Kinsta ha sempre lavorato per salvaguardare la sicurezza della sua piattaforma di hosting e dei siti web dei suoi clienti. Che si tratti di proteggere le informazioni sugli account, di fornire strumenti per prevenire gli attacchi DDoS esterni, di rilevare e ripulire malware o di avvisare i proprietari di siti web delle vulnerabilità dei plugin di WordPress, la sicurezza delle informazioni è uno dei nostri punti di forza.

Ma, a parole, tutte le società di hosting possono facilmente affermarlo. Dimostrarlo è la vera sfida.

Il modo migliore per dimostrare tali affermazioni è quello di sviluppare pratiche e politiche di sicurezza informatica che soddisfino standard ampiamente riconosciuti e poi far confermare la conformità a tali standard da esperti indipendenti.

È così che Kinsta ha ottenuto per la prima volta nel 2023 la conformità ai criteri per i servizi fiduciari System and Organization Controls 2 (SOC 2) sviluppati dall’Association of International Certified Professional Accountants (AICPA).

Poi, nell’agosto del 2024, dopo aver completato un intero anno di monitoraggio SOC 2, abbiamo ottenuto la certificazione per i controlli sulla sicurezza dei dati e sulla privacy specificati dall’ International Standards Organization (ISO) e dall’International Electrotechnical Commission (IEC).

Questo articolo analizza la certificazione ISO/IEC di Kinsta secondo lo standard ISO 27001 e due sue estensioni, ISO 27017 e ISO 27018.

Cos’è la ISO 27001?

Erik Van Dijk, responsabile IT di Kinsta, ha guidato le attività di certificazione ISO 27001 e ha dichiarato che il framework è “il gold standard” per la conformità alla sicurezza.

La ISO 27001 specifica i controlli necessari per salvaguardare la riservatezza, l’integrità e la disponibilità delle informazioni in un’organizzazione. Ecco cosa significa:

  • Riservatezza: garantire che solo le persone autorizzate possano accedere alle informazioni.
  • Integrità: garantire che solo le persone autorizzate possano modificare le informazioni.
  • Disponibilità: assicura che le informazioni siano accessibili alle persone autorizzate quando necessario.

Van Dijk ha aggiunto che la ISO 27001 definisce i requisiti per i vari componenti di un Sistema di Gestione della Sicurezza delle Informazioni (Information Security Management System, o ISMS). Ma questo sistema non è solo hardware e software. Oltre ai controlli tecnologici, l’ISMS include controlli organizzativi, legati alle persone e fisici:

  • Controlli organizzativi: definire le regole da seguire e il comportamento che ci si aspetta da utenti, apparecchiature, software e sistemi.
  • Controlli relativi alle persone: fornire conoscenze, istruzione, abilità o esperienza alle persone dell’organizzazione in modo che possano svolgere il proprio lavoro in modo sicuro.
  • Controlli fisici: caratteristiche come le tessere di accesso ai data center, le telecamere di sorveglianza e i sensori di rilevamento delle intrusioni.

Cosa sono le norme ISO 27017 e 27018?

Van Dijk ha spiegato che le norme ISO 27017 e 27018 sono estensioni certificabili della norma ISO 27001 e sono particolarmente rilevanti per Kinsta poiché entrambe si applicano agli ambienti di cloud computing.

La ISO 27017 prescrive i controlli di sicurezza e la guida all’implementazione per gli ambienti di cloud computing. Questi controlli si applicano a compiti quali:

  • Gestione delle risorse del cliente dopo la risoluzione del contratto.
  • Separazione degli ambienti virtuali del cliente.
  • Monitoraggio da parte del cliente delle attività in un ambiente di cloud computing.

La norma ISO 27018 si concentra sulla protezione delle informazioni di identificazione personale negli ambienti cloud. Questi controlli affrontano questioni quali:

  • Trasparenza nella segnalazione della posizione geografica degli archivi di dati dei clienti.
  • Restrizioni all’utilizzo dei dati dei clienti senza consenso.
  • Metodi sicuri per la restituzione, il trasferimento e lo smaltimento sicuro delle informazioni personali.

