Aziende e professionisti
Proteggete la vostra azienda dai criminali informatici.
Inizia la prova gratuitaKeeper utilizza una sicurezza di prim'ordine con un'architettura zero-knowledge e zero-trust per proteggere le vostre informazioni e impedire ai criminali informatici di accedere ai vostri dati.
Keeper protegge le vostre password, i vostri segreti e le vostre informazioni personali con una crittografia AES a 256 bit e una crittografia a curva ellittica (EC), che è considerata la crittografia più solida nel settore della sicurezza informatica.
Keeper è un fornitore di sicurezza zero-knowledge. La zero-knowledge è un'architettura di sistema che garantisce i massimi livelli di sicurezza e privacy. La crittografia e la decrittografia dei dati avvengono sempre localmente sul dispositivo dell'utente.
Keeper si impegna a proteggere la privacy e i dati personali dei propri clienti. La nostra missione è costruire le app di sicurezza più sicure e innovative del mondo e crediamo che la segnalazione di bug da parte della comunità mondiale di ricercatori di sicurezza sia una componente preziosa per garantire la sicurezza dei prodotti e dei servizi di Keeper. Per questo motivo, abbiamo stretto una partnership con Bugcrowd per gestire il nostro programma di divulgazione delle vulnerabilità (Vulnerability Disclosure Program, VDP) e il programma di bug bounty.
Keeper è certificata dal NIST Cryptographic Module Verification Program (CMVP, programma di verifica del modulo crittografico) secondo lo standard FIPS 140.
Keeper collabora con esperti di terze parti come NCC Group, CyberTest e ricercatori di sicurezza indipendenti per eseguire penetration test trimestrali su tutte le soluzioni e i sistemi.
Keeper utilizza AWS in diverse regioni, tra cui Stati Uniti, US GovCloud, UE, AU, CA e JP, per ospitare e gestire la piattaforma e l'architettura di Keeper. Ciò consente ai clienti di disporre dello spazio in cloud più sicuro disponibile. I dati sono completamente isolati nella regione AWS preferita dai clienti mentre sono in transito e a riposo.
L'infrastruttura globale di Keeper è ospitata in più centri dati AWS ad alta disponibilità. Questi centri dati sono distribuiti in più regioni AWS per garantire la disponibilità del servizio in caso di interruzione della rete internet a livello regionale.
Keeper supporta l'autenticazione a più fattori (AMF), l'autenticazione SSO, i criteri di accesso condizionato (CAP), le chiavi di sicurezza hardware FIDO2 WebAuthn, le chiavi d'accesso, il login biometrico (come Face ID, Touch ID e Windows Hello) e Keeper DNA®, che utilizza i dispositivi smartwatch per confermare l'identità.
I dati degli utenti finali vengono crittografati e decrittografati a livello di dispositivo e di voce, mai nel cloud o sui server di Keeper. La crittografia a livello di voce riduce il "raggio d'azione" delle informazioni memorizzate nelle cassette di sicurezza degli utenti e sta alla base di molte funzioni che utilizzano il principio del privilegio minimo all'interno della piattaforma, come la condivisione delle voci.
Keeper Security, Inc. si impegna con passione a proteggere le informazioni dei propri clienti con il software di sicurezza per dispositivi mobili e desktop Keeper. Milioni di utenti privati e aziende si affidano a Keeper per proteggere e accedere alle loro password e informazioni private.
Il software di Keeper viene costantemente migliorato e aggiornato per fornire ai nostri clienti la tecnologia e la protezione più avanzate. Questa pagina fornisce una panoramica dell'architettura di sicurezza, delle metodologie di crittografia e dell'ambiente di hosting di Keeper nella versione attualmente pubblicata. In questo documento viene descritta una panoramica dei dettagli tecnici relativi ai nostri metodi di crittografia e sicurezza.
La nostra Informativa sulla privacy e le nostre Condizioni d'uso sono disponibili sul nostro sito web tramite i seguenti link:
Keeper utilizza un'architettura zero-trust, che garantisce che ogni utente debba essere verificato e autenticato prima di poter accedere a un sito web, a un'applicazione o a un sistema.
Keeper Enterprise Password Management (EPM) offre alle aziende una visibilità e un controllo totali sulle pratiche adottate dai dipendenti con le password, consentendo agli amministratori IT di monitorare l'uso delle password e di applicare le migliori pratiche di sicurezza.
Keeper Secrets Manager (KSM) offre ai team di ingegneri una piattaforma per la gestione di tutte le credenziali, comprese le chiavi segrete dell'infrastruttura, le chiavi SSH, le chiavi API e i certificati con SDK e integrazione CI/CD.
Keeper Connection Manager (KCM) è un gateway per il desktop remoto che offre ai team DevOps e IT un accesso di rete zero-trust (ZTNA) senza intoppi a RDP, SSH, database, applicazioni web interne ed endpoint Kubernetes attraverso un browser web, senza bisogno di agenti.
Utenti di Keeper su qualsiasi dispositivo client inclusi desktop, dispositivi mobili, browser e riga di comando.
Un IdP è un servizio che conserva e gestisce le identità degli utenti.
Consente l'estensione del SSO in tutti i domini di sicurezza, rendendo possibile il SSO nel browser web.
Utenti con privilegi dotati di accesso agli account, alle credenziali e alle chiavi segrete altamente riservati.
Usa questa piattaforma per configurare e applicare le regole aziendali agli utenti finali.
Consente l'accesso alla rete zero-trust della tua infrastruttura senza una VPN.
Protegge le chiavi segrete dell'infrastruttura quali chiavi API, password dei database, chiavi di accesso, certificati e qualsiasi tipo di dato riservato.
Protegge le tue password e informazioni personali dai criminali informatici.
Dispositivi dell'utenti finali che accedono alle cassette di sicurezza delle password.
Vari endpoint a cui accedono spesso gli utenti con privilegi.
Strumenti DevOps e per sviluppatori che automatizzano i processi di compilazione e sviluppo dell'applicazione.
Siti web, applicazioni e sistemi che richiedono credenziali di accesso.
Keeper offre un modello di crittografia a più livelli basato sui privilegi minimi. Le chiavi AES a 256 bit a livello di voce e le chiavi a livello di cartella vengono generate sul dispositivo client e crittografano ogni voce memorizzata nella cassetta di sicurezza. Le voci della cassetta di sicurezza e tutti i suoi contenuti sono completamente crittografati, compresi i login, gli allegati ai file, i codici TOTP, le informazioni di pagamento, gli URL e i campi personalizzati.
Le chiavi di crittografia sono generate localmente sul dispositivo per preservare la zero knowledge e supportare funzionalità avanzate come la condivisione di voci e cartelle. Zero knowledge significa che ogni utente ha il controllo completo sulla crittografia e sulla decrittografia di tutte le informazioni personali contenute nella propria cassetta di sicurezza di Keeper e che nessuna delle sue informazioni archiviate è accessibile a terzi, nemmeno ai dipendenti di Keeper.
Le chiavi delle voci e le chiavi delle cartelle sono crittografate da una chiave dati AES a 256 bit, unica per ogni utente e generata sul dispositivo dell'utente.
Sul dispositivo dell'utente viene generata un'altra chiave client AES a 256 bit per la crittografia di una cache offline locale (se l'amministratore aziendale consente l'accesso offline). Infine, la chiave dati AES a 256 bit viene crittografata con un'altra chiave, come descritto nella sezione successiva.
Keeper crittografa i dati in modi diversi a seconda della modalità di accesso degli utenti. Per gli utenti privati e i membri del piano famiglia, vengono utilizzate una password principale e l'autenticazione biometrica. Per gli utenti business e aziendali che accedono con SSO, Keeper utilizza la crittografia a curva ellittica per un'esperienza sicura e senza password.
