Sicurezza piattaforma
- Tutte le comunicazioni tra il server e le app %whitelabelText2%, usano comunicazione su protocollo HTTP (versioni 1, 2, 3) sicuro tramite crittografia TLS 1.2 e 1.3. Il certificato è "Pinned" in modo da non permettere attacchi di man-in-the-middle
- la comunicazione MDM tra il server e i dispositivi è firmata digitalmente (code-sign) per evitare che i comandi possano essere manomessi o letti
- le comunicazioni MDM, critiche e sensibili, tra il server e i dispositivi sono crittografate end2end
- %whitelabelText3% Agent per Android è compilato con tecniche di sicurezza avanzate che impediscono l’ispezione del codice, difendono dal reverse engineering e rendono più robusta la sicurezza
- la funzione Visualizza Schermo puó essere forzata su comunicazione TLS per aumentarne la sicurezza
- l'autenticazione a 2 fattori (tramite mail o Authenticator app) è imposta a tutti gli amministratori
- la sessione di accesso di un amministratore è limitata fino ad un massimo di 8 ore
- l’autenticazione %whitelabelText2% si basa su un sistema di token a scadenza temporale
- in caso di qualche tentativo di accesso fallito viene richiesta la verifica del captcha
- il server gestisce una lista di ban in caso di attacchi o tentativi di bruteforce
- il WAF del server utilizza un meccanismo basato su ML per identificare gli attacchi e per mitigare i top rischi OWASP
- in caso di cambio password viene inviata una mail di notifica alla mail dell'account interessato
- i dati sono separati e salvati in container specifichi e dedicati, per ogni istanza cliente
- la crittografia dei dispositivi o dei profili di lavoro è gestita direttamente dal sistema operativo stesso. Per maggiori informazioni vedere i riferimenti.
- Il controllo di integrità del dispositivo Android può essere abilitato anche in fase di registrazione.
- il dati sono mantenuti in Europa su datacenter Tier 4 che soddisfano la maggior parte degli standard di conformità come UNI CEI EN ISO/IEC 27001:2017 ed AGID
- XNOOVA S.R.L. ha completato con successo il Cloud Application Security Assessment (Lab Tested - Lab Verified), validando Ermetix come soluzione che soddisfa i requisiti di sicurezza CASA. CASA si basa su Open Web Application Security Project (OWASP) Application Security
Verification Standard (ASVS). Maggiori informazioni su https://appdefensealliance.dev/casa/casa-requirements .
Riferimenti Android
https://storage.googleapis.com/android-com/resources/enterprise/pdfs/AE Security Paper_V6 CM.pdf
https://source.android.com/security/encryption
https://www.linkedin.com/pulse/android-encryption-basics-mike-burr-cissp-giac-gmob
Riferimenti Apple
https://support.apple.com/en-gb/guide/security/secf020d1074/1/web/1
https://www.apple.com/business/docs/site/AAW_Platform_Security.pdf