RELIANOID Conformità ISO/IEC 15408 (criteri comuni)

Ultima revisione: Settembre 2025
Prossima revisione prevista: Settembre 2026

Dichiarazione di conformità ISO/IEC 15408

Allineamento di sicurezza ai criteri comuni per RELIANOID Bilanciatore del carico e organizzazione

RELIANOID è allineato con i principi di ISO / IEC 15408: 2022, noto anche come Criteri comuni per la valutazione della sicurezza delle tecnologie dell'informazione (CC)Questo standard riconosciuto a livello internazionale consente una valutazione strutturata delle proprietà di sicurezza dei prodotti IT ed è spesso richiesto negli appalti pubblici e nelle infrastrutture critiche.

Mentre RELIANOID non ha subito la certificazione formale secondo i Common Criteria, il nostro controlli organizzativi e architettura della piattaforma di bilanciamento del carico sono fortemente allineati con il Principi del livello di garanzia della valutazione dei criteri comuni (EAL), in particolare nel contesto di implementazioni cloud e on-prem in ambienti ad alta sicurezza.

Cos'è ISO / IEC 15408?

La norma ISO/IEC 15408 fornisce un quadro per la valutazione della sicurezza dei prodotti IT attraverso:

  • Requisiti funzionali di sicurezza (SFR) – le caratteristiche e le protezioni che un prodotto fornisce
  • Requisiti di garanzia della sicurezza (SAR) – le prove e i processi che dimostrano come tali funzionalità sono implementate in modo sicuro

È ampiamente adottato da agenzie nazionali per la sicurezza informatica e settori regolamentati come difesa, energia, finanza e appalti pubblici.

Ambito del prodotto e obiettivo di valutazione (TOE)

Migliori TOE abbraccia tutto RELIANOID Componenti aziendali:

  • Componenti: Dispositivi hardware, piattaforma software e interfacce di gestione (interfaccia utente Web, CLI, API).
  • Ciclo di vita LTS: Tutte le versioni Enterprise sono coperte da supporto a lungo termine. Versione principale attuale: v8 (supportato fino a Giugno 2029).
  • Sistema operativo: Debian Bookworm.
  • Modelli di distribuzione: Principalmente in sede; supportato anche in ambienti cloud e ibridi.
  • Topologie: Standalone, cluster e dual-mode con Disaster Recovery (DR).

Allineamento organizzativo con criteri comuni

RELIANOID segue i principi chiave di garanzia e ciclo di vita della norma ISO/IEC 15408 in tutte le nostre pratiche interne di sviluppo, implementazione e operative.

Modello di minaccia e obiettivo di sicurezza

Manteniamo un interno Documento di sicurezza target allineato alla struttura dei Common Criteria, definendo:

  • Risorse protette (ad esempio, traffico di rete, configurazioni, credenziali)
  • Minacce affrontate (ad esempio, escalation dei privilegi, man-in-the-middle, accesso non autorizzato)
  • Ipotesi e considerazioni ambientali (ad esempio, posizionamento sicuro della rete)

Controlli di progettazione e sviluppo

Il nostro ciclo di vita di sviluppo software sicuro (SSDLC) comprende:

  • Test di sicurezza automatizzati giornalieri (SAST, DAST)
  • Scansione delle vulnerabilità delle librerie di terze parti
  • Controllo formale delle modifiche e documentazione di rilascio con versione
  • Firma del codice e controlli di integrità della versione

Mappatura dei requisiti funzionali di sicurezza (SFR)

RELIANOID Load Balancer implementa un'ampia serie di controlli equivalenti a SFR, tra cui:

  • Identificazione e autenticazione (FIA): Gli utenti si autenticano tramite password, coppie di chiavi o SSO. L'accesso all'API avviene per utente con token generati; tutte le interfacce supportano flussi di autenticazione sicuri.
  • Controllo accessi (AC/FMT/FDP): Il controllo degli accessi basato sui ruoli viene applicato a tutti i componenti e le interfacce (Web, CLI, API), compresi i controlli per oggetto sui servizi di bilanciamento del carico.
  • Audit e Responsabilità (FAU): I registri di controllo e di sistema vengono archiviati per impostazione predefinita per 7 giorni e possono essere esportati o integrati con le piattaforme SIEM.
  • Supporto crittografico (FCS): Crittografia robusta con chiavi di lunghezza elevata. TLS v1.2 o superiore per impostazione predefinita (preferibilmente TLS v1.3). I protocolli/cifrari legacy sono disabilitati per impostazione predefinita e possono essere abilitati manualmente se necessario. Moduli opzionali convalidati FIPS 140.
  • Protezione dei dati dell'utente (FDP): I dati utente vengono memorizzati solo quando necessario e sono sempre crittografati a riposo (ad esempio, utenti e password).
  • Gestione della sicurezza (FMT): L'utente root funge da account amministrativo principale. Ulteriori utenti, gruppi e autorizzazioni sono configurabili tramite il modulo RBAC.
  • Protezione delle funzioni di sicurezza del TOE (FPT): Sono implementati Secure Boot, moduli kernel firmati e accesso al repository protetto da GPG.
  • Protezione delle comunicazioni (FTP/FTA): Tutte le comunicazioni sono crittografate; la gestione delle sessioni include controlli di scadenza e di riautenticazione.

