Test di sicurezza

Penetration test

Claresia commissiona un penetration test esterno annuale, in modalità black-box e grey-box, sull'intera superficie di produzione. Il primo engagement chiude nel Q2 2026 e i risultati saranno pubblicati a seguire.

Cadenza

Almeno annuale. Engagement mirati aggiuntivi quando vengono rilasciate modifiche architetturali rilevanti (nuova modalità di deployment, nuovo sub-responsabile, nuovo framework di connettori).

Fornitore

RFP aperta con Trail of Bits, Bishop Fox e NCC Group. Firma del contratto attesa nel Q1 2026. La policy di rotazione annuale mantiene fresca la prospettiva avversariale.

Ambito

Tutte le superfici pubbliche di Claresia Cloud, il Portale di Onboarding, le API dello Hub, gli endpoint del Distribution Plane, l'estensione browser e le app Teams/Slack. Test su tenant autenticato inclusi.

Ultimo engagement

In programma Q2 2026

Metodologia: OWASP Web Security Testing Guide 4.2 + piano di test specifico per fornitori IA su prompt injection, gestione degli output, esfiltrazione dati lato modello, bypass del rilevamento dati sensibili.
Tipologie di test: Black-box (non autenticato) + grey-box (tenant autenticato) + code review assistita da sorgenti sul Distribution Plane.
Timeline: 8 settimane di calendario dal kickoff al report finale. Le finding critiche sono comunicate entro 24 ore dalla scoperta; la remediation viene tracciata fino a chiusura con re-test.
Disclosure: Executive summary pubblico in questa pagina. Report integrale disponibile sotto NDA. Finding critiche con impatto sui Clienti: pubblicazione di un advisory post-fix.

Executive summary del pen test

Disponibile dopo la chiusura del primo engagement nel Q2 2026.

L'executive summary sarà un PDF di 4-6 pagine che coprirà: ambito, metodologia, riepilogo delle finding per severità (critica / alta / media / bassa / informativa), stato della remediation per ogni finding e risposta del team Engineering Claresia. Il report integrale, con le scritture per ciascuna finding, resta sotto NDA.

Stato: in programma Q2 2026. Pre-registri il Suo interesse qui sotto per ricevere l'executive summary alla pubblicazione.