenti fino a 90 giorni per la correzione prima della divulgazione pubblica

Il Nostro Impegno

Ci impegniamo con i ricercatori di sicurezza:

  • Confermare la ricezione entro 24 ore
  • Fornire valutazione iniziale entro 5 giorni lavorativi
  • Tenerti informato sui progressi della correzione
  • Accreditarti nei nostri riconoscimenti di sicurezza (a meno che non sia preferito l'anonimato)
  • Non perseguire azioni legali per ricerca di sicurezza in buona fede

Offriamo ricompense per vulnerabilità qualificanti. Contattaci per i dettagli del programma corrente.

9. Sicurezza di Terze Parti

Requisiti di Sicurezza Fornitori

Tutti i fornitori con accesso ai dati dei clienti devono soddisfare i nostri requisiti di sicurezza:

  • Completare questionario di sicurezza e valutazione del rischio
  • Certificazione SOC 2 Type II o equivalente
  • Data Processing Agreement (DPA) con clausole conformi al GDPR
  • Revisione annuale della sicurezza e ri-certificazione
  • Requisiti di notifica immediata delle violazioni

Subprocessori

Subprocessori attuali con accesso ai dati dei clienti:

  • AWS (Infrastruttura) - US/EU
  • Anthropic, OpenAI (Modelli AI) - US con zero-conservazione
  • Stripe (Elaborazione Pagamenti) - US/EU
  • Cloudflare (CDN/Sicurezza) - Globale
  • MongoDB Atlas (Database) - EU
  • SendGrid (Email) - US

Notifichiamo i clienti 30 giorni prima di aggiungere nuovi subprocessori. Elenco corrente disponibile su apilium.com/compliance

10. Sicurezza Fisica

La nostra infrastruttura è ospitata in data center di livello enterprise con sicurezza fisica completa:

  • Personale di sicurezza e videosorveglianza 24/7/365
  • Controlli di accesso fisico multi-fattore (biometrico + badge)
  • Sistemi di ingresso mantrap e requisiti di scorta visitatori
  • Controlli ambientali (soppressione incendi, controllo climatico, UPS, generatori)
  • Strutture certificate SOC 2 Type II
  • Audit regolari della sicurezza fisica

11. Aggiornamenti della Politica

Rivediamo questa Politica di Sicurezza trimestralmente e la aggiorniamo per riflettere cambiamenti nelle nostre pratiche di sicurezza, tecnologia e normative. I cambiamenti materiali sono comunicati via email a tutti gli utenti.

12. Informazioni di Contatto

Per domande relative alla sicurezza o per segnalare problemi di sicurezza:

Company: Apilium Corp OU

Address: Tallinn, Estonia

Team Sicurezza: [email protected]

Chiave PGP: Disponibile su apilium.com/security

Centro Fiducia: apilium.com/security

Richieste Generali: [email protected]