Per gli utenti che accedono con una password principale: la chiave per decrittografare e crittografare i dati deriva dalla password principale dell'utente utilizzando la funzione di variazione della chiave basata sulla password (PBKDF2), con 1.000.000 di iterazioni. Dopo che l'utente ha digitato la propria password principale, la chiave viene derivata a livello locale e poi rivelerà la chiave dati. La chiave dati viene decrittografata e utilizzata per rivelare le chiavi delle singole voci e delle singole cartelle. La decrittografia di ogni chiave memorizza il contenuto della voce a livello locale sul dispositivo dell'utente.
Modello di crittografia di Keeper - Accesso con password principalePer gli utenti che accedono con la tecnologia SSO o senza password: La crittografia a curva ellittica viene utilizzata per crittografare e decrittografare i dati a livello di dispositivo. Per decifrare la chiave dati viene utilizzata una chiave privata ECC-256 (secp256r1) locale. Dopo che è stata decrittografata, la chiave dati viene utilizzata per decrittografare le chiavi delle singole voci e delle singole cartelle. La chiave della voce decrittografa quindi il contenuto di ciascuna voce memorizzata. La chiave dati crittografata viene trasmessa tra i dispositivi dell'utente attraverso un sistema push o un servizio di scambio di chiavi, chiamato Approvazione dispositivi. Per preservare la zero-knowledge, Approvazione dispositivi viene gestita localmente dall'utente finale.
SSO Connect Cloud - Modello di crittografia multilivelloPer saperne di più sul servizio Keeper Automator.
Per gli utenti di SSO Connect Cloud, una chiave privata a curva ellittica viene generata e memorizzata localmente su ogni dispositivo. Sui moderni browser web e nell'applicazione Keeper Desktop basata su Electron, la cassetta di sicurezza di Keeper memorizza la chiave privata EC del dispositivo locale ("DPRIV") come CryptoKey non esportabile. Sui dispositivi iOS e macOS, la chiave è memorizzata nel portachiavi del dispositivo. Sui dispositivi Android, la chiave è crittografata con Android Keystore, utilizzando le Encrypted Shared Preferences. Ove disponibile, Keeper utilizza meccanismi di archiviazione sicura su ogni sistema operativo.
La chiave privata del dispositivo non viene utilizzata direttamente per crittgrafare o decrittografare i dati della cassetta di sicurezza. Dopo l'autenticazione con il provider d'identità, viene utilizzata una chiave a parte (che non viene memorizzata) per decrittografare i dati della cassetta di sicurezza. Pertanto, l'estrazione offline della chiave privata locale del dispositivo non può decrittografare la cassetta di sicurezza dell'utente.
Keeper utilizza AWS per ospitare la piattaforma e l'architettura di Keeper. I nostri centri dati AWS sono situati in diverse località geografiche e i nostri clienti possono ospitare il loro tenant Keeper in qualsiasi regione primaria preferita. Questo garantisce che i dati del cliente e l'accesso alla piattaforma siano isolati in quella specifica regione.
I dati della cassetta di sicurezza a riposo vengono crittografati sul dispositivo dell'utente in locale utilizzando AES-256 GCM, mentre i dati crittografati in transito vengono crittografati con TLS 1.3 con un ulteriore livello di crittografia nel payload. I dati dei clienti sono isolati grazie all'uso della crittografia a livello di voce.
Il modello di crittografia di Keeper segue la seguente struttura:
Keeper mantiene una cronologia completa e crittografata delle versioni di ogni voce memorizzata nella cassetta di sicurezza dell'utente, garantendo la sicurezza che nessun dato critico vada perso. Dall'applicazione client di Keeper, gli utenti possono esaminare la cronologia delle voci ed eseguire un ripristino di ogni singola voce della cassetta di sicurezza. Se una password o un file memorizzati in Keeper vengono modificati o eliminati, gli utenti hanno sempre la possibilità di eseguire un ripristino puntuale.
I clienti che acquistano Keeper Business ottengono un ulteriore livello di controllo sui propri utenti e dispositivi. Gli amministratori di Keeper hanno accesso a una console di amministrazione basata su cloud che consente il controllo completo della creazione del profilo utente, dell'eliminazione del profilo utente, delle autorizzazioni in base al ruolo, dell'amministrazione delegata, dei team, dell'integrazione Active Directory/LDAP, dell'autenticazione a due fattori, del Single Sign-On e dell'applicazione della sicurezza. I criteri di applicazione in base al ruolo di Keeper sono completamente personalizzabili e scalabili per qualsiasi organizzazione.
Oltre a memorizzare nell'infrastruttura AWS solo il testo cifrato del dispositivo, Keeper esegue anche una super-crittografia con moduli di sicurezza hardware (HSM) multi-regione utilizzando chiavi non esportabili.
A livello di prodotto/utente, il software Keeper mantiene una cronologia completa delle revisioni di ogni voce. Pertanto, se un utente ha bisogno di recuperare qualcosa, può visualizzare e ripristinare le versioni precedenti delle sue voci di Keeper memorizzate in qualsiasi momento, senza limiti, attraverso l'interfaccia utente.
A livello di sistema, i database crittografati e gli oggetti dei file di Keeper sono replicati e sottoposti a backup in più regioni geografiche per consentire il recupero in caso di disastro. Tutti i backup sono crittografati con AES-256, oltre alla super-crittografia del testo cifrato generato dal dispositivo.
Per i clienti che necessitano di assistenza con il recupero (ad esempio, a causa dell'eliminazione accidentale di una cassetta di sicurezza o di una cartella condivisa), il team di supporto di Keeper può fornire assistenza per qualsiasi momento (fino al minuto) entro 30 giorni. L'assistenza di Keeper può aiutarvi per qualsiasi tipo di ripristino, come il recupero di un utente, di una cassetta di sicurezza o per il ripristino completo dell'azienda.
Una frase di recupero di 24 parole consente ai clienti di Keeper di accedere nuovamente alla propria cassetta di sicurezza in caso di perdita o dimenticanza della password principale.
Keeper ha implementato le frasi di recupero utilizzando lo stesso elenco di parole BIP39 usato per proteggere i wallet di criptovalute. L'elenco di parole utilizzato in BIP39 è un insieme di 2.048 parole utilizzate per generare una chiave di crittografia con 256 bit di entropia. Questo metodo di recupero è comunemente utilizzato nei wallet di bitcoin e criptovalute più diffusi. Ogni parola dell'elenco BIP39 è stata accuratamente selezionata per migliorare la visibilità e rendere il processo di recupero meno soggetto a errori. Gli utenti dovrebbero annotare la loro frase di recupero e conservarla in un luogo sicuro come una cassaforte.
La frase di recupero genera una chiave AES a 256 bit che crittografa una copia della chiave dati dell'utente. Per recuperare l'account e reimpostare la password principale, gli utenti devono disporre della frase di recupero insieme a un'e-mail di verifica e all'autenticazione a due fattori (A2F).
Gli amministratori aziendali possono disattivare il recupero dell'account a livello di regole di applicazione dei ruoli.
Configurazione frase di recuperoI clienti di Keeper Enterprise e Business possono gestire diverse funzionalità della piattaforma di Keeper, come le regole di accesso in base al ruolo, il provisioning, l'autenticazione e la gestione.
Le funzioni amministrative sono protette dalla piattaforma di Keeper sia con la crittografia che con l'autorizzazione. L'autorizzazione garantisce che solo gli utenti designati possano eseguire determinate funzioni. La crittografia garantisce che gli amministratori designati siano in grado di eseguire fisicamente e crittograficamente solo le funzionalità che riguardano i dati della cassetta di sicurezza o le chiavi controllate dall'azienda. Di seguito alcuni esempi:
Prima che un utente possa anche solo tentare di accedere a un account, deve superare una fase di approvazione e verifica del dispositivo. La verifica del dispositivo impedisce l'enumerazione degli account e protegge dagli attacchi di forza bruta.
I clienti che accedono con una password principale possono effettuare la verifica del dispositivo utilizzando diversi metodi, tra cui:
Per i clienti che si autenticano con SSO Connect Cloud di Keeper, l'approvazione del dispositivo avviene con un trasferimento di chiavi, dove la chiave dati crittografata dell'utente viene consegnata al dispositivo, che viene decrittografato localmente utilizzando la chiave privata a curva ellittica dell'utente. Tra i metodi di approvazione del dispositivo vi sono:
Maggiori informazioni sull'approvazione dei dispositivi.
Keeper è conforme al RGPD e si impegna a garantire che i nostri processi e prodotti mantengano la conformità al RGPD per i nostri clienti nell'Unione Europea e in tutto il mondo. Siamo conformi allo EU-U.S. Data Privacy Framework ("EU-U.S. DPF"), alla UK Extension to the EU-U.S. DPF e allo Swiss-U.S. Data Privacy Framework ("Swiss-U.S. DPF") come stabilito dal Dipartimento del commercio degli Stati Uniti d'America.
Leggete l'Informativa sulla privacy RGPD di Keeper.
Nessuna delle applicazioni di Keeper contiene tracker o librerie di terze parti che eseguono il tracciamento. A titolo di esempio, questo report fornisce informazioni sull'app di Keeper per Android, la quale mostra che non sono installati tracker.
Keeper è una piattaforma SaaS e ospita i suoi dati in più centri dati AWS geograficamente isolati. Le organizzazioni possono ospitare il proprio tenant di Keeper nella regione primaria che preferiscono. I dati dei clienti e l'accesso alla piattaforma saranno isolati in quella specifica regione.
Regioni disponibili:
La cassetta di sicurezza di Keeper è protetta da API che vengono convalidate tramite autorizzazione sul dispositivo dell'utente.
Quando si utilizza una password principale, il dispositivo dell'utente ricava una chiave di autenticazione a 256 bit utilizzando PBKDF2-HMAC_SHA256 con 1.000.000 di iterazioni e un valore sale casuale. L'hash di autenticazione viene generato effettuando l'hash crittografico della chiave di autenticazione con SHA-256. Al momento dell'accesso, l'hash di autenticazione viene confrontato con quello conservato nella cassetta di sicurezza di Keeper. Dopo l'accesso, un token di sessione viene generato sul server e inviato all'utente per essere utilizzato dal dispositivo per le successive richieste API. Per consentire l'uso continuo delle comunicazioni client-server, la sessione deve essere attiva.
Keeper ha creato un modello avanzato di autenticazione nel cloud e di comunicazione in rete con i massimi livelli di privacy, sicurezza, fiducia e trasparenza. Alcune caratteristiche chiave di questo modello di autenticazione sono:
Keeper si integra con tutti i provider di identità compatibili con SAML 2.0, tra cui Okta, Microsoft Azure, AD FS, Google Workspace, Centrify, OneLogin, Ping Identity, JumpCloud, Duo, Auth0 e altri ancora.
I nostri prodotti offrono due diversi tipi di SSO: SSO Connect Cloud e SSO Connect On-Prem. Entrambe le implementazioni forniscono un'architettura zero-knowledge con autenticazione senza intoppi per gli utenti.
A differenza della maggior parte dei servizi SaaS, le credenziali di accesso degli utenti di Keeper non lasciano mai il dispositivo. Quando gli utenti accedono a Keeper utilizzando una password principale, PBKDF2 viene utilizzato sul dispositivo locale per ricavare una chiave AES a 256 bit per la decodifica. Un'ulteriore chiave PBKDF2 viene generata a livello di dispositivo e poi sottoposta a hash con HMAC_SHA256 per creare un token di autenticazione. Keeper non è a conoscenza della chiave di decrittografia dell'utente.
Tutti i payload crittografati inviati ai server di Keeper sono crittografati da una chiave di trasmissione AES a 256 bit e da TLS per proteggersi dagli attacchi man-in-the-middle (MITM). La chiave di trasmissione viene generata sul dispositivo client e trasferita al server utilizzando la crittografia ECIES tramite la chiave pubblica EC del server.
Gli utenti non possono utilizzare nuovi dispositivi per accedere ai propri account di Keeper senza utilizzare un metodo di verifica. Keeper supporta diversi tipi di metodi di verifica, a seconda dello schema di autenticazione.
Se l'utente ha configurato o applicato l'AMF, deve superare questo passaggio prima di inserire la propria password principale.
Se non viene impostato alcun metodo di verifica, l'utente non può procedere all'inserimento della propria password principale. Questa autenticazione avanzata protegge da diversi metodi di attacco comuni, tra cui gli attacchi di forza bruta, il password spray, gli attacchi a enumerazione e quelli MitM.
Per proteggersi dall'accesso non autorizzato all'account di un cliente, Keeper offre l'autenticazione multifattoriale (AMF) – un approccio che richiede due o più fattori di autenticazione, ovvero un fattore di conoscenza, un fattore di possesso e/o un fattore intrinseco. Maggiori informazioni sulla configurazione dell'AMF in Keeper.
Keeper utilizza la vostra password principale e il dispositivo in vostro possesso per fornire un ulteriore livello di sicurezza se la password principale o il dispositivo vengono compromessi. Keeper supporta le chiavi hardware FIDO2 WebAuthn e le soluzioni basate su software come TOTP e SMS.
Quando si utilizza un metodo AMF/A2F con TOTP, Keeper genera una chiave segreta di 10 byte utilizzando un generatore di numeri casuali protetto da crittografia. Questo codice è valido per circa un minuto e non può essere riutilizzato una volta eseguita con successo l'autenticazione. Keeper supporta qualsiasi applicazione TOTP, compresi Google Authenticator e Microsoft Authenticator. Keeper si integra anche direttamente con i servizi AMF più diffusi, come Duo e RSA SecurID.
Quando si utilizzano autenticatori AMF, come Google Authenticator, Microsoft Authenticator o altre applicazioni TOTP sul dispositivo mobile, il server di Keeper genera internamente un codice QR contenente la chiave segreta. Ogni volta che un utente attiva l'AMF, viene generata una nuova chiave.
Per attivare l'AMF, aprite la schermata delle impostazioni della Web App, dell'app per desktop o dell'applicazione per iOS/Android di Keeper. Gli amministratori di Keeper Business possono anche imporre l'uso dell'AMF e dei metodi AMF supportati tramite la console di amministrazione di Keeper.
Il supporto per WebAuth compatibile con FIDO2 è fornito tramite Keeper, con dispositivi di sicurezza basati su hardware come YubiKey e Google Titan come fattore aggiuntivo. Anche le chiavi d'accesso sono supportate come metodo A2F utilizzando dispositivi fisici o browser. Le chiavi di sicurezza rappresentano un modo sicuro per eseguire l'AMF senza richiedere all'utente di inserire manualmente i codici.
Keeper Bridge si integra con i server di Active Directory e LDAP per il provisioning e l'onboarding degli utenti. La comunicazione con Keeper Bridge viene prima autorizzata da un amministratore dotato del privilegio di gestire il bridge. Viene generata una chiave di trasmissione che viene condivisa con Keeper per tutte le comunicazioni successive. L'uso della chiave di trasmissione costituisce l'autorizzazione per tutte le operazioni eseguite dal bridge, ad eccezione dell'inizializzazione del bridge. La chiave di trasmissione può essere rigenerata in qualsiasi momento e la sua rotazione avviene automaticamente ogni 30 giorni.
La chiave di trasmissione serve solo per la trasmissione, il che significa che una chiave compromessa può essere reinizializzata o revocata senza alcuna perdita di dati o di autorizzazioni.
Keeper Bridge non può concedere privilegi a un ruolo o a un utente. Può aggiungere un utente a un ruolo con privilegi, purché non siano necessarie chiavi di applicazione. Keeper Bridge non può elevare se stesso o un utente al di sopra della porzione di albero che sta gestendo. Non tutte le operazioni sono disponibili per Keeper Bridge, ad esempio può disabilitare un utente attivo, ma non può eliminarlo. Sarà l'amministratore a scegliere se l'utente andrà eliminato o trasferito.
Quando Keeper viene implementato con una soluzione SSO come Azure AD, Okta, Ping, Google Workspace o qualsiasi altro provider d'identità SAML 2.0, l'AMF può essere completamente gestita durante la procedura di login dell'IdP. Keeper supporta anche i criteri di accesso condizionato di Azure per tutti i tipi di dispositivi e applicazioni.
L'AMF può essere applicata sia dal lato del provider d'identità che da quello di Keeper. Ad esempio, una volta che l'utente ha superato la fase con AMF con il provider d'identità, può essere obbligato a superare una seconda fase con AMF nell'interfaccia di Keeper. Questa regola può essere applicata dall'amministratore di Keeper.
Keeper SSO Connect Cloud consente ai clienti aziendali di integrare completamente Keeper con qualsiasi provider d'identità conforme a SAML 2.0 e di distribuire ai propri utenti cassette di sicurezza crittografate.
L'implementazione di SAML con Keeper consente agli utenti di autenticarsi tramite il proprio IdP SSO e quindi di decrittografare il testo cifrato della propria cassetta di sicurezza sul proprio dispositivo. Ogni dispositivo dell'utente dispone di una coppia di chiavi a curva ellittica (EC) e di una chiave dati crittografata. Inoltre, ogni utente ha la propria chiave dati AES a 256 bit. Quando accede a Keeper con un nuovo dispositivo, l'utente deve utilizzare i dispositivi esistenti per eseguire un'approvazione o, in alternativa, un amministratore con privilegi può approvare il suo dispositivo.
Questa funzionalità è essenziale per consentire all'utente di decifrare la propria cassetta di sicurezza localmente, sul proprio dispositivo, senza la necessità di una password principale o di una derivazione chiave con password. La zero-knowledge sussiste perché il cloud non può decrittografare la chiave dati dell'utente. Al contrario, la chiave dati crittografata dal dispositivo (DEDK) viene fornita all'utente al momento dell'autenticazione dell'IdP (ad esempio, Okta, Azure, Google Workspace, AD FS, Ping, Duo, JumpCloud, ecc.) La chiave dati dell'utente viene decrittografata localmente sul dispositivo con la chiave privata del dispositivo a curva ellittica. Keeper è in possesso di brevetti di utilità statunitensi su questa tecnologia, che è in produzione dal 2015.
SSO Connect On-Prem è un'integrazione self-hosted che richiede un server applicativo in hosting su Windows o Linux. Per mantenere la sicurezza zero-knowledge e garantire un'esperienza SSO senza soluzione di continuità per gli utenti, Keeper SSO Connect deve essere installato sul server del cliente. Gli ambienti Windows, Mac e Linux sono pienamente supportati con modalità operative di bilanciamento del carico ad alta disponibilità (HA).
Keeper SSO Connect genera e mantiene automaticamente la password principale per ogni utente di cui è stato fatto il provisioning, che è una chiave a 256 bit generata in modo casuale. La password principale viene crittografata con la chiave SSO. La chiave SSO è crittografata con la chiave dell'albero. La chiave SSO viene recuperata dal server all'avvio del servizio Keeper SSO Connect e quindi decrittografata utilizzando la chiave dell'albero, che viene memorizzata localmente sul server per supportare l'avvio automatico del servizio. La comunicazione tra SSO Connect e il Cloud Security Vault di Keeper è protetta da una chiave di trasmissione. Le comunicazioni SAML sono firmate crittograficamente e sono protette dall'algoritmo di firma RSA-SHA256 o ECDSA-SHA256, a seconda del tipo di chiave di crittografia (RSA o ECC) fornita dal cliente.
Keeper supporta la possibilità di condividere in modo sicuro le voci tra gli utenti, con un team interno o anche all'esterno della propria organizzazione (se consentito dall'amministratore di Keeper).
Gli utenti di Keeper possono condividere direttamente le voci tra loro. A tal fine, Keeper richiede inizialmente la chiave pubblica a curva ellittica dell'utente dalla sua cassetta di sicurezza. Ogni voce ha una chiave di registrazione che viene crittografata con la chiave pubblica a curva ellittica del destinatario e sincronizzata con la cassetta di sicurezza di Keeper dell'utente.
Il proprietario della voce condivisa crittografata decrittografa la chiave della voce con la propria chiave privata a curva ellittica. Anche la chiave della voce viene crittografata di nuovo con la chiave dati dell'utente e il testo cifrato viene memorizzato nella cassetta di sicurezza del destinatario.
Architettura di condivisione delle vociLa condivisione singola di Keeper consente la condivisione sicura e limitata nel tempo di una voce, come una password, una credenziale, una chiave segreta, una connessione, un documento o altre informazioni riservate, con chiunque, anche se non dispone di un account di Keeper. Il modello di crittografia della condivisione singola di Keeper utilizza la stessa tecnologia di Keeper Secrets Manager (KSM), una piattaforma zero-knowledge e zero-trust per la protezione dell'infrastruttura cloud.
La funzione Amministratori di condivisione di Keeper è un'autorizzazione del controllo degli accessi in base al ruolo (RBAC) che offre agli amministratori privilegi elevati sulle cartelle e sulle voci condivise di un'organizzazione. Gli amministratori di condivisione dispongono di privilegi completi per gli utenti e le voci a cui hanno accesso.
Condividi privilegi di amministratoreKeeper Secrets Manager (KSM) è una piattaforma zero.knowledge per i professionisti IT e DevOps. La soluzione consente ai team di gestire le chiavi segrete durante tutto il ciclo di vita dello sviluppo e della distribuzione del software.
Modello di crittografia di Keeper Secrets ManagerKeeper gestisce un'architettura gestita e autonoma su AWS chiamata BreachWatch. BreachWatch è fisicamente separato dall'API di Keeper e dalle voci degli utenti.
Un modulo fisico di sicurezza hardware (HSM) sui server di BreachWatch viene utilizzato per elaborare, eseguire l'hashing e memorizzare miliardi di password uniche provenienti dalle violazioni dei dati del dark Web. Tutte le password vengono elaborate sui server di Keeper utilizzando il metodo di hashing HMAC_SHA512 e l'hash con l'HSM utilizzando una chiave non esportabile.
Quando BreachWatch viene attivato sul dispositivo client, viene generato un hash HMAC_SHA512 basato su ogni voce e inviato al server. Sul server, viene creato un secondo hash HMAC_SHA512 tramite l'HSM utilizzando una chiave non esportabile. Gli "hash degli hash" vengono confrontati per verificare se una credenziale è stata violata.
L'architettura di BreachWatch è costruita in modo da impedire la correlazione di una password violata con una password presente nella cassetta di sicurezza dell'utente, indipendentemente dalle dimensioni della violazione dei dati. Il rilevamento delle password violate utilizza un HSM fisico per assicurarsi che l'hashing possa essere eseguito solo online, per evitare qualsiasi attacco di forza bruta ai dati.
BreachWatch è costruito al 100% da Keeper con l'utilizzo dei feed di dati di SpyCloud, ma Keeper non invia mai dati a terzi.
Modello di BreachWatch di KeeperGli utenti di BreachWatch scaricano una lista di domini che risultano essere stati violati ed eseguono la verifica a livello locale.
I dispositivi client si collegano a BreachWatch e caricano un elenco di nomi utente (o password) con hash, insieme a un identificatore casuale selezionato dal client (identificatori separati per i servizi di verifica dei nomi utente e delle password). Questi hash delle password vengono elaborati al momento del caricamento con HMAC utilizzando un modulo di sicurezza hardware (HSM) e una chiave segreta memorizzata nell'HSM contrassegnata come non esportabile (ciò significa che l'HSM elaborerà l'HMAC solo localmente e la chiave non potrà essere estratta). Questi input HMAC (nomi utente o password) vengono confrontati con i set di dati della violazione che sono stati elaborati con lo stesso HMAC e la stessa chiave. Ogni corrispondenza viene segnalata al dispositivo client. I valori che non corrispondono vengono memorizzati insieme all'ID anonimizzato del client.
Quando nuovi nomi utente e password violati vengono aggiunti al sistema, vengono elaborati con HMAC sull'HSM, aggiunti al set di dati di BreachWatch e confrontati con i valori del client memorizzati. Qualsiasi corrispondenza genera un avviso per quell'ID del client.
Periodicamente i client si confrontano con BreachWatch e presentano i loro identificativi di BreachWatch. Tutti i messaggi in coda vengono scaricati, mentre i client caricano tutti i nomi utente e le password nuovi o modificati, i quali vengono elaborati nello stesso modo.
La sicurezza dei servizi di BreachWatch si basa sul modello "trust-on-first-use" (TOFU): ciò significa che i client devono presupporre che il server di BreachWatch non sia dannoso o nocivo (ovvero, non sia attivamente compromesso dall'attacco di un hacker) al momento di caricare i propri valori crittografati. Non appena tali valori vengono elaborati con un HSM, vengono anche protetti da eventuali tentativi di violazione offline. In altre parole, se un hacker sottrae un dataset di valori del client archiviati, non potrà violarli offline senza la chiave HMAC conservata nel dispositivo HSM.
Se viene rilevata la violazione di una password, il dispositivo client invia l'hash della combinazione nome utente+password ai server di BreachWatch, che eseguono lo stesso confronto dell'hash HMAC per determinare se è stata violata una combinazione di nome utente+password; in tal caso, vengono restituiti i domini relativi a tali violazioni, in modo che il dispositivo client possa determinare se nome utente+password+dominio corrispondono. Se tutti e tre i parametri corrispondono sul dispositivo client, l'utente viene avvisato della gravità della violazione.
Quando BreachWatch viene attivato per i clienti business e enterprise, le cassette di sicurezza degli utenti finali vengono scansionate automaticamente, ogni volta che un utente accede a Keeper. I dati di riepilogo di BreachWatch scansionati sul dispositivo dell'utente vengono crittografati con la chiave pubblica dell'azienda e decrittografati dall'amministratore aziendale quando accede alla console di amministrazione di Keeper. Queste informazioni crittografate includono l'indirizzo e-mail, il numero di voci ad alto rischio, il numero di voci risolte e il numero di voci ignorate. L'amministratore di Keeper è in grado di visualizzare le statistiche di riepilogo a livello di utente all'interno dell'interfaccia utente della console di amministrazione.
Se integrati con la Segnalazione e avvisi avanzati, i dispositivi degli utenti finali di Keeper possono anche essere configurati per trasmettere eventi dettagliati in tempo reale a soluzioni SIEM di terze parti e all'interfaccia di segnalazione della console di amministrazione di Keeper. I dati dell'evento contengono l'indirizzo e-mail, l'UID della voce, l'indirizzo IP e le informazioni sul dispositivo (gli eventi non includono alcun dato decrittografato della voce, poiché Keeper è una piattaforma zero-knowledge e non può decrittografare i dati dell'utente).
Per impostazione predefinita, i dati dettagliati degli eventi BreachWatch non vengono inviati al modulo Segnalazione e avvisi avanzati o a qualsiasi sistema di registrazione esterno collegato. Per attivare la segnalazione dei dati di BreachWatch a livello di evento al Modulo di segnalazione e avvisi avanzati, è necessario attivare la regola di applicazione del ruolo dell'evento nella schermata Ruolo specifico > Regole di applicazione > Caratteristiche della cassetta di sicurezza. Una volta attivata, i dispositivi client degli utenti finali inizieranno a inviare i dati degli eventi. Poiché l'integrazione con soluzioni SIEM di terze parti viene trasmessa dal back-end di Keeper alla SIEM di destinazione, queste informazioni sugli eventi sono quindi leggibili dalla SIEM di destinazione e possono essere utilizzate per identificare quali voci e quali utenti dell'organizzazione hanno password ad alto rischio. Se l'amministratore di Keeper non desidera trasmettere i dati degli eventi a livello di voce al modulo Segnalazione e avvisi avanzati di Keeper, questa impostazione può essere lasciata disattivata.
La modalità offline consente agli utenti di accedere ala propria cassetta di sicurezza quando non sono in grado di connettersi online a Keeper o al proprio provider d'identità SSO. Questa funzionalità è disponibile sull'applicazione mobile, sull'applicazione per desktop e nella Cassetta Web di Keeper, su tutti i browser.
La funzionalità esegue una copia della cassetta di sicurezza sul dispositivo locale dell'utente. I dati della cassetta di sicurezza memorizzati offline sono crittografati con AES-GCM e una "chiave del client" a 256 bit generata in modo casuale e protetta da PBKDF2-HMAC-SHA512 con 1.000.000 di iterazioni e un sale casuale. Il sale e le iterazioni sono memorizzati localmente. Quando l'utente inserisce la propria password principale o utilizza un metodo biometrico, viene ricavata una chiave utilizzando il sale e le iterazioni e si tenta di decifrare la chiave del client. La chiave del client viene quindi utilizzata per decrittografare la cache delle voci memorizzate. Se la protezione di autodistruzione è abilitata sulla cassetta di sicurezza dell'utente, 5 tentativi di accesso falliti cancelleranno automaticamente tutti i dati della cassetta di sicurezza memorizzati localmente. Per i clienti aziendali, l'accesso offline può essere limitato dall'amministratore di Keeper in base a regole di applicazione dei ruoli.
I piani personali e familiari di Keeper consentono agli utenti di aggiungere fino a cinque contatti di emergenza per garantire l'accesso alla cassetta di sicurezza in caso di morte dell'utente o di altra emergenza. L'utente specifica un tempo di attesa e, una volta trascorso, il contatto di emergenza avrà accesso alla cassetta di sicurezza dell'utente. La condivisione della cassetta di sicurezza con un contatto di emergenza è zero-knowledge e la password principale dell'utente non viene mai condivisa. Inoltre, viene utilizzata la crittografia RSA a 2048 bit con una chiave AES a 256 bit. Il contatto di emergenza deve avere un account di Keeper per accettare le informazioni.
Funzione di accesso di emergenzaKeeper utilizza AWS in America del nord (Commercial o GovCloud), Europa, Australia, Giappone e Canada per la privacy dei dati e l'isolamento geografico per ospitare e gestire la soluzione e l'architettura di Keeper. L'utilizzo di AWS consente a Keeper di scalare senza problemi le risorse su richiesta e di fornire ai clienti l'ambiente di cloud storage più veloce e sicuro. Keeper gestisce ambienti multi-zona e multi-regione per massimizzare i tempi di attività e fornire ai clienti tempi di risposta più rapidi. I clienti aziendali possono ospitare il proprio tenant di Keeper in qualsiasi regione primaria preferita. I dati dei clienti e l'accesso alla piattaforma sono isolati a quella specifica regione.
Keeper ha creato un modello avanzato di autenticazione nel cloud e di comunicazione in rete, costruito per garantire i massimi livelli di privacy, sicurezza e fiducia. Alcune caratteristiche importanti del modello di autenticazione sono:
Il Keeper Cloud Security Vault è protetto da API che vengono convalidate tramite autorizzazione dal dispositivo client. Il client recupera un token della sessione al momento dell'accesso e lo invia a ogni chiamata API. Il token della sessione viene conservato sul server. L'accesso viene effettuato tramite una password principale, la ripresa della sessione o l'autenticazione SAML 2.0 SSO.
Quando si utilizza una password principale, il dispositivo client ricava una "chiave di autenticazione" a 256 bit utilizzando PBKDF2-HMAC-SHA256 con 1.000.000 di iterazioni e un sale casuale a 128 bit. Un "hash di autenticazione" è generato dall'hashing della chiave di autenticazione utilizzando SHA-256. Per effettuare il login, l'hash di autenticazione viene confrontato con un hash di autenticazione memorizzato nel Cloud Security Vault. Dopo l'accesso, viene generato un token di sessione sul server e inviato al client per essere utilizzato dal dispositivo client per le successive richieste API. La sessione deve essere attiva per consentire l'uso continuo delle comunicazioni tra client e server.
Keeper supporta TLS a 256 e 128 bit per crittografare tutti i dati trasportati tra l'applicazione client e lo spazio basato su cloud di Keeper.
Keeper utilizza certificati TLS firmati da DigiCert utilizzando l'algoritmo SHA2, l'algoritmo di firma più sicuro attualmente offerto dalle autorità di certificazione commerciali. SHA2 è significativamente più sicuro del più diffuso SHA1, che potrebbe essere sfruttato a causa di un punto debole matematico identificato nell'algoritmo. SHA2 contribuisce a proteggere dall'emissione di certificati contraffatti che potrebbero essere utilizzati da un malintenzionato per farsi passare per un sito web.
Keeper supporta anche Certificate Transparency (CT), un'iniziativa di Google per creare un registro pubblicamente verificabile dei certificati firmati dalle autorità di certificazione. CT aiuta a prevenire l'emissione di certificati da parte di entità non autorizzate. CT è attualmente supportata nelle ultime versioni dei browser Chrome, Safari e Brave. Ulteriori informazioni sulla Certificate Transparency sono disponibili all'indirizzo: https://certificate.transparency.dev/. Keeper supporta le seguenti suite di cifratura TLS:
I dispositivi client di Keeper su iOS e Android implementano anche il key pinning, un meccanismo di sicurezza che impedisce l'impersonificazione da parte di malintenzionati che utilizzano certificati digitali fraudolenti.
La cassetta Web di Keeper implementa una severa politica di sicurezza dei contenuti che limita l'arrivo di richieste dall'esterno e impedisce l'esecuzione di qualsiasi script, ad eccezione di quelli esplicitamente originati da Keeper, inclusi gli script inline e gli attributi HTML di gestione degli eventi, riducendo o eliminando la maggior parte dei vettori degli attacchi alla cross-site scripting (XSS).
L'accesso ai nomi di dominio di Keeper è limitato al protocollo HTTPS con TLS v1.3 e viene imposto dalla procedura di sicurezza rigida per il trasporto di HTTP (HTST). In questo modo si impedisce una vasta serie di attacchi tra cui l'intercettazione di pacchetti (sniffing), la modifica dei dati e gli attacchi MitM.
All'interno dell'estensione per browser di Keeper, Keeper non richiede agli utenti le credenziali della cassetta di sicurezza all'interno dell'area del frame della pagina. L'accesso all'estensione avviene nell'area della barra degli strumenti dell'estensione per browser. L'accesso alla cassetta di sicurezza nel browser avverrà sempre nei dominii keepersecurity.com, keepersecurity.eu, keepersecurity.com.au, keepersecurity.jp, keepersecurity.ca o govcloud.keepersecurity.us oppure dalla barra degli strumenti dell'estensione di Keeper, che esiste al di fuori della pagina dei contenuti.
L'estensione per browser di Keeper inserisce un iFrame nei moduli di accesso di una pagina web per garantire che nessun sito web dannoso abbia accesso ai contenuti iniettati. Il contenuto delle voci iniettate negli iFrame è inoltre limitato alle voci memorizzate nella cassetta di sicurezza dell'utente che corrispondono al dominio del sito web di destinazione. Keeper non offre la compilazione automatica di credenziali e password a meno che il dominio del sito web non corrisponda al campo del dominio del sito web della voce della cassetta di sicurezza di Keeper. L'estensione non mostrerà le voci se non corrispondono al dominio principale dell'indirizzo del sito web.
Le estensioni per browser di terze parti possono avere autorizzazioni elevate nei browser e quindi accedere alle informazioni all'interno della pagina. Pertanto, si raccomanda agli amministratori di Keeper di impedire agli utenti di installare estensioni per browser di terze parti dal rispettivo app store.
Keeper supporta nativamente Windows Hello, Touch ID, Face ID e i metodi biometrici di Android. I clienti che normalmente accedono alla propria cassetta di sicurezza di Keeper utilizzando una password principale o un login SSO aziendale (SAML 2.0) possono anche accedere ai propri dispositivi utilizzando un metodo biometrico. La biometria deve essere abilitata dall'amministratore di Keeper nelle regole stabilite per i ruoli. L'accesso offline può essere ottenuto anche con un metodo biometrico sia per la password principale che per gli utenti abilitati al SSO quando questa funzione è attivata.
Quando il login biometrico è abilitato su un dispositivo, una chiave viene generata in modo casuale localmente e memorizzata nell'enclave protetta (ad esempio, nel portachiavi o nel keystore) del dispositivo. La chiave dati dell'utente viene crittografata con la chiave biometrica. Se l'autenticazione biometrica ha esito positivo, la chiave viene recuperata e l'utente è in grado di decrittografare la propria cassetta di sicurezza.
Touch ID e Face ID sui dispositivi iOS consentono agli utenti di accedere alla propria cassetta di sicurezza di Keeper utilizzando la biometria. Per fornire questa comoda funzione, una "chiave biometrica" a 256 bit generata in modo casuale viene memorizzata nel portachiavi di iOS. L'elemento del portachiavi di iOS creato per questa funzionalità non è destinato alla sincronizzazione con il portachiavi iCloud e quindi non lascerà il dispositivo mobile iOS.
Si consiglia vivamente di utilizzare una password principale complessa e di attivare l'autenticazione multifattoriale per garantire la massima sicurezza della propria cassetta di sicurezza di Keeper crittografata. L'utilizzo di Touch ID e Face ID rende più comodo l'uso di una password principale complessa sul proprio dispositivo mobile iOS. Si consiglia inoltre di impostare un codice d'accesso più lungo delle 4 cifre minime per proteggere il portachiavi di iOS.
Il portachiavi di iOS viene utilizzato da iOS e dalle app per memorizzare le credenziali in modo sicuro. Le app per iOS utilizzano il portachiavi di iOS per conservare tante informazioni sensibili, incluse le password ai siti web, le chiavi, i numeri delle carte di credito e le informazioni di Apple Pay. Keeper non utilizza il portachiavi di iOS per archiviare le voci di Keeper: tutte le voci di Keeper sono protette da una crittografia AES a 256 bit e sono archiviate in modo sicuro nella cassetta di sicurezza di Keeper. Anche il portachiavi di iOS è protetto da una crittografia AES a 256 bit utilizzando il codice d'accesso del dispositivo. Anche se il dispositivo viene smarrito o rubato o se un malintenzionato ottiene l'accesso fisico al dispositivo mobile, non potrà accedere alle informazioni memorizzate di Keeper. Il portachiavi di iOS non può essere decrittografato senza il codice d'accesso e la cassetta di sicurezza non può essere decrittografata senza la password principale di Keeper dell'utente.
La funzione Preferiti di Apple Watch consente di visualizzare le voci selezionate sull'Apple Watch associato. È necessario che la visualizzazione delle voci di Keeper sia stata esplicitamente abilitata su Apple Watch. Il dispositivo associato comunica con l'apposita estensione per orologio di Keeper che chiaramente viene eseguita in modo indipendente dall'app Keeper per iOS. L'estensione per orologio di Keeper utilizza inoltre il portachiavi di iOS per archiviare e accedere ai codici in modo protetto e consentire una comunicazione sicura e senza intoppi con l'app Keeper per iOS.
Keeper DNA offre un metodo di autenticazione multifattoriale utilizzando uno smart watch. Keeper DNA utilizza token sicuri memorizzati nella cassetta di sicurezza di Keeper per generare codici a tempo per l'autenticazione multifattoriale. Tali richieste di autenticazione a tempo possono essere approvate e inviate automaticamente dall'Apple Watch (o dal dispositivo Android Wear) con un tocco sullo schermo dell'orologio o inserite manualmente dall'utente.
Quando si attiva la regola di trasferimento dell'account per un nodo, nella console di amministrazione sul dispositivo dell'utente viene creata la regola del nodo per una coppia di chiavi pubbliche/private. La chiave dati dell'utente finale, per gli utenti con un ruolo a cui viene applicata l'imposizione, viene crittografata con la chiave pubblica della regola quando l'utente accede alla cassetta di sicurezza. La chiave privata viene crittografata con la chiave pubblica dell'amministratore, che può quindi decrittografare la chiave di imposizione del ruolo con un trasferimento della cassetta di sicurezza.
Quando si esegue un trasferimento della cassetta di sicurezza, l'amministratore di Keeper deve prima bloccare l'account dell'utente. Il trasferimento della cassetta di sicurezza può quindi avvenire immediatamente, seguito dall'eliminazione dell'account dell'utente. In questo modo si garantisce che l'operazione non venga eseguita in segreto. Quando si esegue il trasferimento, la chiave dati dell'utente viene recuperata rivelando dapprima la chiave privata di imposizione del ruolo e poi la chiave dati dell'utente. La chiave dati viene utilizzata per aprire le chiavi delle voci, le chiavi dei team e le chiavi delle cartelle.
Tutta la crittografia viene eseguita dal lato client all'interno della console di amministrazione e Keeper non ha mai la possibilità di decrittografare le informazioni condivise o trasferite. Inoltre, la chiave dati del client di un utente non viene mai condivisa. Un utente rimosso da un team, da una cartella condivisa o da una condivisione diretta non riceverà nuovi dati dal team, dalla cartella condivisa o dalla voce. Sebbene le chiavi delle voci, delle cartelle e dei team vengano decrittografate localmente per l'amministratore durante la transazione, le chiavi non possono essere utilizzate per accedere ai dati delle voci o delle cartelle sottostanti.
Durante il trasferimento della cassetta di sicurezza, l'amministratore riceve solo la chiave dati crittografata, le chiavi delle voci crittografate e le chiavi delle cartelle crittografate. Decrittografa queste chiavi, che vengono poi crittografate di nuovo con la chiave pubblica della cassetta di sicurezza di destinazione. Non ha mai accesso ai dati effettivi delle voci. Keeper non crittografa direttamente i dati memorizzati dal client con la chiave dati, ma lo fa sul dispositivo.
Rimozione degli accessi a ex dipendentiKeeper tiene molto alla sicurezza. Keeper è la soluzione di sicurezza per password nonché la piattaforma di gestione degli accessi con privilegi più sicura, certificata, testata e verificata al mondo. Keeper è in possesso delle certificazioni SOC 2 e ISO 27001 da più tempo nel settore. Keeper è conforme al RGPD, alla CCPA, alla HIPAA, è autorizzata FedRAMP e StateRAMP, è certificata PCI DSS e TrustArc per la privacy.
Keeper utilizza moduli di crittografia convalidati FIPS 140-2 per soddisfare i rigorosi requisiti di sicurezza del governo e del settore pubblico. La crittografia di Keeper è stata certificata dal NIST Cryptographic Module Validation Program (CMVP) e convalidata secondo lo standard FIPS 140 da laboratori terzi accreditati.
A Keeper è stato emesso il certificato n. 3976 ai sensi del NIST CMVP
Keeper Security Government Cloud (KSGC) supporta la conformità alle normative statunitensi sul traffico internazionale di armi (International Traffic in Arms Regulations, ITAR). Le aziende soggette alle normative sulle esportazioni ITAR devono controllare le esportazioni indesiderate limitando l'accesso ai dati protetti ai cittadini statunitensi e limitando l'ubicazione fisica dei dati protetti agli Stati Uniti.
L'ambiente FedRAMP Moderate di KSGC supporta i requisiti ITAR attraverso quanto segue:
L'ambiente FedRAMP di Keeper è stato sottoposto a un audit da parte di un'organizzazione indipendente di valutazione di terze parti (3PAO) per convalidare l'esistenza di controlli adeguati a supporto dei programmi di conformità alle esportazioni dei clienti e continua a essere sottoposto a audit annuali come richiesto per mantenere la conformità.
Ulteriori informazioni su ITAR.
KSGC è la piattaforma di sicurezza digitale e gestione password di Keeper Security per gli enti della Pubblica Amministrazione. KSGC è un provider autorizzato di FedRAMP a "Moderate Impact Level", ospitato in AWS GovCloud (USA). KSGC è disponibile in FedRAMP Marketplace.
Il Federal Risk and Authorization Management Program (FedRAMP) è un programma governativo federale degli Stati Uniti che fornisce un approccio standardizzato nella verifica, nell'autorizzazione e nel monitoraggio continuo della sicurezza dei prodotti e dei servizi legati al cloud. FedRAMP cerca di accelerare l'adozione di moderne soluzioni basate sul cloud da parte delle agenzie governative, con particolare attenzione alla sicurezza e alla protezione delle informazioni federali. Maggiori informazioni sul FedRAMP.
StateRAMP è stato sviluppato circa un decennio dopo FedRAMP con l'obiettivo di incoraggiare l'adozione di soluzioni sicure basate sul cloud nelle amministrazioni statali e locali. L'ottenimento dell'autorizzazione StateRAMP richiede normalmente un processo di due anni, che è stato semplificato attraverso un programma di reciprocità grazie all'autorizzazione FedRAMP di Keeper.
I dati della cassetta di sicurezza dei clienti sono protetti da pratiche di controllo interne rigorose e altamente monitorate. Da oltre dieci anni Keeper possiede la certificazione SOC 2 di tipo 2, in conformità con il framework del Service Organization Control di AICPA. La conformità a SOC 2 contribuisce a garantire la sicurezza delle cassette di sicurezza degli utenti attraverso l'implementazione di controlli standardizzati, come definito nel framework dei Trust Service Principles di AICPA.
Keeper ha ottenuto la certificazione ISO 27001 per il sistema di gestione delle informazioni di Keeper Security, che supporta la piattaforma aziendale Keeper. La certificazione ISO 27001 di Keeper comprende la gestione e il funzionamento della cassetta di sicurezza digitale e dei servizi in cloud, lo sviluppo di software e applicazioni e la protezione delle risorse digitali per la cassetta di sicurezza digitale e i servizi in cloud.
Keeper è conforme al Codice delle normative federali (CFR) Titolo 21 Parte 11 della Food and Drug Administration statunitense, che si applica agli scienziati che operano in ambienti altamente regolamentati, tra cui i ricercatori che conducono trial clinici. Tale norma specifica i criteri della FDA secondo cui i record elettronici e le firme elettroniche sono considerati degni di fiducia, affidabili ed equivalenti ai record cartacei con firma scritta a mano. Nello specifico, gli scienziati devono accertarsi che tutto il software da loro utilizzato sia conforme alle regole del CFR Titolo 21 Parte 11 riguardo a:
I controlli di sicurezza per l'identificazione dell'utente - Keeper si conforma ai requisiti del CFR Titolo 21 Parte 11 per quanto riguarda le funzionalità di sicurezza che limitano l'accesso degli utenti e ai loro privilegi, tra cui garantire che tutti gli utenti abbiano nomi utente e password univoci, la possibilità di rilevare e impedire accessi non autorizzati al sistema e la possibilità di bloccare gli account compromessi.
Durante le ispezioni della FDA, le autorità di regolamentazione richiedono ai ricercatori di fornire un audit trail che descriva nel dettaglio la cronologia di tutte le operazioni. Le funzioni di segnalazione di Keeper consentono ai ricercatori di produrre facilmente audit trail elettronici tracciabili.
Quando un documento richiede una firma elettronica legalmente vincolante, il CFR Titolo 21 Parte 11 della FDA stabilisce che la firma venga associata a un login e una password univoci o all'identificazione con metodo biometrico. Keeper supporta tale requisito abilitando degli strumenti di ricerca che si assicurano che tutti gli utenti abbiano nomi utente e password univoche, conservate al sicuro in una cassetta digitale a cui soltanto l'utente può accedere.
Ulteriori informazioni sulla Parte 11 del CFR 21 si trovano qui.
Il software di Keeper è conforme agli standard globali sulla protezione delle informazioni medico-sanitarie, che comprendono, senza limitazioni, la normativa statunitense HIPAA (Health Insurance Portability and Accountability Act) e la legge sulla protezione dei dati (Data Protection Act o DPA).
Keeper è una piattaforma di sicurezza zero-knowledge certificata SOC2 e ISO 27001, conforme alla normativa HIPAA. Vengono mantenuti una rigorosa aderenza e controlli su privacy, riservatezza, integrità e disponibilità. Grazie a questa architettura di sicurezza, Keeper non può decrittografare, visualizzare o accedere a nessuna informazione, comprese le ePHI, archiviate nella cassetta di sicurezza di Keeper dell'utente. Per le ragioni di cui sopra, Keeper non è una Business Associate secondo la definizione dell'Health Insurance Portability and Accountability Act (HIPAA) e, pertanto, non è soggetta a un contratto di Business Associate.
Per saperne di più sui vantaggi aggiuntivi per gli operatori sanitari e le compagnie di assicurazione sanitaria, leggete l'intera Informativa sulla sicurezza e consultate la nostra Guida alle imprese.
Keeper Security EMEA Limited è certificata secondo il sistema Hellios Financial Services Qualification System-Netherlands (FSQS-NL), il quale riconosce i più alti standard di sicurezza, qualità e innovazione nei Paesi Bassi. Questo standard dimostra la conformità con il Financial Conduct Authority e il Prudential Regulation Authority per garantire l'affidabilità del software Keeper Enterprise per grandi banche e istituti finanziari.
Keeper è certificata dal Bureau of Industry and Security del Dipartimento del Commercio degli Stati Uniti d'America con il numero di controllo della classificazione delle merci esportate 5D992, in conformità con i regolamenti sull'amministrazione delle esportazioni (EAR).
Per ulteriori informazioni su EAR: https://www.bis.doc.gov
Keeper è monitorata 24 ore su 24, 7 giorni su 7, 365 all'anno da personale DevOps a tempo pieno e da una rete di monitoraggio globale di terze parti per garantire che il nostro sito web e il Cloud Security Vault siano disponibili in tutto il mondo.
In caso di domande relative alla presente informativa sulla sicurezza, contattateci.
Se ricevete un'e-mail che sembra inviata da Keeper Security e non siete sicuri che sia legittima, potrebbe trattarsi di una "e-mail di phishing" in cui l'indirizzo e-mail del mittente è falsificato. In questo caso, l'e-mail può contenere link a un sito web che assomiglia a KeeperSecurity.com ma non è il nostro sito. Il sito web potrebbe chiedervi la vostra password principale di Keeper Security o tentare di installare un software indesiderato sul vostro computer con l'intenzione di rubare le vostre informazioni personali o accedere al vostro computer. Altre e-mail contengono link che possono reindirizzare l'utente ad altri siti web potenzialmente pericolosi. Il messaggio può anche includere allegati, che di solito contengono software indesiderato chiamato "malware". Se non siete sicuri di un'e-mail ricevuta nella vostra casella di posta, dovreste eliminarla senza fare clic su alcun link o aprire alcun allegato.
Se desiderate segnalare un'e-mail che sembra provenire da Keeper e che ritenete sia falsa o se avete altri problemi di sicurezza che riguardano altre questioni, non esitate a contattarci.
Il sito Web di Keeper e il cloud storage sono compatibili con l'infrastruttura di cloud computing Amazon Web Services (AWS). L'infrastruttura cloud AWS che ospita l'architettura del sistema di Keeper ha ottenuto la certificazione di conformità con i seguenti attestati, rapporti e certificazioni di terze parti:
Keeper Security si dedica allo sviluppo della soluzione di gestione delle password e degli accessi con privilegi più sicura del mercato. Ci impegniamo a proteggere la privacy e i dati personali dei nostri clienti. La missione di Keeper è costruire la piattaforma di sicurezza più sicura e innovativa del mondo e riteniamo che la segnalazione di bug da parte della comunità mondiale di ricercatori della sicurezza sia fondamentale per garantire la sicurezza dei prodotti e dei servizi di Keeper.
Keeper conduce numerosi test interni ed esterni, tra cui pen-test eseguiti da NCC Group e CyberTest con accesso completo al codice sorgente. Keeper gestisce il proprio programma di divulgazione delle vulnerabilità in collaborazione con Bugcrowd. Nel complesso, ciò va a vantaggio dell'intero settore e, inoltre, sostiene il bene comune.
La Politica di divulgazione delle vulnerabilità di Keeper stabilisce cosa aspettarsi quando si lavora con hacker etici nonché cosa aspettarsi da noi di Keeper Security.
Se i test di sicurezza e i rapporti vengono eseguiti secondo le linee guida di questa informativa, noi:
Se in qualsiasi momento avete dubbi o incertezze su come effettuare i test in modo coerente con le linee guida e l'ambito di applicazione di questa informativa, contattateci all'indirizzo security@keepersecurity.com prima di procedere oltre.
Per incoraggiare il testing etico sulla sicurezza e la divulgazione delle vulnerabilità scoperte, vi chiediamo di:
Inviate i rapporti tramite: https://bugcrowd.com/keepersecurity
Keeper non si limita a impegnarsi per la sicurezza, ma lo fa con grande zelo. È per questo che ogni dettaglio del nostro modello di crittografia è disponibile al pubblico. Riteniamo che i nostri clienti meritino di conoscere ogni passo che compiamo per garantire la sicurezza dei loro dati in un panorama di cybersecurity in continua evoluzione.
Il modello di crittografia zero-trust e zero-knowledge di Keeper assicura che anche nel peggiore dei casi la vostra cassetta di sicurezza di Keeper sia protetta; dal canto nostro, conduciamo continuamente test di sicurezza per assicurarci di rimanere la soluzione migliore per proteggere i vostri dati più preziosi.
Il portale della documentazione di Keeper, contenente manuali di prodotto, informazioni tecniche, note di rilascio e guide per l'utente finale, è disponibile a questo link..
Per maggiore trasparenza, Keeper pubblica note di rilascio dettagliate su tutte le piattaforme.
Lo stato del sistema in tempo reale è disponibile qui.