Back

Security

Ultimo aggiornamento: 12/11/2025
Titolare del sito: Tesax S.a.s. di Quaranta Giuseppe – Vico Vitti 10, 70013 Castellana Grotte (BA), Italia – [email protected]

Il nostro impegno

La sicurezza delle informazioni dei nostri utenti è una priorità. Adottiamo misure tecniche e organizzative per proteggere dati, infrastrutture e continuità del servizio, in linea con il GDPR e le buone pratiche del settore.

Protezione dei dati e privacy

  • Minimizzazione & cifratura dati: raccogliamo solo i dati necessari; dati in transito protetti con TLS 1.2+ (HSTS attivo), dati a riposo cifrati su storage gestiti.

  • Segregazione ambienti: separazione tra sviluppo, test e produzione, con accessi “least privilege”.

  • Backup & continuità: backup cifrati e test periodici di ripristino; procedure di business continuity e disaster recovery.

  • Registro accessi: logging sicurezza (accessi, azioni amministrative, errori) con retention limitata e controllata.

Sicurezza applicativa

  • Ciclo di sviluppo sicuro (SDL): code review, dipendenze verificate, test automatici e scansioni SAST/DAST.

  • Header e configurazione: Content Security Policy, X-Content-Type-Options, X-Frame-Options/Frame-Options, Referrer-Policy, Permissions-Policy; cookie HttpOnly, Secure, SameSite.

  • Protezione account: hashing password con algoritmo robusto (es. Argon2/bcrypt), protezione brute-force e rate limiting; opzione MFA (se prevista).

  • Gestione segreti: credenziali e chiavi conservate in secret manager, mai nel codice.

Sicurezza dell’infrastruttura

  • Hardening & patching: aggiornamenti regolari di OS e middleware; porte e servizi esposti ridotti al minimo.

  • WAF & anti-DDoS: filtri applicativi e mitigazione traffico anomalo.

  • Monitoraggio 24/7: alerting su eventi critici e anomalie (SIEM/IDS, dove applicabile).

Gestione delle vulnerabilità

  • Scan periodici su codice e infrastruttura.

  • Classificazione CVSS e remediation in tempi proporzionati alla gravità:

    • Critica (CVSS ≥ 9.0): mitigazione immediata, fix preferibilmente entro 72 ore.

    • Alta (7.0–8.9): piano di correzione entro 7 giorni.

    • Media (4.0–6.9): entro 30 giorni.

    • Bassa (< 4.0): inserita nella normale pianificazione.

Gestione incidenti di sicurezza

  • Rilevazione e contenimento: attivazione playbook, isolamento componenti esposti, raccolta evidenze.

  • Notifica: in caso di data breach che presenti rischi per gli interessati, informiamo l’Autorità Garante e gli utenti senza ingiustificato ritardo secondo il GDPR.

  • Post-mortem: analisi delle cause radice e azioni preventive.

Responsible Disclosure (Divulgazione Responsabile)

Apprezziamo il contributo della comunità di sicurezza. Se individui una vulnerabilità, non sfruttarla e segnala subito seguendo le istruzioni.

Come segnalare

  • Email preferita: [email protected]

  • Oggetto: [Tesax Security] Vulnerability Report

  • Includi: descrizione tecnica, impatto, passi per riprodurre (PoC non distruttivo), eventuali log/screenshot, contatti per follow-up.

  • Opzionale: usa la nostra chiave PGP (se richiesta, te la inviamo).

Ambito (scope)

  • In scope: domini e sottodomini di tesax.it e le nostre API pubbliche/documentate.

  • Out of scope: social aziendali, servizi terzi non gestiti da Tesax, attacchi di DoS/DDoS, spam, social engineering verso il nostro staff o utenti, scanner aggressivi che impattino il servizio, fuga di credenziali reperite da data leak storici non legati a Tesax.

Regole di condotta

  • Non accedere, alterare o distruggere dati di terzi.

  • Non interrompere il servizio.

  • Smetti i test appena confermi l’esistenza del problema.

  • Rispetta la privacy e le leggi vigenti.

Safe Harbor

Se rispetti questa policy e agisci in buona fede per segnalare una vulnerabilità, non intraprenderemo azioni legali per le tue attività di ricerca limitate all’ambito e alle regole sopra indicate.

Tempistiche di risposta

  • Conferma ricezione: entro 3 giorni lavorativi.

  • Valutazione iniziale: entro 10 giorni lavorativi.

  • Aggiornamenti di stato: almeno ogni 30 giorni fino alla chiusura.

  • Riconoscimenti: a discrezione, possiamo ringraziare i ricercatori in una pagina “Hall of Fame” (se attivata). Nessuna ricompensa economica è garantita salvo programma specifico.

Contatti sicurezza

  • Security Team Tesax: [email protected]

  • Privacy/Data Protection: [email protected]

  • Indirizzo postale: Tesax S.a.s. di Quaranta Giuseppe – Vico Vitti 10, 70013 Castellana Grotte (BA), Italia

This website stores cookies on your computer. Cookie Policy