Sicurezza di livello professionale su cui puoi contare

Shield icon

La nostra certificazione ISO 27001, l’accreditamento TÜV Saarland e i controlli di sicurezza avanzati proteggono i dati di pagamento dei tuoi clienti in ogni fase del processo—offrendo a te e ai tuoi utenti la massima fiducia in ogni transazione.

Scelto dai team più attenti alla sicurezza

Principali funzionalita' di sicurezza

Crittografia dei dati in transito, senza mai archiviare le credenziali bancarie

Utilizzo delle credenziali esattamente come fornite dalla banca, senza necessità di credenziali aggiuntive

Diritti di accesso e privilegi granulari per esercenti e dipendenti Trustly

Periodi di conservazione dei dati delle transazioni conformi al GDPR

Shield icon

Comunicazioni esclusivamente tramite SSL/TLS

Hosting all'interno dell'UE su server e servizi cloud proprietari

Capacità di disaster recovery e business continuity per garantire l’operatività del servizio

Verifiche di sicurezza esterne

Trustly adotta le best practice per garantire la conformità agli standard e alle normative elencate di seguito—assicurando agli utenti che tutte le informazioni fornite siano completamente protette.

Per richiedere l’accesso alla documentazione e/o alle certificazioni, compila il nostro modulo.

ISO Icon
Check mark

ISO 27001

Trustly è certificata ISO 27001 e i server sono ospitati in strutture conformi allo stesso standard.

TUV Approved pament system
Check mark

Protezione dei dati

Trustly è accreditata secondo gli standard "Approved Data Protection" di TÜV Saarland.

TUV Approved pament system
Check mark

Standard per i pagamenti

Trustly è accreditata secondo gli standard "Approved Payment System" di TÜV Saarland.

Check mark

Test di penetrazione

Test condotti da aziende terze specializzate.

Qualys
Check mark

Valutazione "A" SSL/TLS

La crittografia dei dati in transito utilizza solo TLS e ha ottenuto il punteggio "A" nei test SSL Labs di Qualys.

GDPR Compliant Icon
Check mark

Conformità GDPR

Trustly è conforme al GDPR e considera la privacy un elemento fondamentale per garantire pagamenti sicuri.

Link rapidi

Misure tecnicheMonitoraggio e prevenzione degli attacchi

Misure tecniche

Monitoraggio e prevenzione degli attacchi

  • L'organizzazione implementa strumenti di monitoraggio degli attacchi, come sistemi di rilevamento e prevenzione delle intrusioni basati su rete e firewall per applicazioni web.
  • Inoltre, vengono utilizzati firewall per applicazioni web di livello 7.

Anti-malware

  • Software anti-malware è installato su tutti i dispositivi endpoint (desktop, laptop, smartphone e tablet).
  • La firma del codice delle applicazioni, l'isolamento in sandbox e la quarantena dei file sono applicati su tutti gli smartphone e tablet.
  • Tecnologie EDR/XDR sono utilizzate come agenti anti-malware su tutti i desktop e laptop.
  • EDR/XDR è gestito e monitorato da un Centro Operativo di Sicurezza (SOC) attivo 24/7.
  • Il software anti-malware è gestito centralmente e monitorato esclusivamente da personale autorizzato.

Accesso ai dati

  • L'organizzazione implementa controlli che limitano l'accesso ai dati a server e applicazioni attendibili tramite canali crittografati con autenticazione forte.
  • Sono in atto controlli che limitano l'accesso a applicazioni e dati critici da parte di terzi a dispositivi o endpoint attendibili, solo tramite crittografia e autenticazione forte.
  • L'autenticazione a più fattori (MFA) è implementata per consentire ai dipendenti l'accesso ai dati in applicazioni critiche.
  • L'accesso ai dati è limitato, quindi i consulenti che necessitano di accedere alle nostre applicazioni devono utilizzare anche un endpoint attendibile.

