La sicurezza migliore della categoria offerta da Keeper

Password principale privata

SOLTANTO l'utente è a conoscenza e ha accesso alla password principale nonché al codice utilizzato per crittografare e decrittografare le proprie informazioni.

Crittografia di livello profondo

I dati dell'utente vengono crittografati e decrittografati a livello di dispositivo sui server di Keeper o nel cloud.

Il sistema di crittografia più sicuro

Keeper protegge le vostre informazioni con la crittografia AES a 256 bit e PBKDF2, ampiamente riconosciute come i massimi sistemi di crittografia disponibili.

Cassetta di sicurezza in cloud sicura/affidabile

Keeper utilizza Amazon AWS in più località geografiche per ospitare e gestire la cassetta di sicurezza e l'architettura di Keeper, offrendo ai propri clienti l'archiviazione in cloud più rapida e sicura. I dati a riposo e in transito vengono completamente isolati nel centro dati globale preferito dal cliente.

Autenticazione multifattoriale

Keeper supporta l'autenticazione multifattoriale, l'accesso biometrico e Keeper DNA che utilizza i dispositivi personali come gli smartwatch per confermare la vostra identità.

Panoramica

Keeper Security, Inc. (KSI) si impegna al massimo per proteggere le informazioni dei suoi clienti con Keeper mobile e desktop. Milioni di consumatori e imprese si affidano a Keeper per la protezione e l'accesso alle proprie password e informazioni riservate.

Il software Keeper viene costantemente migliorato e aggiornato per fornire ai nostri clienti la tecnologia e la protezione più avanzate. Questa pagina offre una panoramica dell'architettura di sicurezza, delle metodologie di crittografia e dell'ambiente di hosting della versione attualmente pubblicata di Keeper. Una panoramica dei dettagli tecnici dei nostri metodi di crittografia e sicurezza viene fornita in questo documento.

La nostra politica sulla privacy e i nostri termini di utilizzo sono disponibili sul nostro sito Web al seguente indirizzo:

Protezione dei dati

KSI non ha accesso alla Password principale di un cliente né alle voci memorizzate all'interno della Camera di sicurezza di Keeper. KSI non è in grado di accedere a distanza al dispositivo di un cliente né di decrittografarne le informazioni. Le uniche informazioni alle quali Keeper Security ha accesso sono l'indirizzo e-mail, il tipo di dispositivo e i dettagli dell'abbonamento sottoscritto (ad esempio, Keeper Unlimited) di un utente. In caso di smarrimento o furto del dispositivo di un utente, KSI può fornire assistenza durante l'accesso a un file di backup crittografato per ripristinare la cassetta di sicurezza dell'utente, una volta effettuata la sostituzione del dispositivo.

Soltanto l'utente può accedere alle informazioni memorizzate e alle quali si accede in Keeper, in quanto vengono immediatamente crittografate e decrittografate in tempo reale sul dispositivo in uso, anche se si sta utilizzando la Web App di Keeper. Il metodo di crittografia utilizzato da Keeper è un algoritmo affidabile e molto conosciuto chiamato AES (Advanced Encryption Standard) con una chiave a 256 bit. Secondo la pubblicazione del Comitato statunitense per i sistemi di sicurezza nazionali (Committee on National Security Systems) CNSSP-15, l'AES con chiave a 256 bit è sufficientemente sicuro per crittografare informazioni segretate fino al livello TOP SECRET per il Governo statunitense.

Le chiavi di cifratura usate per crittografare e decrittografare le voci dei clienti non vengono memorizzate né trasmesse alla Cloud Security Vault di Keeper. Ciononostante, per permettere la sincronizzazione tra più dispositivi, una versione crittografata di tale chiave di cifratura viene memorizzata nella Cloud Security Vault e fornita ai dispositivi inseriti nell'account dell'utente. Tale chiave di cifratura crittografata può essere decrittografata solamente sul dispositivo, per essere successivamente utilizzata come chiave di cifratura delle informazioni.

