L’infrastruttura è basata su un’architettura client-server in cui la parte server è accessibile in cloud mentre come client è necessario avere un comune web browser: sono supportati i browser Google Chrome (25+), Mozilla Firefox (20+), Microsoft Edge o comunque browser di nuova tecnologia.
Il sistema ha la possibilità di eseguire permessi sia sui singoli moduli che permessi di accesso a a una o piu’ aziende con nome utente e password personalizzabile.
La password deve contenere almeno 3 delle seguenti categorie di caratteri:
- lettere minuscole
- lettere maiuscole
- numeri
- caratteri speciali
- la password deve essere diversa delle ultime 6 utilizzate
Come sistema di persistenza principale si utilizza il DBMS Microsoft SQL Server (2012+) per contenere il database applicativo mentre viene utilizzato direttamente il file system nei casi in cui cui è necessario l’accesso veloce a grossi moli di dati. La parte back-end della piattaforma è realizzata con tecnologia Java (versione 8) e viene utilizzata un’architettura a layer, i layer principali sono:
- Data-Access-Objects: strato di accesso al database che contiene il codice necessario a comporre le query
- Business-Logic: strato che contiene la logica applicativa e dipende dalle funzionalità realizzati nei vari moduli
- JSP: forniscono la struttura delle pagine di landing oppure la parte di service interaction per quanto riguarda le invocazioni AJAX
In aggiunta a questi layer ci sono degli aspetti trasversali all’applicazione che realizzano le seguenti operazioni:
- Registrazione, autenticazione e profilazione degli utenti con modello RBAC
- Tracciamento delle attività e sistema di logging
- Esecuzione di attività in background mediante motore di scheduling Quartz
- Generazione di report fruibili sia come grafici che come documenti stampabili
La parte front-end della piattaforma è realizzata con tecnologia Javascript su HTML5. L’interfaccia utente è realizzata interamente client-side, ciascun modulo carica la struttura al landing e i vari componenti vengono costruiti a runtime utilizzano i dati ottenuti dalle invocazioni AJAX. Come framework di base per la parte visuale viene utilizzato Yahoo Toolkit supportato da varie librerie Javascript come JQuery e i suoi plugin.
Sono presenti procedure interne di sicurezza informatica e privacy. Il DataBase è sviluppato tenendo conto della pseudonimizzazione e la cifratura dei dati personali con relative procedure di test, verifica e controllo delle misure tecniche e organizzative.
Le uniche utenze di amministratori presenti nel sistema sono quelle direttamente create da voi. In nessun caso la Infotel Sistemi gestisce o ha delle utenze/credenziali di accesso come amministratore all’interno del sistema fornitovi. Anche per gli aggiornamenti avviene tutto in automatico tramite tool che aggiorna sia l’applicazione che il Database.
In base alle chiavi utilizzate per la cifratura, si utilizzano algoritmi a chiave asimmetrica, vengono utilizzate due diverse chiavi per il processo di cifratura e decifratura, cioè chiave pubblica, che viene distribuita, e chiave privata che resta personale e segreta.
L’applicazione è protetta con protocollo HTTPS che utlizza RapidSSL TLS DV RSA Mixed SHA256 2020 CA-1 DigiCert Inc
Il certificato fornisce tre livelli di protezione fondamentali:
Crittografia. I dati scambiati vengono criptati per proteggerli dalle intercettazioni. Ciò significa che, mentre l’utente consulta un sito web, nessuno può “ascoltare” le sue conversazioni, tenere traccia delle attività svolte in più pagine o carpire le sue informazioni.
Integrità dei dati. I dati non possono essere modificati o danneggiati durante il trasferimento, intenzionalmente o meno, senza essere rilevati.
Autenticazione. Dimostra che gli utenti comunicano con il sito web previsto. Protegge da attacchi man in the middle e infonde fiducia negli utenti, il che si traduce in altri vantaggi commerciali.
Per il controllo e monitoraggio della sicurezza dell’applicazione vengono utilizzati i seguenti strumenti:
SONARQUBE Gestisce la qualità e la sicurezza del codice fornendo descrizioni dettagliate dei problemi e punti salienti del codice che è a rischio e consentendo ai nostri sviluppatori di scrivere codice più pulito e sicuro; individua bug complicati per evitare che comportamenti indefiniti abbiano un impatto sugli utenti finali; risolve le vulnerabilità che compromettono l’applicazione.
ImmuniWeb® sfrutta la tecnologia AI e Machine Learning per l’accelerazione e l’automazione intelligente della gestione della superficie di attacco con il monitoraggio del Dark Web per successivi test di penetrazione delle applicazioni basati sulle minacce e basati sui rischi con SLA zero falsi positivi
Web Cookies Scannertesta la conformità e vulnerabilità dell’appliacazione rispetto la privacy per verificare se l’utilizzo dei cookie e del tracking online dell’applicazione è conforme a GDPR.
