Sicurezza & Trust Center
La sicurezza dei tuoi dati è la nostra priorità
Fiducia
La nostra piattaforma affidabile è stata costruita integrando la sicurezza lungo tutto il ciclo di vita di fornitura e sviluppo del software. Seguiamo rigorose pratiche di sicurezza operativa come test di penetrazione, valutazioni di vulnerabilità e stretto controllo sugli accessi interni. Crediamo che la trasparenza sia la chiave per ottenere la fiducia: condividiamo pubblicamente le nostre modalità operative e lavoriamo a stretto contatto con clienti e partner per rispondere alle loro esigenze di sicurezza. Abbiamo offerte per la conformità PCI-DSS, HIPAA e FedRAMP e siamo conformi alle norme ISO 27001, ISO 27017, ISO 27018 e SOC 2 Type II.
Impegno contrattuale
Oltre alla documentazione e alle best practice che trovate sul nostro Security and Trust Center, forniamo a tutti i nostri clienti anche un impegno contrattuale per la sicurezza, scritto in modo chiaro e semplice. Tale impegno è sintetizzato nell'Addendum sulla sicurezza allegato al nostro contratto con il cliente, che descrive le misure e le pratiche di sicurezza a cui ci atteniamo per mantenere i dati al sicuro.
Gestione della vulnerabilità
Rilevare e correggere velocemente eventuali vulnerabilità del software su cui l'azienda fa affidamento è una delle responsabilità più importanti per qualsiasi fornitore di software o servizi. Prendiamo questa responsabilità molto seriamente e condividiamo le tempistiche di intervento garantite nel nostro Addendum sulla sicurezza.
Internamente siamo dotati di una gestione automatizzata delle vulnerabilità per tracciare, classificare in base alla priorità, coordinare e correggere le vulnerabilità nel nostro ambiente. Eseguiamo ogni giorno scansioni di vulnerabilità autenticate dei pacchetti di Databricks e dei pacchetti open-source o di terze parti utilizzati da Databricks, oltre ad analisi di codice statiche e dinamiche (SAST e DAST) con strumenti affidabili per scansioni di sicurezza, prima di passare codice o immagini nuovi in produzione. Databricks utilizza anche servizi di terze parti per analizzare siti rivolti al pubblico e segnalare potenziali rischi.
Databricks ha creato un Vulnerability Response Program per monitorare vulnerabilità emergenti prima che ci vengano segnalate da nostri fornitori di servizi di scansione. A tale scopo, usiamo strumenti interni, social media, mailing list e fonti di intelligence sulle minacce informatiche (ad es. US-CERT e altri feed governativi, di settore e open-source). Databricks monitora piattaforme di vulnerabilità aperte come CVE Trends e Open CVDB. Disponiamo di un processo consolidato di risposta, in modo da individuare velocemente l'impatto sulla nostra azienda e/o sui nostri prodotti e clienti. Questo programma ci consente di riprodurre velocemente vulnerabilità segnalate e risolvere vulnerabilità al giorno zero.
Il nostro Vulnerability Management Program punta a gestire vulnerabilità di Severità 0, come zero giorni, con la massima urgenza, dando priorità a queste correzioni rispetto ad altre implementazioni.
Test di penetrazione e Bug Bounty
Eseguiamo test di penetrazione attraverso una combinazione di team interni di protezione contro gli attacchi, collaudatori qualificati di terze parti e un programma Bug Bounty pubblico attivo tutto l'anno. Utilizziamo una combinazione di fuzzing, revisione di codice sicuro e collaudo dinamico delle applicazioni per valutare l'integrità della nostra piattaforma e la sicurezza della nostra applicazione. Conduciamo test di penetrazione sulle release principali, sui nuovi servizi e sulle funzionalità dove la sicurezza è critica. Il team di protezione contro gli attacchi lavora insieme al nostro team di risposta agli incidenti e agli esperti di sicurezza nel reparto di ingegneria per risolvere le problematiche individuate e diffondere quanto appreso in tutta l'azienda.
Eseguiamo mediamente 8-10 test di penetrazione con terze parti e 15-20 test di penetrazione interni ogni anno, e tutte le criticità rilevate devono essere risolte prima che un test possa essere considerato superato. Nell'ottica della trasparenza, condividiamo pubblicamente i risultati dei test condotti da terze parti su tutta la piattaforma, all'interno delle nostre politiche di due diligence.
Indagini di sicurezza e risposta agli incidenti
Utilizziamo Databricks come piattaforma SIEM e XDR elaborando oltre 9 terabyte di dati al giorno per rilevare minacce e condurre indagini sulla sicurezza. Acquisiamo ed elaboriamo registri e segnali di sicurezza da infrastruttura cloud, dispositivi, sistemi di identità digitale e applicativi SaaS. Utilizziamo pipeline in streaming strutturate e Delta Live Tables per individuare gli eventi di sicurezza più rilevanti, sfruttando un approccio guidato dai dati e modelli di ML statistici per generare nuovi allarmi oppure per correlare, deduplicare e classificare in ordine di priorità allarmi esistenti provenienti da prodotti di sicurezza conosciuti. Modelliamo i nostri runbook su tattiche, tecniche e procedure (TTP) avverse, tracciate con il framework MITRE ATT&CK. Il nostro team che conduce le indagini di sicurezza usa notebook Databricks collaborativi per creare processi di investigazione ripetibili, sviluppare continuamente playbook di investigazione degli incidenti e andare in cerca di minacce a fronte di oltre 2 petabyte di eventi storici registrati, effettuando ricerche complesse su dati strutturati e semi-strutturati.
Il nostro team di risposta agli incidenti è sempre aggiornato e aiuta Databricks a prepararsi per affrontare situazioni di gestione degli incidenti in diversi modi:
- partecipando a corsi riconosciuti nel settore, organizzati da fornitori come SANS, e a conferenze sulla sicurezza come fwd:cloudsec, Black Hat, BSides, RSA;
- eseguendo periodicamente esercitazioni teoriche con i dirigenti operativi e i team interni per simulare scenari di risposta agli incidenti rilevanti per i prodotti Databricks e l'infrastruttura aziendale;
- collaborando con i team di progettazione per definire le priorità di osservabilità della piattaforma al fine di garantire l'efficacia del rilevamento delle minacce alla sicurezza e della relativa risposta;
- aggiornando regolarmente le strategie di assunzione e formazione sulla base di una matrice di competenze e funzionalità per la risposta agli incidenti in continua evoluzione.
Accesso interno
Applichiamo politiche e controlli rigorosi sull'accesso dei nostri dipendenti ai nostri sistemi di produzione, agli ambienti e ai dati dei clienti.
Ciclo di sviluppo sicuro del software
Databricks segue un ciclo di sviluppo del software (SDLC) che integra la sicurezza in tutte le fasi di progettazione, sviluppo e produzione, dalla richiesta delle feature al monitoraggio in produzione, con il supporto di strumenti concepiti per tracciare una feature lungo tutto il ciclo di vita. Effettuiamo scansioni di sicurezza automatiche e tracciamento di vulnerabilità automatizzato su sistemi, librerie e codice.
Dettagli sulla politica e sulla comunicazione per la sicurezza
Databricks rispetta le norme RFC 9116, ISO/IEC 30111:2019(E) e ISO/IEC 29147:2018(E) per la gestione e la comunicazione delle vulnerabilità di sicurezza. Per dettagli sulle nostre comunicazioni sicure e sulla firma PGP, rimandiamo al file security.txt.