Protezione dei dati

Password principale complessa

Si consiglia di scegliere una Password principale complessa per l'account di Keeper. Questa Password principale non deve essere mai utilizzata al di fuori di Keeper. Gli utenti non devono mai condividere la loro Password principale con altri soggetti.

Autenticazione a due fattori

Per prevenire l'accesso non autorizzato all'account di un cliente, Keeper offre anche l'Autenticazione a due fattori. L'autenticazione a due fattori è un metodo che richiede come minimo due dei tre fattori di autenticazione: conoscenza, possesso e dati biometrici. Per maggiori informazioni sul metodo di Autenticazione a due fattori, vedi questo link.

Keeper utilizza una cosa che conosci (la tua password) e una cosa che hai (il telefono in tuo possesso) per fornirti una sicurezza supplementare nel caso in cui la tua Password principale o il dispositivo siano compromessi. Per fare ciò, generiamo delle TOTP (Time-based One-Time Password, password temporanee, utilizzabili una sola volta).

Keeper genera una chiave segreta a 10byte, utilizzando un generatore di numeri casuali sicuro dal punto di vista crittografico. Questo codice è valido per circa un minuto e viene inviato all'utente tramite SMS, Google Authenticator o i dispositivi indossabili compatibili con Keeper DNA.

Se sul tuo dispositivo mobile utilizzi l'applicazione Google Authenticator, il server Keeper genera internamente un codice QR, contenente la tua chiave segreta, ed essa non sarà mai comunicata a terzi. Ogni volta che un utente disattiva e riattiva l'Autenticazione a due fattori, viene generata una nuova chiave segreta.

Per attivare l'Autenticazione a due fattori, vai alla schermata Impostazioni della Web App di Keeper.

Chiavi di sicurezza FIDO (U2F)

Keeper supporta i dispositivi a base hardware U2F compatibili con FIDO (le cosiddette chiavi di sicurezza) quali YubiKey utilizzati come secondo fattore di autenticazione. Le chiavi di sicurezza rappresentano un modo sicuro e conveniente di eseguire l'autenticazione a due fattori senza che l'utente debba inserire manualmente i codici a 6 cifre. È possibile configurare più chiavi di sicurezza per una sola cassetta. Per piattaforme che non supportano tali dispositivi, è possibile ricorrere ad altri metodi di A2F configurati. Per configurare una chiave di sicurezza e altri metodi di autenticazione a due fattori, aprire la schermata 'Impostazioni' dell'app di Keeper.

Accesso di emergenza (eredità digitale)

Keeper offre la possibilità di aggiungere fino a 5 contatti di emergenza a cui concedere l'accesso alla cassetta di sicurezza in caso di incidente o decesso dell'utente. Una volta trascorso un determinato periodo di attesa, il contatto di emergenza otterrà l'accesso alla cassetta di sicurezza dell'utente. La procedura di condivisione della cassetta è a zero-knowledge e la password principale dell'utente non verrà mai condivisa direttamente. La crittografia RSA viene utilizzata per condividere una chiave AES a 256 bit con il contatto di emergenza allo scadere del tempo di attesa impostato dall'utente proprietario. Pertanto, per accettare l'invito è necessario che il contatto di emergenza sia in possesso di un account di Keeper (e di una coppia di chiavi RSA pubblica/privata).

Crittografia dei client

I dati sono cifrati e decifrati sul dispositivo dell'utente e non nella Cloud Security Vault. Chiamiamo questo processo "Cifratura locale" perché il client (iPhone, dispositivo Android, Web App, ecc.) esegue tutte le operazioni di cifratura. La Cloud Security Vault conserva un binario raw che non è di nessuna utilità per un malintenzionato. Anche in caso i dati fossero intercettati durante la trasmissione tra il client e la Cloud Security Vault, non potrebbero essere decifrati o utilizzati per attaccare o compromettere i dati privati dell'utente.

Per forzare o compromettere una chiave simmetrica a 256-bit sarebbe necessaria una potenza computazionale 2128 volte più potente di una chiave a 128-bit. In teoria, sarebbe necessario un dispositivo che avrebbe bisogno di 3x1051 anni per esaurire lo spazio della chiave a 256-bit.

