Centro fiduciario: Sicurezza, conformità e qualità priorità umana

Risultati dei test di penetrazione indipendenti (VAPT)

La nostra piattaforma è valutata da tester di terze parti certificati OSCP/CREST utilizzando metodologie OWASP e PTES. L'ultima valutazione (settembre 2025) ha riportato 0 problemi Critici/Alti, e i risultati prioritari sono stati risolti e verificati nel nuovo test. Richiedi l'accesso al riepilogo esecutivo attuale e al rapporto VAPT completo (disponibile sotto NDA).

Versione 1.2 — 07 Gen 2025

Standard di controllo degli accessi e autenticazione (SSO/MFA e privilegio minimo)

Un rigoroso standard di gestione degli accessi aziendali che copre SSO + MFA per impostazione predefinita, amministrazione solo tramite bastion, revisioni trimestrali dei diritti, monitoraggio SIEM, segreti in cassaforte con rotazione programmata e salvaguardie endpoint/rete zero trust. Progettato per controlli ISO 27001/NIST, prove di audit e applicazione del privilegio minimo su cloud, SaaS ed endpoint.

Versione 1.2 — 07 Gen 2025

Programma di sicurezza e framework di controllo (allineato ISO/NIST)

Panoramica dell'ISMS di GoTranscript: allineamento con ISO 27001/27002/27017/27018 e NIST CSF, governance del rischio, modello di classificazione/conservazione, gestione degli incidenti (finestra di violazione di 72 ore), rafforzamento delle operazioni IT e SDLC sicuro. Ideale per due diligence, RFP e revisioni documentali degli auditor.

Versione 1.2 — 07 Gen 2025

Politica di sicurezza e formazione della forza lavoro

Sicurezza del personale aziendale: accesso automatizzato per nuovi assunti/spostamenti/uscite tramite SSO + MFA, onboarding di 90 minuti, formazione PII del Dipartimento della Difesa degli Stati Uniti entro 30 giorni, micro-lezioni mensili, test di phishing trimestrali e SLA di offboarding di 4 ore per le uscite con rotazione immediata dei segreti. Pronto per le prove in audit e BAA.

Versione 1.2 — 07 Gen 2025

Standard di risposta agli incidenti di sicurezza e difesa contro il malware

Playbook formale di risposta agli incidenti (Preparazione→Rilevamento→Contenimento→Eradicazione→Post-incidente), regola di segnalazione di 15 minuti, guida alla notifica ICO/GDPR di 72 ore, conservazione delle prove per 7 anni e uno stack EDR/AV rafforzato (Defender, CrowdStrike, ESET, GuardDuty) con scansione dei caricamenti e test EICAR trimestrali. Progettato per ambienti regolamentati.

Revisione 4 — 27 Set 2025

Politica di sicurezza delle informazioni aziendali

La politica che governa la riservatezza, l'integrità e la disponibilità a livello aziendale: classificazione, gestione di terze parti, archiviazione/smaltimento sicuro, gestione delle modifiche, risposta agli incidenti, continuità e conformità. Ambito/definizioni chiari per la preparazione agli audit e il coinvolgimento con i regolatori.

Versione 1.2 — 07 Gen 2025

Framework di resilienza operativa e continuità aziendale

Impegni di uptime e ripristino per acquirenti aziendali: disponibilità ≥99,9%, RTO ≤1h, RPO ≤15m, design multi-AZ, backup crittografati tra regioni con controlli di integrità, failover annuali/analisi a tavolino e integrazione IR con notifiche di violazione di 72 ore quando necessario.

Versione 1.2 — 07 Gen 2025

Controlli di sicurezza delle operazioni IT e KPI

Proprietà del controllo quotidiano e flussi di prove per gli audit: SLA delle patch (critici ≤14 giorni), crittografia/MFA/backup al 100%, CMDB in tempo reale, controllo delle modifiche IaC, dashboard KPI e cadenza di formazione/esercitazioni IR. Mappa i requisiti ISMS ai compiti operativi responsabili e alla reportistica.

Ultimo aggiornamento — 19 Gen 2025

Garanzia di qualità umana (Precisa QMS): Controllo e modifica in due passaggi

Programma di QA umana di livello aziendale: selezione selettiva, test specifici per lingua in 140 lingue, revisione obbligatoria da parte di due persone su ogni file, punteggio continuo, redattori calibrati e gestione rigorosa di NDA/esposizione minima, progettato per carichi di lavoro sensibili a HIPAA/GDPR.

Versione 1.2 — 07 Gen 2025

Politica di gestione del rischio di sicurezza (ISO 27001 / NIST CSF)

Come identifichiamo, valutiamo, trattiamo e governiamo i rischi: revisioni trimestrali, revisione della leadership di sicurezza esecutiva, approvazione del rischio residuo, mappatura dei controlli su ISO 27001/27017/27018, NIST CSF, PCI DSS e OWASP ASVS; si integra con controllo degli accessi, continuità, classificazione e risposta agli incidenti.

Versione 1.2 — 07 Gen 2025

Politica di elaborazione solo umana (Zero IA, se necessario)

Una chiara posizione di garanzia per il cliente: nessun sistema di IA elabora i dati dei clienti. Blocchi di rete ed endpoint, whitelisting del software, audit mensili, formazione di onboarding/annuale e applicazione disciplinare tramite il processo di incidenti ISMS. Ideale per impegni sensibili alla privacy e regolamentati.