L'impegno di Keeper Security per la protezione dei dati degli utenti permea tutto ciò che facciamo. Keeper detiene le più lunghe certificazioni SOC 2 e ISO
No. Keeper® non ha mai subito violazioni o hackeraggi. In questo articolo, esamineremo perché milioni di consumatori e migliaia di aziende in tutto il mondo si affidano a Keeper per proteggere le loro password e altre informazioni private.
Che cos’è Keeper Security?
Keeper Security sta trasformando il modo in cui le organizzazioni e gli individui proteggono le loro password e i loro asset digitali sensibili riducendo notevolmente le violazioni dei dati e le minacce informatiche legate alle password.
Keeper è il fornitore leader di software di sicurezza e crittografia zero-knowledge che coprono le password, le chiavi di accesso, i segreti, la gestione degli accessi privilegiati e delle connessioni, nonché il monitoraggio del dark web, l’archiviazione dei file digitali, la messaggistica crittografata e altro ancora. Proteggiamo sia i consumatori che le aziende di tutte le dimensioni in tutti i principali settori industriali. Keeper è titolare della certificazione SOC 2 e ISO27001 più duratura del settore e siamo autorizzati da FIPS 140-2 e FedRAMP.
Keeper è stata nominata da PC Magazine come miglior password manager e scelta dagli editori, miglior password manager nel complesso da U.S. News & World Report, leader aziendale di G2, azienda popolare su IAM, azienda più innovativa dell’anno in materia di sicurezza degli endpoint e avanguardia. Keeper ha più di 275.000 recensioni a 5 stelle negli app store.
Keeper per consumatori e famiglie
Keeper Password Manager per private e famiglie memorizza tutte le password, i codici MFA e una serie di altri dati sensibili in una cassaforte web digitale sicura con l’opzione di compilare automaticamente le credenziali di accesso su tutti i siti web e le app. Le nostre soluzioni per i consumatori utilizzano la stessa crittografia zero-knowledge proprietaria dei nostri prodotti commerciali, mettendo la sicurezza di livello aziendale nelle mani dei consumatori. Solo l’utente può accedere e decrittografare le password e i file archiviati. Nessun altro può accedere alle password principali, alle chiavi di crittografia o ai contenuti della cassaforte dei nostri utenti, nemmeno i dipendenti di Keeper.
Keeper per le organizzazioni
Piattaforma per la sicurezza e la gestione delle password aziendali di Keeper:
- Fornisce a ciascun dipendente una cassaforte digitale sicura e crittografata in cui archiviare le password, i file e altri dati sensibili. I dipendenti possono accedere alla loro cassaforte da praticamente qualsiasi dispositivo e da tutti i principali browser web, generare automaticamente password uniche e complesse per tutti i loro account e compilare automaticamente le loro credenziali di login in tutti i loro siti e app.
- Offre agli amministratori IT una visibilità completa sulle pratiche in materia di password dei dipendenti, consentendo loro di monitorare l’uso delle password e applicare le politiche di sicurezza alle password in tutta l’organizzazione, inclusi i requisiti di complessità delle password, l’autenticazione a due fattori (2FA), il controllo degli accessi basato sui ruoli (RBAC) e altre politiche di sicurezza.
Keeper è sicuro da usare?
Usare Keeper è totalmente sicuro. I dipendenti di Keeper utilizzano il nostro password manager internamente per proteggere le password e i dati aziendali e condividere in modo sicuro i file.
Keeper è un fornitore di servizi di sicurezza zero-trust e zero-knowledge. Tutta la crittografia e la decrittografia vengono eseguite solo sul dispositivo dell’utente dopo aver effettuato il login alla cassaforte, il che vuol dire che l’utente Keeper è l’unica persona che può crittografare e decrittografare i propri dati.
Keeper’s secure, reliable cloud vault is protected by APIs, which are validated through authorization by the client device. The client retrieves a session token upon login and sends it with each API call. The session token is tracked on the server. Login is performed either by a private Master Password or SAML 2.0 Single Sign-On (SSO) authentication.
Utilizzando una password principale per accedere, il dispositivo client otterrà una chiave di autenticazione a 256 bit utilizzando PBKDF2-HMAC-SHA256 e un salt casuale. Un hash di autenticazione viene generato mediante hashing della chiave di autenticazione utilizzando SHA-256. Per accedere, l’hash di autenticazione viene confrontato con un hash di autenticazione archiviato sulla Cloud Security Vault. Dopo il login, un token di sessione viene generato sul server e inviato al client per essere utilizzato dal dispositivo client per le successive richieste API. La sessione deve essere attiva per consentire l’uso continuato delle comunicazioni client-to-server.
