oscommerce
oscommerce Chi siamo |    Metodo di pagamento |    Metodo di lavoro |    Assistenza |    Garanzia |    Policy Privacy |    Policy Cookie |
homepage pacchetti gestionale registrati template contatti community oscommerce
oscommerce
   
     
 siti web
 
Web E-Commerce
Web B2B
Web Premium
Web Premium+eBay
 Amazon
 
Importazione ordini e clienti da Amazon
Integrazione Amazon con osCommerce
arancio2 PLATINUM Canone Mensile
 eBay
 
Importazione ordini e clienti da eBay
Template grafico pagina Store eBay
Template grafico Inserzione eBay
Integrazione eBay con osCommerce
arancio2 BASIC Canone Mensile
arancio2 PREMIUM Canone Mensile
arancio2 PLATINUM Canone Mensile
 gestionale
 
Gestionale osCommerce + Api eBay
Gestionale osCommerce
Gestionale osCommerce + Api eBay Platinum
 estensioni
 template
 foto still life
Politica di gestione delle vulnerabilità

Politica di gestione delle vulnerabilità

Versione 1.1

Scopo
Lo scopo di questa politica è garantire un livello più elevato di sicurezza alle Risorse informatiche, rete, i
server, i sistemi operativi su pc aziendali, i sistemi operativi dei server dedicati , i server di database, i
database e le applicazioni di osCommerce.name By Synchrosystem Labs.
La presente politica informatica, e tutte le politiche a cui si fa riferimento nel presente documento, si
applicano a tutti i dipendenti di osCommerce.name By Synchrosystem Labs che utilizzano, accedono o
altrimenti impiegano, localmente o da remoto, le Risorse informatiche di osCommerce.name By
Synchrosystem Labs, siano esse controllate individualmente, condivise, autonome o in rete.

Ambito di Questa Politica
Tutta l'infrastruttura di rete, i server, i sistemi operativi su pc aziendali, i sistemi operativi dei server dedicati,
i server di database, i database, applicazioni, sistemi e infrastrutture IT che archiviano ed elaborano Dati dei
Marketplace (Amazon, eBay e Marketplace minori) e di dispositivi offline di osCommerce.name By
Synchrosystem Labs devono essere scansionati in modo e con una pianificazione adeguata al profilo di
rischio delle risorse o alle esigenze normative.

I sistemi con dati ad alto rischio (vedi Dati elettronici e politica di classificazione dei rischi di sistema )
devono essere scansionati per individuare le vulnerabilità almeno mensilmente.
I Tecnici IS di Synchrosystem Labs eseguono regolari scansioni autenticate e non autenticate di reti,
sistemi, database o applicazioni. Le scansioni si limitano alla revisione della configurazione del
sistema e dell'applicazione e non aprono o esaminano il contenuto di e-mail, documenti, fogli di
calcolo, database o qualsiasi altra applicazione.

Le vulnerabilità della sicurezza identificate tramite scansioni o identificate dai fornitori devono essere
corrette/controllate come descritto di seguito.

Passaggi della procedura
Per rispettare questa procedura devono essere seguite le seguenti fasi:

Fase di scoperta
Le vulnerabilità sono identificate sulle Risorse IT La rilevazione e scansione delle vulnerabilità deve
essere effettuata seguendo queste linee guida:
 

Tipologia: Scopo: Periodo Scansione:
Analisi delle vulnerabilità Verifichiamo numerosi tipi di violazioni, tra
cui XSS, SQLi injection, ecc.
Entro 180 Giorni *
Penetration tests Scansione di Rete Interna, Server ed
Endpoint
Entro 180 Giorni *
Sistemi con Dati Sensibili (PII)
( Ad esempio Amazon data PII )
Scansione di Rete Interna, Server,
Endpoint e Dispostivi di Storage offline
Entro 180 Giorni *


*( O ad ogni rilascio di nuova Versione Applicativo se rilasciato in un tempo inferiore ai 180 giorni )


I seguenti strumenti possono essere utilizzati per valutare le vulnerabilità dei sistemi o della Nostra applicazione:
intruder.io
PHP Mess Detector
Kali Linux
OWASP ZAP
sqlmap
nmap

Fase di priorità, pianificazione e Bonifica
Le vulnerabilità e le risorse scoperte vengono riviste, assegnate le priorità e valutate utilizzando i
risultati dei rapporti tecnici e sui rischi. I Tecnici IT, IS e Sviluppatori di osCommerce.name By
Synchrosystem Labs devono eseguire una o più delle seguenti operazioni:
- Distribuire il controllo di mitigazione
- Distribuire la / le patch
- Aggiornamento
- Rimuovere e interrompere l'utilizzo della Risorsa IT se risulta compromessa o pericoloso lo stato di
compromissione nell’immediato.
- Distribuire le modifiche della configurazione

