Introduzione
Per gestire l’app mobile Go.Learn, è indispensabile tenere presenti alcuni requisiti di sicurezza e tecnici. Questo articolo fornisce note sulla sicurezza dell’app e le domande e risposte più frequenti sulla sicurezza in Go.Learn.
Note sulla Sicurezza
Networking
- La trasmissione dei dati avviene in sicurezza con il protocollo HTTPS. Per le soluzioni standard ECS, il certificato è emesso da Go Daddy Secure Certificate Authority (si apre in una nuova tab), e utilizza crittografia RSA a 2048 bit e SHA-256 hashing per la firma. Gli utenti possono utilizzare i propri certificati in caso di domini personalizzati. Il protocollo HTTP per i domini personalizzati non è supportato da Go.Learn.
Salvataggio Dati
- Le informazioni di accesso all'app sono salvate in modo sicuro nella Keychain, e sono accessibili solo dall'app.
- Le password non sono mai salvate localmente.
- La funzionalità offline usa funzioni di hashing per permettere l'accesso.
- I dati dei corsi, materiali didattici e contributi scaricati per la fruizione in modalità offline sono salvati in modo sicuro nello spazio di memorizzazione isolato. In nessun caso questi dati vengono salvati all’interno della memoria SD. Non è possibile accedere a questi contenuti utilizzando qualsiasi altra app.
SSO
- I token SSO non sono mai salvati nel contesto dell'app Go.Learn. I token SSO sono immediatamente convertiti in chiavi di accesso HTTPS, quindi distrutti e cancellati dalla memoria del dispositivo.
Permessi Go.Learn
- Fare riferimento alla tabella Permessi Go.Learn (PDF, 25KB) per conoscere i permessi richiesti dall'app Go.Learn.
Domande e Risposte sulla Sicurezza
Questa sezione raccoglie le domande più frequenti relative alla sicurezza nell'app Go.Learn. Se il proprio Responsabile della Sicurezza Informatica ha bisogno di una documentazione più dettagliata, in qualità di Superadmin contattare Docebo (tramite il Centro assistenza, o tramite il proprio Account Manager se il proprio piano include questa opzione).
Informazioni Generali
Quale linguaggio di programmazione e/o framework è stato utilizzato per creare l'applicazione?
L'applicazione è stata scritta utilizzando il linguaggio Javascript e il framework React Native.
L'app si basa su diverse librerie esterne di terze parti, ma non sono aggiornate all'ultima versione. Perché?
L'aggiornamento delle librerie è un'operazione che è parzialmente al di fuori del controllo di Docebo. Per quanto riguarda le app in React Native, non è possibile controllare direttamente le dipendenze di un'applicazione, si possono solamente scegliere i pacchetti che si vogliono aggiungere all'app usando RNPM (React Native Package Manager), quindi il package manager decide quali librerie (e versioni) verrano incluse nell'app a seconda dei pacchetti che si utilizzano in modo tale da prevenire conflitti.
Viene implementata qualche tecnica di protezione contro le manomissioni (tampering prevention)?
Sì, l'app Android è protetta da ProGuard, mentre l'app iOS è implicitamente protetta dal suo ambiente.
L'app implementa controlli per impedire l'accesso non autorizzato a risorse a pagamento (wallet, SMS, chiamate etc.)?
L'app non accede a nessuno di questi servizi, quindi non chiede nemmeno i permessi necessari per accedere a queste risorse.
Come funzionano le pratiche di gestione dei dati? Quali dati possono essere raccolti dall'app e come vengono utilizzati?
L'app mobile di Docebo è una parte integrante della soluzione della piattaforma Docebo, e in quanto tale è conforme alle pratiche descritte nel Data Processing Addendum di Docebo (PDF, 255KB).
La responsabilità di fornire agli utenti finali tutte le informazioni relative alla privacy è in carico ai clienti di Docebo Learn, che sono considerati Data Controller (si veda la pagina 1 dell'addendum) relativamente ai dati raccolti dagli utenti finali della piattaforma Docebo (Data Subject). L'Informativa sulla Privacy può essere definita in piattaforma dagli Amministratori, e Docebo ha la funzione di Data Processor.
Autenticazione Utente
L'autenticazione degli utenti viene richiesta?
Sì, certamente.
In che modo l'utente effettua l'autenticazione?
Vengono richiesti username e password, o, in alternativa, è supportato il Single Sign-On (SSO).
Le password sono salvate nel client?
Assolutamente no. Anche nel caso dell'accesso offline, l'app salva lo SHA256 irriversibile della password.
La chiave crittografica (encryption key) viene derivata dalle credenziali di accesso dell'utente (anche se in modo sicuro)?
No, assolutamente no.
L'applicazione salva le credenziali degli utenti? Se sì, come? In che modo l'applicazione salva chiavi di sessione, password, dati di gestione remota del dispositivo (via MDM), ecc.?
L'applicazione non salva mai le password in locale. Tutti gli altri dati sensibili sono salvati all'interno del keychain del sistema.
In caso di attacco informatico, cosa succederebbe se chi attacca venisse in possesso delle credenziali utente?
Potrebbe usare la chiave di accesso per fare chiamate API, accedere alla piattaforma, scaricare materiali didattici, svolgere corsi.