Manteniamo politiche interne chiare per garantire un uso etico e responsabile dell’AI all’interno della nostra organizzazione:

• Guida per i dipendenti: comunichiamo la nostra politica “AI nello spazio di lavoro” a tutti i dipendenti interni.
• Chiarezza e conformità: questa politica delinea esplicitamente quali strumenti di AI possono e non possono essere utilizzati, insieme alle best practice per garantire che le nostre linee guida etiche siano comprese e seguite in tutte le operazioni interne.

Per garantire che il nostro utilizzo della tecnologia AI soddisfi i rigorosi requisiti di sicurezza, abbiamo stabilito un processo formale:

• Programma di valutazione dei fornitori: conduciamo valutazioni annuali dei nostri fornitori di tecnologia AI, compreso un questionario completo sulla sicurezza specifica dell’AI per valutare le loro pratiche e l’aderenza ai nostri standard.

Utilizziamo l’AI e il ML per migliorare drasticamente la velocità e l’accuratezza della gestione delle risorse software. Queste tecnologie vengono applicate principalmente per:

• Pulizia e normalizzazione dei dati: trasformare in informazioni utili i dati storicamente ingombranti e imprecisi raccolti dagli endpoint aziendali.
• Gestione delle risorse software: determinare in modo più accurato le versioni dei software, il loro tracciamento e l’attribuzione dei software distribuiti all’interno dell’organizzazione.

Queste funzionalità basate sull’AI/ML sono attualmente in fase di implementazione e sono disponibili in varie fasi; alcune sono già presenti nella versione 10 .

Per NinjaOne è fondamentale impegnarsi nel fornire dati accurati e affidabili sul software . Utilizziamo l’ intelligenza artificiale (AI) e il Machine Learning (ML) in modo mirato per migliorare la qualità di base dei dati che elaboriamo, anche se l’AI non costituisce una funzionalità principale per i nostri utenti finali.

NinjaOne si integra con una serie di applicazioni popolari come:

• OKTA
• Azure AD
• Accelo
• ConnectWise

Per maggiori dettagli, consultate lapaginadelleintegrazioni di  .

Il prodotto NinjaOne Endpoint Security dispone di un solido modello di autorizzazioni, che consente agli amministratori di concedere e assegnare l’accesso appropriato in base alle esigenze, utilizzando le autorizzazioni utente e il sistema basato sui ruoli di Ninja. Per maggiori dettagli, consultate il nostroprodotto per la sicurezza degli endpoint  .

NinjaOne richiede il Single Sign On (SSO) con 2FA/MFA internamente per tutti i servizi e le risorse tecniche, di sviluppo e di sicurezza tramite fornitori di terze parti come OKTA, Azure AD.

L’autenticazione MFA (Multi-Factor Authentication) è richiesta per la rete aziendale NinjaOne e per gli ambienti dei clienti. NinjaOne utilizza Okta.

Per ulteriori informazioni, consulta la pagina 13 del nostro SOC 2.

Il sistema RMM (monitoraggio e gestione da remoto) di NinjaOne conserva i log, e i clienti hanno la possibilità di esportare l’attività dell’account nel portale per vari servizi, tra cui:

• Registri utente
• Log eventi
• Stato della crittografia delle unità (BitLocker e FileVault)
• Numero di serie del dispositivo
• Esecuzione dei processi

NinjaOne dispone di una politica di classificazione dei dati formalmente documentata che identifica le informazioni necessarie per supportare il funzionamento dei controlli interni, il raggiungimento degli obiettivi e i relativi requisiti di protezione, diritti di accesso e conservazione.

Per ulteriori informazioni, consulta il nostro SOC 2 a pagina 21.

I dati vengono archiviati all’interno di AWS nella regione scelta dall’utente. NinjaOne tratta i Dati del Cliente per conto del Cliente e agisce in qualità di incaricato del trattamento, mentre il Cliente agisce in qualità di responsabile del trattamento.

Per ulteriori informazioni, consulta la nostra DPA o il nostro SOC 2 a pagina 10.

Viene mantenuto un inventario dei sistemi che comprende dispositivi e sistemi fisici, dispositivi virtuali e software.

Per ulteriori informazioni, consulta il nostro SOC 2 a pagina 19.

Ogni cliente dispone di chiavi di crittografia uniche create e archiviate dalla piattaforma NinjaOne utilizzando Amazon KMS. Tutti i controlli su tali chiavi sono documentati nel nostro SOC 2 e attestati annualmente dal nostro revisore terzo.

Per ulteriori informazioni, consulta la pagina 10 del nostro SOC 2.

Il backup dei sistemi di NinjaOne viene eseguito regolarmente secondo programmi e frequenze stabiliti. I backup vengono monitorati e, in caso di eventi che rappresentano eccezioni alla norma, vengono generati avvisi. I problemi vengono documentati, gestiti e risolti di conseguenza. Tutti i backup sono criptati.

