Informazioni

Contatti, sicurezza e privacy di questa applicazione

Riferimenti normativi citati: OWASP Top 10 2021 (rischi applicativi principali), OWASP ASVS v4.0 (Application Security Verification Standard, requisiti di verifica), NIS2 (direttiva UE 2022/2555, art. 21 — misure di gestione del rischio cyber) e GDPR (Regolamento UE 2016/679).

Sviluppatore e contatti

Per segnalazioni relative alla sicurezza, richieste sui dati personali (accesso, rettifica, cancellazione) o supporto tecnico.

Angelo Bianchi

Sicurezza dell'applicazione

Misure tecniche adottate per proteggere account e dati, allineate a OWASP Top 10 (2021), OWASP ASVS v4.0 (Application Security Verification Standard) e agli obblighi di sicurezza tecnica e organizzativa previsti dalla direttiva NIS2 (UE 2022/2555, art. 21).

  • Cifratura delle comunicazioni
    Tutte le comunicazioni tra browser e server transitano su canale cifrato HTTPS/TLS. I dati in transito non sono intercettabili né alterabili da terzi.
    ASVS V9.1 NIS2 art. 21(2)(h)
  • Protezione delle credenziali
    Le password sono sottoposte a hashing con algoritmo bcrypt a costo computazionale elevato prima della memorizzazione. Non vengono mai archiviate o trasmesse in chiaro. Sono applicate politiche di complessità minima (lunghezza, varietà di caratteri) validate sia lato client che lato server.
    OWASP A02:2021 ASVS V2.4
  • Autenticazione a due fattori (MFA)
    Gli account con privilegi amministrativi possono attivare l'autenticazione a due fattori basata su codici temporanei TOTP (RFC 6238), compatibile con le principali app di autenticazione. Il segreto MFA è cifrato a riposo con AES-256-CBC.
    OWASP A07:2021 ASVS V2.8 NIS2 art. 21(2)(j)
  • Gestione sessioni sicura
    L'identificativo di sessione viene rigenerato dopo ogni autenticazione per prevenire attacchi di session fixation. I cookie di sessione sono configurati con attributi HttpOnly (non accessibili da JavaScript), SameSite=Strict (protezione CSRF nativa) e nome non standard per ridurre il fingerprinting. Le sessioni scadono automaticamente dopo un periodo di inattività configurato.
    OWASP A07:2021 ASVS V3
  • Protezione anti-CSRF
    Ogni richiesta che modifica dati (creazione, aggiornamento, eliminazione) include un token crittografico univoco verificato lato server, a protezione da attacchi Cross-Site Request Forgery. Il token è generato con entropia crittografica e associato alla sessione corrente.
    OWASP A01:2021 ASVS V4.2
  • Prevenzione SQL injection
    Tutte le interazioni con il database avvengono esclusivamente tramite query parametrizzate (prepared statements). L'input utente non viene mai concatenato nelle istruzioni SQL, eliminando il rischio di iniezione.
    OWASP A03:2021 ASVS V5.3
  • Validazione input e codifica output
    Tutti i dati in ingresso sono validati per tipo, formato e intervallo sia lato client che lato server. L'output verso il browser è sottoposto a codifica contestuale per prevenire attacchi Cross-Site Scripting (XSS), inclusa la codifica dei caratteri speciali HTML.
    OWASP A03:2021 ASVS V5
  • Controllo degli accessi basato su ruoli
    Ogni richiesta viene verificata lato server per sessione attiva, ruolo e permessi specifici dell'utente. Il controllo accessi opera sul principio del minimo privilegio: ciascun ruolo ha accesso esclusivamente alle risorse e alle operazioni strettamente necessarie. Il sistema supporta l'isolamento multi-tenant per separare i dati tra organizzazioni distinte.
    OWASP A01:2021 ASVS V4 NIS2 art. 21(2)(i)
  • Intestazioni di sicurezza HTTP
    Ogni risposta HTTP include un insieme completo di intestazioni di sicurezza: Content-Security-Policy con nonce crittografico (blocca l'esecuzione di script non autorizzati), X-Frame-Options (previene il clickjacking), X-Content-Type-Options (impedisce il MIME sniffing) e Referrer-Policy (limita l'esposizione degli URL di provenienza).
    OWASP A05:2021 ASVS V14.4
  • Protezione anti brute-force
    Dopo un numero limitato di tentativi di accesso falliti, l'account viene temporaneamente bloccato. Il meccanismo di rate limiting è applicato lato server e non è aggirabile dal client. I tentativi falliti vengono registrati con timestamp e indirizzo IP di origine.
    OWASP A07:2021 ASVS V2.2
  • Audit logging e tracciabilità
    Tutte le autenticazioni (riuscite e fallite), le operazioni di modifica su dati sensibili e gli eventi di sicurezza vengono registrati in log strutturati con timestamp ISO 8601, identificativo utente e indirizzo IP. I log sono progettati per supportare il rilevamento di anomalie e le procedure di gestione degli incidenti.
    OWASP A09:2021 ASVS V7 NIS2 art. 21(2)(b)
  • Integrità della supply chain software
    L'applicazione non carica alcuna risorsa da CDN o servizi esterni a runtime. Tutte le librerie di terze parti sono incluse localmente, verificate e aggiornate manualmente. L'applicazione non effettua chiamate HTTP verso servizi esterni durante il normale funzionamento.
    OWASP A06:2021 ASVS V14.2 NIS2 art. 21(2)(d)
  • Mascheramento degli errori in produzione
    In ambiente di produzione, gli errori applicativi vengono registrati internamente ma non esposti all'utente. I messaggi mostrati sono generici e non rivelano dettagli dell'implementazione (stack trace, nomi di tabelle, percorsi di file, versioni software).
    OWASP A05:2021 ASVS V14.3
  • Integrità transazionale dei dati
    Le operazioni critiche che coinvolgono più entità (es. eliminazione utente con riassegnazione risorse) sono eseguite in transazioni atomiche: o tutte le modifiche vengono applicate, o nessuna. Questo garantisce la coerenza dei dati anche in caso di errore parziale.
    OWASP A04:2021 NIS2 art. 21(2)(c)

Sicurezza dell'infrastruttura

L'infrastruttura server è configurata e manutenuta secondo le pratiche di hardening e continuità operativa richieste dalla direttiva NIS2 e dalle raccomandazioni OWASP per ambienti di produzione.

