MicroStrategy ONE

Programma di garanzia della sicurezza MicroStrategy

Per visualizzare solo questa pagina in versione PDF, fare clic qui.

MicroStrategy dispone di un programma di sicurezza completo incentrato sulla protezione dei dati, a prescindere dalla modalità di distribuzione del prodotto (tramite l'offerta Cloud Managed Service oppure on-premise). Dalla progettazione alla risoluzione delle vulnerabilità, ci impegniamo a garantire che i nostri prodotti soddisfino continuamente le esigenze aziendali e di sicurezza.

Certificazioni

  • Certificazione ISO 27001 per l'ambiente MicroStrategy Cloud
  • Audit SOC2 di tipo II per l'ambiente MicroStrategy Cloud
  • Conformità al Privacy Shield
  • Piattaforma cloud conforme a PCI DSS
  • Soluzione cloud conforme alle normative HIPAA completamente gestita da MicroStrategy
  • Conformità SOX del sistema finanziario aziendale
  • Paese di origine del prodotto: Stati Uniti

Sicurezza personale

  • Controllo dei precedenti eseguito su tutti i dipendenti
  • Credenziali formative convalidate
  • Cronologia finanziaria/creditizia verificata
  • Precedenti penali verificati

Formazione sulla sicurezza e certificazioni per i dipendenti

  • Principi di sicurezza
  • Threat modeling
  • Test di penetrazione e sicurezza Web
  • Sicurezza per i dispositivi mobili

Processo di progettazione della sicurezza

  • Modellazione delle minacce sulla base di STRIDE e altri modelli sviluppati internamente
  • Applicazione dei principi di sicurezza (ad esempio "Defense in Depth")
  • Analisi delle vulnerabilità OWASP 10
  • Revisione del progetto da parte del team di Security Engineering dedicato

Caratteristiche di sicurezza incorporate

  • Autenticazione utente
    • OIDC
    • SAML
    • SSO
    • LDAP/AD
    • Standard (nome utente/password)
    • Kerberos
  • Protezione HTTPS/TLS per i dati in transito
  • Crittografia AES a 256 bit per dati inattivi
  • Controllo degli accessi basato sui ruoli
  • Sicurezza a livello di riga
  • CSRF, clickjacking e codifica dell'output HTML (per la prevenzione XSS)

Sviluppo sicuro

  • Standard di codifica sicura per tutti i linguaggi utilizzati
  • Revisione del codice a più livelli
  • Analisi statica del codice sorgente
  • Scansione binaria del codice compilato che utilizza lo scanner binario Veracode
  • Test di penetrazione manuale

Controllo dei componenti di terze parti

L'utilizzo di componenti di terze parti è strettamente controllato. Viene applicato un processo formale per l'introduzione di nuovi componenti nei prodotti. La conferma indipendente dei componenti di terzi integrati nei prodotti viene effettuata tramite lo strumento Synopsys Black Duck. I componenti in possesso di vulnerabilità di sicurezza sono pianificati in modo massiccio per l'aggiornamento o la sostituzione.

Test di sicurezza interni

Nel corso del ciclo di sviluppo, MicroStrategy esegue test di penetrazione interni per convalidare la sicurezza di caratteristiche nuove o modificate e per convalidare nuovamente la resistenza della suite di prodotti alle nuove minacce. Tali test comprendono i rischi identificati in OWASP-10 e altri punti deboli noti. I modelli di minaccia sviluppati durante la progettazione del prodotto forniscono ulteriori indicazioni per questi test.

Test di penetrazione indipendenti

Coinvolgiamo più aziende che si occupano di sicurezza nella conduzione di test annuali di penetrazione. I test sono completi e utilizzano sia le tecniche di test black-box sia i test white-box che includono l'accesso completo al codice sorgente del prodotto. I problemi identificati durante questo test vengono immediatamente pianificati per la risoluzione nel prodotto in base al principio di prioritizzazione dei rischi. Successivi riesami vengono quindi effettuati dai gestori di sicurezza per verificare che i problemi siano stati risolti correttamente.

Versione sicura

Viene mantenuto un repository di codice centralizzato (GitHub Enterprise) per lo sviluppo. I check-in del repository vengono sottoposti a procedure di revisione del codice specifiche per area. Il processo di compilazione è controllato dal team DevOps. Tutti i computer che sviluppano il prodotto utilizzano uno scanner antivirus di livello aziendale aggiornato con le ultime firme.

Patch e aggiornamenti di sicurezza

La sicurezza è della massima importanza per MicroStrategy. Le vulnerabilità vengono trattate come problemi con massima priorità e risolte nella versione successiva. Pertanto, mantenere aggiornato il software è una delle precauzioni di sicurezza più semplici ma più importanti che si possano adottare per garantire la protezione dei prodotti MicroStrategy. In caso di problemi di sicurezza critici al di fuori del normale ciclo di aggiornamento, MicroStrategy potrebbe emettere una patch provvisoria o fornire una soluzione alternativa, ma l'aggiornamento sarà comunque necessario per mantenere le distribuzioni il più sicure possibili.

Segnalazione di un problema relativo alla sicurezza

Gli attuali clienti di MicroStrategy possono segnalare potenziali problemi relativi alla sicurezza e query tramite il supporto tecnico di MicroStrategy. I ricercatori possono riportare problemi tramite la nostra pagina di segnalazione.

Per ulteriori informazioni, contattare il rappresentante dell'account.