Crittografia dei client

Condivisione

Ciascun utente possiede una coppia di chiavi RSA a 2048 bit che vengono usate per la condivisione. Le voci condivise sono crittografate con la chiave pubblica del destinatario. Il destinatario decrittografa i dati con la chiave privata. Ciò consente all'utente di condividere le voci esclusivamente con il destinatario designato, in quanto solo lui è in grado di decrittografarli.

Generazione della chiave

Keeper utilizza un algoritmo PBKDF2 con codice HMAC-SHA256 per convertire la Password principale dell'utente in una chiave di crittografia da 256 bit con minimo 1.000 round.

La chiave generata dalla Password principale non viene utilizzata direttamente per criptare i dati dell'utente, ma per criptare un'altra chiave (la "Chiave dati"). La Chiave dati viene usata per criptare i dati e altre chiavi di cifratura, quali la chiave privata RSA.

Qualsiasi chiave non direttamente generata dalla Password principale dell'utente viene generata da un generatore di numeri casuali sicuro dal punto di vista crittografico all'interno del dispositivo dell'utente, come, ad esempio, la chiave dati e la coppia di chiavi RSA. Essendo generate all'interno del dispositivo (e non nella Cloud Security Vault di Keeper), Keeper non ha visibilità nelle chiavi dell'utente.

Archiviazione della chiave

Tutte le chiavi segrete (come la chiave privata RSA e la chiave dati di ciascun utente) da memorizzare devono essere tutte criptate prima della loro archiviazione o trasmissione. Per decriptare tutte le chiavi è necessaria la Password principale dell'utente. Poiché Cloud Security Vault di Keeper non ha accesso alla Password principale, non possiamo decriptare nessuna delle tue chiavi o dei tuoi dati.

La Cloud Security Vault di Keeper

La Cloud Security Vault fa riferimento all'architettura software e di rete di proprietà di KSI che è fisicamente ospitata all'interno dell'infrastruttura di Amazon Web Services (AWS).

Quando l'utente sincronizza la sua cassetta di sicurezza con altri dispositivi del suo account, le informazioni binarie crittografate vengono inviate in un tunnel SSL crittografato e conservate nella Cloud Security Vault di Keeper in formato crittografato.

Versioni della voce

Keeper conserva una cronologia delle versioni completamente crittografata per ogni voce archiviata nella cassetta di sicurezza dell'utente, garantendo che nessuna informazione importante vada persa. Dall'applicazione client di Keeper è possibile esaminare la cronologia delle voci ed eseguire un ripristino di ogni singola voce presente nella cassetta. Se una password o un file archiviati in Keeper vengono modificati o eliminati, sarà comunque possibile eseguire un ripristino in un momento preciso nel tempo.

Keeper per le aziende

Ai clienti che acquistano Keeper Business viene offerto un ulteriore livello di controllo sui propri utenti e dispositivi. Agli amministratori Keeper fornisce l'accesso a una console di amministrazione basata sul cloud che consente di avere pieno controllo di: formazione degli utenti (on-boarding), rimozione dei diritti di accesso di un utente (off-boarding), autorizzazioni in base al ruolo, amministrazione delegata, team, Active Directory/integrazione LDAP, autenticazione a due fattori, Single Sign-On e politiche di applicazione della sicurezza. Queste ultime sono completamente personalizzabili in Keeper, per organizzazioni di qualunque dimensione.

Keeper per le aziende

Ruoli, team, cartelle condivise e amministratore delegato

Keeper for Business offre un gruppo di comandi sicuro e solido per unità organizzative, ruoli, team e cartelle condivise. I potenti comandi di back-end di Keeper offrono i livelli di sicurezza più intensi insieme all'accesso con privilegi minimi e a un'amministrazione delegata completa.