La tempistica della certificazione ISO di Kinsta

L’anno trascorso dall’ottenimento della conformità SOC 2 è stato impegnativo per il team di conformità della sicurezza, in particolare per Van Dijk, che contemporaneamente stava studiando e ottenendo la certificazione Certified Information Systems Security Professional (CISSP).

La designazione iniziale SOC 2 nel 2023 ha fatto seguito a un periodo di audit di tre mesi ed è stata applicata al fondamentale servizio fiduciario Security. Il progetto si è trasformato in un monitoraggio continuo con reportistica annuale ed è stato ampliato per incorporare i criteri SOC 2 di disponibilità e riservatezza.

Nel frattempo, il nostro lavoro sulla ISO 27001 era già in corso. Van Dijk ha dichiarato che la sua ricerca approfondita sui requisiti della ISO 27001 è iniziata intorno a novembre 2023.

“L’ISO 27001 è molto ricca di documentazione e di processi”, ha dichiarato. “Contiene ancora una serie di controlli tecnici, ma l’intera premessa del framework è l’implementazione di un sistema di gestione della sicurezza delle informazioni e delle relative politiche e procedure”

Van Dijk ha proseguito dicendo che un’analisi dei gap suggeriva che con il progetto SOC 2 Kinsta aveva già realizzato circa il 40% del lavoro da svolgere per le certificazioni ISO. Per questo motivo, quando nel dicembre 2023 si è riunito un team trasversale all’azienda, è stato in grado di iniziare rapidamente a caricare le informazioni sullo stato di avanzamento su Vanta, la piattaforma scelta per assistere nella raccolta delle prove.

Il team ha creato 13 nuove policy ISMS e ha perfezionato alcune policy esistenti sviluppate per il SOC 2. A marzo 2024, il team si è rivolto alla società di sicurezza cloud Rhymetec per un audit interno che ha contribuito a determinare il lavoro ancora necessario.

In seguito, BARR Advisory ha fornito l’audit indipendente che ha verificato l’idoneità di Kinsta per le certificazioni ISO.

“Abbiamo sempre ricevuto elogi dai nostri auditor per l’organizzazione e la preparazione”, ha dichiarato Van Dijk.

I vantaggi della certificazione ISO 27001

La certificazione ISO 27001 di Kinsta (e la conformità SOC 2) evidenzia il nostro impegno per la sicurezza delle informazioni. Continueremo a guadagnarci la fiducia dei clienti sottoponendoci a regolari audit per confermare la conformità e l’efficacia del nostro ISMS e mantenere il nostro stato di certificazione.

Molti potenziali clienti ci dicono che il loro provider di hosting deve essere certificato ISO 27001. Siamo orgogliosi di poter soddisfare questa esigenza e di poter dare loro il benvenuto in Kinsta.

Le nostre certificazioni ISO dimostrano che siamo in grado di proteggere le risorse dei clienti e di ridurre i rischi utilizzando le best practice necessarie.

Riepilogo

Kinsta ha una solida storia di protezione dei dati dei clienti. Le nuove certificazioni ISO confermano e ampliano le misure di salvaguardia convalidate dal nostro lavoro per ottenere la conformità SOC 2.

Ci impegniamo a proteggere i siti web dei clienti. Le nostre procedure di sicurezza informatica certificate ISO riflettono il nostro investimento per guadagnarci sempre di più la fiducia dei nostri clienti.

Visitate il Trust Center di Kinsta per informazioni sui continui sforzi di conformità dell’azienda.

Non siete ancora clienti? Cominciate con il piede giusto, in sicurezza, scegliendo la nostra infrastruttura sicura. Individuate subito la soluzione di web hosting migliore per la vostra azienda!

Steve Bonisteel Kinsta

Steve Bonisteel è un Technical Editor di Kinsta che ha iniziato la sua carriera di scrittore come giornalista della carta stampata, inseguendo ambulanze e camion dei pompieri. Dalla fine degli anni '90 si occupa di tecnologia legata a Internet.