Le Criticità sono Valutate, pianificate e Bonificate secondo la seguente Tabella:

 

Valutazione: Tipologia: Tempi per la Bonifica:
Critical Le vulnerabilità critiche hanno un punteggio CVSS di
8,0 o superiore. Essi
possono essere prontamente compromessi con
malware pubblicamente disponibile o exploit.
2 Giorni
High Le vulnerabilità ad alta gravità hanno un punteggio
CVSS di 8,0 o superiore, ricevono un punteggio di
gravità Alta e sono rimediabili entro 30 giorni. Non c'è
malware pubblico noto o exploit disponibile.
30 Giorni
Medium Le vulnerabilità di media gravità hanno un punteggio
CVSS compreso tra 6,0 e 8,0
e può essere mitigato in un lasso di tempo piu esteso.
90 Giorni
Low Le vulnerabilità di bassa gravità sono definite con un
punteggio CVSS di 4,0 a 6.0, sono rimediabili in 180
giorni. Non tutte le vulnerabilità basse possono essere
mitigate facilmente a causa di applicazioni e le normali
operazioni del sistema operativo. Questi
dovrebbero essere documentati e opportunamente
esclusi se non possono essere sanati.
180 Giorni
Information Le vulnerabilità delle informazioni hanno un punteggio
CVSS inferiore a 4,0.
Questi seppur considerati come rischi sono
generalmente in riferimento ad informazioni per lo
stato e la configurazione di un’asset.
Seppur Non Necessario,
Vanno elencati e risolti e/o
rimossi e/o sostituiti entro la
successiva Release del nostro
Software

 

Fase di convalida
Le misure correttive di successo sono determinate dall'analisi successiva.
Distribuire la valutazione della gestione del rischio.
I Tecnici IS e Sviluppatori, devono confermare che la vulnerabilità non è più presente nello strumento
di rilevamento.
Quindi procedere di nuovo a Scansione con tutti gli strumenti identificati in Fase di Scoperta.
Se è stata eseguita la riparazione e la modifica non si riflette in una scansione di convalida o si ritiene
non applicabile al sistema, il tecnico IS, IT o Sviluppatore è responsabile di informare il proprietario di
osCommerce.name By Synchrosystem Labs via e-mail all'indirizzo assistenza@oscommerce.name
(ad es. cosa è stato implementato, la vulnerabilità è un falso positivo, etc).
A seconda della natura del sistema operativo o dell'applicazione implementata, si possono sfruttare
strumenti o metodologie di valutazione alternativi per determinare le vulnerabilità.

Informazioni sull'implementazione di questo documento.

Frequenza di revisione: Annuale
Persona responsabile: Responsabile IS, operazioni di sicurezza informatica
Approvato da: Direttore della sicurezza informatica (CISO)
Data di approvazione: 4 marzo 2022

 

Data Versione Descrizione Approvato Da:
24 Febbraio 2022 1.0 Creazione Proprietario
07 Marzo 2022 1.1 Aggiornamento Proprietario
Continua
OSCOMMERCE.name
Numeri: 081.18769011
081.18769010
AiutoOnline:
l'esperto risponde alle tue domande.
PROVA GRATUITA
Devi solo contattarci e chiedere una nostra dimostrazione di come tutto cio' sia a portata di click.
prova gratis
INFORMAZIONI
Metodo di Pagamento
Metodo di lavoro
Assistenza OsCommerce
Garanzia
Privacy
Integrazione eBay
Cookie
Termini Del Servizio
Subelaborazione, Sottoprocessori Autorizzati al Trattamento dei Dati Personali in Relazione ai Servizi offerti da osCommerce.name
ACCORDO PER IL TRATTAMENTO DEI DATI DI OSCOMMERCE.NAME (DPA)
Sicurezza Dati Gestione Degli Accessi Non Autorizzati
Politica di Gestione e Smaltimento de Dati
Gestione dei dati Sensibili Amazon (PII)
Politica di gestione delle vulnerabilità
Contattaci
Area Preventivi
hai esigenze o richieste particolari?
Un nostro esperto ti proporrà la soluzione più giusta.
Realizziamo qualsiasi tipo di software, applicativo, sito web
.
Richiedi Preventivo GRATIS!