Sicurezza e conformità

Sviluppata appositamente per assicuratori, MGA e broker, Garansure pone la sicurezza, la governance e la resilienza operativa al centro della piattaforma. Ogni aspetto del sistema, dall’isolamento dei tenant e il controllo degli accessi fino all’auditabilità e alla protezione dei dati, è progettato per supportare le esigenze delle organizzazioni che operano in mercati assicurativi altamente regolamentati.

Garansure è una piattaforma assicurativa multilingue e multi-tenant, creata appositamente per assicuratori, MGA e broker. Dall’architettura della piattaforma e i controlli di accesso fino all’auditabilità e alla resilienza operativa, le considerazioni sulla sicurezza sono integrate in ogni fase della progettazione e del funzionamento della piattaforma.

Realizzata pensando alla conformità al GDPR e alla predisposizione al DORA, Garansure aiuta le organizzazioni a proteggere le informazioni sensibili, a mantenere la responsabilità e a supportare i requisiti normativi in continua evoluzione, accelerando al contempo le iniziative di assicurazione digitale.

Progettata per organizzazioni assicurative regolamentate

Garansure è progettata specificamente per le organizzazioni che operano nei mercati assicurativi regolamentati. Che si tratti di supportare assicuratori, MGA o broker, la piattaforma fornisce i controlli necessari per gestire i dati sensibili, governare l’accesso degli utenti e mantenere la supervisione operativa su più prodotti, partner e giurisdizioni.

La piattaforma combina un forte isolamento dei tenant, l’autenticazione a più fattori, la crittografia, controlli di accesso basati sui ruoli e un logging di audit completo per aiutare le organizzazioni a rafforzare la sicurezza e la governance senza compromettere l’agilità o l’usabilità.

Sicurezza fin dalla progettazione

La sicurezza non è trattata come una funzionalità aggiuntiva. È integrata in tutta l’architettura della piattaforma, nel ciclo di vita dello sviluppo e nei controlli operativi. L’accesso ai dati e alle funzionalità è regolato da rigorosi meccanismi di autenticazione, autorizzazione e auditing, progettati per supportare le esigenze delle organizzazioni di servizi finanziari regolamentate.

Garansure segue il principio del privilegio minimo, garantendo che gli utenti abbiano accesso solo alle informazioni e alle funzionalità necessarie per svolgere il proprio ruolo. Controlli aggiuntivi come l’autenticazione a più fattori, la segregazione dei compiti, il logging di audit e l’isolamento dei tenant aiutano a ridurre i rischi e a rafforzare la responsabilità su tutta la piattaforma.

Isolamento dei tenant e protezione dei dati

Garansure è una piattaforma multi-tenant che mantiene una netta separazione tra le organizzazioni e i partner di distribuzione.

  • Database separato per ogni organizzazione tenant.
  • Segregazione a livello di partner tramite PostgreSQL Row-Level Security.
  • Isolamento applicato sia a livello di database che a livello applicativo.
  • Contesto del tenant e del partner validato a ogni richiesta.
  • Domini white-label attivati solo dopo la verifica della proprietà.

Questi controlli aiutano a garantire che ogni assicuratore, MGA o broker possa operare in modo indipendente, mantenendo una solida separazione dei dati e degli accessi.

Autenticazione e controllo degli accessi

Garansure utilizza più livelli di controlli di autenticazione e autorizzazione per proteggere le funzioni amministrative e operative.

  • Autenticazione a due fattori obbligatoria per gli amministratori della piattaforma e dei tenant.
  • Requisiti rigorosi per le password e gestione sicura delle credenziali.
  • Controllo degli accessi basato sui ruoli con permessi granulari.
  • Autenticazione basata sulla sessione per l’accesso amministrativo.
  • Rigenerazione automatica della sessione e protezione contro il session fixation.
  • Limitazione della frequenza dei login e protezione contro il brute-force.
  • Nessuna enumerazione degli utenti durante i flussi di autenticazione.