A livello di crittografia, ogni voce (per es., password o credenziale) archiviata nella piattaforma di Keeper possiede un identificatore univoco (UID voce) e viene crittografata tramite una chiave. Ogni cartella condivisa, ogni team e ogni utente hanno una chiave apposita, mentre ogni ruolo che richiede la trasferibilità dell'account dell'utente possiede una chiave di applicazione del ruolo. I dati non utilizzati ma conservati nel dispositivo dell'utente vengono crittografati con la chiave dell'utente, la quale viene a sua volta crittografata dalla password principale dell'utente.

Le voci vengono aggiunte a una cartella condivisa tramite crittografia della chiave della voce con la chiave della cartella condivisa. Se le voci vengono condivise direttamente con un utente, la loro chiave viene crittografata con quella dell'utente. Gli utenti vengono aggiunti a una cartella condivisa tramite crittografia della chiave della cartella con la chiave dell'utente. I team vengono aggiunti alla cartella condivisa tramite crittografia della chiave della cartella con la chiave del team. Gli utenti vengono aggiunti al team tramite crittografia della chiave del team con la chiave dell'utente.

Per i ruoli che applicano la trasferibilità dell'account dell'utente:

la chiave di applicazione viene crittografata con quella di ogni amministratore autorizzato a effettuare il trasferimento.

(Nota: è possibile progettare il trasferimento di applicazioni separate per gruppi separati di utenti da parte di gruppi separati di amministratori.)

Le chiavi della cartella dell'account vengono generate (per utenti nel ruolo in cui è prevista l'applicazione) e crittografate con la chiave di applicazione. Tutte le chiavi relative alle voci e alle cartelle condivise di un utente vengono crittografate tramite la chiave della cartella dell'account.

Il trasferimento di un account viene effettuato bloccando e poi trasferendo ed eliminando l'account di un utente. In questo modo l'operazione non viene eseguita segretamente. Le chiavi e i metadati della cartella dell'account danno la possibilità di decrittografare i dati della voce, ma non di accederne direttamente. Pertanto, solo dopo la loro assegnazione a un individuo, le voci diventano utilizzabili da quell'individuo e nessun altro può accedervi.

La crittografia viene eseguita client-side e in nessun caso Keeper ha la possibilità di decrittografare le informazioni condivise o trasferite. Inoltre, la chiave dell'utente non verrà mai condivisa. Un utente rimosso da un team, da una cartella condivisa o dalla condivisione diretta non riceverà nuovi dati sul team, sulla cartella condivisa o sulla voce. Pertanto, sebbene venga compromessa insieme a quell'individuo, la chiave non è utilizzabile per ottenere l'accesso ai dati di base.

Diversi privilegi di amministratore potrebbero essere assegnati ad alcune parti dell'albero gerarchico per consentire ai membri con ruolo privilegiato di eseguire operazioni nella nostra console di amministrazione di Keeper.

Le politiche di applicazione server-side e client-side potrebbero riguardare i ruoli che dettano il comportamento del client per gruppi di individui.

I team consentono una facile distribuzione delle cartelle condivise a vari gruppi di utenti.

Active Directory / LDAP Bridge di Keeper

Keeper Bridge si integra con Active Directory e i server LDAP per quanto riguarda il provisioning e la formazione iniziale degli utenti. La comunicazione di Keeper Bridge viene dapprima autorizzata da un amministratore in possesso del privilegio di gestire il bridge. Una chiave di trasmissione viene generata e condivisa con Keeper per tutte le comunicazioni che seguiranno. Usando la chiave di trasmissione vengono autorizzate tutte le operazioni eseguite dal bridge, a eccezione dell'inizializzazione del bridge stesso. Tale chiave potrebbe essere rigenerata in qualsiasi momento e verrà sostituita ogni 30 giorni.

La chiave di trasmissione serve soltanto per la trasmissione; se compromessa, potrebbe essere necessario reinizializzarla o revocarla senza causare alcuna perdita di dati o autorizzazioni.