Keeper utilizza moduli di crittografia convalidati FIPS 140-2 per soddisfare i rigorosi requisiti di sicurezza del governo e del settore pubblico. La crittografia di Keeper è stata certificata dal CMVP NIST e convalidata secondo lo standard FIPS 140 da laboratori di terze parti accreditati.
Ulteriori dettagli sul modello di autenticazione e crittografia di Keeper sono disponibili nella nostra base di conoscenza online.
Keeper fornisce supporto per i metodi 2FA più popolari e sicuri disponibili: SMS, app di autenticazione basate su TOTP come Google o Microsoft Authenticator, RSA SecurID, DUO Security, Keeper DNA (autenticazione dei dispositivi indossabili con Apple Watch e dispositivi Android Wear) e dispositivi FIDO2 WebAuthn come Yubikey. Le organizzazioni possono applicare la 2FA utilizzando le politiche di applicazione basate sui ruoli di Keeper.
Keeper è mai stato hackerato?
No, Keeper non è mai stato hackerato. Nel 2017, un ricercatore della sicurezza ha trovato un bug nell’estensione per browser Keeper, che è un’applicazione separata dall’app Keeper Desktop. Abbiamo risolto il bug entro 24 ore dalla conferma, abbiamo deprecato le versioni precedenti dell’estensione per browser Keeper e abbiamo riportato l’incidente sul nostro blog. Abbiamo proseguito con un secondo blog che spiegava ulteriormente la situazione ai nostri clienti e che accertava loro che non c’era alcuna violazione della sicurezza o perdita di informazioni dei clienti segnalata o effettiva in relazione a questo bug.
È cambiato molto dal 2017! Keeper ha collaborato con Bugcrowd per gestire il nostro programma bug bounty e di divulgazione delle vulnerabilità (VDP). Il VDP di Keeper Security è disponibile all’indirizzo https://bugcrowd.com/keepersecurity.
Further, Keeper began working with world-renowned leader NCC Group and CyberTest to perform quarterly pen testing. The results of our quarterly pen tests are available to our business customers upon execution of a mutual Non-Disclosure Agreement (NDA). If your organization would like a copy, please contact our sales team.
Keeper aderisce anche a pratiche di sicurezza interna molto rigorose che vengono regolarmente controllate da terze parti per continuare a sviluppare un software sicuro e fornire la piattaforma di sicurezza informatica più sicura al mondo, tra cui quanto segue:
- Keeper uses GitHub vulnerability scanning to monitor for vulnerabilities in dependencies and CodeQL for automated source code analysis.
- Keeper esegue SAST/DAST utilizzando strumenti CodeQL integrati di Github Enterprise, nonché test periodici con Synopsys / Black Duck. Il team di ingegneri di Keeper esamina l’output dell’analisi statica per determinare risultati validi.
- Keeper abbraccia e incorpora le migliori pratiche e raccomandazioni fornite nella guida per sviluppatori OWASP e nella serie di cheat sheet OWASP per implementare e migliorare la nostra ingegneria del software sicuro. Keeper utilizza la guida ai test OWASP e/o la guida alla revisione del codice OWASP per trovare e mitigare le vulnerabilità nel nostro servizio/applicazione.
- Keeper esegue l’intero sviluppo di software internamente, su postazioni di lavoro per lo sviluppo locale. Non forniamo accessi tecnici a terzi per i nostri sistemi.
- Ogni progetto è in genere costituito da un repository GitHub, un progetto Jira, una lavagna Kanban e una pipeline di compilazione di GitHub Actions. Man mano che il software viene sviluppato, il report di GitHub viene aggiornato con commit regolari. Le build automatiche di GitHub Actions sono su commit o in intervalli di compilazione regolari dedicati. I ticket Jira e le lavagne Kanban vengono utilizzati per organizzare lo sviluppo del progetto.
- Prima dell’accettazione della QA, l’intero codice sorgente viene sottoposto a una peer review da parte del team, che include controlli di sicurezza, accessi non autorizzati, attacchi di iniezione di dati, ecc.
