Vai al contenuto principale

Governance

Sicurezza

La sicurezza è trattata come gestione strutturale del rischio. Le misure sono proporzionate alla piattaforma.

Governance

Versione
2.0
Data di efficacia
Ultima revisione
Prossima revisione
Responsabile
Joel R. Klemmer

Sezione 1. Ambito e postura della piattaforma

Questo è un sito di autorità informativa. Non elabora pagamenti. Non ospita account utente. Non mantiene database utente persistenti oltre alle limitate esigenze operative. La superficie di rischio è intenzionalmente limitata per design.

Gli impegni di sicurezza si applicano a questo sito e alla sua pipeline di hosting. Non rivendichiamo di proteggere i dati elaborati interamente da servizi di terze parti oltre alle nostre aspettative contrattuali. I dati trasmessi a servizi di terze parti sono soggetti ai loro controlli di sicurezza indipendenti.

Sezione 2. Sviluppo e distribuzione sicuri

Le considerazioni di sicurezza sono integrate nella progettazione dello sviluppo, nella revisione del codice e nei flussi di lavoro di distribuzione.

Tutte le modifiche transitano attraverso il controllo versione. L'integrazione continua applica controlli di formattazione, audit delle dipendenze, linting e gate di validazione prima della build.

Ove applicabile, gli ambienti di produzione e di sviluppo sono logicamente separati. L'accesso ai sistemi di distribuzione è limitato tramite controlli di accesso basati sui ruoli coerenti con le esigenze operative.

Gli eventi rilevanti per la sicurezza possono essere registrati e rivisti in conformità con i requisiti operativi.

Sezione 3. Controlli infrastrutturali

Ambiente di hosting

Il sito è ospitato su infrastruttura che fornisce terminazione TLS e trasporto cifrato. La resilienza dell'infrastruttura e le procedure di backup sono gestite dal fornitore di hosting.

Sicurezza del trasporto

Tutto il traffico è cifrato tramite HTTPS. Non viene utilizzato contenuto misto. HSTS è abilitato in produzione con preload. La terminazione TLS avviene all'edge.

Intestazioni di sicurezza HTTP

Il sito invia intestazioni di sicurezza inclusi Content Security Policy, X Content Type Options nosniff, X Frame Options DENY, Referrer Policy strict origin when cross origin e Permissions Policy che limita fotocamera, microfono, geolocalizzazione e funzionalità correlate. Object e frame embedding sono disabilitati.

Sezione 4. Controlli applicativi

Input handling

L'input del modulo Contatti è validato. Vengono raccolti solo i dati necessari. Il rate limiting è applicato secondo la configurazione di distribuzione.

Gestione delle dipendenze

Le dipendenze di pacchetto sono gestite attraverso il sistema di dipendenze del progetto. L'integrazione continua scansiona vulnerabilità critiche. I problemi identificati sono valutati e affrontati in conformità con gravità e fattibilità.

Integrità del contenuto

Il sito è prevalentemente statico. L'esecuzione dinamica è limitata alla funzionalità essenziale. Le fonti di script e stile sono vincolate tramite Content Security Policy.

Sezione 5. Protezione dei dati

La raccolta dati è minimale. Le richieste di contatto sono elaborate esclusivamente per comunicazione. Nessuna rivendita, nessuna profilazione, nessuna conservazione di account utente persistente.

Per ulteriori informazioni riguardo alle pratiche sui dati, consultare la Privacy page.

Sezione 6. Cookie e sessioni

Non sono utilizzati cookie server set per tracciamento o autenticazione. Eventuali futuri cookie seguiranno pratiche di configurazione sicura inclusi attributi secure, sameSite e httpOnly ove applicabile.

Sezione 7. Gestione delle vulnerabilità

Le dipendenze sono monitorate utilizzando strumenti standard di gestione pacchetti. Gli aggiornamenti infrastrutturali sono gestiti dal fornitore di hosting.

Non possiamo garantire copertura zero day. I problemi di sicurezza sono valutati e affrontati quando identificati.

In caso di incidente di sicurezza coinvolgente dati personali sotto il nostro controllo, agiremo in conformità con gli obblighi legali applicabili.

Sezione 8. Divulgazione responsabile

Le preoccupazioni relative alla sicurezza possono essere segnalate tramite la Contact page. Le segnalazioni devono includere una descrizione chiara del problema, passaggi per riprodurlo e l'URL o componente interessato.

Non includere codice exploit attivo nella segnalazione iniziale.

Ci proponiamo di confermare ricezione delle segnalazioni entro un termine ragionevole. Non si fornisce garanzia sui tempi di risposta.

Sezione 9. Safe Harbor

Non intraprenderemo azioni legali contro ricercatori che segnalano vulnerabilità in buona fede, rimangono nell'ambito descritto nella presente politica, evitano di accedere o modificare dati oltre quanto necessario per dimostrare il problema e evitano danni alla privacy o interruzione del servizio.

Questo safe harbor si applica solo alle attività condotte nell'ambito descritto nella presente politica e non autorizza azioni che violano la legge applicabile o i termini di servizio di terze parti.

Non è consentito test denial of service, social engineering del personale o test di servizi di terze parti.

Sezione 10. Limitazioni

Nessun sistema è immune al rischio. Questa pagina Sicurezza non costituisce garanzia né garanzia contrattuale di sicurezza.

Le affermazioni nel presente documento riflettono le pratiche attuali e possono cambiare senza preavviso.

Gli utenti sono responsabili di mantenere pratiche di sicurezza ragionevoli sui propri dispositivi e reti.

Sezione 11. Governance e revisione

La postura di sicurezza è rivista periodicamente. Le modifiche sostanziali saranno riflesse nella sezione di governance.

Ultimo aggiornamento: 2026-02-22

Sicurezza | Briefing di verifica esecutiva