Frequenza di backup: Tipo di backup notturno: Completa

Per ulteriori informazioni, consulta la pagina 14 del nostro SOC 2.

L’accesso ai sistemi di Ninjaone è controllato in modo rigoroso e le autorizzazioni per i sistemi e le applicazioni interne sono riviste e approvate periodicamente per garantire il mantenimento del principio del minor privilegio.

NinjaOne dispone di politiche e procedure di accesso che vengono riviste e approvate su base annuale.

Per ulteriori informazioni, consulta la pagina 13 del nostro SOC 2.

NinjaOne utilizza password di protezione, crittografia e altre misure di sicurezza per impedire l’accesso non autorizzato a dati riservati. Le password seguono i requisiti NIST.

Le password vengono crittografate utilizzando algoritmi crittografici e chiavi di lunghezza standard del settore. Tutti i dati sono archiviati su server e supporti sicuri e non accessibili al pubblico.

Per ulteriori informazioni, consulta la pagina 41 del nostro SOC 2.

NinjaOne cripta i dati sensibili in transito con TLS 1.2 o TLS 1.3.

NinjaOne utilizza diverse tecnologie per garantire che i dati archiviati siano criptati a riposo utilizzando la crittografia AES-256.

Puoi contattare il responsabile della protezione dei dati di NinjaOne inviando un’e-mail al team che si occupa della privacy.

NinjaOne Remote vanta una serie di funzionalità di sicurezza diverse rispetto agli altri prodotti NinjaOne.

• Trasmissione dei dati (crittografia e controlli di integrità) con la libreria OpenSSL 3.
• Hash: SHA256, SHA512
• Cifrari: AES-256-GCM, GMAC
• Scambio di chiavi: x25519
• Derivazione della chiave della password: PBKDF2

Il backend di NinjaOne Remote, utilizzando i “rendezvous point”, facilita la comunicazione di rete tra lo Streamer e il Player. Tutte le interazioni tra lo Streamer e il Player sono crittografate peer-to-peer, garantendo l’isolamento del backend di NinjaOne dai contenuti della sessione, compresi video, audio, sequenze di tasti e trasferimenti di file.

NinjaOne mantiene un processo di gestione del cambiamento all’interno del proprio framework di cybersecurity, valutando e controllando sistematicamente le modifiche al proprio ambiente IT per garantire che gli aggiornamenti, le configurazioni e le alterazioni siano implementati in modo sicuro, riducendo al minimo i rischi potenziali e mantenendo una solida postura di sicurezza.

Per ulteriori informazioni, consulta la pagina 13 del nostro SOC 2.

Viene mantenuto un inventario dei sistemi che comprende dispositivi e sistemi fisici, dispositivi virtuali e software.

Per ulteriori informazioni, consulta il nostro SOC 2 a pagina 19.

NinjaOne ha implementato strumenti per fornire visibilità sulle risorse chiave della propria infrastruttura.

Per ulteriori informazioni, consulta il nostro SOC 2 a pagina 92.

NinjaOne dispone di nuove procedure di selezione e assunzione del personale volte a garantire un processo di reclutamento efficace, assicurando che i candidati soddisfino le qualifiche richieste indicate nella descrizione del ruolo.

Per ulteriori informazioni, consulta la pagina 91 del nostro SOC 2.

NinjaOne richiede che tutti i dipendenti completino la formazione sulla consapevolezza della sicurezza sia come parte del processo di onboarding dei nuovi assunti, sia annualmente per tutto il personale. La formazione include quiz che richiedono un punteggio minimo di superamento per garantire la comprensione da parte dei dipendenti.

Per ulteriori informazioni, consulta il nostro SOC 2 a pagina 18.

I dipendenti di NinjaOne negli Stati Uniti devono sottoporsi a un controllo del loro background prima di ricevere un’offerta formale di lavoro. All’atto dell’assunzione, tutti i dipendenti devono leggere e riconoscere il documento NinjaOne:

• Codice di condotta
• Politica di utilizzo accettabile
• Manuale del dipendente

Per ulteriori informazioni, consulta il nostro SOC 2 a pagina 17.

NinjaOne ha creato un accordo completo per il trattamento dei dati (DPA)  che delinea i termini e le condizioni che regolano il trattamento dei dati personali. ninjaone.com/data-processing-agreement

NinjaOne rispetta le leggi vigenti in materia di notifica delle violazioni dei dati.

NinjaOne ha un piano formale di risposta agli incidenti (IRP) che delinea le procedure di risposta agli eventi di sicurezza. Questo piano include le lezioni apprese per valutare l’efficacia delle procedure.

Per ulteriori informazioni, consulta la pagina 14 del nostro SOC 2.

Alle pagine 14 e 56 della nostra documentazione SOC 2, forniamo dettagli sul nostro Business Continuity Plan (BCP) e Disaster Recovery Plan (DRP).