Allineamento dei requisiti di garanzia della sicurezza (SAR)

  • Progettazione e documentazione: La documentazione interna (moduli, diagrammi di architettura) è disponibile nel nostro base di conoscenza.
  • Revisioni e scansioni del codice: Scansione del codice automatizzata e assistita dall'intelligenza artificiale con revisioni manuali tra pari.
  • Gestione delle vulnerabilità: Scansioni settimanali delle vulnerabilità, report trimestrali e rilasci di patch tracciati da CVE pubblicati nel nostro time line.
  • Test indipendenti: Pentest e scansioni esterne a livello di applicazione, rete e infrastruttura.
  • Test formali: Test di sicurezza automatizzati giornalieri con copertura estesa a ogni ciclo di rilascio.

Processi di sviluppo e manutenzione

  • SSDLC: Requisiti → Progettazione → Implementazione → Test → Validazione → Miglioramento continuo. Gestito con Git, Gitea e strumenti di automazione interni.
  • Gestione del cambiamento e della configurazione: Flussi di lavoro di approvazione, procedure di rollback e documentazione delle modifiche applicate nei vari ambienti.
  • Gestione delle versioni: Gli aggiornamenti vengono impacchettati, testati e distribuiti in modo sicuro. La convalida pre-produzione viene eseguita prima della promozione ai repository di produzione.

Sicurezza operativa

  • Risposta agli incidenti: Procedure di escalation e risoluzione definite con un tempo medio di risposta di circa 2 minuti.
  • Monitoraggio: Metriche in tempo reale con sistemi integrati di rilevamento/prevenzione delle intrusioni. Le informazioni sulle minacce vengono condivise con la community e le piattaforme di settore.
  • Backup e ripristino di emergenza: Backup crittografati settimanali con test di ripristino mensili.

Utilizzo in ambienti regolamentati e certificati

Sebbene non formalmente certificato, RELIANOID supporta:

  • Integrazione nei sistemi valutati secondo i Common Criteria
  • Valutazioni degli acquisti dei clienti in ambienti focalizzati su EAL
  • Documentazione strutturata allineata con gli schemi nazionali (ad esempio, CCN-STIC, NIAP, BSI TR)

Misure di garanzia e prove

Per supportare gli obiettivi di garanzia allineati ai Common Criteria, forniamo:

  • Note di rilascio con changelog dettagliati
  • Documentazione di progettazione della sicurezza basata sulle minacce
  • Rapporti archiviati sulle scansioni delle vulnerabilità e sulle patch
  • Guide per la distribuzione sicura e checklist di rafforzamento

Allineamento organizzativo

  • Governance della sicurezza: Il team addetto alla conformità della sicurezza è guidato da CEO, CTO e COO e garantisce lo sviluppo sicuro, i processi e l'allineamento della conformità.
  • Formazione sulla sicurezza dei dipendenti: Sessioni di formazione trimestrali e consapevolezza continua delle minacce del settore.
  • Audit di sicurezza interna: Audit trimestrali con monitoraggio delle azioni correttive. I report sono disponibili al pubblico.
  • Politiche: Politiche pubblicate che riguardano privacy, risposta agli incidenti, continuità aziendale, segregazione globale dei dati, rischio di terze parti, controllo degli accessi, utilizzo accettabile e gestione dei dati.

Prove a supporto

  • Ultimissime RELIANOID Rapporto sulla sicurezza: Confermata come la versione più aggiornata.
  • Base di conoscenza: Whitepaper, schede tecniche e diagrammi di architettura aggiornati: base di conoscenza.
  • Dichiarazioni di garanzia del cliente: Dichiarazioni pubblicate per i settori regolamentati, in linea con le normative in evoluzione sulla sicurezza informatica.

Impegno verso i principi dei criteri comuni

RELIANOID si impegna a:

  • Allineamento dello sviluppo di nuove funzionalità con la metodologia di progettazione Common Criteria
  • Supportare gli sforzi di valutazione guidati dal cliente
  • Mantenere un ambiente di sviluppo sicuro e consapevole delle minacce
  • Garantire trasparenza e integrità durante l'intero ciclo di vita del prodotto

Revisioni dei documenti

DataCommento
10th luglio 2025Pubblicazione iniziale dell'allineamento di conformità ISO/IEC 15408
2nd settembre 2025Ambito TOE ampliato, mappatura SFR aggiornata, allineamento SAR, dettagli SSDLC e Ops, governance organizzativa e prove a supporto

Contatto e garanzia

Accogliamo richieste di materiali di valutazione tecnica, riepiloghi degli obiettivi di sicurezza o supporto per progetti di approvvigionamento Common Criteria.

Contatta il nostro team di conformità e sicurezza

Scarica l'ultimo rapporto sulla sicurezza