Keeper Bridge potrebbe non conferire privilegi a un ruolo o un utente, ma potrebbe aggiungere un utente a un ruolo con privilegi, finché non sono richieste chiavi di applicazione. Keeper Bridge potrebbe non portare se stesso o un utente al di sopra della parte dell'albero in gestione. Non tutte le operazioni sono disponibili con il Bridge: per esempio, è possibile disabilitare un utente attivo, ma non eliminarlo. Sarà l'amministratore a decidere se l'utente dovrà essere eliminato o trasferito.

Autenticazione Single Sign-On (SAML 2.0)

Keeper può essere configurato dai clienti Keeper Business in modo tale da autenticarsi e accedere alla propria cassetta di sicurezza usando i prodotti di identità SAML 2.0. Keeper è un fornitore di servizi pre-configurato in tutti i principali SSO Identity Provider quali Google Apps, Microsoft Azure, Okta, Ping Identity e altri. Il meccanismo utilizzato da Keeper per l'autenticazione in un ambiente zero-knowledge è l'implementazione del software (in attesa di brevetto) Keeper SSO Connect™. Keeper SSO Connect è un applicazione software che gli amministratori di Keeper Business installano sulla propria infrastruttura (sia in locale che nel cloud) e che funge da endpoint per il fornitore di servizi SAML 2.0. Quando attivata su una particolare unità dell'organizzazione, Keeper SSO Connect gestisce tutte le chiavi di crittografia per gli utenti finali Keeper Business. Una volta avvenuta l'autenticazione nel provider di identità Single Sign-On aziendale, l'utente accede a Keeper con le chiavi di crittografia richieste per decrittografare la propria cassetta di sicurezza. Il software di Keeper SSO Connect è compatibile con gli ambienti Windows, Mac e Linux.

Architettura di rete

KSI utilizza Amazon AWS in America del Nord e in Europa per la separazione geografica e la privacy dei dati locali al fine di ospitare e gestire Keeper e la sua architettura. KSI utilizza Amazon AWS per l'hosting e l'operatività della soluzione e dell'architettura Keeper. L'uso di Amazon AWS permette a Keeper di scalare in modo ottimale le risorse on-demand e fornire ai clienti l'ambiente di cloud storage più veloce e sicuro. KSI opera sia su ambienti multi-zona che su ambienti multi-regione per massimizzare i tempi di operatività e fornire il minor tempo di risposta ai clienti.

Architettura di rete

Autenticazione del server

Per impedire l'accesso non autorizzato alle informazioni custodite, la Cloud Security Vault di Keeper deve autenticare ciascun utente durante la fase di trasmissione delle informazioni. L'autenticazione viene eseguita confrontando un hash, generato mediante l'algoritmo PBKDF2 dalla Password principale. Il dispositivo dell'utente utilizza l'algoritmo PBKDF2 per generare l'hash dalla Password principale e il server mette a confronto tale hash con un hash memorizzato.

Utilizzando l'hash generato dall'algoritmo PBKDF2 al posto della Password principale, la Cloud Security Vault può autenticare l'utente senza richiedere la Password principale. Usando lo stesso algoritmo PBKDF2 per l'autenticazione eseguita per la crittografia delle informazioni, il massimo livello di protezione della Password principale è assicurato.

Architettura di rete

Crittografia Transport Layer

KSI supporta SSL a 256 bit e a 128 bit per la crittografia di tutti i trasferimenti di dati tra l'applicazione client e lo storage nel cloud di KSI. Si tratta dello stesso livello di crittografia utilizzato ogni giorno da milioni di singoli e aziende per le transazioni web sicure, come banking online, shopping online, scambi azionari, accesso a informazioni sanitarie e presentazione delle dichiarazioni fiscali.

KSI implementa i certificati SSL/TLS firmati da Digicert utilizzando SHA2, l'algoritmo di firma più sicuro attualmente offerto dalle autorità di certificazione commerciali. SHA2 è notevolmente più sicuro del più diffuso SHA1, potenzialmente soggetto a exploit a causa di una debolezza matematica identificata nell'algoritmo. SHA2 aiuta a proteggervi dall'emissione di certificati contraffatti che potrebbero essere utilizzati da un utente malintenzionato per impersonare un sito web.

