Politica di Gestione delle Vulnerabilità

1. Introduzione

Questo documento definisce come vengono monitorate, valutate e risolte le vulnerabilità nel software DeskCamera. DeskCamera è un’applicazione on-premise offline che trasmette lo schermo localmente a sistemi NVR/VMS. Non registra video o audio e non raccoglie dati personali. Un collegamento opzionale al cloud può essere utilizzato esclusivamente per la licenza o la verifica degli aggiornamenti. In nessun caso vengono trasmessi dati personali.

2. Scopo

Garantire la sicurezza e l’affidabilità di DeskCamera riducendo al minimo l’esposizione alle vulnerabilità note attraverso valutazioni strutturate, interventi correttivi e aggiornamenti.

3. Ambito

Si applica a tutte le versioni del software DeskCamera, ai sistemi interni di sviluppo, ai repository di codice e a tutti i componenti di terze parti integrati nel software.

4. Governance e Ruoli

  • CTO – È responsabile della politica e valuta le vulnerabilità critiche
  • Team di sviluppo – Monitora, valuta e risolve le problematiche
  • Responsabile della sicurezza – Coordina la risposta alle vulnerabilità e la comunicazione esterna (se necessario)

5. Identificazione delle Vulnerabilità

  • Monitoraggio continuo dei feed CVE e delle notifiche dei fornitori
  • Revisioni del codice interne e strumenti di analisi statica durante lo sviluppo
  • Segnalazioni da parte di clienti o ricercatori etici via [email protected]

6. Classificazione e Valutazione del Rischio

  • Le vulnerabilità vengono classificate come Emergency, High, Medium o Low secondo il CVSS e l’impatto sul business
  • Il punteggio di rischio considera la probabilità di sfruttamento, l’impatto sulla funzionalità e la superficie di esposizione

7. Processo di Rimedio

  • Le vulnerabilità Emergency e High vengono gestite entro 5 giorni lavorativi
  • Le patch di sicurezza vengono integrate nel primo rilascio disponibile dopo i test
  • Le dipendenze vengono aggiornate in modo proattivo in presenza di rischi noti

8. Processo di Aggiornamento e Rilascio

  • Le build sono firmate con un certificato sicuro conservato su supporto USB offline
  • I nuovi installer vengono pubblicati sul sito ufficiale di DeskCamera
  • I clienti vengono informati tramite la sezione Security Advisories (se esistente)

9. Responsabilità del Cliente

  • I clienti sono responsabili del download e dell’installazione manuale degli aggiornamenti
  • DeskCamera non può inviare aggiornamenti in remoto né accedere agli ambienti dei clienti; è quindi essenziale che i clienti seguano le migliori pratiche di sicurezza

10. Revisione e Verifica

  • Questa politica viene rivista annualmente dal CTO
  • Il controllo versione è gestito tramite GitHub
  • Le pratiche di gestione delle vulnerabilità possono essere aggiornate in seguito a incidenti o segnalazioni di sicurezza

11. Audit e Tracciamento delle Modifiche

  • Tutte le modifiche al codice e la cronologia degli accessi vengono registrate automaticamente tramite Azure DevOps Server
  • La cronologia dei commit, le attività utente e le modifiche ai permessi vengono archiviate nel database SQL interno di Azure DevOps Server
  • I log dei commit Git sono mantenuti per tutte le versioni e il controllo accessi basato su ruoli garantisce la tracciabilità
  • Il sistema di audit è conforme alle raccomandazioni ISO 27001 e SOC 2 per lo sviluppo sicuro del software