Crittografia

  • Le connessioni HTTPS in entrata sono protette con crittografia TLS 1.2 o superiore.
  • Sicurezza simile è utilizzata per altri tipi di connessioni crittografate come IPsec, SSH o SFTP.
  • La crittografia asimmetrica di file o messaggi utilizza RSA con chiavi di almeno 2048 bit o ECC con curve standard come P256.
  • La crittografia simmetrica di file o messaggi utilizza AES con lunghezza di almeno 256 bit.
  • Gli endpoint (desktop, laptop, smartphone e tablet) sono protetti con crittografia completa del disco rigido.
  • I backup off-site dei database sono protetti con crittografia forte.
  • Le email sono crittografate durante la trasmissione su internet, da server a server, in entrata e in uscita, con crittografia TLS opportunistica.
  • Domini email specifici sono protetti con crittografia TLS obbligatoria durante la trasmissione.
  • L'API del commerciante richiede l'uso di firme crittografiche sia per le richieste in entrata che per le risposte in uscita, oltre alla crittografia TLS durante la trasmissione. Questo garantisce la prova di possesso e minimizza il rischio di un attacco MITM.
  • Il servizio di checkout utilizza crittografia asimmetrica punto a punto per sessione per dati sensibili dell'utente finale, come password o codici di sfida.

Firewall e liste di controllo degli accessi (ACL)

  • Dispositivi firewall locali di livello 3 sono utilizzati internamente per supportare l'implementazione di liste di controllo degli accessi (ACL).
  • Dispositivi firewall di livello 3 sono utilizzati per controllare il traffico di rete tra internet pubblico e l'organizzazione.
  • Dispositivi firewall di livello 7 sono utilizzati per ispezionare e controllare il traffico tra internet pubblico e il servizio dell'organizzazione.
  • ACL di rete sono utilizzate per controllare la comunicazione tra la rete, i siti e i cloud dell'organizzazione.
  • ACL di sistema sono utilizzate per controllare l'accesso al sistema o agli oggetti (ad esempio, oggetti di archiviazione).
  • Le ACL sono gestite da personale autorizzato e si basano su descrizioni delle mansioni (per le ACL di sistema) o su progetti di rete pre-approvati (ACL di rete).
  • Le ACL sono riviste regolarmente (in base alla classificazione) o quando si verificano modifiche significative.

Controllo logico degli accessi

  • Il controllo logico degli accessi è implementato per tutti i sistemi e servizi all'interno dell'organizzazione.
  • I diritti di accesso sono assegnati tramite un processo di approvazione e sono correlati alla descrizione della mansione.
  • I diritti di accesso sono assegnati in base al principio del privilegio minimo.
  • I diritti di accesso sono rivisti periodicamente in base alla classificazione del sistema/servizio.

Registrazione dei log

  • La registrazione centralizzata dei log è implementata per le applicazioni che partecipano all'offerta del servizio di pagamento dell'organizzazione.
  • I log sono accessibili al personale autorizzato, basato sul principio del bisogno di sapere.
  • Il sistema di gestione dei log è gestito da personale autorizzato.
  • Il sistema di gestione dei log genera avvisi basati su criteri predefiniti.

Strumenti di gestione dei dispositivi mobili (MDM)

  • L'organizzazione implementa una soluzione MDM per i dispositivi endpoint (desktop, laptop, smartphone e tablet), sia per i dipendenti che per i consulenti a lungo termine all'interno dell'organizzazione.
  • La soluzione MDM controlla chi ha accesso a ciascun endpoint utilizzando accesso condizionale e autenticazione a due fattori.
  • La soluzione MDM gestisce le impostazioni degli endpoint come le applicazioni consentite, nonché le impostazioni di sicurezza come la crittografia e le credenziali di accesso.
  • La soluzione MDM gestisce gli aggiornamenti degli endpoint come il sistema operativo e gli aggiornamenti delle applicazioni che possono essere inviati a dispositivi specifici, se necessario.
  • La soluzione MDM può essere utilizzata per bloccare o cancellare da remoto gli endpoint smarriti.
  • La soluzione MDM è gestita da personale autorizzato.

Autenticazione a più fattori

  • L'organizzazione implementa l'autenticazione a più fattori (MFA) sia per i servizi forniti che per quelli consumati dall'organizzazione.
  • L'organizzazione implementa diversi approcci alla MFA in base alla classificazione del sistema/servizio/dati:
    1. Token hardware MFA
    2. Certificati del dispositivo
    3. Certificati utente
    4. Token software MFA (come TOTP)
    5. MFA via SMS (testo)

Aggiornamenti regolari del software

Gli aggiornamenti di sicurezza sono installati automaticamente.