KSI supporta inoltre Certificate Transparency (CT), una nuova iniziativa promossa da Google per creare un record verificabile pubblicamente dei certificati firmati dalle autorità di certificazione. CT rende più facile proteggersi dall'emissione di certificati da parte di soggetti non autorizzati. CT è attualmente supportato nelle versioni più recenti del browser web Chrome. Per ulteriori informazioni su Certificate Transparency è possibile collegarsi all'indirizzo: http://www.certificate-transparency.org/

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

Key Pinning

I client nativi di Keeper implementano HTTP Public Key Pinning (HPKP), un meccanismo di sicurezza che consente ai siti Web HTTPS di resistere agli attacchi di impersonificazione che utilizzano certificati fraudolenti.

Portachiavi di iOS e Touch ID®

La funzione Touch ID dei dispositivi con iOS consente di accedere alla cassetta di sicurezza personale di Keeper utilizzando le impronte digitali. Per usufruire di questa comoda funzionalità viene conservata una versione indecifrabile della password principale nel portachiavi di iOS. Tale elemento, creato appositamente per questa funzionalità, non verrà sincronizzato con il portachiavi iCloud, pertanto non uscirà dal vostro dispositivo con iOS.

Si consiglia di utilizzare una password principale complessa e di attivare l'autenticazione multifattoriale per la massima protezione della propria cassetta di sicurezza crittografata di Keeper. Grazie a Touch ID risulterà molto più comodo usare una password principale complessa sul dispositivo in uso. Si consiglia inoltre di impostare un codice di accesso più lungo dei 4 caratteri minimi richiesti per proteggere il portachiavi di iOS.

Il portachiavi di iOS viene utilizzato dal sistema operativo e dalle app per la conservazione sicura delle credenziali. Le app lo utilizzano per archiviare una serie di informazioni sensibili, incluse password di siti Web, codici, numeri di carta di credito e informazioni di Apple Pay™. Keeper non utilizza il portachiavi di iOS per conservare le voci personali di Keeper, ma queste ultime vengono tutte conservate e protette nella cassetta di sicurezza di Keeper con crittografia AES a 256 bit, tecnica usata anche dal portachiavi di iOS con il codice di accesso del dispositivo. In caso di smarrimento o furto del dispositivo oppure accesso fisico non autorizzato da parte di altre persone, nessuna delle informazioni archiviate con Keeper sarà resa accessibile. Il portachiavi di iOS non può essere decrittografato senza il codice di accesso e la cassetta di sicurezza di Keeper non può esserlo senza la password principale dell'utente di Keeper.

Apple Watch®

La funzione Preferiti di Apple Watch consente di visualizzare le voci selezionate sull'Apple Watch associato. È necessario che la visualizzazione delle voci di Keeper sia stata esplicitamente abilitata su Apple Watch. Il dispositivo associato comunica con l'apposita estensione per orologio di Keeper che chiaramente viene eseguita in modo indipendente dall'app Keeper per iOS. L'estensione per orologio di Keeper utilizza inoltre il portachiavi di iOS per archiviare e accedere ai codici in modo protetto e consentire una comunicazione sicura e senza intoppi con l'app Keeper per iOS.

Keeper DNA®

Keeper DNA è una funzionalità aggiuntiva nuova e innovativa dell'autenticazione multifattoriale. Insieme all'Apple Watch associato, Keeper DNA rappresenta un metodo di autenticazione multifattoriale unico a livello di comodità e sicurezza, in quanto utilizza token protetti conservati nella cassetta di sicurezza di Keeper per generare codici a tempo da usare per l'autenticazione multifattoriale. Tali richieste di autenticazione a tempo possono essere approvate e inviate automaticamente da Apple Watch con un semplice tocco sullo schermo dell'orologio oppure inserite manualmente dall'utente. I diversi livelli di crittografia, la funzione Touch ID e l'autenticazione multifattoriale contribuiscono a rendere Keeper DNA il metodo di autenticazione più elegante, sicuro e avanzato disponibile sul mercato.