Le operazioni ad alto rischio richiedono un’ulteriore verifica dell’identità tramite autenticazione step-up, contribuendo a ridurre il rischio di modifiche amministrative non autorizzate.

Controllo accessi basato su ruoli

I permessi di accesso possono essere assegnati in base alle responsabilità organizzative, inclusi amministratori di piattaforma, amministratori di tenant, sottoscrittori, amministratori di partner e utenti partner.

Laddove siano configurati flussi di lavoro di sottoscrizione, possono essere applicati controlli di segregazione dei compiti per supportare processi indipendenti di revisione e approvazione.

Crittografia e sicurezza dei dati

Le informazioni sensibili sono protette sia in transito che a riposo utilizzando tecnologie di crittografia standard del settore.

  • Crittografia TLS per tutti i dati trasmessi su reti pubbliche.
  • Crittografia AES-256 per i campi sensibili memorizzati all’interno della piattaforma.
  • Crittografia degli identificativi nazionali, delle coordinate bancarie e delle credenziali di integrazione.
  • Protezione dei segreti per l’autenticazione a due fattori.
  • Supporto per la rotazione delle chiavi di crittografia.

Auditabilità e responsabilità

Il logging di audit completo aiuta le organizzazioni a dimostrare la propria responsabilità, a supportare le indagini e a soddisfare i requisiti normativi.

  • Logging di audit di tipo append-only.
  • Immutabilità dei log applicata a livello di database.
  • Registrazioni dettagliate delle azioni degli utenti e degli eventi di sistema.
  • Contesto del tenant e del partner acquisito con ogni evento.
  • Viste di audit filtrate per ambito per gli amministratori autorizzati.
  • Politiche di conservazione configurabili.

I record di audit offrono visibilità su chi ha eseguito un’azione, quando è avvenuta e in quale contesto organizzativo.

Sicurezza delle applicazioni

Garansure incorpora molteplici controlli per proteggere dalle comuni minacce alle applicazioni web.

  • Protezione contro il cross-site request forgery (CSRF).
  • Mitigazione del cross-site scripting (XSS) tramite escaping a livello di framework.
  • Limitazione della frequenza (rate limiting) sui flussi di autenticazione e verifica.
  • Cookie di sessione sicuri con protezioni HttpOnly e SameSite.
  • Interfacce amministrative escluse dall’indicizzazione dei motori di ricerca.
  • Superficie di attacco ridotta attraverso un’esposizione controllata del sistema.

Pagamenti e informazioni finanziarie

Laddove vengano memorizzati conti bancari o informazioni SEPA, i dati sensibili sono crittografati a riposo utilizzando solidi controlli di crittografia.

Garansure non elabora né memorizza i dati delle carte di pagamento e pertanto non rientra nell’ambito dei requisiti PCI per l’elaborazione dei dati dei titolari di carta.

Resilienza operativa

La resilienza operativa è una considerazione chiave per le organizzazioni che operano nel settore assicurativo.

  • Monitoraggio dello stato di salute del sistema.
  • Elaborazione dei processi in background e isolamento dei carichi di lavoro.
  • Misure di salvaguardia in produzione per le operazioni amministrative critiche.
  • Gestione controllata degli errori e protezione contro la divulgazione di informazioni.

Ulteriori informazioni sulla resilienza operativa, la governance e le considerazioni sul DORA sono disponibili nella nostra pagina sulla predisposizione al DORA.

Tecnologia

Garansure è costruita su uno stack tecnologico moderno, progettato per la sicurezza, la manutenibilità e la scalabilità.

  • Laravel
  • PHP
  • PostgreSQL
  • Vue 3 e Inertia.js
  • Infrastruttura Google Cloud Platform

GDPR e DORA

Garansure supporta le organizzazioni che desiderano rafforzare le proprie pratiche di privacy, governance e resilienza operativa.

Scopri di più sul nostro approccio a: