Hai un WISP aziendale che segui?

Yellowfin mantiene un WISP aziendale aggiornato (che definisce la sicurezza operativa dell’azienda) e altri documenti SOP che il personale deve seguire.

Quali accreditamenti esterni possiede l’azienda?

Yellowfin ha le seguenti caratteristiche

• UK Cyber Essentials 2018 (richiesto per vendere servizi digitali al governo del Regno Unito)
• UK Cyber Essentials 2019
• UK Cyber Essentials 2020
• Raggiunto SOC2 Tipo 2 nel 2021

La tua azienda ha una persona o più persone identificate per implementare e gestire il programma di sicurezza delle informazioni (ad es. Chief Information Security Officer, Directory/Manager, Altro)?

La sicurezza dell’azienda è sotto la responsabilità dell’ufficio del COO. Il team operativo gestisce tutti i problemi di sicurezza dell’organizzazione.

Yellowfin ha linee guida per l’hardening della sicurezza dei dispositivi informatici e dell’infrastruttura di rete?

Il WISP di Yellowfin e altri documenti interni definiscono gli approcci per proteggere l’ecosistema da influenze esterne o accessi non autorizzati. Yellowfin ha un responsabile ISO che si occupa di testare regolarmente i confini esterni e di eseguire test di vulnerabilità sui componenti della rete e su tutti gli endpoint. Il funzionario ISO utilizza strumenti di scansione standard del settore per scoprire i problemi e per risolverli o ridurli.

Yellowfin ha dei firewall per proteggere i confini dell’azienda?

Yellowfin protegge tutti i confini aziendali con firewall Cisco 5515-X o 5545-X; Yellowfin utilizza anche firewall interni Cisco 5515-X sui confini interni per proteggere i segreti aziendali e l’IP.

Yellowfin ha una protezione per gli endpoint?

Yellowfin protegge tutti gli endpoint e le piattaforme di servizio con la protezione Bitdefender Cloud. Questa tecnologia viene installata come client su Windows, Linux e Apple e viene controllata e monitorata dal portale cloud. Bitdefender Cloud fornisce a ogni client un firewall locale, antivirus, antimalware, anti-crypto, protezione web/email e protezione dei file.

Yellowfin ha una politica sulle password?

Yellowfin utilizza password ad alta entropia su tutti i server e le piattaforme di servizi esterni. Per alta entropia si intendono 20 caratteri o più. Il nostro standard è di 32 caratteri.
La SOP per il personale interno definisce la politica e la frequenza di riciclaggio delle password che il personale deve seguire.

Yellowfin ha politiche di accesso degli utenti per la creazione e l’approvazione?

Yellowfin utilizza la tecnologia OKTA SSO per fornire un unico punto di accesso a tutte le applicazioni aziendali. Il personale dispone di un unico login e tutte le applicazioni accessibili via web sono disponibili attraverso il portale OKTA. Quando il personale sale a bordo, vengono assegnate le piattaforme di accesso e quando il personale non sale a bordo, le piattaforme vengono revocate.
Per le applicazioni GUI e per le apparecchiature in cui sono richieste credenziali, queste vengono rilasciate e revocate dal team operativo.

Chi è responsabile della concessione dell’accesso alle risorse del sistema IT?

Il team operativo, che lavora sotto l’ufficio del COO, è responsabile dell’accesso al sistema IT.

Yellowfin è conforme a standard come HiPPA, PCI e protegge tutti i dati PII/KYC dei clienti?

• Yellowfin è un fornitore di software puro e non ospita i dati dei clienti. Il personale ISO del cliente è responsabile dell’hosting e della gestione sicura del software Yellowfin.
• Yellowfin non ospita né ha accesso ai dati HiPPA.
• Yellowfin non ospita né ha accesso ai dati delle carte di credito.
• Yellowfin non ospita i dati dei clienti e quindi non detiene dati PII o KYC.
• Yellowfin, per politica, non accede ai dati dei clienti per attività di supporto.

Yellowfin è conforme al GDPR?

Yellowfin archivia solo le informazioni sui clienti e sui lead fornite a Yellowfin da questi soggetti. Yellowfin non archivia informazioni sensibili alle PII come la data di nascita. Tutte le informazioni che rientrano nel GDPR sono fornite dai contatti del lead o dai contatti dell’account e sono informazioni di livello pubblico. Yellowfin rimuoverà le informazioni detenute da una persona su richiesta da tutti i sistemi attivi in conformità con le norme del GDPR e conserverà solo le informazioni minime per mantenere l’integrità dei nostri sistemi di contabilità e fatturazione.
Yellowfin è anche membro dello US Privacy Shield.

Descrivi i tuoi processi e piani di disaster recovery e/o business continuity. Includere anche i dettagli relativi a quanto tempo sono stati applicati nella tua azienda e fornire una copia dell’ultimo esercizio di test.

Yellowfin ha un piano documentato di DRR, Pandemia e Continuità; i documenti sono scritti in modo da essere flessibili a qualsiasi possibile scenario che abbia un impatto sulle normali operazioni aziendali.
L’ultimo test del piano è stato la crisi COVID-19, che ha richiesto ai cittadini di rifugiarsi sul posto o a casa. Yellowfin ha messo in atto il piano e ha stabilito pratiche di WFH per consentire un passaggio trasparente da WIO a WFH senza alcuna perdita di produttività. L’infrastruttura e la sicurezza consolidate di Yellowfin hanno permesso questo trasferimento senza soluzione di continuità.

Yellowfin ha una politica o delle linee guida per l’accesso remoto di terze parti?

Non permettiamo a terzi di accedere ai sistemi di produzione; il personale interno gestisce tutti i problemi di produzione e sviluppo.

I dipendenti di Yellowfin sono tenuti a firmare accordi di riservatezza?

All’inizio del rapporto di lavoro, tutto il personale è tenuto a firmare un NDA che prevede una protezione illimitata della proprietà intellettuale. Questo protegge Yellowfin e i suoi clienti; per quanto riguarda i clienti, impedisce al membro del personale di divulgare qualsiasi informazione riservata che potrebbe ottenere nel corso delle sue mansioni di rappresentante di Yellowfin che lavora con i clienti.

I dipendenti di Yellowfin sono soggetti a controlli penali e di referenze?

Yellowfin non effettua controlli penali sui dipendenti; Yellowfin non effettua controlli di sicurezza sui dipendenti. I dipendenti sono soggetti a controlli sulle referenze al momento della valutazione dell’assunzione e firmano NDA e altri accordi aziendali per la protezione dei segreti aziendali, della proprietà intellettuale e delle informazioni sui clienti.

Yellowfin ha un codice etico?

Yellowfin ha un codice etico aziendale a disposizione di tutto il personale. Questo codice copre tutti gli standard di onestà e correttezza nel lavoro con i clienti.
Il documento può essere fornito per la revisione alla firma di un NDA.

Il software Yellowfin è conforme a tutti i requisiti e alle normative federali e statali degli Stati Uniti?

L’applicazione Yellowfin è dotata di solidi controlli di sicurezza e di uno schema di permessi granulare per adattarsi a qualsiasi requisito o normativa. Come azienda, rispettiamo tutte le normative vigenti.

Yellowfin utilizza metodi di backup standard del settore?

Yellowfin esegue backup 3.2.1 dei sistemi, dei dati e delle informazioni principali. Yellowfin esegue backup quotidiani su cloud AZURE e AWS, riducendo le perdite di PIT.
I backup sono criptati per garantire la sicurezza su cavi pubblici.

Hai messo in atto dei controlli per prevenire le interruzioni informatiche delle tue reti e, in ultima analisi, la tua capacità di fornire i prodotti o i servizi previsti dal contratto (continuità operativa)?

Yellowfin dispone di una serie di capacità IT diversificate tra AWS, Involta DC, sede centrale e uffici regionali. Questo garantisce un elevato livello di flessibilità e ridondanza. Yellowfin protegge tutti gli endpoint con la protezione endpoint in cloud di Bitdefender. Yellowfin protegge tutti i confini esterni con i firewall Cisco 55X5-X. Yellowfin protegge gli asset IP interni con i Firewall Cisco 55X5-X. Yellowfin pratica il backup 3.2.1 degli asset principali. Yellowfin impiega un addetto alla sicurezza che si occupa di scansionare regolarmente le interfacce interne ed esterne alla ricerca di vulnerabilità e di gestirne la risoluzione.

Yellowfin utilizza software OpenSource sotto copertura e quali sono le misure adottate per garantire che l’open source non crei falle nella sicurezza?

Yellowfin utilizza alcune librerie open-source all’interno del codice base di Yellowfin. Yellowfin utilizza solo librerie open-source prive di licenze CopyLeft o proprietarie. Yellowfin utilizza strumenti di settore come SonarCube e SonaType per analizzare il codice base di Yellowfin alla ricerca di vulnerabilità di sicurezza, bug e problemi, vulnerabilità open-source e bug open source. Yellowfin impiega un consulente IS dedicato che lavora a tempo pieno per individuare e correggere la sicurezza del codice Yellowfin. Questo include anche la gestione delle licenze open source per garantire la conformità.

Che dimensione di chiave utilizza Yellowfin per i processi di crittografia?

Yellowfin sceglierà un algoritmo disponibile a seconda del supporto della JVM. Proverà in ordine questi algoritmi: AES, 3DES, BlowFish, DES. Yellowfin utilizzerà la dimensione predefinita della chiave per l’algoritmo scelto.

In che modo Yellowfin memorizza le password dei prodotti?

Yellowfin utilizza l’algoritmo bCrypt per eseguire l’hash della password in chiaro e memorizzare l’hash nel database di controllo; Yellowfin utilizza anche il CRC e altri meccanismi anti-manomissione per garantire che l’hash della password non possa essere alterato o sostituito.

Il sistema TLS viene utilizzato di default per la comunicazione tra l’origine e la destinazione?

Sì. L’istanza interna di Tomcat di Yellowfin supporta TLS 1.2.

Yellowfin ha una valutazione SOC2?

I rapporti SOC (Service Organization Controls) dell’American Institute of Certified Public Accountants (AICPA) forniscono garanzie sugli ambienti di controllo relativi al reperimento, all’archiviazione, all’elaborazione e al trasferimento dei dati. I report riguardano i controlli generali dell’IT e i controlli sulla disponibilità, la riservatezza e la sicurezza dei dati dei clienti.

Yellowfin ha completato con successo una valutazione SOC2 di tipo 2. Il rapporto è disponibile su richiesta al team commerciale di Yellowfin, dietro presentazione di un NDA firmato.