Conformità e verifiche

Certificato di conformità SOC2

Le voci presenti nella cassetta di sicurezza del cliente vengono protette utilizzando operazioni di controllo interne severe e severamente monitorate. Keeper ha ottenuto certificazioni per i report SOC 2 di tipo 2 in conformità con lo standard AICPA per il reporting sui controlli alle organizzazioni che forniscono servizi. La certificazione SOC2 contribuisce a garantire che la cassetta di sicurezza sia sempre al sicuro tramite l'implementazione di controlli standardizzati previsti dallo standard AICPA per i principi sui servizi di affidabilità.

Conformità al GDPR

Keeper è impegnata a mettere in atto cambiamenti e miglioramenti a processi e prodotti aziendali per garantire la propria conformità al GDPR entro il 25 maggio 2018. Fai clic qui per avere maggiori informazioni sulla conformità di Keeper al GDPR e scaricare gli accordi sul trattamento dei dati.

Test di penetrazione

Keeper effettua dei test di penetrazione periodici su tutti i prodotti e sistemi con degli esperti esterni tra cui Secarma, Rhino Security e dei ricercatori sulla sicurezza indipendenti. Inoltre Keeper ha stretto accordi di collaborazione con Bugcrowd per gestire il proprio programma di divulgazione delle vulnerabilità (VDP, vulnerability disclosure program).

Scansione di sicurezza esterna e test di penetrazione

KSI viene testato quotidianamente da McAfee Secure per garantire che l'applicazione Web di Keeper e il Cloud Security Vault di KSI siano protetti da exploit remoti, vulnerabilità e attacchi denial-of-service noti. I badge McAfee Secure sul sito Web di Keeper garantiscono lo svolgimento di test giornalieri del sito Web di Keeper, dell'applicazione Web, e del Cloud Security Vault.

Una scansione di sicurezza esterna completa viene eseguita mensilmente sul sito Web di Keeper, sull'applicazione Web e sul Cloud Security Vault di Keeper da parte di Trustwave. Il personale di Keeper svolge periodicamente scansioni esterne on-demand tramite Trustwave. Lo staff di Keeper avvia periodicamente scansioni esterne su richiesta tramite Trustwave.

Elaborazione dei pagamenti e conformità PCI

This site is protected by Trustwave's Trusted Commerce programKSI utilizza PayPal Payments Pro per elaborare in modo sicuro i pagamenti tramite carta di credito e di debito dal sito Web di pagamento KSI. PayPal Payments Pro è una soluzione di elaborazione delle transazioni conforme allo standard PCI-DSS.

KSI ha conseguito la certificazione di conformità PCI-DSS da Trustwave.

EU Safe Harbor

Il Web client, l'App per Android, l'App per Windows Phone, l'App per iPhone/iPad e le estensioni per browser di Keeper hanno conseguito la certificazione di conformità con il programma EU-U.S. Safe Harbor dell'U.S. Department of Commerce, soddisfacendo i requisiti della direttiva della Commissione Europea in materia di protezione dei dati.
Per ulteriori informazioni sul programma EU-U.S. Safe Harbor dell'U.S. Department of Commerce, vedere http://export.gov/safeharbor/index.asp

Licenza ai sensi dell'EAR concessa dall'U.S. Department of Commerce Export

Keeper è certificato dall'U. S. Department of Commerce Bureau of Industry and Security nell'ambito dell'Export Commodity Classification Control numero 5D992, in conformità con le normative Export Administration Regulations (EAR).
Per saperne di più su EAR: http://www.bis.doc.gov

Monitoraggio remoto 24 su 24, 7 giorni su 7

Keeper è monitorato 24 ore al giorno, sette giorni alla settimana, tutto l'anno da un network esterno globale che assicura che il nostro sito internet e la nostra Cloud Security Vault siano disponibili in tutto il mondo.

Se hai domande a proposito di questa comunicazione di sicurezza, non esitare a contattattarci.