Firma del codice sorgente

Le modifiche al codice sorgente sono firmate crittograficamente dallo sviluppatore utilizzando GPG con una chiave privata su un HSM personale.

Firma del codice sorgente

  • Le modifiche al codice sorgente sono firmate crittograficamente dallo sviluppatore utilizzando GPG con una chiave privata su un HSM personale.
  • L'organizzazione implementa uno scanner di vulnerabilità del codice sorgente.
  • L'organizzazione conduce una valutazione settimanale delle vulnerabilità delle risorse e dei servizi interni ed esposti pubblicamente, dando priorità alle vulnerabilità in base alla loro gravità.

Controlli organizzativi di sicurezza

Politica di uso accettabile (AUP)

L'organizzazione pubblica una politica di uso accettabile (AUP) per i suoi sistemi/servizi interni e informa i dipendenti/contraenti interessati quando si verificano modifiche.

Consapevolezza e formazione

L'organizzazione fornisce formazione obbligatoria a tutti i dipendenti e contraenti nei seguenti ambiti:

  • Sicurezza delle informazioni
  • Privacy
  • Gestione del rischio
  • Conformità
  • Antiriciclaggio

Piani di continuità aziendale

L'organizzazione implementa una serie di attività di continuità:

  • Pianificazione della gestione delle crisi
  • Pianificazione della continuità aziendale
  • Pianificazione del recupero di emergenza

Gestione delle modifiche

L'organizzazione implementa la gestione delle modifiche in linea con il processo ITIL.

Accordi di trattamento dei dati (DPA)

L'organizzazione implementa accordi relativi al trattamento dei dati quando i dati personali vengono scambiati tra l'organizzazione e terze parti.

Piani di risposta agli incidenti

  • L'organizzazione implementa un programma di gestione degli incidenti progettato per massimizzare la disponibilità dei servizi e minimizzare le interruzioni per l'organizzazione e i suoi partner.
  • Il programma di gestione degli incidenti è gestito dal dipartimento di gestione dei servizi.

Test di penetrazione

  • L'organizzazione conduce test di penetrazione annuali o in caso di modifiche significative.
  • I test di penetrazione sono eseguiti da aziende di sicurezza note e affermate.
  • L'organizzazione condivide il rapporto del test di penetrazione su richiesta con terze parti.

Politica delle password

  • L'organizzazione implementa una politica di base per le password per tutti i sistemi/servizi.
  • Ogni proprietario del sistema/servizio può scegliere di andare oltre la linea guida definita.
  • La politica di base per le password è definita come:
    1. Lunghezza minima: 10 caratteri
    2. Complessità: applicata
    3. 2FA/MFA: applicata (ove possibile)

Sedi sicure

  • L'organizzazione fornisce i suoi servizi tramite noti fornitori di servizi cloud (es. AWS, GCP) e data center in colocation.
  • L'accesso ai data center in colocation è strettamente limitato a un piccolo numero di dipendenti autorizzati.

Ciclo di vita dello sviluppo sicuro (SDL)

L'organizzazione implementa un modello di ciclo di vita dello sviluppo sicuro (SDL) per i servizi/prodotti sviluppati internamente.

Eliminazione sicura

L'organizzazione implementa l'eliminazione sicura sia per i dispositivi endpoint che per i dispositivi che forniscono il servizio di produzione.

Revisioni e implementazione del codice sorgente

L'organizzazione implementa la revisione da parte di due persone per la segregazione dei compiti nella maggior parte delle modifiche al codice sorgente.

Valutazioni dei fornitori

L'organizzazione adotta un processo continuo per la valutazione e l'analisi dei fornitori introdotti per ragioni sia di produzione che di produttività.

Hai trovato un problema di sicurezza?

Apprezziamo il tuo impegno nel mantenere i più alti standard di sicurezza. Se hai scoperto un problema di sicurezza, ti preghiamo di segnalarlo tramite la nostra politica di Segnalazione Responsabile.

Segnala un problema