Qlara e le misure di sicurezza

Secure data handling

Qlara adotta un approccio rigoroso alla gestione dei dati in input e output, volto a prevenire vulnerabilità derivanti da manipolazioni o iniezioni di codice malevolo. Sia il frontend sia il backend implementano controlli sistematici di validazione sui dati ricevuti, verificando non solo la correttezza formale e semantica delle informazioni, ma anche la legittimità della fonte da cui esse provengono.

In caso di input non conforme ai criteri attesi, l’applicazione restituisce messaggi di errore non parlanti, evitando di fornire dettagli tecnici potenzialmente utili a un attaccante.

Communication security

Qlara garantisce la protezione delle comunicazioni tra client e server mediante l’obbligo dell’utilizzo esclusivo del protocollo HTTPS, assicurando che ogni scambio di dati avvenga su canali cifrati. L’applicazione impiega algoritmi di trasporto basati su TLS 1.2 o versioni superiori, conformi agli standard di sicurezza attualmente riconosciuti, al fine di preservare la riservatezza e l’integrità delle informazioni in transito.

Nel quadro di un approccio orientato alla sicurezza by design, sono state disabilitate tutte le cipher suites considerate deboli o deprecate, così da impedire l’utilizzo di configurazioni vulnerabili a intercettazioni o downgrade attack.

Auth e secrets management

Qlara adotta un insieme strutturato di misure per garantire la sicurezza dei processi di autenticazione e la protezione delle informazioni riservate correlate alle credenziali utente. Durante la fase di inserimento, le password e le passphrase sono tutelate mediante meccanismi di protezione lato frontend che ne impediscono l’esposizione accidentale. Le credenziali vengono trasmesse esclusivamente tramite metodo HTTP POST, evitando l’inclusione di dati sensibili negli URL e riducendo il rischio di intercettazione.

Il backend gestisce l’autenticazione attraverso meccanismi di validazione robusta, assicurando la verifica dell’integrità delle credenziali e la validità dell’indirizzo e-mail associato all’utente. Le procedure di recupero o modifica della password sono subordinate all’utilizzo di canali di comunicazione previamente verificati, con notifiche automatiche inviate all’utente a ogni richiesta, al fine di garantire la tracciabilità e la tempestiva rilevazione di eventuali attività anomale.

Le password non vengono mai conservate in chiaro: il sistema archivia esclusivamente digest derivati da funzioni di hashing crittograficamente sicure, progettate specificamente per la protezione delle password e resistenti ad attacchi di forza bruta o dizionario.

Session management

Qlara implementa un sistema di gestione delle sessioni conforme alle migliori pratiche di sicurezza applicativa, garantendo la protezione dell’identità dell’utente e l’integrità delle interazioni con la piattaforma. Ogni sessione viene identificata da un token univoco di almeno 192 bit, generato in modo sicuro per prevenire tentativi di predizione o riutilizzo da parte di soggetti non autorizzati.

I cookie di sessione risultano protetti mediante l’applicazione di attributi di sicurezza quali Secure e HttpOnly, impedendo l’accesso da script lato client e assicurando che la trasmissione avvenga esclusivamente su canali cifrati. La terminazione della sessione è gestita in maniera sicura: il logout comporta la distruzione completa delle informazioni di sessione sia lato client sia lato server, prevenendo ogni possibilità di riutilizzo.

Access control

Qlara adotta un sistema strutturato di controllo degli accessi volto a garantire che ogni risorsa applicativa e infrastrutturale — quali file, URL, URI e servizi — sia accessibile esclusivamente agli utenti e ai server preventivamente autorizzati. Le autorizzazioni sono gestite tramite profili associati alle utenze, le cui informazioni sono note e verificate dal server, assicurando una correlazione diretta tra identità digitale e privilegi concessi.

Tutti i controlli sui permessi vengono applicati a ogni singola richiesta di accesso, impedendo l’esposizione accidentale o indebita di contenuti riservati. I meccanismi di enforcement seguono rigorosamente i principi del Least Privilege e del need-to-know, garantendo che ciascun utente possa operare unicamente entro i limiti funzionali necessari alle proprie mansioni.

L’accesso logico è disciplinato da una policy formale di gestione e controllo, che definisce regole, responsabilità e modalità di revoca o aggiornamento dei privilegi. È inoltre prevista una revisione periodica dei profili autorizzativi, volta a verificare la persistenza dei requisiti di accesso e a prevenire accumuli di privilegi non giustificati. Tale approccio assicura un livello elevato di tracciabilità e coerenza nell’applicazione delle misure di sicurezza.

Error handling e logging

Qlara dispone di un sistema strutturato per la gestione delle eccezioni e la registrazione degli eventi applicativi, volto a garantire la stabilità del servizio e la tracciabilità delle attività rilevanti. Sia il backend sia il frontend implementano funzioni dedicate per la gestione controllata degli errori, evitando la propagazione di eccezioni non gestite e assicurando la continuità operativa dell’applicazione. I messaggi di errore sono volutamente generici e non informativi, al fine di non rivelare dettagli sul funzionamento interno del sistema o sui componenti infrastrutturali coinvolti

L’applicazione genera log relativi agli accessi e alle azioni critiche, garantendo una visibilità adeguata sulle attività degli utenti e sui principali eventi di sicurezza. Tali registrazioni sono accessibili unicamente a personale autorizzato del sistema operativo, in linea con i principi di separazione dei ruoli e least privilege.

È presente una policy organizzativa che disciplina la gestione e il monitoraggio dei log, assicurando la coerenza delle procedure di registrazione e la protezione dei file di log da accessi non autorizzati.

Database security

Qlara assicura la protezione del livello dati mediante un’architettura di esposizione restrittiva: il database risiede su rete privata non raggiungibile pubblicamente e accetta connessioni esclusivamente da host espressamente autorizzati, respingendo qualsiasi tentativo di accesso in modalità anonima. L’accesso avviene per mezzo di utenze distinte per ciascun servizio applicativo, così da garantire separazione dei contesti e tracciabilità puntuale delle operazioni.

I privilegi delle utenze risultano attribuiti secondo i principi di Least Privilege e need-to-know, circoscrivendo le autorizzazioni al solo perimetro strettamente necessario alle funzioni svolte. Le funzionalità del motore database non necessarie vengono disabilitate, riducendo la superficie d’attacco e prevenendo l’abuso di feature non indispensabili.

Le interrogazioni vengono eseguite attraverso query definite in modo sicuro (ad es. statement parametrizzati e/o ORM con binding rigoroso), prevenendo iniezioni e garantendo l’integrità dei dati trattati.

Sicurezza nella gestione della IA

Qlara integra modelli di intelligenza artificiale ospitati interamente all’interno dell’infrastruttura tecnologica di Agile Telecom, senza ricorrere a servizi o interfacce di terze parti. L’elaborazione dei dati avviene dunque in modo completamente interno, sotto il controllo diretto dell’organizzazione, garantendo che le informazioni trattate non escano mai dai confini infrastrutturali aziendali.

Le misure di sicurezza applicabili a tali modelli si conformano alle stesse politiche e controlli organizzativi già adottati da Agile Telecom, comprendendo la protezione degli asset, la gestione degli accessi logici, il monitoraggio continuo e la cifratura dei dati in transito e a riposo. Questa integrazione coerente assicura un elevato livello di confidenzialità, integrità e disponibilità delle informazioni elaborate dai sistemi di intelligenza artificiale, mantenendo piena aderenza alle best practice di sicurezza e alle normative vigenti in materia di protezione dei dati.