RTO = Per le interruzioni 6 ore, in caso di perdita totale del data center primario – 12 ore per i servizi di base e ulteriori 3 giorni lavorativi per il ripristino del servizio completo.

RPO = Ultimo backup disponibile – Giornaliero

NinjaOne dispone di un business continuity plan documentato e di un piano di disaster recovery controllato e fatto rispettare da un team dedicato al disaster recovery. Il test viene effettuato annualmente.

Per ulteriori informazioni, consulta la pagina 14 del nostro SOC 2.

NinjaOne dispone di un Piano di continuità operativa documentato e di un piano di disaster recovery controllato e fatto rispettare da un team dedicato al disaster recovery. Il test viene effettuato annualmente.

Per ulteriori informazioni, consulta la pagina 14 del nostro SOC 2.

NinjaOne utilizza l’infrastruttura AWS Cloud Platform che fornisce gli strumenti, la scalabilità, la sicurezza, l’affidabilità e la flessibilità, consentendo ai nostri clienti di beneficiare di questa infrastruttura affidabile e sicura.

L’infrastruttura della piattaforma cloud AWS è suddivisa in più regioni geografiche con data center progettati per garantire la massima sicurezza e disponibilità.

Per ulteriori informazioni, fai riferimento alla pagina 10 della nostra documentazione SOC 2.

Il SOC3 è un report pubblico relativo ai controlli interni di AWS per la piattaforma cloud AWS in materia di sicurezza, disponibilità, riservatezza e privacy.

Per consultare questa risorsa è necessario un MNDA.

La piattaforma cloud AWS viene valutata annualmente per i criteri SOC2 di tipo 2 relativi a sicurezza, disponibilità, riservatezza e privacy.

Per consultare questa risorsa è necessario un MNDA.

NinjaOne dispone di un programma completo di protezione antivirus e anti-malware sia per le workstation sia per i server dei dipendenti. NinjaOne utilizza soluzioni di protezione degli endpoint di comprovata affidabilità come parte di una strategia di difesa profonda, assicurando che i sistemi siano regolarmente aggiornati per difendersi dalle minacce più recenti.

NinjaOne ha implementato un processo completo di gestione del rischio, identificando, analizzando e mitigando sistematicamente i potenziali rischi di cybersecurity per garantire la riservatezza, l’integrità e la disponibilità dei suoi sistemi informativi e delle sue risorse.

Viene condotta una valutazione annuale dei rischi per valutare sistematicamente i potenziali rischi di cybersecurity, garantendo che i sistemi informativi e le risorse di NinjaOne siano analizzati in modo completo per individuare le vulnerabilità e che vengano implementate strategie di mitigazione adeguate.

Per ulteriori informazioni, consulta il nostro SOC 2 a pagina 18.

NinjaOne viene sottoposto annualmente a una scansione delle vulnerabilità e a un test di penetrazione condotto da un fornitore terzo. La lettera di attestazione del pen-test di NinjaOne è disponibile per i clienti esistenti, nuovi e potenziali una volta firmato un MNDA.

Per ulteriori informazioni, puoi consultare la documentazione SOC 2, pagina 14.

Se sei un cliente o un potenziale cliente di NinjaOne e ritieni di aver trovato una vulnerabilità di sicurezza relativa a NinjaOne, contattaci a [email protected] o invia la vulnerabilità di sicurezza che hai scoperto qui.

NinjaOne mantiene un solido sistema di gestione delle vulnerabilità, identificando, valutando e mitigando sistematicamente le potenziali vulnerabilità di sicurezza all’interno della sua infrastruttura IT per garantire un ambiente operativo resiliente e sicuro. NinjaOne viene sottoposto annualmente a una scansione delle vulnerabilità e a un test di penetrazione condotto da un fornitore terzo.

Per ulteriori informazioni, puoi consultare la documentazione SOC 2, pagina 14.

L’ambiente di produzione di NinjaOne è ospitato da AWS. AWS è responsabile della limitazione dell’accesso fisico alle strutture del centro dati, ai supporti di backup e ad altri componenti del sistema, tra cui firewall, router e server.

Per ulteriori informazioni, consulta la pagina 10 del nostro SOC 2.

NinjaOne ha implementato una solida struttura di Third-Party Risk Management (TPRM) per identificare, valutare e mitigare sistematicamente i potenziali rischi associati alle sue partnership esterne, garantendo la sicurezza e l’integrità delle sue operazioni.

Per ulteriori informazioni, consulta la pagina 14 del nostro SOC 2.

NinjaOne può avvalersi e utilizzare (i) alcuni processori di dati di terze parti e/o (ii) una degli affiliati di NinjaOne (collettivamente, “Sub-responsabili”) per fornire servizi ai nostri clienti. Questi Sub-responsabili possono accedere ai dati personali forniti direttamente dal nostro cliente al fine di eseguire i servizi e l’assistenza previsti dal contratto.

Per ulteriori informazioni, consulta la pagina dei sub-responsabili