  • Accesso amministrativo controllato
    L'accesso al server è riservato al personale tecnico autorizzato tramite autenticazione a chiave crittografica. L'accesso con sola password è disabilitato. Ogni sessione amministrativa è registrata con timestamp, origine e operazioni eseguite.
    NIS2 art. 21(2)(i) ASVS V9.2
  • Gestione delle vulnerabilità e aggiornamenti
    Il sistema operativo, il web server, il runtime applicativo e il database sono soggetti a un ciclo di aggiornamento regolare che include patch di sicurezza e aggiornamenti minori. Le versioni in uso sono monitorate rispetto ai bollettini CVE pubblicati.
    NIS2 art. 21(2)(d) OWASP A06:2021
  • Firewall e segmentazione dei servizi
    Le regole firewall seguono il principio deny-by-default: sono esposti esclusivamente i servizi strettamente necessari (HTTP/S). Il database non è raggiungibile dall'esterno e accetta connessioni solo dall'applicazione locale. Le porte di amministrazione sono filtrate per indirizzo IP di origine.
    NIS2 art. 21(2)(i) ASVS V9.2
  • Hardening del web server
    Il web server è configurato per disabilitare il directory listing, nascondere le informazioni sulla versione software nelle risposte HTTP, e impedire l'accesso diretto a file di configurazione, log e risorse interne. I file sensibili sono protetti a livello di configurazione del server.
    OWASP A05:2021 ASVS V14.1
  • Isolamento del database
    Il servizio database è accessibile esclusivamente dall'applicazione tramite connessione locale. Le credenziali di accesso al database non risiedono nella directory pubblica del web server. Il charset Unicode completo (UTF-8 MB4) è garantito per prevenire attacchi basati su encoding.
    OWASP A05:2021 ASVS V14.1
  • Certificato TLS e cifratura
    Il certificato TLS è emesso da un'autorità di certificazione riconosciuta, con rinnovo automatico prima della scadenza. Il server accetta esclusivamente protocolli e cipher suite conformi alle raccomandazioni correnti, rifiutando connessioni con protocolli obsoleti (SSL, TLS 1.0/1.1).
    ASVS V9.1 NIS2 art. 21(2)(h)
  • Backup e continuità operativa
    I dati del database sono sottoposti a backup automatico con cadenza periodica. Le copie di sicurezza sono archiviate in posizione separata dai dati operativi. Le procedure di ripristino sono documentate e verificate per garantire la continuità del servizio in caso di incidente.
    NIS2 art. 21(2)(c)
  • Monitoraggio e rilevamento anomalie
    Il server è dotato di sistemi di monitoraggio per la disponibilità dei servizi e la rilevazione di accessi anomali. I log di sistema e i log applicativi sono conservati separatamente e protetti da modifiche non autorizzate, a supporto delle attività di incident response previste dalla direttiva NIS2.
    NIS2 art. 21(2)(b) OWASP A09:2021

Privacy e protezione dei dati

Trattamento dei dati personali in conformità ai principi del GDPR (Regolamento UE 2016/679) e ai requisiti di sicurezza dei dati previsti dalla direttiva NIS2.

  • Minimizzazione dei dati
    Vengono raccolti esclusivamente i dati strettamente necessari al funzionamento dell'applicativo: dati identificativi (nome, cognome), credenziali di accesso (email), ruolo organizzativo e unità di appartenenza. Nessun dato superfluo viene richiesto o memorizzato.
    GDPR art. 5(1)(c)
  • Accesso ai dati per ruolo e necessità
    L'accesso ai dati personali è confinato in base al ruolo dell'utente e alla sua posizione nell'organigramma. Ogni utente visualizza esclusivamente le informazioni pertinenti alle proprie responsabilità. L'isolamento è applicato a livello di query e verificato lato server ad ogni richiesta.
    GDPR art. 25 GDPR art. 32
  • Nessun trasferimento a terzi
    I dati personali non vengono condivisi, venduti o trasferiti a soggetti terzi. L'applicazione non integra servizi di analisi, tracciamento o advertising esterni. Nessun dato transita verso server al di fuori dell'infrastruttura controllata.
    GDPR art. 5(1)(f) GDPR art. 44
  • Cookie tecnici e nessun tracciamento
    L'applicazione utilizza esclusivamente cookie di sessione tecnici, indispensabili al funzionamento. Non sono presenti cookie di profilazione, di marketing né script di tracciamento di terze parti.
    GDPR art. 5(1)(b)
  • Esercizio dei diritti dell'interessato
    Gli utenti possono esercitare i diritti di accesso, rettifica, cancellazione e portabilità dei propri dati personali inviando una richiesta via email allo sviluppatore indicato nella sezione contatti. Le richieste vengono evase entro i termini previsti dalla normativa.
    GDPR art. 15-17 GDPR art. 20