Email di phishing o falsificate

Se ricevi un messaggio e-mail che dichiara di essere stato inviato da KSI e non sei sicuro che sia legittimo, potrebbe trattarsi di un'"e-mail di phishing", nella quale l'indirizzo e-mail del mittente è stato falsificato o "spoofed". In questo caso, un'e-mail potrebbe contenere dei link a un sito Web identico a KeeperSecurity.com ma che non è il nostro sito. Il sito Web potrebbe richiedere l'inserimento della tua password principale di Keeper Security o tentare di installare software indesiderati sul tuo computer nel tentativo di rubare informazioni personali o ottenere l'accesso al tuo computer. Altre e-mail contengono dei link che potrebbero reindirizzarti ad altri siti Web potenzialmente pericolosi. Il messaggio può inoltre comprendere degli allegati, solitamente contenenti software indesiderati chiamati "malware". In caso di dubbi sulla provenienza di un'e-mail ricevuta nella casella di posta in arrivo, eliminala senza fare clic su alcun link o aprire eventuali allegati.

Se vuoi segnalare un'e-mail che ritieni sia stata falsificata in modo da farla apparire come se fosse stata inviata da KSI o in caso di altri dubbi sulla sicurezza che coinvolgono altri aspetti relativi a KSI, contattaci.

Infrastruttura di hosting certificata secondo gli standard più rigidi del settore

Il sito Web di Keeper e il cloud storage sono compatibili con l'infrastruttura di cloud computing Amazon Web Services (AWS). L'infrastruttura cloud AWS che ospita l'architettura del sistema di Keeper ha ottenuto la certificazione di conformità con i seguenti attestati, rapporti e certificazioni di terze parti:

  • SOC 1 / SSAE 16 / ISAE3402
    (SAS70)
  • SOC 2
  • SOC 3
  • PCI DSS Level 1
  • ISO 27001
  • FedRamp
  • DIACAP
  • FISMA
  • ITAC
  • FIPS 140-2
  • CSA
  • MPAA

Vulnerability Reporting and Bug Bounty Program

Keeper Security is committed to the industry best practice of responsible disclosure of potential security issues. We take your security and privacy seriously are committed to protecting our customers’ privacy and personal data. KSI’s mission is to build world’s most secure and innovative security apps, and we believe that bug reports from the worldwide community of security researchers is a valuable component to ensuring the security of KSI’s products and services.

Keeping our users secure is core to our values as an organization. We value the input of good-faith hackers and believe that an ongoing relationship with the hacker community helps us ensure their security and privacy, and makes the Internet a more secure place. This includes encouraging responsible security testing and disclosure of security vulnerabilities.

Guidelines

Keeper's Vulnerability Disclosure Policy sets out expectations when working with good-faith hackers, as well as what you can expect from us.

If security testing and reporting is done within the guidelines of this policy, we:

  • Consider it to be authorized in accordance with Computer Fraud and Abuse Act,
  • Consider it exempt from DMCA, and will not bring a claim against you for bypassing any security or technology controls,
  • Consider it legal, and will not pursue or support any legal action related to this program against you,
  • Will work with you to understand and resolve the issue quickly, and
  • Will recognize your contributions publicly if you are the first to report the issue and we make a code or configuration change based on the issue.

If at any time you are concerned or uncertain about testing in a way that is consistent with the Guidelines and Scope of this policy, please contact us at security@keepersecurity.com before proceeding.

To encourage good-faith security testing and disclosure of discovered vulnerabilities, we ask that you:

  • Avoid violating privacy, harming user experience, disrupting production or corporate systems, and/or destroying data,
  • Perform research only within the scope set out below, and respect systems and activities which are out-of-scope,
  • Contact us immediately at security@keepersecurity.com if you encounter any user data during testing, and
  • You give us reasonable time to analyze, confirm and resolve the reported issue before publicly disclosing any vulnerability finding.

Submitting a Report

Keeper has partnered with Bugcrowd to manage our vulnerability disclosure program. Please email security@keepersecurity.com or support@bugcrowd.com to request access to the program.