- L’indurimento e la personalizzazione del sistema operativo server, dei server web, dei server delle app e dei server DB sono standardizzati utilizzando modelli di configurazione e chiamate API con script ad Amazon AWS.
- Keeper esegue la scansione delle vulnerabilità mensili e giornaliere dell’infrastruttura di sistema di Keeper.
- Keeper esegue regolarmente test di penetrazione sia interni che esterni. I test di penetrazione vengono eseguiti su base mensile utilizzando una combinazione di servizi di terze parti e strumenti e sistemi interni.
- Le vulnerabilità critiche vengono corrette entro 48 ore e le vulnerabilità non critiche (medie) vengono corrette entro 10 giorni lavorativi.
Certificazioni e conformità di Keeper
Keeper è la piattaforma di sicurezza delle password più sicura, certificata, testata e controllata al mondo. Keeper detiene la più lunga certificazione SOC 2 e ISO 27001 del settore. Keeper dispone di autorizzazione FedRAMP e StateRAMP ed è certificato da TrustArc per la privacy online secondo il Data Privacy Framework (DPA). I clienti aziendali possono ottenere copie dei nostri report SOC 2 e ISO 27001 contattando il nostro team di vendita.
Keeper è conforme al GDPR, al CCPA, al PCI DSS e all’HIPAA e siamo autorizzati dal Dipartimento del commercio degli Stati Uniti per l’esportazione ai sensi dell’EAR. Rispettiamo tutti i requisiti di sicurezza dei dati normativi locali e siamo certificati da TrustArc per la privacy online.
Il GDPR individua due voci che possono elaborare i dati personali. Un titolare dei dati decide quali dati raccogliere e quale trattamento dei dati personali viene effettuato. Un responsabile del trattamento dei dati agisce su indicazione di un titolare dei dati per raccogliere, archiviare, recuperare e/o eliminare i dati personali. Keeper Security è un titolare dei dati quando vendiamo il nostro password manager direttamente ai consumatori. Siamo responsabili del trattamento dei dati quando vendiamo alle aziende, che a loro volta sono considerate titolari dei dati.
Per ulteriori informazioni sulla conformità al GDPR di Keeper o per scaricare gli accordi sul trattamento dei dati del GDPR, visita https://www.keepersecurity.com/GDPR.html
In qualità di fornitore di servizi cloud autorizzato da FedRAMP (impatto moderato), Keeper ha ciò che serve per aiutare le organizzazioni a conformarsi al regolamento sul traffico internazionale delle armi (ITAR), che regola le importazioni e le esportazioni negli Stati Uniti di articoli e servizi relativi allo spazio e alla difesa.
Per ulteriori informazioni sulle nostre certificazioni di conformità, visita https://www.keepersecurity.com/security.html?s=compliance
Keeper è autorizzato da FedRAMP
Keeper Security Government Cloud (KSGC) è autorizzato da FedRAMP sul livello di impatto moderato. Parliamo di cosa significa.
Il programma federale di gestione dei rischi e delle autorizzazioni (FedRAMP) è stato creato dal governo degli Stati Uniti per ottenere un approccio standardizzato alla sicurezza, all’autorizzazione e al monitoraggio continuo per i prodotti e i servizi cloud. Le agenzie federali sono tenute a utilizzare servizi cloud certificati da FedRAMP.
Per essere inclusi nel marketplace FedRAMP, i fornitori di servizi cloud (CSP) come Keeper devono essere sottoposti a una procedura di autorizzazione rigorosa della durata di mesi che include un audit molto dettagliato di tutti i sistemi. Anche dopo aver ottenuto l’autorizzazione FedRAMP, il lavoro del CSP non è finito! Il CSP deve mantenere continuamente i suoi sistemi per soddisfare i requisiti FedRAMP. Il programma FedRAMP lo verifica richiedendo al CSP di fornire risultati di monitoraggio continuo mensili alle Agenzie che utilizzano il loro servizio, tra cui un report relativo al Piano d’azione e tappe fondamentali (POA&M) aggiornato e risultati/report di scansione. Inoltre, il CSP deve anche completare un esame di sicurezza annuale.
Sebbene FedRAMP si rivolga alle agenzie governative federali, scegliere una soluzione di gestione delle password autorizzata da FedRAMP e StateRAMP come Keeper Security Government Cloud è vantaggioso non solo per le agenzie governative statali e locali, ma anche per le organizzazioni del settore privato in campi altamente regolamentati.