POLITICA DI SICUREZZA

Conforme agli standard ISO/IEC 27001 e SOC 2

1. Introduzione

DeskCamera è un’applicazione software che trasmette lo schermo e l’audio del computer ai sistemi NVR/VMS utilizzando i protocolli ONVIF/RTSP. È progettata per funzionare completamente in locale, all’interno della rete del cliente, e non trasmette, raccoglie né memorizza dati dell’utente o contenuti video. Il software è sviluppato secondo rigorosi standard di sicurezza e pratiche di conformità.

2. Obiettivo della Politica

Definire il quadro di sicurezza e le responsabilità per garantire la riservatezza, l’integrità e la disponibilità dell’applicazione DeskCamera, in conformità con ISO/IEC 27001 e i criteri di affidabilità SOC 2.

3. Principi Chiave di Sicurezza

  • Architettura Solo Locale:
    DeskCamera opera interamente all’interno dell’infrastruttura del cliente e non richiede connessione a Internet o a server esterni. Un collegamento opzionale all’infrastruttura cloud di DeskCamera può avvenire solo per la verifica della licenza o degli aggiornamenti. In nessun caso vengono trasmessi dati personali.

  • Nessuna Raccolta Dati:
    L’applicazione non raccoglie né trasmette dati utente, video o telemetria.

  • Gestione Sicura del Codice Sorgente (ISO 27001 A.9, A.12):
    Il codice sorgente è conservato in un repository DevOps protetto, con controllo degli accessi basato sui ruoli, logging e audit regolari.

  • Build Firmate (SOC 2 – Integrità del Sistema):
    Tutte le build dell’applicazione sono firmate digitalmente utilizzando un certificato conservato in modo sicuro su un token hardware crittografato (es. HSM o Yubikey), in conformità con gli standard moderni di sicurezza.

  • Ciclo di Vita di Sviluppo Sicuro (SDLC):
    DeskCamera adotta un ciclo di sviluppo sicuro che include progettazione sicura, revisione del codice, analisi statica e test di penetrazione almeno annuali.

  • Integrità degli Aggiornamenti (SOC 2 – Gestione delle Modifiche):
    Tutti gli aggiornamenti passano attraverso un processo formale di gestione delle modifiche, test di regressione e verifica dell’integrità prima del rilascio. Le modifiche sono tracciate tramite un sistema di controllo versione con tracciabilità completa.

4. Controllo degli Accessi

  • Solo il personale autorizzato può accedere al codice sorgente o all’infrastruttura di build.

  • Gli accessi vengono revisionati ogni trimestre (ISO/IEC 27001 A.9.2.5).

  • Tutte le attività amministrative sono registrate e conservate ai fini di audit.

5. Gestione dei Rischi da Fornitori e Terze Parti (ISO 27001 A.15)

  • Tutte le librerie e le dipendenze di terze parti sono monitorate e tracciate.

  • I bollettini di sicurezza vengono analizzati settimanalmente e le patch applicate regolarmente.

  • Componenti ad alto rischio o non più supportati sono evitati o isolati tramite sandbox.

6. Prontezza alla Risposta agli Incidenti (ISO 27001 A.16, SOC 2)

  • È disponibile un punto di contatto dedicato per segnalazioni di vulnerabilità e incidenti.

  • Gli incidenti seguono un processo strutturato: rilevamento, classificazione, contenimento, risoluzione, analisi delle cause.

  • Le lezioni apprese vengono analizzate per migliorare la risposta futura.

7. Responsabilità del Cliente

  • Applicare gli aggiornamenti del software forniti tramite il sito ufficiale di DeskCamera.

  • Mantenere configurazioni sicure del sistema e limitare l’accesso di rete ai dispositivi DeskCamera.

8. Conformità e Revisione

La presente politica viene rivista annualmente o ogni qualvolta vengano apportati cambiamenti significativi al sistema o all’ambiente.

9. Contatto per Questioni di Sicurezza

Eventuali problematiche di sicurezza possono essere segnalate a: [email protected]