KeyRules™ è progettato e sviluppato secondo il ciclo di sviluppo SDL (
Security Development Lifecycle) prodotto da Microsoft.
I punti di attenzione si traducono in:
- sicurezza nella progettazione e sviluppo (secure by design)
- sicurezza per impostazione predefinita (secure by default)
- sicurezza nella installazione (messa online) e documentazione (secure by deployment)
- comunicazione e formazione
Sicurezza nella Installazione (deployment)
I livelli di sicurezza sono configurabili secondo la tipologia di fornitura scelta e in funzione dell'ambiente operativo dell'organizzazione.
Le possibilità offerte sono:
- Installazione OnSite (Intranet)
Si intende l'installazione dell'applicativo su server presso il Cliente su server dedicato o condiviso.
- Installazione ASP/SaaS (Internet)
The KeyRules Company offre il servizio in outsourcing di hosting dell'applicazione e dei dati, risolvendo al Cliente gli oneri derivanti da configurazioni di sistema e di rete, backup e gestione dei dati.
- VPN
Sulla base del livello di sicurezza richiesto, è possibile offrire la fornitura del software su piattaforma VPN (Virtual Private Network) su server dedicato.
Schema
| |
Installazione ASP (Internet) |
Installazione OnSite (Intranet) |
VPN
(secured) |
Trasmissione e
trasferimento dei dati |
Http o Https |
Http o Https |
IPsec SSL/TLS |
| Accesso alle applicazioni di gestione |
Form Authentication
+
Criptazione Password
|
integrazione con Active Directory e/o autenticazione Single SignOn |
Canale dedicato
+
Form Authentication
+
Criptazione Password
|
| Accesso ai dati |
data provider dedicato;
DBMS Microsoft Sql Server 2005;
Possibilità server dedicato |
data provider dedicato;
DBMS Cliente; |
Server dedicato |
Sicurezza per impostazione predefinita (default)
Il sistema rispetta il principio dei privilegi minimi.
Sicurezza nella Progettazione e sviluppo (design)
KeyRules™ è progettato su architettura multi-livello (three-tier), che permette la suddivisione in:
- presentation layer (web): livello applicativo, interfaccia utente (presentazione dati, servizi)
- business layer: application logic (elaborazione dati, …)
- data layer: gestione dei dati (DBMS, file XML, …..)
La gestione della sicurezza è curata nel dettaglio in ogni segmento.
1) Presentation layer - Livello Applicativo (web)
A livello applicativo KeyRules™ protegge programmi e dati da accessi non autorizzati e consente esclusivamente quelli autorizzati: il software è accessibile in seguito alla fase di autenticazione nella quale all’utente vengono richieste le proprie credenziali (email account e password).
- Accounting
KeyRules™ prevede cinque livelli di utenza: Admin, revisore di procedura, responsabile di nodo dell'organigramma, utente operatore e, dalla versione 1.08 Supervisore.
- Autenticazione
KeyRules™ verifica l'identità dell'utente grazie alla Form Authentication, integrabile con Active Directory e Single Sign On.
- Autorizzazione
La profilazione dell'utente in base ai ruoli e' finalizzata ad impedire l'accesso a tutte quelle informazioni non espressamente autorizzate.
2) Businness Layer
L'applicativo Web sfrutta le potenzialità di virtualizzazione grazie all'utilizzo dell' application pool di
Microsoft Internet Information Services (IIS).
Ogni pool di applicazioni utilizza una
identità. I valori possono essere Servizio di rete, Servizio locale, Sistema locale o il nome dell'account utente per un'identità personalizzata.
Al fine di crittografare la trasmissione dei dati tra client e server, è possibile implementare l'utilizzo del protocollo HTTPS, con generazione di certificati server privati (
Microsoft Certification Authority Windows 2003 SVR).
3) Data Layer e Backup
La base dati risiede su Database
Microsoft SQL SERVER, che incorpora i processi di
Trustworthy Computing allo scopo di massimizzare i livelli di sicurezza, riservatezza, affidabilità e integrità.
KeyRules™ limita l'accesso alle risorse in SQL Server, definendo identità specifiche e con un elevato livello di precisione.